Article

Prévention des violations de données

Security
Temps de lecture : 17 minutes

Qu’est-ce qu’une violation de données ?

Une violation de données est tout incident dans lequel une partie non autorisée accède à des informations sensibles, protégées ou confidentielles. Lorsque la prévention des violations de données échoue, deux types de données peuvent être consultés et/ou partagés sans autorisation :

  1. Données personnelles (par exemple, numéros de sécurité sociale, informations médicales ou numéros de carte de crédit)
  2. Données d’entreprise (par exemple, dossiers clients, propriété intellectuelle ou documents juridiques)

En matière de prévention, il est important de comprendre qu’une violation de données n’est pas synonyme de cyberattaque. Une violation de données peut être le résultat d’une cyberattaque ou d’une simple erreur. La prévention des violations de données repose sur la compréhension des acteurs de menace, à savoir :

  • Menace interne involontaire : par exemple, un employé perd son téléphone, qui contient des informations sensibles, ou envoie accidentellement des informations confidentielles à la mauvaise personne.
  • Acteurs internes malveillants : par exemple, des employés mécontents ou d’anciens employés qui profitent d’un accès autorisé pour exposer illégitimement des données en représailles ou un employé qui accepte un pot-de-vin et partage des données sensibles.
  • Cybercriminels - c’est-à-dire des personnes malveillantes externes à l’entreprise (par exemple, des organisations criminelles, des pirates informatiques ou des acteurs étatiques) qui lancent des cyberattaques pour dérober des données.

Anatomie d’une violations de données

La prévention des violations de données doit prendre en compte les trois étapes clés généralement suivies lors des attaques intentionnelles, qu’elles proviennent de menaces internes ou externes:

  1. Recherche
  2. Attaque
  3. Compromission

Les trois étapes d'une violation de données intentionnelle

1. Recherche

La prise en compte de la manière dont un plan de violation de données commence rend la protection contre les violations de données plus efficace. Une fois la cible choisie, l’attaquant recherche les vulnérabilités qu’il peut exploiter pour accéder aux données.

2. Attaque

Une fois qu’un cybercriminel a identifié le vecteur d’attaque sur la base des faiblesses de la prévention des violations de données, il lance une cyberattaque. Dans certains cas, les attaquants contournent la prévention des violations de données en se procurant des identifiants d’accès volés sur le dark web. Les lacunes ou faiblesses exploitées sont généralement liées aux employés, aux systèmes ou aux réseaux et comprennent les éléments suivants.

Attaques par force brute

Pour éviter les attaques par force brute, la prévention des violations de données devrait exiger l’utilisation de mots de passe forts et de l’authentification multi-facteurs. Les attaques par force brute exploitent les mots de passe faibles, en utilisant des logiciels pour les deviner. En tirant parti de l’intelligence artificielle et de l’apprentissage automatique, les attaques par force brute sont de plus en plus efficaces pour déchiffrer les identifiants plus faibles.

Acteurs internes abusant d’un accès privilégié

Même les meilleures mesures de prévention contre les violations de données peuvent être contournée par un acteur interne privilégié qui agit de manière malveillante. En raison de ses droits d’accès étendus, un acteur interne disposant d’un accès privilégié peut causer des ravages dans une entreprise, en utilisant son accès autorisé pour se déplacer à travers les systèmes et compromettre des informations sensibles.

Logiciels malveillants et ransomwares

La prévention des violations de données se concentre en grande partie sur les logiciels malveillants et les ransomwares, car ce sont des vecteurs d’attaque couramment exploités. Bien qu’il existe des solutions de détection, les logiciels malveillants et les ransomwares continuent de contourner la protection contre les violations de données lorsque les utilisateurs les déclenchent accidentellement, ainsi qu’en ciblant et en exploitant les vulnérabilités du système (par exemple, les logiciels non corrigés).

Violations de sécurité physique ou de site

Bien que la prévention des violations de données ait tendance à se concentrer sur les protections numériques, il est important de ne pas négliger la sécurité physique. Cela peut inclure l’accès non autorisé à tout, des armoires de classement aux salles de serveurs. Les compromissions physiques incluent également la perte ou le vol d’ordinateurs portables, de périphériques mobiles, de disques durs et de clés USB contenant des informations sensibles.

Attaques par ingénierie sociale

L’ingénierie sociale est l’un des vecteurs les plus difficiles à prévenir du point de vue de la prévention des violations de données, car les personnes sont considérées comme un maillon très faible. Les cybercriminels utilisent des tactiques d’ingénierie sociale pour manipuler les gens afin de compromettre les systèmes de sécurité.

L’un des types d’ingénierie sociale les plus courants est l’hameçonnage. La prévention des atteintes à la protection des données est souvent entravée par ces e-mails, SMS, contenus de réseaux sociaux et sites Web ingénieux, mais frauduleux qui incitent les utilisateurs à exécuter des logiciels malveillants ou à communiquer des informations d’identification.

Identifiants volés

La prévention des violations de données ne permet pas de protéger les mots de passe lorsque les utilisateurs les stockent dans des endroits physiques ou numériques évidents. Certains des pires endroits où les utilisateurs continuent de mettre des mots de passe sont sur des post-its, dans des carnets ou des journaux, dans des fichiers non chiffrés, dans des applications de messagerie ou de courriel et enregistrés dans des navigateurs. Les cybercriminels profiteront du mauvais jugement des utilisateurs pour voler ces identifiants facilement accessibles.

3. Compromission

Une fois que la prévention des violations de données a été contournée, les cybercriminels passent à la compromission des données. Il peut s’agir d’une exfiltration, d’une destruction ou de l’exécution d’une attaque de ransomware qui chiffre les données jusqu’à ce que la rançon soit payée.

Prévention des violations de données

De nombreuses solutions de sécurité peuvent être utilisées pour la prévention des violations de données. Voici quelques-unes des plus utilisées :

  • Intelligence artificielle (IA) et automatisation pour la détection et la réponse aux menaces
  • Chiffrement de haute qualité pour protéger les données sensibles
  • Gestion de l’identité et des accès (IAM)
  • EDR (détection et réponse aux points terminaux)
  • SOAR (orchestration, automatisation et réponse de sécurité)
  • UEBA (analyse comportementale des utilisateurs et des entités)
  • XDR (détection et réponse étendues)
  • AES-256 pour les données au repos
  • TLS 1.2+ pour les données en transit
  • Contrôle d’accès basé sur les attributs (ABAC)
  • Authentification multi-facteurs (MFA)
  • Password managers
  • Contrôle d’accès basé sur les rôles (RBAC)
  • Authentification unique (SSO)
  • Mises à jour automatiques de mots de passe
  • Mots de passe complexes
  • Gestion des accès privilégiés (PAM)

Mesures de sécurité de base pour prévenir les violations de données

Des mesures de sécurité standard doivent être mises en œuvre et intégrées dans les processus, notamment :

  • Procédures de protection des données maintenues à jour
  • Configuration appropriée des bases de données, des pare-feux et des réseaux
  • Évaluations régulières des vulnérabilités
  • Sauvegardes programmées
  • Strong Politiques de mots de passe robustes

Bonnes pratiques avancées en sécurité des données

D’autres composants de la prévention des violations de données incluent ce qui suit :

  • Vérifier régulièrement les applications et les réseaux pour s’assurer qu’ils ont été mis à jour.
  • Créer un processus pour identifier les vulnérabilités et anticiper les menaces dans votre réseau.
  • Develop and conduct employee security training regularly with a focus on:
  • Mettre en application les politiques de sécurité Bring Your Own Device (BYOD), telles que l’obligation pour tous les appareils d’utiliser un service VPN professionnel et une protection antivirus.
  • Imposer l’utilisation d’identifiants forts et de l’authentification multi-facteurs.
  • Appliquer les correctifs aux systèmes et aux réseaux dès que des mises à jour sont disponibles.
  • Effectuer des audits de sécurité régulièrement (veiller à inclure tous les systèmes connectés au réseau de l’entreprise).
  • Empêcher que les dispositifs de stockage de données (par exemple, disques durs et clés USB) ne soient stockés dans des endroits non sécurisés dans les bureaux.
  • Mettre à niveau les appareils lorsque le logiciel n’est plus pris en charge par le fabricant.
  • Manipulation des données sensibles selon les protocoles de sécurité de l’entreprise
  • Identification et évitement des attaques d’ingénierie sociale, en particulier l’hameçonnage
  • Réponse à une violation de données selon les processus établis dans les plans de réponse aux incidents.

Éléments essentiels d'une stratégie de sécurité Zero-Trust

De plus, il est conseillé d'adopter une approche zero-trust en matière de sécurité qui :

  • Vérifie continuellement les utilisateurs, les applications ou les composants d’infrastructure, même ceux déjà présents dans le réseau, avec une authentification, une autorisation et une validation contextuelles
  • Met en application le principe du moindre privilège, , dans lequel les utilisateurs, les applications ou les composants d’infrastructure se voient accorder les accès et les autorisations minimales nécessaires pour accomplir leurs tâches ou remplir leur rôle
  • Identifie les données sensibles et applique une classification et une protection, telles que la protection contre la perte de données (DLP)
  • Met en œuvre une surveillance complète et continue de toute l’activité réseau
  • Ne fait jamais confiance aux utilisateurs, aux applications ou aux composants de l’infrastructure, qu’ils soient internes ou externes
  • Fournit une visibilité complète sur l’ensemble de l’écosystème réseau de l’entreprise, y compris sur la manière dont les utilisateurs et les entités accèdent aux informations sensibles et les utilisent en fonction de leurs rôles et de leurs responsabilités
  • Segmente les réseaux pour empêcher les mouvements latéraux

Création d’un plan de réponse pour la prévention des violations de données

Un plan de réponse aux incidents bien conçu et testé est un élément essentiel de la prévention des violations de données. Bien qu’il soit appliqué à la suite d’une violation de données, il soutient la prévention des violations de données en atténuant les dommages causés et le périmètre de propagation d’un incident.

Un plan de réponse aux incidents est un ensemble de directives écrites qui indiquent aux équipes comment se préparer, identifier, réagir et se remettre d’une cyberattaque qui réussit à contourner les systèmes de protection contre les violations de données.

Il doit également fournir des détails sur ce qui constitue une violation de données.

Un plan de réponse aux incidents de violation de données efficace est fortement axé sur les équipes informatiques. Cependant, il doit également inclure des instructions pour d’autres services qui seront affectés et impliqués après une violation de données, tels que :

  • Service client
  • Service financier
  • Ressources humaines
  • Service juridique et de conformité
  • Marketing et relations publiques
  • Ventes
  • Représentants exécutifs

Les avantages de la mise en place d'un plan de réponse aux incidents de violation de données

Avoir un plan de réponse aux incidents de violation de données, comporte de nombreux avantages notamment :

  • Accélère la réponse aux incidents
    Un plan formel aide les entreprises à concentrer leurs activités d’évaluation des risques et de réponse pour détecter rapidement un incident ou une attaque.
  • Limite le déploiement des plans coûteux de reprise après sinistre
    Une réponse rapide aux incidents après une violation de données peut souvent permettre à une entreprise d’économiser du temps et des dépenses en exécutant des plans complets de reprise après sinistre et de continuité des activités. Même lorsque les systèmes de prévention des violations de données sont compromis, une réponse rapide peut entraîner une politique d’endiguement et une résolution rapides sans mettre en œuvre les procédures de reprise après sinistre et de continuité des activités.
  • Atténue les dommages causés par les menaces en facilitant une intervention précoce
    Lorsqu’une entreprise dispose d’un plan de réponse aux incidents, l’équipe qui en est en charge est opérationnelle et sait comment agir. Cela permet non seulement d’atténuer les dommages et les pertes potentiels, mais aussi de réduire la durée de l’incident. En outre, il accélère l’analyse légale, ce qui réduit le temps de récupération.
  • Conformité réglementaire
    La plupart des organismes de réglementation et de nombreuses législations (par exemple, la Loi fédérale sur la gestion de la sécurité de l'information [FISMA], la oi sur la portabilité et la responsabilité en matière d'assurance maladie [HIPAA], et la norme de sécurité des données de l’industrie des cartes de paiement [PCI-DSS]) exigent que les organisations prennent les dispositions nécessaires pour protéger les informations sensibles par des mesures de prévention des violations de données, mais aussi qu’elles disposent d’un plan de réponse aux incidents. L’absence de plan de réponse aux incidents peut entraîner des sanctions pour non-conformité.

Étapes de préparation d’un plan de réponse aux incidents pour faire face aux échecs de prévention des violations de données

Préparation

Avant de rédiger un plan de réponse aux incidents de violation de données, tirez parti de la prévention des violations de données ; il est possible d’en tirer des informations précieuses pour l’évaluation des risques en ce qui concerne les informations sensibles. Les éléments suivants doivent être inclus dans l’étape de préparation. Notez qu’une grande partie de ces informations peut être tirée des rapports d’évaluation des risques et des plans de prévention des violations de données.

  • Catégoriser les informations sensibles
  • Déterminer où se trouvent les informations sensibles et qui y a accès
  • Définir ce qui constitue une violation de données
  • Détailler les scénarios potentiels de cyberattaques (par exemple, ransomware, compromission des identifiants, hameçonnage)
  • Déterminer le moment d’activation du plan de réponse aux incidents

Définir les membres de l’équipe de réponse aux incidents de violation de données

Une équipe de réponse à une violation de données sera majoritairement composée de membres de l’équipe informatique impliqués dans la prévention des violations de données, car ils ont une connaissance approfondie des personnes, des systèmes et des processus qui seront affectés par un incident. Outre l’équipe informatique, des représentants d’autres services de l’organisation doivent être inclus, comme indiqué ci-dessus. Le plan de réponse aux incidents doit inclure les coordonnées de chaque membre de l’équipe et des informations détaillées sur leur rôle.

Identifier les vulnérabilités

La vulnérabilité la plus importante et la plus susceptible d’être ciblée est le personnel. Prenez le temps d’élaborer et de mettre en œuvre une formation obligatoire en matière de cybersécurité afin de réduire ce risque. Utilisez les informations issues de l’évaluation des risques pour identifier d’autres vulnérabilités susceptibles d’être utilisées pour échapper à la prévention des violations de données.

Identifier les actifs critiques

Les informations pouvant être extraites des rapports d’évaluation des risques comprennent un inventaire catégorisé des actifs. Cet inventaire doit être utilisé pour hiérarchiser les efforts après une violation de données en se concentrant sur les systèmes où se trouvent les actifs critiques et les informations sensible.

S’assurer que des systèmes automatisés de sauvegarde des données sont en place

Les sauvegardes de données doivent être automatisées, les données étant stockées hors site et non connectées aux réseaux de l’organisation. En outre, il doit y avoir au moins une personne en charge des sauvegardes de données ayant une expérience en matière de récupération.

Identifier les experts externes en récupération de données après violation de données

Toutes les organisations doivent rechercher des experts en cybersécurité et en récupération de données et avoir leurs coordonnées à portée de main. Ces ressources fournissent une expertise précieuse pour la prévention des violations de données et la réponse aux incidents.

Élaborer une liste de contrôle du plan de réponse aux incidents de violation de données

Un cadre de réponse aux incidents largement utilisé est celui développé par le SANS Institute.

  1. Préparation
  2. Identification
  3. Endiguement
  4. Éradication
  5. Récupération
  6. Enseignements tirés
  • Élaborer des politiques de sécurité pour la prévention des violations de données.
  • Effectuer une évaluation des risques.
  • Identifier les actifs sensibles.
  • Définir une violation de données.
  • Surveiller les systèmes informatiques pour détecter les activités inhabituelles et déterminer s’il s’agit d’incidents de sécurité.
  • Recueillir des preuves supplémentaires, déterminer le type et la gravité de l’incident et documenter toutes les conclusions.
  • Initier un endiguement immédiat et ciblé, comme isoler le segment réseau qui est attaqué.
  • Passer à l’endiguement temporaire, qui comprend des correctifs à court terme pour remettre les systèmes en ligne pendant que des systèmes non contaminés sont reconstruits.
  • Supprimer les logiciels malveillants de tous les systèmes affectés.
  • Identifier la cause profonde de l’attaque.
  • Mettre en œuvre des mesures de remédiation pour empêcher que des attaques similaires ne se reproduisent.
  • Remettre soigneusement en ligne les systèmes de production affectés pour empêcher d’autres attaques ou la propagation de logiciels malveillants.
  • Tester, valider et surveiller les systèmes affectés pour s’assurer qu’ils fonctionnent normalement.
  • Effectuer un audit de l’incident.
  • Préparer une documentation complète de l’incident.
  • Déterminer si certains aspects du processus de réponse à l’incident peuvent être améliorés.
  • Mettre à jour le plan de réponse aux incidents de violation de données avec les enseignements tirés.

Créer un plan de communicationpour la prévention des violations de données

Une communication rapide et claire est essentielle après une violation de données. Le fait d’avoir préparé des déclarations à partager avec les forces de l’ordre, les organismes de réglementation, le personnel, les clients et les médias permettra aux équipes de les adapter rapidement pour refléter les détails de l’incident et de les distribuer sans tarder.

Les projets de déclaration doivent inclure un calendrier de diffusion et les coordonnées des personnes à contacter. Étant donné que chaque État dispose de sa propre législation sur la notification des violations de données et de règles dictées par d’autres organes directeurs, il est important de faire cette recherche en amont et de savoir exactement qui doit être notifié et à quel moment.

Évaluer et mettre à jour régulièrement le plan de réponse en cas de violation de données

Les plans d’intervention en cas de violation de données doivent être régulièrement mis à jour pour tenir compte de toute modification des données, des utilisateurs et de l’infrastructure informatique. Les révisions du plan doivent tenir compte des changements réglementaires.

Préparer, planifier et réviser la prévention des violations de données pour réussir

Une réponse efficace à une violation de données commence par la préparation et la planification. Les experts s’accordent à dire que la plupart des organisations seront confrontées à une violation de données. Les organisations qui disposent d’un plan de prévention des violations de données se rétablissent plus rapidement et avec moins d’impact que celles qui n’ont pas investi de temps dans l’élaboration et la mise à jour d’un plan robuste.