Les hackers ont trouvé une nouvelle cible pour mener à bien leurs attaques : l’humain, autrement dit, les collaborateurs d’une entreprise, qui sont bien plus faciles à atteindre que tout un équipement informatique. Dans n’importe quelle entreprise, le nombre de points d’entrée pour lancer une attaque demeure égale au nombre d’utilisateurs ayant accès aux systèmes d’information.

Plusieurs points d’attaque

Le nombre de points d’entrée n’est pas le seul problème auquel les responsables de sécurité informatique sont confrontés. Il existe en effet d’autres moyens plus subtils pour manipuler les collaborateurs d’une entreprise :

La manipulation sociale (Social Engineering)

De Twitter à Facebook en passant par LinkedIn et WhatsApp, la population dans sa majorité est active sur les réseaux sociaux. Ces nouveaux outils font évoluer la communication vers une nouvelle ère dans laquelle échanger avec autrui devient un jeu d’enfant. Que l’on soit piégé par un individu malveillant qui demande l’air de rien « Comment vont les affaires ? » ou que l’on clique sur un lien corrompu, il est maintenant très facile de divulguer des informations que l’on devrait garder confidentielles.

Phishing

L’email reste un moyen d’échange privilégié pour beaucoup. Les collaborateurs en reçoivent une telle quantité que les emails malveillants deviennent difficiles à repérer. Si les fautes d’orthographe et les logos approximatifs peuvent aider à détecter les attaques les moins sophistiquées, d’autres paraissent suffisamment plausibles pour inciter à cliquer. Et il ne suffit malheureusement que d’un malheureux clic pour ouvrir la porte à un hacker.

Négligence

Nous sommes nombreux à avoir entendu parlé d’un ordinateur laissé sans surveillance ou d’un fameux morceau de papier répertoriant la liste des identifiants et des mots de passe, glissé sous un clavier. Mais il n’est pas rare que ces informations soient tout simplement partagées. Or, un seul de ces éléments suffit à créer une catastrophe. Et derrière chaque point d’exposition, il existe une personne, une « identité » qui lui est associée. Le plus souvent, il s’agit de celles qui finissent par causer ou à endosser la responsabilité de la perte d'informations, qu'elles soient malveillantes ou négligentes.

Tous les chemins ne mènent pas à la sécurité

Tout comme il existe de multiples façons pour les hackers de mener leurs attaques, les entreprises mettent en place plusieurs méthodes pour se protéger :

Sécurité réseau

Si les entreprises ne voient pas l’intérêt d’investir davantage ou d’empiler les pare-feu en plus de ceux qu’elles possèdent déjà, la protection du réseau doit être une brique essentielle à la stratégie de sécurité de l’infrastructure.

Sécurité des terminaux

Les appareils tels que les smartphones, les ordinateurs portables et les tablettes sont devenus des équipements populaires au sein des entreprises, leur protection doit donc être optimale. Mais la sécurité des terminaux n’assure la protection que des données qui y sont stockées et se limite aux fonctionnalités standards comme l’authentification multi-facteurs, le chiffrement et le nettoyage automatique des dispositifs. Elle ne tient compte ni des règles d’accès aux données sensibles, des dispositifs intelligents, ni de l'ajout de niveaux de validation supplémentaires pour s'assurer que la personne autorisée accède aux données adéquates.

Sécurité des données

Nos données transitent de plus en plus du data center vers le Cloud et nos méthodes doivent évoluer pour s’adapter à ce changement. Les collaborateurs et les particuliers génèrent tellement de données, la plupart confidentielles et sensibles qu’ils sauvegardent partout ils peuvent. Des systèmes structurés tels qu’Oracle et SAP ne sont plus les seuls endroits où se trouvent les données financières. On trouve maintenant ces dernières dans les présentations, les emails et dans le Cloud, et ces dernières doivent être absolument sécurisées.

Identité

La gestion de l’identité est désormais au cœur de la sécurité. Il s’agit de bien plus que de simplement donner aux employés l’accès aux applications, aux systèmes et aux données. Il s’agit de gérer et de gouverner les identités numériques qui ont accès aux données sensibles qu’elles soient dans les systèmes, les applications Cloud ou dans des fichiers.

L’identité, c’est la sécurité

On pourrait croire que la gestion de l’identité consiste simplement à gérer l’accès à certaines applications ou aux réseaux de l’entreprise. Mais il n’est pas seulement question d’accès. L’identité va bien au-delà du réseau et reste liée à la sécurité des terminaux et à celle des données.

Les entreprises n’ont jamais eu autant d’équipements, d’applications, de données toutes interconnectés. Une entreprise regroupe des employés, des prestataires, des partenaires et des clients et possède des ressources auxquelles les utilisateurs doivent pouvoir accéder. Chaque point de connexion derrière les systèmes, les applications, et les données d’une entreprise possède une identité qui lui est rattachée.

L’identité donne un contexte à tout ce qu’un employé, un partenaire, un freelance ou un fournisseur fait sur l’infrastructure de l’entreprise (applications Cloud ou locale, appareils connectés ou non au réseau, gestion des accès, données structurées ou non structurées). Dans ce contexte, l’entreprise peut tout voir, tout gouverner et peut autoriser et sélectionner les accès individuels. La protection des identités est donc la base, voir même la clé de voute de la sécurité de l’entreprise.

Par Juliette Rizkallah, Chief Marketing Officer chez Sailpoint