- les dommages physiques,
- le vol de propriété intellectuelle,
- la perte de données,
- les violation de données,
- les perturbations du système
- et les pénalités de conformité.
L’entreprise a recueilli les commentaires de 1 558 organisations de tailles diverses issues de régions et de secteurs différents.
Le résultat le plus significatif de l’enquête est peut-être un fort décalage entre les attentes des organisations et la réalité. La plupart des entreprises considèrent les attaques de pirates informatiques comme la menace la plus dangereuse, alors que les preuves montrent que les initiés sont à l'origine de la majorité écrasante des incidents de sécurité provoqués par des actions accidentelles.
Comme prévu, les organisations prévoient de se concentrer sur l'amélioration de la protection et de la détection afin d'atténuer la majorité des risques. Cependant, en ce qui concerne les sanctions de conformité, elles affirment que l'identification des risques pour la sécurité est tout aussi importante.
Cependant, à l'heure actuelle, les entreprises ne parviennent pas à appliquer correctement les bases de la sécurité. En particulier, la plupart des entreprises n’exercent régulièrement que quelques contrôles de sécurité, tels que l’installation des correctifs logiciels et les mises à jour des mots de passe des utilisateurs. Elles se débarrassent rarement ou jamais des données obsolètes et inutiles et ne s'embarrassent même pas à classer les données stockées. En conséquence, elles laissent leur environnement vulnérable à de nombreuses menaces de sécurité. Les entreprises ne maîtrisent pas non plus le Shadow IT, qui désigne des systèmes d'information et de communication réalisés et mis en œuvre au sein d'organisations sans approbation de la direction des systèmes d'information - elles ne considèrent toujours pas qu'il est important de revoir les logiciels utilisés par les employés.
Malgré ce manque d'informations sur leurs données et leurs applications, plus de 60% des organisations estiment que leur niveau de visibilité sur l'activité des utilisateurs est suffisamment élevé. Malheureusement, il s’agit d’un faux sentiment de sécurité. Près de la moitié des répondants (44%) ne savent pas ou ne sont pas sûrs de ce que leurs employés font avec les données sensibles, ce qui signifie qu'ils ont très peu de contrôle sur ce qui se passe dans leur environnement informatique et ne seront pas en mesure de détecter des activités non autorisées. jusqu'à ce qu'elles causent de vrais dégâts.
Dommages physiques
Les dommages physiques sont les dommages causés aux actifs matériels informatiques, tels que les serveurs, les ordinateurs portables et les périphériques réseau. Les menaces qui mettent en danger les actifs physiques sont les suivantes: catastrophes naturelles, environnement de stockage inadéquat (température, humidité, lumière et poussière, par exemple), défaillances du système, maintenance ou dysfonctionnements du matériel inadéquats et mauvaise manipulation. Les dommages matériels peuvent entraîner une perte partielle ou totale des données et des pannes système.
« Les types de dommages physiques que nos répondants craignent correspondent en grande partie à ceux qu’ils ont subis au cours de l’année écoulée: pannes matérielles, pannes de courant et erreurs humaines.
« Cependant, lorsqu'il s'agit d'acteurs menaçants, il existe un décalage entre ce qui est attendu et ce qui se produit réellement. Les entreprises considèrent les pirates informatiques comme la principale menace pour leurs ressources matérielles. Toutefois, la plupart des dommages physiques résultent d'erreurs, de négligence ou de malchance.
« Vous êtes plus susceptible de subir des dommages physiques si un utilisateur professionnel renverse son café sur un ordinateur que lors d'une attaque par un pirate informatique. Les membres de l'équipe informatique arrivent en deuxième position derrière les utilisateurs professionnels figurant sur la liste des acteurs de la menace responsables de dommages physiques; Par exemple, ils ne parviennent pas à effectuer des tâches routinières telles que le refroidissement de la salle des serveurs, principalement en raison d'une surcharge de travail. Malheureusement, il s’agit d’une situation extrêmement fréquente dans le secteur des PME, où l’équipe informatique est généralement composée de 1 ou 2 personnes responsables à la fois des tâches de sécurité et des tâches opérationnelles ».
Les entreprises peuvent essayer d'anticiper les pannes matérielles en gardant un œil sur leur âge, leurs conditions de fonctionnement et de stockage, mais des problèmes tels que les pannes de courant et les erreurs humaines sont moins prévisibles. Néanmoins, la plupart des entreprises considèrent la détection et la protection comme leurs principales priorités pour faire face au risque de dommages physiques, plutôt que de minimiser les risques d'erreurs commises par les utilisateurs ou les équipes informatiques habituelles sur la continuité de l'activité en créant des plans de sauvegarde et de réponse aux incidents fiables. Une autre bonne pratique consiste à stocker des données sensibles dans le cloud ou sur plusieurs partages de fichiers. Ainsi, même si un actif physique est endommagé, vous pouvez toujours récupérer vos données. Enfin, vous devez surveiller tout ce qui se passe avec les actifs physiques et vous assurer de recevoir des alertes en cas de problème, afin de réduire le temps de réponse et de récupération.
Vol de la propriété intellectuelle
La propriété intellectuelle est toute information extrêmement sensible protégée par le droit d'auteur, les marques de commerce, les brevets ou les secrets commerciaux. Le vol de propriété intellectuelle se produit lorsqu'une personne utilise ou vole intentionnellement ces actifs. Les résultats potentiels incluent la perte d'un avantage concurrentiel et le ralentissement de la croissance des entreprises.
Les logiciels malveillants, les erreurs humaines et les abus de privilèges sont les principaux scénarios de vol de propriété intellectuelle: les pirates informatiques installent des logiciels malveillants sur les systèmes d’une entreprise, les employés font des erreurs ou les initiés malveillants s’attaquent aux données importantes. Dans ce domaine, les attentes des organisations correspondent à la réalité.
Cependant, le rapport constate un décalage entre les acteurs malveillants que les organisations considèrent comme dangereux et ceux qui sont réellement responsables du vol de propriété intellectuelle. Bien que 29% des entreprises accusent les pirates informatiques de ces incidents, la pratique montre que les employés en fin de carrière ou licenciés sont plus susceptibles de voler des plans, des fichiers de conception, de la documentation technique et d'autres éléments de propriété intellectuelle.
Rappelez-vous les cas de Uber (2017) et Apple (2018), qui étaient tous deux récemment victimes de vol de propriété intellectuelle par les employés au départ. Un autre groupe d'acteurs de menaces à surveiller est constitué des utilisateurs professionnels habituels, qui communiquent souvent des données sensibles par erreur ou ouvrent des courriels de phishing, ce qui permet aux pirates informatiques de collecter des données précieuses.
Cas de vol de propriété intellectuelle chez Apple (2018)
En juillet 2018, le gouvernement américain a porté des accusations de vol de propriété intellectuelle contre un ancien membre de l’équipe de voiture autonome d’Apple, Xiaolang Zhang. Zhang a été embauché en 2015 pour travailler sur le projet de voiture autonome d'Apple; Son travail consistait à concevoir et à tester des cartes de circuit imprimé permettant d'analyser les données des capteurs. En 2018, il a informé son patron qu'il quittait Apple et se rendait en Chine pour travailler dans une start-up de véhicule autonome appelée XMotors. Mais Apple n’a découvert que plus tard que Zhang avait emporté avec lui des documents critiques, dont certains étaient envoyé de son téléphone à l’ordinateur portable de sa femme. Il aurait également pris des cartes de circuit imprimé et un serveur Linux.
Étant donné que les initiés constituent une menace réelle, il n’est pas étonnant qu’un problème de détection soit extrêmement critique. Comme on le dit souvent: faites confiance, mais vérifiez. Netwrixt indique que les utilisateurs professionnels, les équipes informatiques et les responsables de niveau intermédiaire doivent être surveillés en permanence : « Vous devez surveiller leurs activités et vous assurer de recevoir des alertes sur toutes les activités aberrantes, telles que la copie de fichiers en bloc ou le nombre excessivement effacé de suppressions / modifications. Vous devez également collaborer avec les ressources humaines pour examiner de plus près les employés qui vont bientôt partir et désactiver leurs comptes avant qu'ils ne puissent nuire ».
Et de continuer en disant que « Pour minimiser le risque d'erreur humaine, organisez des formations régulières pour les employés et dites-leur tout ce que vous savez sur les cybermenaces existantes et sur la façon dont ils devraient agir s'ils en repéraient un. Pour résoudre le problème de l'abus de privilège, suivez le principe du moindre privilège, surveillez toutes les activités des comptes d'utilisateurs qui ont accès à des données extrêmement sensibles et faites signer aux employés un accord de confidentialité afin qu'ils réfléchissent à deux fois avant de divulguer des informations critiques. Enfin, des pratiques simples comme la sauvegarde vous aideront à sécuriser vos actifs et à restaurer facilement votre propriété intellectuelle, même si quelqu'un réussit à le supprimer ou à l'endommager ».
Perte de données
La perte de données survient lorsque des informations sont détruites par des défaillances ou par négligence lors du stockage, du traitement ou de la transmission. Divers types de menaces sont impliqués dans ce risque informatique, allant des dommages intentionnels (effacement, détournement de session, infiltrations de logiciels malveillants et exploits IdO) aux erreurs humaines (par exemple, les employés perdant des périphériques portables avec des données sensibles) aux pannes logicielles. Les conséquences de la perte de données peuvent être graves - d’une perturbation du système à une diminution de la vitesse des affaires ou même à la faillite.
Bien que les pirates informatiques inquiètent le plus les organisations, les acteurs malveillants ne sont pas la cause principale de la perte de données. En règle générale, cela est dû à de simples erreurs commises par des utilisateurs professionnels, des membres de l'équipe informatique et des responsables de niveau intermédiaire, ou par du matériel défectueux.
Ici, le domaine que la plupart des organisations souhaiteraient améliorer est la protection. Malheureusement, vous ne pouvez toutefois pas prédire de manière fiable les pannes matérielles ni éliminer les erreurs des employés qui entraînent une perte de données. Par conséquent, il est judicieux de vous assurer que vous pouvez facilement déterminer ce qui a été perdu et le restaurer dès que possible - ceci est réalisé grâce à un audit continu et à des sauvegardes régulières. Vous devez également vous assurer de recevoir des alertes sur les modifications pouvant entraîner une perte de données (par exemple, des suppressions de fichiers en masse) et organiser une formation régulière pour les employés afin qu'ils soient mieux équipés pour détecter les comportements suspects et savoir comment les signaler.
Violation de données
Une violation de données est un incident de sécurité confirmé dans lequel des données sensibles, protégées ou confidentielles sont copiées, transmises, visualisées, volées ou utilisées par une personne non autorisée. Les violations de données impliquent souvent des informations de santé personnelles, des informations personnellement identifiables, des informations de paiement et des informations de santé électroniques. Les modèles de menaces incluent les techniques malveillantes (hameçonnage, piratage des mots de passe, informations d'identification compromises et utilisation de systèmes non patchés), les erreurs humaines, la négligence et le manque de sensibilisation à la cybersécurité (par exemple, partage de mot de passe et accès distant non protégé).
Tout comme les types de menaces évoqués précédemment, les violations de données résultent souvent d'erreurs humaines, du manque de sensibilisation à la sécurité et de violations de la politique de sécurité. En effet, les pirates informatiques effectuent rarement des attaques ciblées pour pénétrer dans l’environnement informatique d’une entreprise, car cette opération est coûteuse et nécessite du temps, des compétences et une motivation. Au lieu de cela, ils introduisent des logiciels malveillants en incitant les employés à ouvrir des pièces jointes malveillantes dans des courriels de phishing ou profitent des pratiques médiocres de l'entreprise, telles que le partage de mots de passe.
La moitié des violations de données impliquent des erreurs commises par des utilisateurs professionnels, ce qui est loin de la perception que les pirates informatiques sont à l'origine de la plupart des violations de données. Les membres de l'équipe informatique et les responsables de niveau intermédiaire représentent également une menace importante pour les données et les systèmes, que ce soit par des actions malveillantes ou par des erreurs.
Après tout, une défaillance accidentelle de la mise à jour d'un système clé ou une mauvaise configuration de sécurité peut avoir des conséquences d'une portée considérable. Pouvoir identifier et contenir rapidement une violation de données est essentiel pour réduire le nombre de fichiers que l'attaquant peut compromettre et pour réduire le coût de l'incident. Vous devez commencer par les éléments de base: une stratégie de sécurité viable et un bon plan d’intervention en cas d’incident. Ensuite, vous devez vous assurer que vous avez une visibilité sur ce que font les utilisateurs et ce qui se passe avec vos données sensibles. Vous devez également dispenser une formation en sécurité à tous les employés, des utilisateurs habituels aux gestionnaires de niveau intermédiaire, en passant par les dirigeants.
Perturbations du système
Une interruption du système (ou une interruption de service) est l’incapacité de certains systèmes de fournir ou d’exécuter leur fonction principale pendant un certain temps. Les raisons courantes incluent les défaillances du système (par exemple, les coupures de courant), les catastrophes naturelles, les techniques malveillantes utilisées par des personnes extérieures ou intérieures à l’organisation (par exemple, les attaques DDoS, le sabotage et les ransomware) et les erreurs humaines.
La plupart des problèmes pouvant entraîner une perturbation du système sont extrêmement difficiles à prévoir. Les entreprises craignent davantage les ransomwares (36%), ce qui n’est pas une surprise si l’on considère le battage médiatique ces dernières années. Les pannes de courant et les erreurs humaines figurent également parmi les principales préoccupations, et ces trois facteurs sont également les principales causes de perturbation du système dans la vie réelle.
Le cryptojacking est un autre problème majeur mentionné par les organisations. Il s'agit de l'utilisation non autorisée de périphériques informatiques pour exploiter la crypto-monnaie, mais ce type d'attaque est relativement nouveau et n'a pas causé beaucoup de perturbations pour les entreprises. Enfin, les attaques DDoS sont considérées comme critiques et constituent en réalité une menace importante pour les organisations.
Comme on pouvait s'y attendre, les entreprises considèrent que les pirates informatiques sont la cause la plus probable de perturbations du système, mais elles signalent que les perturbations ont été causées par un plus grand nombre de perturbations de la part des membres de l'équipe informatique et des utilisateurs professionnels habituels.
Malheureusement, en raison de négligence, de surcharge de travail, de manque de personnel ou d’éducation en matière de sécurité, ces personnes commettent souvent des erreurs simples pouvant conduire à des pannes du système. Les pirates informatiques représentent également un certain danger: ils exploitent les erreurs humaines et exploitent les failles de la cybersécurité (vulnérabilités des systèmes et systèmes non corrigés, par exemple) pour mener des attaques par ransomware et DDoS. Enfin, vous devez surveiller de près les sous-traitants tiers, car ils commettent également des erreurs pouvant entraîner des temps d'arrêt du système, ainsi que le départ d'employés qui sont impliqués dans un grand nombre d'incidents.
Pénalités de conformité
Bien que les pénalités de conformité ne représentent pas exactement un risque informatique, la conformité aux normes de l'industrie dépend du respect de certaines exigences informatiques. Les normes de conformité sont de plus en plus strictes et de nouvelles apparaissent régulièrement. Il est donc de plus en plus difficile de respecter toutes les exigences. Par exemple, le règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, et le California Consumer Privacy Act, qui entrera en vigueur le 1 er janvier 2020, ont déjà une incidence sur la manière dont les entreprises du monde entier gèrent, traitent et protégent les données personnelles.
La sanction de conformité la plus évidente est l'énorme amende; Par exemple, les organisations qui ne se conforment pas au RGPD peuvent encourir une amende de 20 millions d'euros ou 4% de leur chiffre d'affaires annuel global de l'exercice précédent. Les pénalités de conformité incluent les litiges, la mauvaise publicité, la perte de fidélité des clients et la perte de partenaires commerciaux.
La conformité est un problème particulier pour les PME comptant jusqu'à 500 employés, car leurs équipes informatiques sont généralement composées de 1 ou 2 personnes responsables de tout ce qui touche à l'informatique. Il n’est donc pas étonnant que la conformité ne soit souvent pas une priorité absolue et elles doivent se démener pour se préparer à des audits, ce qui minimise leurs chances de satisfaire les demandes des auditeurs. Bien que la plupart des personnes interrogées déclarent avoir un responsable de la conformité désigné (ce qui est l’une des exigences clés de nombreuses normes, y compris le RGPD), certaines organisations estiment encore que l’embauche d’un responsable supplémentaire ne serait pas importante.
Les organisations considèrent que la protection et la détection sont les mesures les plus importantes contre la plupart des risques informatiques évoqués précédemment (par exemple, le vol de propriété intellectuelle et les violations de données). En ce qui concerne les pénalités de conformité, la situation est légèrement différente: la protection reste la priorité numéro un, mais 63% des personnes interrogées affirment qu’il est tout aussi important d’identifier les risques pour la sécurité. En effet, les entreprises ont souvent du mal à protéger leurs actifs contre les menaces pour la sécurité, mais il leur est parfois tout aussi difficile de déterminer quels sont les cyber-risques les plus graves et de savoir par conséquent quelles mesures de sécurité mettre en œuvre.
« Une chose que les responsables informatiques évoquent généralement avec un rire amer: les pirates informatiques peuvent vous attaquer ou non, mais les auditeurs viendront certainement à la fin du mois. La meilleure approche consiste à accepter la situation et à vous assurer que tous les contrôles sont en place pour répondre à leurs exigences. Une préparation minutieuse des audits et la désignation d'un professionnel de la conformité vous aideront à réduire le risque de pénalité en vous permettant de prouver que vous assumez l'entière responsabilité de la sécurité des données sensibles ».
Conclusion
Selon cette étude, 46% des entreprises qui stockent des informations personnelles identifiables dans le cloud envisagent de les restituer en local en raison de problèmes de sécurité des données. L’étude montre également que sur 50% des entreprises qui stockent des données clients dans le cloud, 39% ont eu des incidents de sécurité au cours de l’année écoulée et que plus de 50% d’entre eux n’ont pas pu diagnostiquer le problème.
Parmi les autres conclusions, citons le fait que bien que 50% des répondants stockent les données personnelles de leurs clients et de leurs employés dans le cloud, ils sont beaucoup moins nombreux à vouloir stocker leurs données financières et leur propriété intellectuelle (26% et 16% respectivement).
De plus, 31% des personnes interrogées considèrent que les utilisateurs professionnels sont la principale menace pour la sécurité, tandis que 16% pensent que les membres de l'équipe informatique représentent un risque pour la sécurité. Malheureusement, 36% des entreprises interrogées n'ont pas pu identifier l'identité de l'auteur de la violation de la sécurité dans le cloud, contre 6% en 2018.
Quelque 33% des répondants qui stockent toutes leurs données sensibles dans le cloud ont subi des incidents de sécurité au cours des 12 derniers mois. Par rapport à 2018, la part des erreurs accidentelles a augmenté de 14% et la part des attaques de logiciels malveillants de 11%, tandis que la part des attaques externes a diminué de 20%.
« Le rapport révèle que les entreprises sont induites en erreur par le fait que le transfert des données des clients en local garantira la sécurité des données. En réalité, sans programme de sécurité des données en place, ces organisations jouent à un simple "jeu de passe-passe". Les organisations doivent inventorier leurs données pour s'assurer de savoir où se trouvent toutes les données client, les migrer vers un emplacement sécurisé et mettre en œuvre une solution d'audit pour garantir que seules les personnes appropriées ont accès aux données appropriées », a déclaré Steve Dickson, PDG de Netwrix.
Source : rapport Netwrix
Voir aussi :
Une nouvelle poursuite judiciaire enclenchée par Facebook rappelle Cambridge Analytica, suite à la mauvaise utilisation des données
Des entreprises de technologie suppriment les preuves de crimes de guerre mises en ligne, et les gouvernements veulent qu'elles en fassent davantage
Les violations de données signalées sont en hausse de plus de 56% au premier trimestre, d'après un rapport
Alexa vous a espionné tout ce temps, selon Geoffrey Fowler, mais toutes les données sauvegardées ne serviraient qu'à rendre l'IA plus intelligente