Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude Varonis : Près d’une entreprise sur deux laisse au moins 1 000 fichiers sensibles en accès libre à tous ses employés

mai 2017 par Varonis

Varonis Systems, Inc. dévoile les conclusions de la nouvelle édition du « Varonis Data Risk Report », qui montrent qu’au sein des entreprises le niveau d’exposition aux risques des fichiers sensibles atteint un niveau alarmant. En moyenne, pas moins de 20 % des dossiers seraient laissés en accès libre à l’ensemble des employés.

S’appuyant sur sa plateforme DSP (Data Security Platform), Varonis a mené plus de mille évaluations de risques sur un sous-ensemble de systèmes de fichiers appartenant à des clients existants et potentiels. Cette étude donne un aperçu des risques associés aux données des entreprises, identifie l’emplacement des données sensibles et réglementaires, révèle les zones à risque élevé et surexposées, et formule des recommandations visant à accroître le dispositif de sécurité des entreprises.

Chiffres clés issus des conclusions du rapport :
- 236,5 millions de dossiers, contenant 2,8 milliards de fichiers, soit 3,79 pétaoctets de données, ont été analysés.
- Sur ce total, 48 054 198 dossiers étaient ouverts aux « groupes d’accès globaux » ou à des groupes accordant l’accès à toute l’entreprise.
- 47 % des entreprises laissent au moins 1 000 fichiers sensibles ouverts à tous les employés ; pour 22 % d’entre elles, ce chiffre monte même à 12 000 fichiers sensibles laissés en accès libre à tous leurs employés.
- 71 % de l’ensemble des dossiers contiennent des données obsolètes, soit un total de près de 2 pétaoctets de données.
- 24,4 millions de dossiers sont associés à des autorisations uniques, ce qui augmente la complexité et rend difficile pour les entreprises la mise en place du principe du moindre privilège et le respect de réglementations telles que le Règlement général sur la protection des données (General Data Protection Regulation, GDPR).

L’incapacité des entreprises à réduire l’utilisation des groupes d’accès globaux, à verrouiller les fichiers sensibles et à supprimer les données obsolètes les expose à un risque de piratage de leurs données, à des menaces internes et à des attaques par rançongiciel aux conséquences dévastatrices. Selon une récente étude du Ponemon Institute, 62 % des utilisateurs finaux affirment avoir accès à des données de l’entreprise qu’ils ne devraient probablement pas pouvoir consulter. Par ailleurs, une étude de Forrester Consulting a conclu que 59 % des entreprises n’appliquaient pas de modèle d’autorisation selon le principe du « need-to-know » (besoin de savoir) pour autoriser l’accès à leurs fichiers sensibles.

Risques individuels encourus par les entreprises identifiés au cours de ces évaluations :
- 35 % des 86,4 millions de dossiers d’une compagnie d’assurance étaient laissés en accès libre à l’ensemble des employés.
- 80 % des 245 575 fichiers sensibles d’un établissement bancaire étaient accessibles à l’ensemble de ses employés.
- Un autre établissement bancaire disposait de 11,6 millions de dossiers associés à des autorisations uniques, ce qui entravait sa démarche de réduction de l’accès aux fichiers selon le principe du « need-to-know ».

« Dans les cas de piratage de données et d’attaques par ransomware, les fichiers sont ciblés en raison de leur degré de sensibilité et sont généralement vulnérables à une mauvaise utilisation faite en interne ou en externe par des utilisateurs qui franchissent le périmètre. Si les entreprises portent aujourd’hui leur attention sur les mécanismes de défense externes et la neutralisation des menaces, les données en elles-mêmes restent encore trop souvent largement accessibles et non surveillées », affirme Norman Girard, Vice-Président et directeur général Europe de Varonis. « Les entreprises participent à nos évaluations des risques parce qu’elles ont conscience de la valeur de leurs données et des risques encourus en cas de vol ou d’utilisation abusive. Nous louons les efforts accomplis, qui constituent les premiers pas vers une stratégie d’atténuation des risques. »

Selon une étude client réalisée par TechValidate, 68 % des entreprises réalisent une évaluation des risques pour mesurer leurs préoccupations liées à la sécurité, 89 % bénéficient de l’identification de leurs données à risque classées et sensibles, et 82 % placent la question de l’accès généralisé au premier rang de leurs priorités après avoir pris connaissance des résultats.

Le rapport Varonis consacré aux risques liés aux données présente les conclusions d’un échantillon de 80 évaluations de risques menées auprès de clients et de clients potentiels entre janvier et décembre 2016 dans 12 pays et 33 secteurs d’activités, au sein d’entreprises comptant entre 50 et 10 000 employés. Tous les identificateurs des entreprises ont été supprimés.




Voir les articles précédents

    

Voir les articles suivants