fuite de donnée

5 raisons pour les fuites de données en 2019

Nous examinons ici les 5 endroits que les cybercriminels apprécient pour subtiliser des données d’entreprises et de gouvernement en 2019 sans se faire remarquer.

1. Stockage de Cloud Mal Configuré

48% des données d’entreprise sont stockées dans le cloud comparé à 35% il y’a 3 ans, selon l’étude Global Cloud Security de 2019 par la compagnie de cybersécurité Thales qui a interrogé plus de 3000 professionnels dans le monde. A l’inverse, seulement 32% des organisations pense que la protection des données dans le cloud est leur responsabilité, ils comptent sur les fournisseurs de cloud et IaaS(Infrastructure en tant que Service) pour sécuriser leurs données. 51% de ces organisations n’utilisent même pas de chiffrement ou de jeton d’authentification dans le cloud.

Le rapport de (ISC)² Cloud Security de 2019 estime que 64% des professionnels de la sécurité informatique pensent que la perte et la fuite de donnée sont les plus gros risques associés au cloud. La mauvaise utilisation des identifiants de connexion de l’employé et de mauvais contrôles d’accès sont les plus gros challenges pour 42% des professionnels de la sécurité, tandis que 34% lutte avec la conformité dans le cloud et 33% mentionnent le manque de visibilité de la sécurité de l’infrastructure.

La négligence des parti tiers est probablement le problème le plus sous estimé et le plus ignoré. En 2019, Facebook, Microsoft et Toyota ont été stigmatisé par les médias après avoir perdu les informations de millions de clients à cause de fuites ou de brèches chez des parti tiers.

Malgré ces incidents alarmants, très peu d’organisations ont des programmes de gestion de risques concernant les parti tiers, la plupart utilise des questionnaires sur papier et ignore les vérifications pratiques et la surveillance continue.

Comment mitiger: entraînez votre équipe, implémentez une politique de sécurité du cloud, maintenez un inventaire à jour de votre infrastructure de cloud.

2. Le Dark Web

Notorious Collection #1, révélé en 2019 par l’expert en sécurité Troy Hunt, est une liste d’adresses email et de mots de passe en clair d’une longueur de 2 692 818 238 lignes. N’importe qui peut acheter de manière anonyme ces données en utilisant des Bitcoins. C’est l’une des bases de données les plus connus et ce n’est qu’une fraction des données compromises qui sont disponibles sur le Dark Web. Plusieurs organisations se font piraté tout les jours sans s’en rendre compte à cause de la complexité des attaques ou d’une simple négligence, un manque de ressources ou de compétences.

Les attaques de réutilisation de mots de passe et l’hameçonnage ciblé sont très simples. Bien que triviales au premier regard, ces attaques sont très efficaces. La plupart des organisations n’ont pas de politique de mot de passe consistante sur toutes leurs ressources d’entreprise, déployant le SSO(Single Sign-On) seulement sur leur infrastructure centrale.

Les systèmes secondaires et auxiliaires font ce qu’ils veulent de leurs côtés, souvent avec une politique de mot de passe pauvre ou inexistante mais avec un accès aux secrets commerciaux et à la propriété intellectuelle. Avec le nombre important de portails et de ressources de ce type, les pirates essayent les identifiants connexions volés et obtiennent généralement ce qu’ils cherchent.

Ce type d’attaques est souvent indétectable à cause du manque de surveillance ou simplement parce qu’elles ne ressembles pas aux anomalies habituelles. Les groupes de pirates expérimentés font un profil de leurs victimes avant l’attaque pour se connecter depuis le même sous-réseau du fournisseur d’accès et aux mêmes heures. Cela permet de tromper les systèmes de détection d’intrusion même si ils sont très stricts.

Comment mitiger: assurer la visibilité des ressources numériques, mettre en œuvre une stratégie de mot de passe holistique et un plan de réponse aux incidents, surveiller en permanence Dark Web et d’autres ressources pour détecter les fuites et les incidents.

3. Les sites abandonnés et non-protégés

Selon une recherche de 2019 de la compagnie de sécurité ImmuniWeb, 97 banques sur 100 ont des sites et des applications web vulnérables. Un grand nombre de problème est attribué à l’utilisation non-contrôlée de logiciels libres, de frameworks obsolètes et de librairies Javascript, certaines d’entre elles contenaient des vulnérabilités exploitables connues publiquement depuis 2011.

Le même rapport a révélé que 25% des applications de banque en ligne n’étaient même pas protégé par un pare-feu d’application web (WAF). 85% des applications ne sont pas conformes au RGPD, 49% n’ont pas passé le test PCI DSS.

En dépit de l’augmentation des solutions de gestion de surface d’attaque, la majorité des business ont du mal avec la complexité fluctuante de leurs surfaces d’attaque externes. Les applications Web dominent la liste des éléments inconnus ou abandonnés par les développeurs imprudents ou débordés.

Les versions de démonstration et de test prolifèrent rapidement au sein d’une organisation, étant connectées sporadiquement à des bases de données de production contenant des données sensibles. Les nouvelles versions sortent rapidement, tandis que les précédentes versions restent dans la nature pendant plusieurs mois. Les équipes de sécurité à court de personnel n’ont pas le temps de traquer ce genre d’applications, se reposant sur les politiques de sécurité que beaucoup de développeurs n’ont jamais lu.

Même si elles sont déployées convenablement, les applications web peuvent être un danger si elles ne sont pas surveillées. Les logiciels libres et propriétaires font réagir Bugtraq à cause de nouvelles failles de sécurité exploitables. Il y’a quelques exceptions mais les développeurs sont souvent lents à distribuer des patchs de sécurité comparé à la vitesse d’exploitation des campagnes de piratage.

La plupart des systèmes de gestion de contenu, tels que WordPress ou Drupal, sont plutôt sécurisés dans leur installation par défaut mais l’addition de plugins, de thèmes et d’extensions de parti tiers les rendent plus vulnérables.

Comment mitiger: commencez avec un test de sécurité de site Web gratuit pour tous vos sites Web et continuez avec des tests approfondis de pénétration pour les applications Web et les API les plus critiques.

4. Le Back-End des applications mobile

Les entreprises modernes investissent dans la sécurité des applications mobiles, utilisant les standards de sécurité de développement de DevSecOps, les tests SAST/DAST/IAST et la protection RASP renforcée avec les solutions de corrélation de vulnérabilité. La majorité de ces solutions s’attaquent à la parti visible de l’iceberg car les backends des applications mobiles ne sont ni testés ni protégés.

Alors que la plupart des APIs utilisés par l’application mobile envoie ou reçoit des données sensibles, y compris des informations confidentielles, leur confidentialité et sécurité sont souvent oubliés et dé-priorisés.

De manière similaire, les organisations larges oublient souvent que les précédentes versions de leurs applications mobiles peuvent être téléchargé sur Internet et décortiqué. Ce genre d’applications sont une aubaine pour les pirates qui cherchent des API abandonnés et vulnérables qui fournissent encore un accès aux données sensibles de l’organisation.

Un grand nombre d’attaques devient possible, de l’attaque de force brute jusqu’aux contournements d’authentification et d’autorisation. Habituellement, les attaques les plus dangereuses, y compris les injections SQL et les codes d’exécution à distance, résident du côté backend.

Comment mitiger: construisez un inventaire des API, mettez en œuvre une politique de test des logiciels, exécutez un test de sécurité des applications mobiles gratuit sur toutes vos applications mobiles et sur vos backends, effectuez des tests d’intrusion mobile pour les plus critiques.

5. Les dépôts de codes sources publics

Les dépôts de codes sources publics sont le maillon faible des efforts de sécurité informatique des organisations.

Par exemple le géant bancaire Scotiabank a stocké des données sensibles dans un dépôt GitHub, révélant son code source interne, ses informations de connexion et les clés d’accès confidentielles.

Les erreurs humaines prédominent dans ces espaces. Même les organisations exemplaires avec de bonnes politiques de sécurité se retrouve dans des situations malencontreuses à cause du facteur humain.

Comment mitiger: mettre en œuvre une politique concernant le stockage du code et la gestion des accès, l’appliquer en interne et pour les parti tiers, surveiller en permanence les dépôts de code publics pour surveiller les fuites.

Si cet article vous a plu, jetez un œil à notre article précédent.