CSO vs CEO : Les différences de point de vue sur la sécurité des données, partie V : le piratage pour les CEO

Sécurité des données

Vol de données

Cet Article fait partie de la série “CSO vs CEO : Les différences de point de vue sur la sécurité des données”. Consultez les autres articles liés ici.

Un chiffre, celui de la Value at Risk, ou VaR, peut-il résumer à lui seul le risque financier associé aux cyberattaques ? Bien sûr que non ! Il est possible que j’ai donné l’impression dans mon précédent billet de cette série, que la VaR est une mesure très précise. Bien sûr… en théorie.

En partant des hypothèses d’un modèle, une VaR est parfaitement sensée. Les chiffres que j’ai obtenus avaient quelques chiffres à droite de la virgule. Comme les statisticiens vous le diront, il ne faut pas confondre précision avec exactitude ou véracité. Les gens de RiskLens expliquent bien la différence entre ces deux notions dans un billet de leur blog.

Le brouillard de la précision

Pour faire court, il est possible d’être très précis tout en étant dans le faux ! Si vos hypothèses sont erronées, le chiffre obtenu pour la VaR peut vous donner à tort un sentiment de confiance. Il faut vraiment avoir une vision plus complète de l’éventail de risques. N’oubliez pas qu’une VaR de 95 % voire plus est le pire qui puisse se produire.

La malédiction de la précision de la VaR ! Les valeurs dominante et moyenne, ainsi qu’un histogramme (non représenté) peuvent vous donner une vision plus juste des données.

Le nombre médian est utile ici – le coût sous lequel la moitié des attaques ont lieu. Vous pouvez quand même constater que quelques attaques plus modestes peuvent occasionner des dommages importants, selon la lourdeur de la courbe. Dans la feuille de calcul de mon propre modèle de Monte Carlo, j’ai ajouté des indicateurs supplémentaires, notamment la moyenne ou la valeur la plus fréquente (ou mode), ainsi qu’un histogramme. Ces informations complémentaires apportent une vision plus complète et sont utiles aux décideurs. En bref : ne laissez pas les arbres vous empêcher de voir la forêt.

Permettez-moi aussi d’insister sur l’intérêt de déterminer une VaR : déterminer quelles données sont exposées à un risque, leur valeur, ainsi que la probabilité d’une attaque. La plupart de ces informations peuvent être obtenues grâce à une évaluation formelle des risques. Dans tous les cas, vous devez apprendre ce que vous ne savez pas : les inconnues connues. (Ne nous laissons pas intimider par les inconnues inconnues.) Deloitte a publié un article très intéressant sur la cyber VaR. Il y est dit que le secteur bancaire a mis plus de 30 ans à perfectionner la VaR financière pour en faire une mesure pratique. La cyber VaR n’est pas encore arrivée au niveau du perfectionnement.

Piratage 1.01 pour les CEO

La dernière partie de cette série — ce que les CEO doivent savoir sur le piratage — est bien plus courte que les autres. La principale information à retenir, c’est que voler des données de valeur à des entreprises est bien plus facile que ne le pensent la plupart des dirigeants.

Malheureusement, le facteur peur, déclenché par Stuxnet et d’autres malwares exotiques n’a pas seulement eu un impact sur la vision de quelques CEO. Nul besoin d’un diplôme en cybersécurité pour comprendre comment la plupart des attaques opèrent leur magie noire.

Le Verizon Data Breach Investigations Report (DBIR), deuxième source de statistiques préférée de ce blog après notre propre Rapport sur les risques liés aux données, fournit quelques chiffres intéressants qui méritent réflexion. Le rapport DBIR de 2017 indique que 66 % des malwares ont été installées par des pièces jointes à des e-mails lors d’attaques d’ingénierie sociale ou de phishing. En fait, notre équipe de recherche a récemment découvert un malware bancaire qui se lançait, je vous le donne en mille, en cliquant sur une pièce jointe.

Dans une série de billets sur le piratage sans malware, j’ai montré avec quelle facilité on peut glisser un script de charge dans un document Word. C’est une attaque très simple à mener — un ado un peu dégourdi peut malheureusement y arriver — qui permet aux hackers de contourner les pare-feu et d’échapper aux antivirus.

Une fois dans la place, il est encore une fois très facile pour eux de chercher des informations, de deviner ou voler les données d’identification d’utilisateurs existants puis de gagner accès à des serveurs intéressants pour obtenir des données et les exfiltrer.

Vous ne me croyez pas ?

Le mois dernier, dans le cadre de notre série de présentations de sécurité des informations Coffee Series, nous avons invité les analystes en sécurité de Black Hills Information Security pour qu’ils montrent avec quelle facilité il est possible de se déplacer dans un système lorsque l’on a réussi à y pénétrer. Une des techniques utilisées pour découvrir les mots de passe des utilisateurs est le « password spraying ». Regardez cette courte vidéo pour voir comment ils procèdent :

Le message est passé, mesdames et messieurs les dirigeants ? Il suffit qu’une seule personne de votre organisation ait un mot de passe facile à deviner pour que les hackers trouvent et exploitent ce maillon faible. L’équipe de Blacks Hills utilise des moyens encore plus insidieux pour voler des données d’identification. Inscrivez-vous et regardez (vous ou un autre membre de votre personnel) la présentation complète.

Quelques réflexions pour conclure

Les CISO/RSSI doivent comprendre ce qu’ils protègent (données et activités), en connaître la valeur et être en mesure d’estimer la probabilité que différents scénarios de piratage se produisent. Et les CEO et directeurs financiers doivent comprendre les réalités du nouvel environnement de menace : les attaques de phishing sont à la portée de toutes les bourses tout en étant faciles et efficaces.

Si vous lisez régulièrement le blog IOS, vous voyez où je veux en venir. Il existe des idées simples basées sur une technologie qui l’est beaucoup moins, qui réduiront considérablement le risque tout en diminuant la VaR.

Pour commencer, déterminez où se trouvent vos informations de valeur dans vos systèmes de fichiers puis faites en sorte que le moins d’employés possible y accèdent. Ceci réduit la surface exposée à la vue des hackers à la recherche de données, et aide à limiter votre risque de piratage.

Ensuite, vous aurez besoin d’une technologie de surveillance spéciale pour savoir à quels fichiers les hackers ont eu accès et lesquels ils ont copiés, et pour avertir votre équipe informatique afin qu’elle puisse enquêter et, si nécessaire, désactiver des comptes.

Même si les hackers ont la possibilité d’accéder facilement à vos systèmes informatiques, il n’y a pas de raison que nous ne puissions pas leur compliquer la tâche voire les empêcher totalement de trouver et retirer les données.

Jeff Petters

Jeff Petters

Jeff travaille sur les ordinateurs depuis que son père a ramené à la maison un IBM PC 8086 avec un système de double disques durs. La recherche et l'écriture sur la sécurité des données est le travail de ses rêves.

Avatar

Adrien Rahmati-Georges

Ancien étudiant en informatique, diplômé de l'Ecole de Guerre Economique en Risques, Sûreté Internationale et Cybersécurité. Adrien travaille chez Varonis en tant que Coordinateur Marketing pour la région EMEA. Il prépare sa carrière de consultant en cybersécurité en fournissant du contenu français et allemand, écrit par nos incroyables auteurs Varonis !

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.