Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les entreprises revoient leur stratégie BYOD alors que leurs utilisateurs sont de plus en plus ciblés par les cybercriminels

août 2015 par Dimension Data

Les audits d’architecture de sécurité réalisés par Dimension Data au sein des environnements de ses clients indiquent que leurs utilisateurs sont de plus en plus les cibles des cybercriminels. Ayant davantage accès aux données de l’entreprise en temps réel, les salariés deviennent le point d’entrée des attaques dans l’entreprise.

Selon Jason Harris, consultant principal Sécurité et End-User Computing de Dimension Data, les utilisateurs constituent le « nouveau périmètre ». L’étude NTT 2015 Global Threat Intelligence Report révèle ainsi que sept vulnérabilités sur dix dans une entreprise ont trait à l’utilisateur final, en particulier lorsque celui-ci accède à des systèmes et données stratégiques via des équipements qui souvent ne sont pas totalement maîtrisés par l’entreprise.

« Nous observons une augmentation du nombre d’utilisateurs pris pour cibles. Cela est dû à la multiplication des vecteurs d’attaque permettant de les atteindre. Aujourd’hui, les entreprises ne doivent plus seulement se soucier des terminaux traditionnels. Les cybermenaces s’étendent désormais aux mobiles et aux plates-formes sociales. »

Les cybercriminels savent que s’ils peuvent atteindre les utilisateurs, ils ont une chance de faire en sorte que ceux-ci leur donnent accès à leurs données ou à leur profil, voire leur donnent le contrôle de leurs équipements. « C’est là une tendance préoccupante. Nous remarquons des lacunes importantes concernant le personnel, les procédures et les règles de sécurité, notamment en matière de BYOD et d’End-User Computing. La plupart des entreprises ont mis en place une forme ou une autre de gouvernance et de contrôle mais aujourd’hui les précautions d’usage ne suffisent souvent plus pour les protéger des menaces de dernière génération. » ajoute Jason Harris

La réponse aux incidents demeure l’une des principales failles dans les défenses des entreprises. Aujourd’hui, 74 % d’entre elles ne disposent d’aucun plan formel dans ce domaine. « Il est difficile d’atténuer l’impact si l’équipement d’un utilisateur est infecté, en l’absence d’une procédure de réponse aux incidents qui détecte l’intrusion et enclenche immédiatement des mesures afin de sécuriser les données vitales. »

Nuances culturelles

La maturité face à la cybersécurité varie suivant les régions du monde et qu’en outre certaines nuances culturelles intéressantes entrent en jeu :

• En Australie, en Nouvelle-Zélande, aux Etats-Unis et au Royaume-Uni, les entreprises optent pour une gestion de parc, qui englobe les ordinateurs mais aussi les tablettes et autres appareils mobiles.

• Une approche de plus en plus prisée aux Etats-Unis est le CYOD (Choose Your Own Device), consistant pour les utilisateurs à choisir leur matériel favori dans une liste d’équipements qui leur est proposée par l’entreprise. Cette dernière se charge de gérer les équipements mais laisse aux utilisateurs un certain degré de souplesse, par exemple en leur permettant d’y télécharger leurs applications personnelles.

• En Asie, cependant, la consumérisation de l’informatique s’accélère. Les entreprises adoptent une stratégie donnant la priorité à la mobilité et introduisent les équipements mobiles plus rapidement que ceux gérés au sein d’un parc. Cela signifie un accroissement de l’exposition aux attaques des cibles non matérielles, à savoir les utilisateurs. Toujours en Asie, le BYOD se mue en COPE (Corporate-Owned, Personally-Enabled), une stratégie dans laquelle l’équipement est la propriété de l’entreprise mais est personnalisé pour chaque utilisateur.

Voici quelques règles essentielles, à la fois simples à mettre en œuvre et suffisamment efficaces pour répondre aux menaces pesant sur la sécurité des entreprises et permettant de repérer les atteintes à celle-ci.

• Priorité aux règles de sécurité

Ces règles ont pour but de régir ou de faire adopter certains comportements au sein de l’entreprise. En l’occurrence, il s’agit de mettre en phase le comportement des employés avec les objectifs métier dans leur ensemble, tout en incitant à une prise de conscience de la ressource la plus précieuse de l’entreprise : l’information. Les entreprises étant très différentes les unes des autres, ces règles doivent tenir compte de la nature de chacune, de leur modèle économique et des nuances culturelles et géographiques liées à leur personnel mobile.

• Réponse aux incidents

Les entreprises doivent élaborer une approche « orientée données » de la sécurité, qui englobe des moyens plus avancés de contrôle et de surveillance. Ainsi, même si ses utilisateurs sont autorisés à accéder à certaines données et à certains systèmes sur certains équipements, l’entreprise peut veiller à ce qu’ils n’effectuent aucune action sortant totalement de l’ordinaire, par exemple le transfert soudain de deux gigaoctets depuis une base de données sur un appareil mobile connecté au réseau. De la sorte, les entreprises pourront se montrer proactives dans la détection des anomalies et la réponse à celles-ci.

• Sensibilisation et éducation des utilisateurs

La sensibilisation et l’éducation des utilisateurs jouent un grand rôle dans la réduction des risques. Il importe donc pour les entreprises d’encourager leurs collaborateurs à se comporter de manière cohérente, en respectant des processus et procédures communiqués clairement, dont la conception et la surveillance sont centralisées et qui couvrent la totalité des équipements en usage. Cela n’évitera peut-être pas toute tentative d’attaque mais renforcera certainement la sécurité de l’entreprise.

Dimension Data a conçu la série de vidéos Inside Security, destinée à rendre la sécurité informatique plus accessible et compréhensible pour l’utilisateur final et à lui apprendre à veiller à sa propre protection ainsi qu’à celle de son entreprise.


Voir les articles précédents

    

Voir les articles suivants