Une fuite de données est l'un des pires scénarios pour la sécurité des entreprises. Et pour cause, elle entraîne des problèmes de réputation, une perturbation des processus commerciaux et des sanctions pour non-conformité avec des lois sur la protection des données de plus en plus rigides. Malheureusement, ces incidents sont de plus en plus fréquents. Même les attaques par ransomware peuvent désormais être considérées comme des fuites de données, car la plupart des gangs d'extorsion extraient des informations confidentielles des réseaux d'entreprise dans le cadre de leurs raids.
Les catalyseurs de ces attaques sont multiples. Dans la plupart des cas, les cybercriminels récupèrent des données propriétaires à partir d'un serveur d'entreprise compromis à distance. La menace peut également provenir d'une personne interne qui abuse de ses privilèges d'accès et s'empare de fichiers précieux. Parfois, des données sensibles sont involontairement divulguées par une application ou un composant mal configuré. Les scénarios varient, mais ils ont tous un point commun : le résultat peut être dévastateur.
Une feuille de route pour sortir indemne
Si une organisation est victime d'une fuite de données, il faut qu’elle ait un plan pour remédier à la situation, minimiser l'impact et assurer la continuité des activités ? Bien qu'il n'existe pas de tactique universelle, les étapes suivantes sont essentielles pour obtenir un résultat positif.
Prévenir d'autres dommages
Tout d'abord, il faut s’assurer que la situation ne s'aggrave pas et que les attaquants ne peuvent pas se déplacer latéralement sur le réseau pour obtenir plus de données qu'ils n'en ont déjà. L’équipe technique doit être mobilisée pour évaluer l'étendue de l'infrastructure d'entreprise affectée. Une fois que les systèmes exploités ont été identifiés, ils doivent être mis hors ligne. Il est important de ne pas éteindre ces systèmes avant qu'une analyse poussée ne soit effectuée.
Les utilisateurs qui ont accès aux équipements et systèmes infiltrés doivent ensuite mettre immédiatement à jour leurs informations d'identification. Il en va de même pour les comptes de service. Cette mesure d'urgence n’est pas à négliger, les pirates peuvent maintenir leur emprise sur le réseau même après que les logiciels nuisibles aient été repérés et éliminés. En fin de compte, cela rend les efforts de récupération futiles.
L’entreprise doit engager une équipe d'experts indépendants qui l’aideront à hiérarchiser les étapes de son intervention et faciliteront le processus de collecte et d'analyse des preuves. Ces professionnels peuvent également rechercher les signes d'une menace interne et, si cette théorie s'avère exacte, ils aideront à identifier les salariés impliqués.
Une autre chose importante sur la liste de choses à faire au départ est de supprimer les données postées par erreur. Si de telles informations se sont retrouvées sur un site Web à cause d'une erreur de l'administrateur, elles doivent être supprimées immédiatement. Il est important de garder à l'esprit que les moteurs de recherche mettent en mémoire le contenu publié sur les pages Web, et qu'il peut donc rester accessible au public pendant un certain temps après avoir été effacé. Il est dans l’intérêt de l'organisation victime de contacter ces services et de demander une suppression définitive. Si elle découvre qu'une copie de ses données volées a été publiée sur une ressource tierce, la victime doit contacter son propriétaire et lui demander de la supprimer.
Il faut interroger les membres de l'équipe qui ont découvert l'incident ou d'autres personnes qui prétendent avoir des informations supplémentaires à ce sujet. Tous les éléments de preuve fournis par ces personnes ont besoin d’être analysés et rien ne doit être détruit jusqu'à la fin de l'enquête.
Combler les failles de sécurité
Une infrastructure IT reste susceptible d'être piratée tant qu'elle présente des vulnérabilités qui ont déclenché la violation initiale. Par conséquent, la correction de ces failles est une condition préalable pour déjouer une nouvelle tentative d'infiltration du réseau.
Si une organisation coopère avec un fournisseur de services gérés (MSP) pour gérer une activité spécifique, son réseau ne doit pas être le point d'entrée du piratage. Malheureusement, c'est souvent le cas. Ces entreprises ont un certain degré d'accès aux actifs de plusieurs clients, ce qui en fait des cibles attractives. Il est nécessaire de contacter ces partenaires et de vérifier s'ils ont subi une cyberattaque récemment. Si tel est le cas, leurs privilèges d'accès devront être révisés et une vérification de ces failles de sécurité devra être effectuée.
Lors de la construction de son réseau, une organisation a probablement adhéré au principe de la segmentation. Cela suppose de restreindre l'interopérabilité entre les différents environnements virtuels afin que les pirates ne puissent pas facilement étendre leur portée après avoir accédé à un serveur ou à un site Web. Si tel est le cas, la segmentation du réseau doit être revue pour isoler davantage ses différentes couches.
L’examen des journaux d'événements pour savoir qui travaillait avec les données désormais exposées lorsque la fuite s'est produite est nécessaire. En outre, il faut savoir qui avait accès aux informations à ce moment-là et si cet accès est nécessaire pour cette catégorie d'utilisateurs et il faudra peut-être modifier les autorisations en conséquence.
Pour estimer la gravité de l'incursion en termes d'opérations quotidiennes de l'entreprise, une vérification du cryptage des données était en place au moment de l'incident doit être faite. Cela change la donne, car les escrocs ne peuvent tirer aucun profit de fichiers protégés par un chiffrement (à moins qu'ils n'aient également eu accès aux clés de chiffrement...). En outre, l’entreprise doit déterminer si elle dispose de sauvegardes non affectées.
Élaborer une stratégie de communication globale
L’organisation doit tenir toutes les parties concernées informées de la fuite, qu'il s'agisse des employés, des clients, des investisseurs ou d'autres partenaires commerciaux. Elle doit éviter de faire des déclarations ambiguës ou trompeuses sur ce qui s'est passé, sur les types de données qui ont été divulguées et sur le déroulement du processus de récupération.
De même, elle ne doit cacher des aspects importants qui pourraient aider les personnes concernées à se protéger contre le vol d'identité, les escroqueries d'ingénierie sociale ciblées et d'autres abus. Par exemple, si des cybercriminels ont obtenu les numéros de sécurité sociale des clients à la suite de l'attaque, ils peuvent se faire passer pour ces victimes afin de s'inscrire à divers services et de commettre des escroqueries fiscales. Cela dit, l’entreprise doit encourager les personnes qui découvrent que leurs données ont été volées à signaler ces fraudes à la CNIL ou à un organisme équivalent.
Si possible, l’organisation devrait offrir à ses clients une certaine période de services gratuits de protection contre le vol d'identité. Cela l’aidera à regagner la confiance qui fait souvent les frais d'une violation.
Par exemple, si les informations de compte volées comprennent les détails des cartes de crédit des clients et d'autres données financières, l’organisation doit immédiatement avertir les institutions qui conservent ses dossiers afin qu'elles puissent adapter leur activité de surveillance de la fraude à un risque élevé d'abus potentiel. Il en va de même pour les données que traiter pour le compte de toute autre entité commerciale.
Respecter les réglementations légales
En fonction du secteur d'activité de l’entreprise, celle-ci doit aligner sa réponse aux violations sur les exigences légales appropriées. Par exemple, si elle fournit des services aux résidents de l'Union européenne, alors son activité commerciale est soumise au règlement général sur la protection des données (RGPD). Si l’organisation est basée aux États-Unis et opère dans le secteur de la santé, alors elle doit être conforme à la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA). L’entreprise doit respecter les dispositions spécifiques des lois applicables et les suivre avec diligence afin d'éviter les amendes pour violation de ces règles.
En outre, l’entreprise doit prévenir les forces de l'ordre dès la découverte de l'incident. Elle doit se rendre sur le site cybermalveillance.fr pour signaler l’incident. L’ANSSI dispose aussi de nombreuses ressources pour accompagner les victimes.
Mise à jour de son plan de reprise
La dernière étape pour l’entreprise consiste à revoir son processus et son plan de récupération. Quelques mois après la violation, elle doit revoir la façon dont elle a réagi et ce qu’elle aurait pu faire de mieux en tant qu'organisation. Une fuite de données est un événement majeur, et il est important d'en faire une occasion d'apprendre et de s'améliorer.
Elle doit procéder à un examen complet (pourquoi ne pas désigner une équipe de recherche ?) de son dispositif de sécurité, identifier les points faibles et prendre les mesures nécessaires pour prévenir tout incident futur. Ce type d'examen révèle souvent que le personnel n'a pas les compétences et les connaissances nécessaires pour réagir de manière adéquate à un piratage informatique.
Si la violation a été causée par l'un de ses fournisseurs tiers, les choses peuvent devenir plus délicates. Mais même dans ce cas, il est possible de travailler sur le plan qu’elle suit tous les deux après une fuite de données et d'améliorer la coordination.
Bien entendu, il est préférable d'éviter que les fuites de données ne se produisent en premier lieu. La prévention consiste à mettre en place les éléments suivants :
- Il est essentiel de réagir rapidement et efficacement à une fuite de données. Il est essentiel d'avoir un plan en place avant d'en avoir besoin. Les tests de pénétration et les exercices de la red team peuvent faire partie de cette préparation.
- Maintenir les logiciels à jour est l'un des piliers de la protection proactive contre ces incidents, tout comme empêcher la fuite des secrets par les développeurs.
- Une autre technique efficace consiste à effectuer régulièrement des tests de pénétration. Cette simulation de l'activité d'un attaquant permettra d'évaluer les capacités de détection (êtes-vous en mesure d'identifier certaines des actions effectuées par l'équipe chargée des tests de pénétration ?) et donnera des indications exploitables sur les maillons faibles de la posture de sécurité de l’organisation.
- Avoir toujours en tête que l'éducation à la cybersécurité est essentielle. Il est important d'encourager les utilisateurs à signaler toute activité suspecte (ou toute erreur qu'ils ont commise). Souvent l'utilisateur se contente de fermer les fenêtres ou de passer à d'autres activités sans signaler l'incident à l'équipe de sécurité informatique.
Si le pire scénario se produit, il faut savoir quoi faire et qui contacter. Les recommandations ci-dessus devraient mettre l’organisation sur la bonne voie.