RAPPORT : Comment les entreprises protègent-elles leurs données contre les menaces modernes ?

 

Dans un pays qui vient d’assister à la dernière épidémie de cyberattaques modernes, à savoir la compromission du National Health Service ; la sécurité des données arrive rapidement au premier plan des mentalités des entreprises. La vérité est qu’aucun serveur n’est impénétrable et qu’aucune donnée n’est inaccessible pour les pirates les plus sophistiqués, l’exemple parfait étant le milliard de comptes Yahoo menacés par la violation signalée l’année dernière. Toutefois, des groupes comme WannaCry, les pirates nord-coréens liés à l’attaque du NHS, auraient pu être dissuadés si les données avaient été stockées de manière plus sécurisée ou si elles avaient fait l’objet de plus de mesures de protection. 

 

Nous avons contacté quelques entreprises de différents secteurs verticaux pour leur demander quelle était l’importance de la protection des données pour elles et si elles investissaient activement dans de nouveaux moyens d’empêcher les cybercriminels de tirer parti des failles. Tout d’abord, nous avons demandé à quelques-uns des quatre grands cabinets comptables comment leurs clients pouvaient être sûrs que leurs audits ne seraient pas divulgués ou volés. 

 

Leur réponse a été simple : ils stockent toutes leurs informations cruciales sur des serveurs hors ligne qui ne sont accessibles que depuis leurs systèmes locaux. Bien qu’une bonne partie de leurs données innocentes semblaient « accessibles » à ceux qui savaient ce qu’ils faisaient, les exploitations de portes dérobées typiques dont nous avons vu d’autres personnes devenir la proie semblaient plutôt inoffensives pour l’entreprise. Cependant, une violation interne a été signalée dans l’une de ces entreprises et étouffée il y a un an, ce qui montre que pour certaines entreprises, le plus grand risque en matière de sécurité des données est le personnel. 

 

Ensuite, nous avons contacté une société de paris en ligne bien connue – SportingBet, qui a été heureuse de nous en dire un peu plus sur la sécurité que la plupart des bookmakers et des sociétés de jeux d’argent ont tendance à employer pour éviter des situations similaires. Les données des joueurs sont accessibles aux équipes techniques, mais les serveurs qui hébergent le logiciel proprement dit sont séparés et tous les détails des paiements sont conservés sur un autre serveur encore plus crypté. La possibilité d’effectuer des dépôts et des retraits par l’intermédiaire de tiers signifiait que les données de paiement étaient limitées aux seuls comptes qui préféraient les cartes de crédit ; et celles-ci étaient sécurisées dans un format codé dont la majorité du personnel n’était pas informée. 

 

Alors que nous avons été informés de manière fiable qu’un autre organisme du secteur avait fait l’objet d’une violation de données il y a seulement un an, SportingBet semblait satisfait de ne pas avoir subi un tel revers et d’investir activement et régulièrement dans la sécurité. Enfin, nous avons contacté une grande société de bijouterie, qui, après nos découvertes, a refusé que nous la nommions, qui s’était enorgueillie d’installations de protection des données ultra-sécurisées et nous a même invités à essayer de pénétrer dans ses systèmes. Malheureusement pour eux, il nous a fallu 25 minutes pour violer leurs cryptages et nous avons découvert qu’ils stockaient des informations sur les cartes de crédit de leurs clients, bien qu’ils aient affirmé que toutes ces informations étaient codées et effacées au bout de six mois. 

 

Après de multiples accusations et protestations d’innocence, la société a accepté d’investir massivement dans une sécurité accrue et nous sommes convaincus que cela sera fait, d’où notre accord de ne pas publier leur identité à notre public (désolé !). La vérité est, comme nous l’avons dit dans notre paragraphe d’introduction, qu’aucune entreprise ou société n’est jamais sûre à 100%. Qu’il s’agisse du personnel, d’un logiciel de sécurité obsolète, d’un mauvais stockage des données ou de serveurs non sécurisés, il y aura toujours des failles à trouver, et il y aura toujours des gens qui chercheront à les exploiter. Le but du jeu est de répartir ces gros fichiers de données sur plusieurs serveurs avec plusieurs niveaux d’encodage afin de s’assurer que le défi est suffisamment rébarbatif pour que la plupart des joueurs vous laissent tranquille. Mais il est agréable de voir que bon nombre des principaux acteurs qui ont accès aux données de nos cartes de crédit et à nos informations personnelles essaient au moins de le faire et, pour la plupart, réussissent dans leur travail.