Nous utilisons des témoins à des fins d’analyse du Site Web, de statistiques, de profilage et de reciblage publicitaire. Nous pouvons aussi partager de l’information sur votre utilisation du Site Web avec nos partenaires publicitaires et analytiques. Vous pouvez désactiver les témoins dans les paramètres de votre navigateur à tout moment. Politique de confidentialité .
FERMER X
 Dans Blogue, Communications Unifiées, Innovation, Productivité, Sécurité, Technologie

Les pirates informatiques adorent les données gouvernementales. Au-delà du fait que plusieurs nations et entités politiques sont prêtes à payer pour les obtenir, les dossiers juteux peuvent se révéler une mine d’or pour les voleurs d’identité. Alors que certains voleurs cambriolent des boîtes aux lettres ou piratent des comptes e-mail, les bases de données compromettantes d’un gouvernement peuvent fournir une énorme liste de prospects d’un seul coup.

 

Quelle est la différence entre une infraction en interne et une infraction externe en matière de sécurité?

Bien qu’il existe de multiples façons d’enfreindre la sécurité, elles sont souvent classées en groupes : « externe » (c.-à-.d initiées par un acteur externe comme un pirate ou un fraudeur) et « interne » (perpétuées ou aidées par le personnel – à dessein ou par erreur).

Si un employé se fait piéger par un e-mail d’hameçonnage (comme dans le cas de l’arnaque du président), il s’agit alors d’une infraction externe. Si un employé vole délibérément des données, vend leur accès, expose ou divulgue accidentellement des données confidentielles à l’extérieur de l’organisme, c’est une infraction en interne car c’est l’employé qui a commis le crime ou qui a accidentellement fourni l’occasion de le commettre.

 

Quelle est l’ampleur du problème des infractions en interne?

Bien qu’elles ne fassent pas nécessairement l’actualité aussi souvent qu’une infraction externe très médiatisée commise par un groupe de pirates ou un gouvernement étranger, les infractions commises à l’interne constituent un très gros problème dans de nombreux secteurs qui manipulent des documents électroniques.

On dit que 58 % de toutes les infractions commises dans le secteur de la santé sont initiées par des internes, et que les infractions commises en interne au sein d’un gouvernement ont entraîné la compromission d’un grand nombre de dossiers.

En 2015, le bureau du secrétaire d’État de la Géorgie a accidentellement envoyé douze CD contenant les dates de naissance, numéros de permis de conduire et numéros de sécurité sociale de l’ensemble de l’électorat de l’État de Géorgie (environ 6,1 millions de personnes). Surnommé « Peach Breach » (en référence au fruit emblématique de cet État), ce fut un scandale majeur pour le secrétaire d’État. Bien que seulement 12 copies du CD aient été postées et que tous les destinataires aient signé des déclarations indiquant qu’ils avaient détruit ou renvoyé les disques sans copier leur contenu… une fois que le cheval est sorti de l’étable, il peut s’avérer très difficile de l’y ramener.

Il ne s’agissait pas ici d’un quelconque acteur malveillant, mais d’un simple défaut de communication (et d’une mauvaise gestion des accès en interne) qui a conduit un employé à obtenir ce qu’il croyait être la liste habituelle avec un tas d’autres données confidentielles incluses.

Le coût pour l’État? Probablement plus de 1,5 million de dollars en vérifications et en suivi des crédits.

Bien que les renseignements sensibles soient (heureusement) de moins en moins souvent envoyés physiquement par la poste, ce fichier aurait pu facilement être envoyé par e-mail aux mauvaises personnes. L’erreur est humaine. Certains êtres humains commettent de mauvais actes. Lorsque des personnes ont autant d’accès à des renseignements de nature délicate dans un format numérique qui peut facilement être copié, supprimé ou distribué, cela représente un risque énorme.

 

Comment les organismes peuvent se protéger contre les infractions en interne

1.    Instaurer des strates d’accès surveillées

Qu’ils le fassent intentionnellement ou accidentellement, il n’en reste pas moins que les employés ne peuvent divulguer que les renseignements dont ils disposent.

L’instauration de niveaux d’accès sécurisé aux fichiers, qui permettrait aux membres du personnel d’accéder uniquement à ce dont ils ont réellement besoin pour faire leur travail, peut réduire considérablement l’exposition de votre organisme, au cas où ils commettraient une erreur ou que leurs identifiants seraient compromis.

Dans le cas du Peach Breach, le personnel chargé de créer les CD n’avait pas besoin d’accéder à ces renseignements sensibles. Ils ont accidentellement pris une copie inhabituelle du fichier (avec le fichier inclus) qui avait été créé pour le projet de quelqu’un d’autre. S’ils n’avaient pas eu accès au dossier, il n’aurait alors pas été question pour eux de remarquer que quelque chose était différent. Il leur aurait été impossible de commettre cette erreur.

2.    Accroître la formation et la culture en matière de sécurité

Bien que la formation en sécurité concerne généralement la protection contre les menaces extérieures (virus, ingénierie sociale, hameçonnage), elle peut néanmoins aider à lutter contre les infractions en interne de plusieurs façons. La plus évidente est d’encourager une attitude protectrice à l’égard des biens de l’organisme chaque fois que ceux-ci sortent de l’établissement.

Il serait également utile de promouvoir le « Vous voyez quelque chose?  Dites-le », en encourageant le personnel à faire part de ses inquiétudes. Qu’il s’agisse d’une infraction délibérée aux règles ou d’une simple erreur, le problème est infiniment plus facile à résoudre s’il est détecté avant que les renseignements confidentiels ne sortent définitivement du cadre de surveillance de l’organisme. Il est vital d’abolir cette perception que l’on a d’une « banalité », et de la remplacer par une prise de conscience qui consiste à signaler un problème en vue de protéger des citoyens innocents, l’argent des contribuables et la réputation de l’organisme.

3.    Mettre en place une tenue de documents efficace

Savoir qui a accédé à quoi et quand, n’est pas seulement une bonne politique pour faciliter les vérifications ultérieures et retracer les problèmes en rétrospective, cela peut aussi servir de moyen de dissuasion supplémentaire contre les infractions en interne. Lorsque les employés se savent surveillés à chaque fois qu’ils manipulent des documents sensibles, ils sont alors moins susceptibles d’y jeter un coup d’œil quand ils ne sont pas censés le faire (par curiosité) ou de télécharger des fichiers qu’ils ne devraient pas.

Les meilleures solutions de transmission sécurisée de documents enregistrent automatiquement tout ce qu’elles font. Si vos employés les utilisent pour transmettre tous les renseignements sensibles, alors la conformité aux réglementations en sera nettement facilitée (et plus facile à prouver).

4.    Choisir une authentification à 2 facteurs

L’authentification à 2 facteurs (A2F) consiste à demander deux sources d’identification indépendantes pour accéder à quelque chose, le plus souvent un serveur, un fichier, une boutique en ligne ou un service. En plus d’un mot de passe, l’utilisateur doit prouver qu’il contrôle un autre compte ou dispositif lié et autorisé, en fournissant un mot de passe temporaire supplémentaire, un code NIP, etc.

L’A2F n’est pas seulement une étape supplémentaire de sécurité de pointe contre les menaces extérieures; lorsqu’elle est utilisée dans les solutions de transmission de documents, elle permet de réduire le risque d’infractions accidentelles comme les messages adressés à la mauvaise personne. Si le dossier est transmis à la mauvaise personne, mais que la vérification est transmise à la bonne personne (ou inversement), la mauvaise personne ne peut pas accéder aux renseignements. Nous faisons tous des erreurs lorsque nous envoyons des e-mails, mais celles-ci ne devraient en aucun cas mener à des infractions.

5.    Empêcher le stockage physique de quitter les lieux

Au lieu de laisser le personnel transporter eux-mêmes des fichiers sensibles à l’extérieur du bureau, demander-leur plutôt de se connecter à un centre de stockage centralisé sur lequel le service informatique dispose d’un contrôle physique complet.

Si des fichiers sont accessibles à distance plutôt que stockés à distance, cet accès peut être coupé. Si quelqu’un vole un disque dur, vous devez trouver le disque dur et vous assurer que la personne n’a fait aucune copie avant d’être attrapée. Si quelqu’un vole un ordinateur portable qui n’est utilisé que comme poste de travail pour accéder à des fichiers sur des serveurs internes, l’accès de cet ordinateur portable peut être coupé à tout moment (idéalement dès que le vol est découvert), ce qui empêche toute exposition possible.

6.    Simplifier les protocoles de sécurité pour encourager la conformité

Tous les meilleurs protocoles de sécurité du monde ne vous seront d’aucune utilité si le personnel refuse de les utiliser. Il est important que les solutions de sécurité soient intuitives et faciles à mettre en œuvre, car les employés chercheront à s’y dérober autrement.

Une étude réalisée en 2019 par YouGov et DTEX Systems révèle que lorsqu’il est question des directives de sécurité, la perception de l’importance ne se traduit pas par l’adoption. Alors que 75 % des employés interrogés étaient d’accord pour dire que le cryptage des dossiers transmis était important, seulement 16 % avaient utilisé un tel système au cours des 60 derniers jours. L’authentification à 2 facteurs présentait un problème similaire (69 % sont d’accord, seulement 30 % l’ont utilisée).

 

Solutions de transmission sécurisée de documents à la fine pointe de la technologie

Votre organisme a accès aux renseignements les plus confidentiels et importants des citoyens, mais se prémunir contre les menaces extérieures ne résout qu’une partie du problème. La mise en œuvre d’une solution de transmission sécurisée de fichiers à la fine pointe de la technologie peut contribuer grandement à réduire vos risques. XM SendSecure offre un cryptage moderne, des contrôles d’accès sécurisés en A2F et permet à l’expéditeur de couper l’accès aux fichiers à tout moment. La solution est conçue pour être intuitive, rapide et facile à utiliser. Elle a également été élaborée en tenant compte des conditions réglementaires (HIPAA, FERPA, SOX, GDPR, etc.).

Comme XM SendSecure utilise un stockage éphémère pour les transferts, les fichiers peuvent être configurés pour s’effacer eux-mêmes après un téléchargement ou une période de temps définie. Cela signifie qu’il n’y a pas de copies créées que des acteurs malveillants pourraient découvrir plus tard (lorsqu’ils ne sont plus activement pris en compte par le personnel).

Découvrez comment cette solution peut simplifier vos processus, tout en les rendant plus sûrs contre les infractions en interne (intentionnelles ou accidentelles) et les menaces externes.

 

 

PARLEZ À UN EXPERT

 

 

 

Leave a Comment