Paranoïa ou préparation à l’âge de la violation des données

Verizon a récemment dévoilé que son équipe juridique avait commencé une enquête sur l’impact de l’importante violation des données de Yahoo! et ses effets sur l’acquisition imminente. Selon certaines sources, l’enquête sera longue et pourrait compromettre la transaction de 4,8 milliards de dollars.

Il n’est pas surprenant qu’un piratage de cette envergure (500 millions d’identités compromises) ait un impact durable. Les piratages à grande échelle chez LinkedIn et Dropbox (et l’effet domino conséquent) ont eu des retombées permanentes, mais l’événement pour Yahoo ne pouvait pas plus mal tomber. Si l’acquisition de Verizon tombe à l’eau, ce piratage pourrait définir des priorités historiques quant à l’importance de la sécurité de l’identité des utilisateurs.

Au-delà de l’impact durable sur l’entreprise et sa réputation, j’aimerais lever le voile sur certaines pratiques de sécurité internes de Yahoo! qui ont rendu la société vulnérable. Selon un article du New York Times, la société avait adopté une approche plutôt laxiste quant à la sécurité des identités, un problème courant auquel les entreprises de toutes sortes font face lorsqu’un trop grand nombre de priorités requièrent de l’attention. À titre d’exemple, Yahoo! n’a pas imposé la réinitialisation des mots de passe à ses employés. Ce contrôle interne parmi les employés aurait permis de minimiser l’impact général du piratage.

Bien qu’il puisse paraître tentant de faire passer les mesures de sécurité au deuxième rang en faveur d’initiatives aux avantages plus visibles sur l’entreprise à court terme, le fait est que la sensibilisation à la sécurité et les contrôles internes ne peuvent plus être laissés au second plan. Dans notre réalité actuelle, où de nombreux piratages sont provoqués par un accès utilisateur inapproprié, des mots de passe faibles, des comptes orphelins, des accès des sous-traitants aux systèmes sensibles (et la liste est longue), la priorité de la sensibilisation à la sécurité ne peut plus être réduite.

Alors bien que je ne sois pas de ceux qui pensent que nous devons vivre dans un monde rempli de paranoïa (l’équipe de sécurité informatique de Yahoo a été appelée « les paranoïaques »), nous devons être préparés. De simples politiques de gestion des mots de passe faciles à appliquer, demandant aux employés de créer des mots de passe longs et complexes, uniques à chaque application ou système auxquels ils ont accès et d’actualiser chaque mot de passe plusieurs fois dans l’année, pourraient épargner une entreprise d’une violation de données. L’application de ces politiques ne devrait pas liguer les équipes de sécurité informatique contre « eux » (le reste de l’entreprise). Ces politiques peuvent et doivent être intégrées à la culture de l’entreprise comme un moyen de préparation. Tout comme vous vous prépareriez pour des vacances en famille à l’étranger en vous assurant d’avoir correctement fermé les portes et les fenêtres, d’avoir bien mis votre passeport et d’autres documents d’identification importants dans votre bagage à main, et d’avoir fermé votre voiture à clé avant de vous rendre au terminal de l’aéroport depuis le parking, la planification anticipée d’une possible violation de la sécurité est un moyen de préparation par opposition au symptôme de pure paranoïa.

L’idée d’intégrer la sécurité à la culture de l’entreprise nous tient à cœur dans notre propre entreprise. Chez SailPoint, nous possédons un solide programme de formation sur la sensibilisation à la sécurité et au lieu d’en faire une obligation encombrante, l’objectif est de le rendre accessible, facile à comprendre pour chaque employé et pertinent pour chaque fonction au sein de l’équipe. Plutôt que de voir cette sensibilisation à la sécurité comme un autre « «élément » à cocher sur la liste des mesures à prendre, elle doit permettre aux employés de l’entreprise de se rassembler plutôt que de paraître paranoïaques, comme l’équipe de sécurité. Car, en fin de compte, quelle que soit l’entreprise pour laquelle vous travaillez, quelle que soit sa renommée, quelle que soit sa taille, aucune entreprise n’est à l’abri d’une potentielle violation de données. Prendre des mesures supplémentaires afin que la sensibilisation à la sécurité devienne une seconde nature pour les employés est un pas dans la bonne direction pour les entreprises d’aujourd’hui. Cela ne fait pas de vous une entreprise paranoïaque, mais vous prépare.