Ce ne sont pas les fichiers de données que vous recherchez
Publié: 2017-12-15Les rebelles ont piraté l'Etoile de la Mort : votre organisation est-elle la prochaine ?
Il y a longtemps, dans une galaxie lointaine, très lointaine, l'Empire a commis une erreur critique et fatale qui conduirait à sa chute éventuelle. Ils n'ont jamais cru que les rebelles seraient capables de percer leurs défenses à Scarif et de voler les plans de leur arme la plus précieuse : l'Étoile de la Mort.
Les plans ont été placés dans un coffre-fort, dans une haute tour, entourés de milliers de soldats lourdement armés et de marcheurs impériaux, sur une planète complètement entourée d'un champ de force impénétrable, défendue par des centaines de vaisseaux spatiaux.
Pourtant, il n'a fallu qu'un groupe d'individus hautement motivés et déterminés pour surmonter leurs défenses, et les conséquences ont été désastreuses.
Où était le plan d'incident de l'Empire ? Pourquoi les plans de l'Étoile de la Mort n'étaient-ils pas chiffrés ? Pourquoi n'ont-ils pas utilisé l'authentification à 2 facteurs ?
Chaque jour apporte des nouvelles d'une autre violation de données. Certains sont d'énormes violations de données comme eBay, Equifax ou Yahoo, tandis que d'autres sont beaucoup plus petits. Cependant, ils ont tous une chose en commun : une fois dedans, les pirates ont pu obtenir beaucoup de données.
Souvent, les piratages se limitent aux données personnelles des utilisateurs, mais parfois les détails de la carte de crédit des clients sont également volés. De nombreuses entreprises victimes d'une violation ont déjà mis en place des mesures de sécurité : elles corrigent les serveurs, les pare-feu, les WAF et les IDS. Beaucoup ont une politique de sécurité de l'information et effectuent des tests d'intrusion, mais les pirates passent quand même à travers.
Planifier la brèche
Peu importe à quelle hauteur vous construisez vos murs, quelqu'un avec suffisamment de compétences, de détermination et de ressources peut entrer. Les États-nations se livrent maintenant à l'espionnage industriel, et si la Corée du Nord veut vraiment vos fichiers de données, vous allez trouver très difficile de gardez-les à l'écart.
Les humains sont souvent le vecteur d'attaque le plus important dans n'importe quel système, et les systèmes de sécurité hautement sophistiqués peuvent être piratés grâce à une ingénierie sociale intelligente. Dans un effort pour assurer la sécurité de leurs données, les organisations dépensent de plus en plus pour construire des murs plus hauts avec une technologie de plus en plus sophistiquée, mais, à maintes reprises, ceux-ci sont violés et les données sont exposées - parfois par des attaques très sophistiquées, et parfois par une erreur humaine.
Bien qu'il soit extrêmement important de se concentrer sur une sécurité de l'information solide, ce que l'Empire a oublié d'étudier, c'est comment atténuer les dégâts si et quand les rebelles réussissaient à violer leur sécurité. Ils n'avaient pas prévu une brèche parce qu'ils n'avaient jamais pensé que cela arriverait. C'est la même erreur que commettent également de nombreuses organisations sur cette planète.
Créer un plan d'incident
Chaque organisation doit avoir un plan d'incident de violation de données. Lorsque l'article proverbial frappe le ventilateur, la dernière chose dont vous avez besoin est que les employés courent comme des poulets sans tête, essayant désespérément de gérer la situation et inventant des choses au fur et à mesure.
Les instants qui suivent la découverte d'une brèche sont extrêmement stressants pour toutes les personnes impliquées, mais ils sont aussi les plus cruciaux. Sans plan, les choses peuvent être bien pires.
Les preuves médico-légales peuvent être détruites, d'autres données exposées et des informations erronées peuvent être diffusées. Pendant ce temps, chacun doit savoir ce qu'il doit faire pour gérer la crise.
Auditez vos données
L'une des grandes caractéristiques de la future réglementation GDPR est que les organisations européennes sont obligées d'auditer leurs données. De nombreuses organisations ne savent pas quelles données elles détiennent, quelle quantité elles possèdent et où elles se trouvent.
Les organisations qui ont connu une croissance organique au fil du temps sont susceptibles d'avoir de nombreux systèmes hérités avec différentes données résidant dans chacun. Les entreprises doivent réfléchir aux données personnelles dont elles ont réellement besoin et s'assurer que le reste est supprimé, ou du moins entièrement crypté. Est-il vraiment nécessaire de conserver les données personnelles de quelqu'un qui a acheté chez vous il y a cinq ans ?
Séparation des systèmes pour éviter la contamination croisée
Une chaîne est aussi solide que son maillon le plus faible. De nombreux systèmes sécurisés ont été violés en raison d'un point d'entrée faible. Il est important de s'assurer que les systèmes sont séparés. De cette façon, si l'un est violé, la violation est confinée à ce système plutôt qu'à tous les systèmes, limitant ainsi votre exposition.
Mis en œuvre correctement, un site de commerce électronique construit sur une plate-forme hautement sécurisée sera très difficile à pirater. Vous pouvez également avoir un blog WordPress assis dans le même environnement. WordPress est de loin la plateforme Web la plus piratée au monde. Les données publiées par Securi ont montré que 74 % d'un échantillon de sites Web piratés en 2016 utilisaient WordPress.
Bien qu'une partie de ce blâme incombe aux utilisateurs de WordPress qui ne tiennent pas leur logiciel à jour, ce nombre devrait vous préoccuper si vous exploitez un site WordPress. Votre préoccupation devrait être amplifiée si vous exploitez un site WordPress hébergé sur le même environnement que votre boutique e-commerce.
Si votre plate-forme WordPress est piratée, elle pourrait être utilisée comme point d'entrée dans votre site Web de commerce électronique, où résident les données les plus précieuses. Le site WordPress doit être hébergé sur un environnement d'hébergement entièrement différent et séparé de votre plate-forme de commerce électronique pour s'assurer qu'il n'y a pas de contamination croisée.
Cryptage des données
Le cryptage des données est plus complexe qu'il n'y paraît. En théorie, il est tout à fait logique de crypter toutes les données personnelles contenues dans la base de données de votre plateforme de commerce électronique. Si les données sont violées sans la clé, cela n'a aucun sens.
Le plus gros problème est que votre application doit généralement être capable de déchiffrer les données à la volée, ce qui signifie que quelque part dans votre code se trouve la clé. Par conséquent, si quelqu'un met la main sur votre application et les données, il peut être en mesure de déchiffrer les données à l'aide de cette clé.
Un autre défi de chiffrement est la performance. Si votre application doit déchiffrer des données en temps réel, cela peut augmenter considérablement les frais généraux de performances et n'est souvent tout simplement pas pratique. Le cryptage est un excellent moyen de protéger vos données, mais il comporte son propre ensemble de défis.
Sécurité basée sur la tromperie
La sécurité basée sur la tromperie présente aux pirates de fausses vulnérabilités, ou même de fausses données qui peuvent masquer la réalité.
Les pirates recherchent généralement les vulnérabilités les plus élémentaires, comme les exploits connus, avant de déployer des techniques plus avancées. Une fois qu'ils ont trouvé une vulnérabilité, ils sont susceptibles de se concentrer sur cela. S'ils ont ensuite accès à des données qui semblent sensibles et réelles mais qui sont en fait fausses, vous avez une chance de les dérouter.
Vous pouvez également surveiller plus facilement cette activité, ce qui augmente vos chances d'identifier, puis de bloquer l'attaquant. En déployant des systèmes et des données leurres, vous pouvez donner à l'attaquant l'illusion d'avoir réussi à pénétrer votre réseau.
Les meilleures pratiques de cybersécurité pour l'avenir
Les organisations ne doivent pas se concentrer uniquement sur la protection des pirates car cela, à lui seul, ne protégera pas leurs données de tout le monde. Une équipe déterminée, expérimentée et dotée de ressources suffisantes pourrait probablement pirater presque n'importe quelle plate-forme de commerce électronique si elle faisait suffisamment d'efforts.
Construire un plus grand mur ne fera que les dissuader pendant si longtemps. Il est nécessaire de se concentrer davantage sur l'atténuation des violations plutôt que sur la simple tentative de les prévenir pour garantir que toutes vos données sont aussi protégées que possible.
Si l'Empire avait chargé quelqu'un d'auditer ses données et de créer un plan d'incident robuste et testé, les choses auraient pu se passer très différemment.
Faire ou ne pas faire. Il n'y a pas d'essai!