Jan van Vliet, VP et DG EMEA, chez Digital Guardian, liste pour les lecteurs de Solutions Numériques 10 mesures essentielles à mettre en œuvre en entreprise.
L’année 2019 a connu une série de cyberattaques très médiatisées. Au court de cette année, de nombreuses entreprises ont compris qu’une fuite de données pouvait d’une part chambouler tout leur fonctionnement et d’autre part représenter un manque a gagné important en raison de l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données). C’est le cas par exemple, de l’attaque interne de Capital One, en juillet dernier, qui a coûté plus de 300 millions de dollars à la banque. L’ICO (la CNIL britannique) a également infligé une amende record de plus de 183 millions de livres sterling à British Airways suite au vol des données financières de milliers de clients en 2018. Dans le même sens, le manque de sécurité des caisses enregistreuses des hôtels Marriott ont valu à l’oganisation 99 millions de livres sterling d’amendes. Il est clair qu’aucune entreprise n’est immunisée contre des fuites de données ciblées ou accidentelles.
Afin de protéger leurs données de manière adéquate contre les cybercriminels, les organisations doivent mettre en œuvre des mesures de sécurité complètes. Ces mesures de sécurité visent à protéger les données des clients contre la hausse et la diversification des menaces. Ces pratiques en matière de cybersécurité visent non seulement à suivre le rythme d’évolution des menaces mais aussi à tenir compte des risques qui peuvent affecter la confidentialité et la protection des données sur les différents terminaux et dans le cloud. Elles ont pour objectif de protéger les données, qu’elles soient en transit, au repos ou en cours d’utilisation. Voici une feuille de route :
-
Sensibiliser les employés
Le maillon humain reste l’une des plus grandes menaces pour la sécurité de toutes les industries, et particulièrement dans le secteur financier. Dans ce secteur, une simple erreur ou négligence humaine peut avoir des conséquences désastreuses et onéreuses pour les organisations. Une formation, sensibilisant à la sécurité, est donc bénéfique car elle apporte aux employés les connaissances nécessaires à la prise de décision lors du traitement des données financières ou personnelles des clients.
-
Mettre en œuvre des contrôles d’accès pour les applications et les données
La mise en place de contrôle d’accès renforce la protection des données et limite l’accès aux informations sensibles ainsi qu’à certaines applications. Cela permet d’autoriser l’accès uniquement aux utilisateurs ayant besoin de ces données sensibles, dans le cadre de leur travail. Les restrictions d’accès imposent aux utilisateurs de s’authentifier afin de garantir que seuls ceux abilités ont accès aux données protégées. L’authentification multifactorielle, obligeant les utilisateurs à valider leur identité par le biais d’au moins deux méthodes de validation, est hautement recommandée.
-
Ajouter des contrôles d’utilisation des données supplémentaires
Les contrôles de données viennent compléter les avantages des contrôles d’accès et de surveillance. Ils permettent le signalement et le blocage en temps réel des activités de données risquées ou malveillantes. Les sociétés de services financiers peuvent avoir recours à ces contrôles pour bloquer des actions spécifiques impliquant des données sensibles : les téléchargements de données vers le web, l’envoi d’e-mails non autorisés ou encore, la copie vers des disques externes ou l’impression. La découverte et la classification des données jouent également un rôle de soutien important dans ce processus. Effectivement, elles garantissent l’identification et la catégorisation des données sensibles pour qu’elles reçoivent le niveau de protection approprié.
-
Surveiller l’utilisation des données
La consignation de toutes les données d’accès et d’utilisation est cruciale. Les organisations doivent pouvoir savoir quels utilisateurs accèdent à quelles informations, applications et autres ressources lorsque ces dernières sont consultées. Cela permet également de savoir à partir de quels appareils et emplacements les utilisateurs accèdent à ces données. Ces données de connexion sont également utiles à des fins d’audit car ils contribuent à l’identification des points névralgiques et aident les organisations à comprendre où renforcer leurs mesures de protection si nécessaire. En cas d’incident, une piste d’audit peut aider à identifier précisément les points d’entrée, à déterminer la cause et à évaluer les dommages.
-
Chiffrer toutes les données
Le chiffrement est l’une des méthodes de protection des données les plus utiles pour les sociétés de services financiers. Si les données sont chiffrées, en transit et au repos, alors il devient plus difficile (voire impossible) aux attaquants de déchiffrer ces informations sensibles même s’ils parviennent à y accéder. En outre, le RGPD stipule que toutes les organisations devront mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger leurs données. Ces mesures incluent la pseudonymisation et le cryptage.
-
Sécuriser les appareils des employés
De plus en plus, les fournisseurs de services financiers permettent à leurs employés d’utiliser des appareils mobiles pour accéder à des informations à distance. Il y a de nombreuses bonnes pratiques en matière de gestion de la mobilité que les organisations peuvent envisager de mettre en place afin de sécuriser les périphériques réseau. Cette protection passe notamment par la maintenance des paramètres et des configurations de sécurité, l’activation du verrouillage et de l’effacement à distance, et l’obligation d’une authentification multifactorielle dans la mesure du possible.
-
Sécuriser les équipements IoT
Si les terminaux mobiles sont une source importante de préoccupation depuis longtemps, avec l’essor de l’Internet des objets (IoT), de nombreux nouveaux types d’appareils connectés vulnérables font leur apparition. Dans le domaine des services financiers par exemple, les caméras de vidéosurveillance et les ampoules intelligentes peuvent désormais être connectées au réseau principal. Voici quelques conseils pour maintenir une sécurité IoT adéquate :
- Créer un réseau spécifique et distinct pour les appareils IoT ;
- Surveiller en continu les réseaux d’appareils IoT afin d’identifier les changements soudains et les niveaux d’activité susceptibles d’indiquer une intrusion ;
- Désactiver ou supprimer complètement les services non essentiels sur ces appareils avant de les utiliser ;
- Mettre en place une authentification multifactorielle forte dans la mesure du possible ;
- Garder tous les appareils connectés à jour pour s’assurer que tous les correctifs disponibles sont implémentés.
-
Évaluer régulièrement les risques
Bien que les pistes d’audit puissent aider à l’identification de détails précieux après un incident, la prévention reste tout aussi importante. Des évaluation des risques permettent d’identifier des vulnérabilités du réseau, des lacunes dans la formation des employés, des insuffisances dans la posture de sécurité des fournisseurs et des partenaires commerciaux ainsi que d’autres problématiques. En évaluant régulièrement les risques au sein de leur organisation, les sociétés de services financiers et leurs partenaires peuvent empêcher des intrusions ou fuites de données. Ainsi, elles évitent les nombreuses conséquences négatives d’une violation, celles-ci allant de la dégradation de la réputation aux sanctions imposées par les organismes de réglementation.
-
Opter pour la sauvegarde de données hors site
Les cyberattaques peuvent exposer des informations sensibles mais elles peuvent également compromettre l’intégrité ou la disponibilité des données. Par exemple, les ransomwares ou les catastrophes naturelles peuvent entraîner des problèmes majeurs si les données ne sont pas correctement sauvegardées. C’est pourquoi des sauvegardes fréquentes hors site sont recommandées ainsi que des contrôles stricts concernant le chiffrement des données, leur accès et le respect des meilleures pratiques pour garantir la sécurité des sauvegardes. Les sauvegardes de données hors site sont également une composante essentielle de la reprise d’activité après sinistre.
-
Examiner les partenaires en profondeur
Les informations financières étant susceptibles d’être transférées entre plusieurs prestataires, une évaluation approfondie de tous les potentiels partenaires commerciaux s’impose comme l’une des mesures de sécurité les plus cruciales que ces organisations peuvent prendre. Il est essentiel de comprendre où et comment les partenaires utilisent les données ainsi que d’où ils y accèdent. Cela implique de mettre en place une politique de protection des données cohérente et des contrôles supplémentaires pour garantir un partage sécurisé de ces données.
Une telle approche globale de la sécurité peut sembler épuisante. Cependant, lorsque des données clients ou financières, précieuses et sensibles, sont menacées, des mesures supplémentaires sont essentielles afin de garantir leur protection. Il est impératif pour les organisations financières d’agir au plus tôt. Pour ce faire, il leur faut examiner et évaluer leurs politiques et technologies de sécurité des données afin de respecter le RGPD et les autres initiatives réglementaires, et empêcher leurs données de tomber entre de mauvaises mains.