Chaque année, cette date s'invite de nouveau, le 28 janvier marque le Data Privacy Day, la Journée de la Protection des Données Personnelles. Cette date nous fournit à tous l'occasion d'examiner ce que nous pouvons faire dans notre vie professionnelle pour encourager le respect de la vie privée, la protection des données et des interactions basées sur la confiance.
Voici, selon notre expérience, les trois principales opportunités d'amélioration dans ce domaine
Numéro un : Partager les mots de passe et les terminaux au bureau et à la maison
Beaucoup d'entre nous avons de nombreux mots de passe pour accéder à des terminaux professionnels, des plates-formes, des fichiers partagés, etc., mais nous avons découvert que 25 % des français ont partagé leurs mots de passe professionnels avec un collègue ou un membre de leur famille. Ceci accroît le risque que des mots de passe tombent dans de mauvaises mains, ouvrant l'accès vers des données d'entreprise sensibles. Une fois qu'un pirate a récupéré au moins un mot de passe, il peut avoir le sésame qui lui permet de pénétrer dans la vie personnelle de sa victime ainsi que dans celle de son employeur.
Au cours de l'année 2020, beaucoup d'entreprises se sont efforcées de mettre leurs employés en télétravail, d'adopter de nouveaux outils et de mettre en place de nouvelles méthodes de travail. Mais cette approche a laissé de côté de nombreux risques de cyber sécurité. Elle a empêché les équipes IT d'avoir une parfaite visibilité sur qui a accès à quoi, compromettant ainsi leur capacité à aider les employés à minimiser les risques d'être piratés en raison de mauvaises habitudes telles que le partage de mots de passe.
Fournir aux employés des outils simples tels que des sessions de formation sur la sécurité, des gestionnaires de mots de passe, et un moyen de réinitialiser automatiquement leurs identifiants sans faire appel au service informatique, peut être extrêmement efficace pour éradiquer ces mauvais comportements.
Numéro deux : Ignorer les différences en termes de conformité
L'accord sur le Brexit est signé, mais beaucoup d'entreprises restent incertaines sur la façon dont les nouvelles relations entre le Royaume Uni et l'Union Européenne vont affecter leurs processus et leurs exigences de conformité.
Le Brexit a également poussé certaines entreprises multinationales à repenser leur stratégie de ressources humaines au niveau mondial et à mettre en place des équipes réparties dans différentes entités géographiques ayant leurs propres exigences de conformité. Ces mouvements entraînent un risque inhérent de sécurité, des accès devant être ajoutés, supprimés ou reconfigurés, des employés étant redéployés avec de nouvelles fonctions sur des sites différents. Sans une solide stratégie de sécurité et les bons outils en place pour contrôler comment les accès sont accordés au sein d'une organisation, une complexité accrue peut s'imposer et la croissance exponentielle des points d'accès peut rapidement submerger une équipe de sécurité.
La réponse pour empêcher que s'élargissent ces failles de conformité est de garantir une meilleure visibilité sur tous les accès dans une organisation. Ceci implique d'utiliser l'automatisation chaque fois que cela est possible pour prendre en charge les tâches routinières et le contrôle des accès.
Numéro trois : Ne pas prendre en compte que l'identité est un vecteur principal d'attaque
Pour de nombreux types de cyber attaques, du phishing aux intrusions majeures, l'identité est la « porte d'entrée ». Au cours des dernières années, beaucoup d'organisations ont abandonné l'approche traditionnelle basée sur le firewall pour basculer vers une approche zero trust, qui s'applique à tous les utilisateurs, qu'ils soient à l'intérieur ou à l'extérieur d'une entreprise. Zero trust a permis à beaucoup d'organisations de mieux gérer les accès à leurs applications et fichiers. Ceci a réduit le risque d'autoriser accidentellement l'accès à un compte compromis ou à un pirate incognito.
La prochaine étape est de comprendre comment l'identité peut jouer un rôle dans la défense contre une menace provenant de l'interne - qu'elle soit malveillante ou accidentelle. Au sein d'une organisation il existe souvent des cas particuliers, des utilisateurs dont la quantité, la qualité ou la variété des accès est plus élevée que celles d'un employé moyen. Ceci peut parfois être le résultat d'une fonction particulière associant plusieurs départements, révélant un groupe d'utilisateurs qui représentent un plus grand risque d'être ciblés par des cyber criminels et pourraient bénéficier d'un plus haut niveau de contrôle et de support de sécurité. D'un autre côté, ce groupe pourrait contenir des employés ayant accumulé plus de droits d'accès que nécessaire en passant d'une fonction à une autre. Les entreprises peuvent prévenir ce genre de risque via une revue rigoureuse et régulière des droits d'accès au sein de leurs organisations.