Le célèbre géographe Jared Diamond a récemment publié un article dans le New York Times intitulé That Daily Shower Can Be a Killer. Il y remarque la tendance des Américains à exagérer les risques sensationnels et hors de notre contrôle, comme les accidents d’avion et les radiations nucléaires, et à sous-estimer au contraire les risques plus banals mais plus courants que nous pouvons maîtriser, comme glisser dans sa douche ou tomber d’une échelle.
Avec mon esprit technophile, j’ai immédiatement fait le lien avec la sécurité informatique. Nous avons tous rencontré l’ingénieur qui passe des semaines à s’obséder du choix d’un algorithme de validation des mots de passe mais omet de mettre en œuvre une politique solide de mots de passe.
Si vous réalisez que vous développez une paranoïa à propos d’attaques dangereuses mais peu probables… arrêtez ! Faites une rapide estimation intuitive risque/fréquence pour savoir si vous perdez votre temps. Il est inutile de réfléchir à la force de l’algorithme SHA-256 si vos employés envoient vos secrets industriels par email à un prince nigérian.
Scénario qu’imagine un fanatique de la cryptographie :
Son ordinateur portable est crypté. Construisons une grappe d’un million de dollars pour casser le cryptage. Impossible ! Le cryptage utilisé est RSA 4086 bits. Mince alors ! Notre plan maléfique est déjoué !
Ce qui se passerait en réalité : Son ordinateur portable est crypté. Soutirons lui l’information, utilisons nos talents pour le manipuler et obtenons le mot de passe !
Quels sont certains des risques analogues à la chute dans la douche en matière de protection des données ? Notre Rapport sur l’état de la protection des données publié l’an passé en suggère quelques uns :
- 26 % seulement des entreprises ont une grande confiance dans la protection de leurs données
- 18 % n’ont aucune confiance
- 23% des entreprises ne sont pas sûres de savoir où se trouvent les données cruciales de leur entreprise
- 27 % des entreprises ne contrôlent pas l’activité d’accès sur les serveurs de fichiers et les sites SharePoint
- 13 % des entreprises ne suppriment jamais les accès aux données lorsqu’un employé quitte l’entreprise
- 61 % n’analysent pas leur environnement à la recherche de données sensibles
Ces résultats montrent qu’il existe manifestement une marge considérable d’amélioration pour ce type de risques quotidiens. De la même façon que le but de Monsieur Diamond est de réduire les accidents de la vie courants à 1 sur 1000, nous devons chercher à réduire les risques courants de sécurité des données en mettant en œuvre des programmes de sécurité solides.
Vous souhaitez en savoir plus sur l’analyse des risques?
Voici quelques bonnes ressources :
- Le livre de W. Krag Brotby : Information Security Management Metrics: A Definitive Guide to Effective Security Monitoring and Measurement
- Factor Analysis of Information Risk (FAIR) est un cadre d’évaluation quantitatif qui vous aide à comparer objectivement les risques
- Risk Management Framework (RMF) de NIST.gov est un cadre d’évaluation vous aidant à sélectionner les contrôles de sécurité appropriés pour votre entreprise
- La méthodologie GAIT fournit une approche qualitative de l’évaluation des risques
The post Commencez à vous tracasser pour des broutilles appeared first on Varonis Français.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
David Gibson
David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.