4. Sécuriser les bases de données... mais pas que!
Denis Gadonnet, directeur Europe du Sud pour Hexis Cyber solutions
"Toutes les entreprises ne sont pas soumises de la même façon aux menaces, explique Denis Gadonnet. Mais les pirates informatiques sont des opportunistes, et ils traquent les brèches les plus courantes." Le niveau d'exposition de la base client est donc à prendre en considération afin de déployer l'arsenal de protections nécessaires.
Une base de données connectée à un serveur web dans le cadre d'une authentification de compte client en ligne est, par nature, plus exposée que des données clients isolées sur un serveur déconnecté d'Internet. "Toutefois, ceci n'est pas une vérité immuable, précise Jérôme Granger. Les logiciels de rançon peuvent, par exemple, utiliser un poste client mal protégé pour scanner le réseau de l'entreprise à la recherche de base de données à chiffrer. Celles-ci peuvent ainsi être attaquées même si elles ne sont pas en ligne. "
Le principal vecteur de l'attaque, c'est bien l'utilisateur !
Les failles dans les systèmes d'exploitation, les serveurs web et SQL sont également très régulièrement utilisées par les attaquants. À titre d'exemple, dans l'affaire des Panama Papers où quelque 2,6 To de données ont été dérobés puis divulgués, il est apparu que le cabinet Fonseca utilisait Wordpress pour son site internet et que la base de données contenant tous les fichiers clients était stockée sur le même serveur! Quant au portail utilisé par les clients pour s'identifier, il recelait à lui seul 25 vulnérabilités identifiées. De telles lacunes ne sont malheureusement pas rares, et la nouvelle réglementation européenne prévoit de sanctionner ces comportements inconséquents.
5. Soyez rigoureux sur toutes les mises à jour...
Se protéger des malveillances des pirates informatiques, c'est le jeu du chat et de la souris. "La menace informatique a toujours été là, déclare Éric Alix. Mais avec les progrès technologiques, le rythme a changé et il faut s'adapter en permanence." Ainsi, lorsque l'on considère que le serveur mail du cabinet Fonseca n'avait pas été mis à jour depuis 2009, on comprend mieux que de tels volumes de données aient pu être dérobés!
En assurant la mise à jour de l'ensemble de l'arsenal applicatif utilisé dans l'entreprise, il est possible de se prémunir des failles de sécurité les plus courantes. "Les pirates informatiques lancent de vastes attaques, déclare Denis Gadonnet. S'ils trouvent trop de résistance dans un système d'information, ils s'attaquent à une autre proie... "
6. Déployez une protection à 360°
Imaginer que vous trouverez une solution logicielle à l'ensemble des problématiques de protection des données est illusoire. C'est un ensemble de mesures et de dispositifs qui devra être mis en oeuvre pour contribuer à sécuriser le système d'information. Commencez par chiffrer l'ensemble des informations clients, y compris les sauvegardes. "Et parce que 100 % des vols de données passent par des attaques, le réseau de l'entreprise doit être sécurisé, déclare Jérôme Granger. Le minimum requis est le pare-feu, l'antivirus sur tous les postes clients et les serveurs, ainsi que le filtrage antispam et antivirus des e-mails. " Mais il faut encore aller plus loin. On peut en effet considérer qu'un tiers des attaques virales sont réalisées à travers des exploits kits (exploitation de failles logicielles). En déployant un système de patching centralisé, appliquant automatiquement les correctifs à mesure qu'ils sont publiés, vous limiterez votre exposition aux menaces!
Retrouvez cet article sur : www.relationclientmag.fr - "AT&T condamné pour vol de données confidentielles"
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles
