Nous sommes le nouveau périmètre de sécurité
Il n’y a pas si longtemps, les pare-feu et les passerelles de sécurité étaient au cœur des infrastructures de sécurité. Nous avions assisté à l’essor de Palo Alto Networks, qui avait commercialisé le pare-feu dernière génération : un outil technologique très avancé qui se concentrait toujours sur la sécurisation des réseaux.
Puis nous sommes tombés amoureux de nos smartphones, de nos applications dans le cloud et de méthodes de travail pratiques autrefois laborieuses. Soudain, il devient plus facile de partager des données, de collaborer sur des projets et d’accéder à tout, au moment et à l’endroit de notre choix, notamment à nos fichiers de travail sensibles.
Et aujourd’hui, ces nouvelles technologies ne sont plus nouvelles. Elles sont devenues incontournables sur le lieu de travail. Elles améliorent la productivité et permettent actuellement à une main-d’œuvre mobile et disséminée aux quatre coins du monde de travailler aisément et à tout moment. Cependant, cet accès n’importe où/n’importe quand s’accompagne d’une augmentation significative du nombre de points vulnérables.
Les défis liés à la lutte contre le problème croissant de violation de données ont été considérablement compliqués par le fait que nos méthodes de travail ont radicalement changé. Nous vivons dans un monde où le périmètre d’entreprise a été tellement étendu qu’il est devenu inexistant.
Nous sommes le nouveau périmètre de sécurité
Les pirates informatiques ont suivi les tendances. Alors que les pare-feux dernière génération ajoutaient des couches et des couches de nouvelles technologies de prévention des menaces, les pirates informatiques avaient modifié leur vecteur d’attaque pour se concentrer sur nous. Lorsque les informations de connexion utilisateur sont le vecteur d’attaque de choix, il devient évident que nous sommes le nouveau périmètre de sécurité. Nous l’avons constaté avec Yahoo non pas une, ni deux, mais trois fois de suite, et lors de chaque violation de données, un nombre incroyable de comptes utilisateur avaient été compromis. Désormais, des entreprises font régulièrement les gros titres pour des violations de données susceptibles d’impacter des centaines de milliers, voire des millions de personnes. Les pirates informatiques ciblent des données personnelles comme les dossiers de santé et les déclarations de revenus, qui se vendent à prix d’or sur le Darknet. Malgré les meilleures technologies, les piratages informatiques ne toucheront jamais à leur fin.
Il est intéressant de noter que bien souvent, les violations de données peuvent être évitées (ou à tout le moins, l’exposition à de telles données peut être limitée) si de simples mesures sont prises par les employés pour mieux prendre soin des données d’entreprise.
En tant qu’employés, nous avons tendance à privilégier la commodité sur la sécurité, ce qui est logique : nous souhaitons tous réussir en réalisant notre travail aussi rapidement et efficacement que possible. Mais le prix à payer pourrait être élevé. En tant que consommateurs, nous adoptons néanmoins souvent un comportement différent concernant nos données. Nous hésitons avant de partager notre numéro de sécurité sociale, préservons la confidentialité de nos déclarations de revenus et nous assurons que notre comptable dispose de moyens de communication sécurisés. Autrement dit, nous tentons de protéger nos données personnelles bien mieux que les données d’entreprise, même si nous disposons rarement des mêmes outils de sécurité à domicile.
En réalité, nous devons commencer à traiter les données d’entreprise aussi prudemment que nos propres données. Que nous le reconnaissions ou non, nous sommes des consommateurs et des utilisateurs, et sans un changement de notre propre comportement, l’identité utilisateur de chacun sera dévoilée à un moment donné.
Un appel aux armes
Si nous sommes le nouveau périmètre de sécurité, comment une entreprise peut-elle vraiment protéger ses informations sensibles si elle ne bénéficie pas du soutien total de chacun de ses employés ? C’est impossible. Nous avons besoin d’un véritable appel aux armes de la part de la direction et diffusé auprès de tous les employés. Nous devons traiter les données d’entreprise comme sacrées, tout comme nous traiterions ou devrions traiter nos propres données personnelles. Si nous n’éprouvons pas un sentiment de responsabilité pour les données que nous utilisons pour effectuer notre travail, il y a de fortes chances que nous puissions devenir des points vulnérables pour nos employeurs. Tant que nous ne reconnaissons pas collectivement la valeur des données d’entreprise et que nous ne leur accordons aucune importance, nous ne sortirons jamais vainqueurs de cette guerre contre les pirates informatiques.
Mais surtout, nous devons élever la prochaine génération d’utilisateurs avec ce principe à l’esprit. Ceux nés avec un appareil dans la main, qui pensent que toutes les données résident dans le Cloud. Ce que nous considérons comme de la commodité est un mode de vie pour les membres de la génération Y, et il est primordial de les éduquer et de les aider à modifier leur comportement, car ils deviendront la main-d’œuvre de demain.
Les employés, et pas juste ceux du service informatique, doivent être les responsables des données d’entreprise
L’an dernier, un employé RH de notre entreprise avait reçu un mail de la part du PDG demandant de lui envoyer immédiatement le salaire de tous les employés. Comme la demande était étrange, l’employé avait contacté le DRH, qui avait envoyé un SMS au PDG pour confirmer la demande.
Il s’agissait d’une attaque d’ingénierie sociale.
Notre département informatique avait immédiatement envoyé un e-mail à l’ensemble du personnel de l’entreprise pour expliquer l’incident et avait sensibilisé chaque employé à l’attaque et à la possibilité de la survenue d’autres incidents similaires. Il s’agissait d’un cas d’école d’un employé signalant une demande suspecte et d’un département informatique prenant immédiatement des mesures pour former l’ensemble du personnel. Depuis, de nombreux employés ont signalé des demandes de données, des e-mails ou des fichiers suspects. Une formation de sensibilisation à la sécurité, des pratiques de mots de passe forts et des règles de gestion des accès contribueront certainement à réduire le risque d’une violation de données, mais il est essentiel que les employés et le département informatique travaillent ensemble pour détecter et prévenir des cyberattaques, en s’informant mutuellement d’incidents de sécurité potentiels et en déployant immédiatement des avertissements.
Désormais, chacun d’entre nous fait partie du nouveau périmètre de sécurité de notre employeur, et il est temps de reconnaître que la sécurité ne relève pas uniquement de la responsabilité du département informatique. Au final, nous sommes les principaux détenteurs des « clés » cruciales du royaume. Armés d’outils de sensibilisation à la sécurité, nous pouvons être de bons responsables d’entreprise des données vitales de l’entreprise. Avant tout, les cadres doivent montrer l’exemple et s’assurer que chaque employé reconnaît la valeur des données d’entreprise et le rôle important qu’il joue dans la protection de ces données. Cela permettra non seulement de protéger les données personnelles de chaque utilisateur, mais fournira aussi certainement la couche indispensable de défense du périmètre contre le prochain pirate informatique qui rôde.
Cet article a été publié précédemment sur Forbes.com.
Discussion