L’affaire des Panama Papers n’est pas un piratage, comme l’ont d’abord annoncé les rapports de presse, mais une fuite venue de l’intérieur. Comment ce scandale a-t-il pu voir le jour ? Suite à une déception sentimentale : une ex-employée du cabinet d’avocats panaméen Mossack, ayant accès aux données, s’est vengée après sa rupture avec un des employés de la firme en rendant publiques les listes de clients et certaines autres données étroitement liées.
Les documents dérobés ont été divulgués au journal allemand « Süddeutsche Zeitung », qui les a partagés avec le Consortium international des journalistes d’investigation et un ensemble de partenaires répertoriés dans cette liste.Environ 2,6 To de données ont été dévoilées, y compris des informations sur les comptes à l’étranger appartenant à la famille de David Cameron et de Vladimir Poutine, ainsi qu’à d’autres hommes politiques d’Islande, de Malte, du Pakistan et d’Ukraine. Parmi les entreprises offshores citées dans ces documents, 140 sont reliées à de hauts fonctionnaires ou des politiciens.
Quand employés et données ne font pas bon ménage…
L’année dernière, des chercheurs ont estimé que près de 35% des employés seraient susceptibles de vendre des informations sur les brevets de leur entreprise, ses informations financières et même les informations de carte de crédit d’un client, à condition qu’on leur propose une somme suffisante pour cela. L’enquête a aussi montré que pour moins de 8 000 dollars (soit près de 7 100 euros), 25% des employés pourraient vendre des données sur leur entreprise, prenant le risque à la fois de mettre en péril leur emploi et d’encourir des poursuites judiciaires. Environ 3% seraient prêts à vendre des informations privées pour un montant dérisoire : 155 dollars (137 euros), tandis que 18% accepteraient de le faire si l’offre éta it de 1 550 dollars (1 370 euros). On peut ajouter qu’environ 35% se laisseraient corrompre si les montants atteignent 77 500 dollars (68 600 euros). Toutefois, environ 65% ont déclaré qu’ils ne vendraient des données à aucun prix.
La tentation de vendre des informations confidentielles est d’autant plus exacerbée que les employés y ont accès facilement, 61% des sondés affirmant qu’ils ont eu accès à des données confidentielles sur leurs clients. 51% ont eu accès à des données financières, telles que les comptes de l’entreprise ou des informations sur les actionnaires, et 49% ont eu accès à des informations sensibles sur les produits de l’entreprise, telles que les lancements et les brevets.
En ce qui concerne la sécurité des données, seulement 29% des employés interrogés ont déclaré se sentir responsable personnellement des données de l’entreprise et 22% ne pas se sentir du tout responsables de celles-ci. Les auteurs de l’étude ont confirmé la nécessité croissante pour les entreprises de déployer des stratégies pour prévenir les fuites de données et d’utiliser des technologies pour protéger les données, aussi bien pour prévenir les fuites liées à des employés malveillants que celles liées à de simples négligences.
Par ailleurs, les menaces internes sont en seconde place dans la liste des vecteurs de menaces les plus importants définis par les professionnels de la sécurité, selon des études citées par HOTforSecurity.
Comment protéger son entreprise contre ce type de risques ?
Pour atténuer l’erreur humaine, une entreprise doit déployer des contrôles de sécurité pour surveiller les autorisations d’accès par les employés aux données confidentielles. Les autres obligations en matière de protection et de sécurité des données doivent inclure :
- La gestion et le suivi des privilèges de l’utilisateur final,
- Le cloisonnement du réseau pour un meilleur contrôle et une meilleure sécurité,
- La vérification des antécédents de l’activité en ligne d’un employé avant de lui accorder un accès privilégié.
Je recommande aux entreprises d’établir des protocoles et des politiques strictes ainsi que de limiter la façon dont les employés utilisent les équipements et infrastructures et disposent de privilèges à l’intérieur du réseau de l’entreprise. Le service IT doit définir des politiques pour une utilisation appropriée des équipements et s’assurer qu’elles sont bien mises en œuvre.
Un autre élément clé pour une sécurité renforcée, consiste à cloisonner les droits d’accès en fonction des besoins précis des employés : ces derniers ne doivent pouvoir accéder qu’aux ressources essentielles à leurs activités quotidiennes. Seul le personnel autorisé doit avoir accès aux données critiques et sensibles, uniquement en respectant des protocoles de sécurité stricts et des mécanismes d’authentification avancés.
Outre l’authentification à deux facteurs, l’authentification à deux personnes pourrait également être mise en place pour les systèmes critiques, semblables à des institutions financières où les grandes transactions doivent être autorisées par deux ou plusieurs personnes.
De plus, les sauvegardes doivent être stockées uniquement au sein-même de l’entreprise et toutes les données doivent être répertoriées et détruites de manière appropriée lorsqu’elles ne sont plus nécessaires. Tous les privilèges et comptes d’anciens employés doivent être révoqués immédiatement suite à leur départ.
Que retenir ?
Les anciens employés sont à l’origine de risques importants de fuites de données et peuvent fragiliser une entreprise, tant qu’ils ont accès à des informations confidentielles. Les entreprises doivent limiter les risques que leurs ex-employés utilisent des informations dans leur intérêt propre ou puissent accéder aux données après leur départ. Tous les mots de passe utilisés pour accéder aux comptes de l’entreprise doivent aussi être modifiés régulièrement pour réduire le facteur de risque de failles de sécurité.
Il est intéressant de noter que 64% des entreprises n’ont qu’une idée approximative de l’emplacement de leurs informations sensibles, alors que plus de la moitié craint particulièrement pour la sécurité de leurs données suites à des erreurs qui seraient commises par des intérimaires ou des prestataires de services, selon l’étude The State of Data Security Intelligence, réalisée par le Ponemon Institute. Parmi les principaux sujets d’inquiétude de responsables IT, on note : le manque de connaissances concernant les données (52%), la gestion externalisée des données (48%) et la migration vers de nouvelles plates-formes mobiles ou des écosystèmes de cloud computing (47%) ; indique le rapport. Les cybercriminels, le non-respect des lois et réglementations, les erreurs des employés, le non-r espect des processus opérationnels et l’usurpation d’identité font également partie des principales préoccupations.
L’affaire des Panama Papers a été largement couverte par les médias, totalisant plus de 10 000 articles rédigés dans le monde. Cette affaire a surtout été traitée sous un angle purement financier, légal et moral, listant un certain nombre de personnalités impliquées. En tant qu’expert en cybersécurité, j’ai préféré m’intéresser à l’origine même de la fuite de données et analyser les problèmes que toute entreprise peut rencontrer dans la gestion de ses informations sensibles et de ses anciens employés. Une politique plus restrictive de gestion des accès aux données sensibles de leur ancienne entreprise se présente alors comme l’alternative la plus sûre, pour éviter à votre entreprise de devenir le prochain Mossack Fonseca.
Bogdan Botezatu est analyste spécialisé dans l’étude des menaces cybercriminelles chez Bitdefender.
