Détection et réaction en cas d'accès non autorisé

La façon la plus simple d'envisager la sécurité des données consiste à contrôler l'accès et l'accès non autorisé. Qu'il s'agisse d'un accès non autorisé à des données ou à un réseau informatique, c'est l'archétype du risque pour la sécurité des données. L'idée est simple, mais le défi consiste à définir ce qui constitue un accès non autorisé, comment l'empêcher et comment le détecter et y répondre lorsqu'il se produit inévitablement.

Qu'est-ce qu'un accès non autorisé ? Définition et points clés

On parle d'accès non autorisé chaque fois qu'une personne - un acteur interne ou externe - accède à des données, des réseaux, des points de terminaison, des applications ou des appareils sans autorisation. Il existe plusieurs causes ou scénarios courants d'accès non autorisé à des données et à des réseaux informatiques - des mots de passe faibles qui sont facilement devinés ou piratés aux systèmes sophistiqués d'ingénierie sociale tels que le phishing qui incitent les utilisateurs autorisés à divulguer leurs informations d'identification, en passant par les comptes compromis qui ont été piratés et pris en charge par des acteurs illégitimes.

Quels sont les risques d'un accès non autorisé aux données ?

Une fois qu'une personne a obtenu un accès non autorisé à des données ou à des réseaux informatiques, elle peut causer des dommages à une organisation de différentes manières. Ils peuvent voler directement des fichiers, des données ou d'autres informations. Ils peuvent tirer parti d'un accès non autorisé pour compromettre davantage les comptes. Ils peuvent détruire des informations ou saboter des systèmes et des réseaux. Tous ces scénarios comportent des risques inhérents, des coûts et des amendes potentielles pour l'entreprise - mais les dommages à long terme causés par un accès non autorisé peuvent se poursuivre insidieusement sous la forme d'une atteinte à la réputation et à la confiance, ainsi que d'impacts continus sur les revenus.

5 stratégies pour empêcher les accès non autorisés

1. Adopter le principe du moindre privilège (POLP)

Selon un rapport publié en 2020, la moitié des organisations ont des utilisateurs disposant de privilèges d'accès supérieurs à ceux dont ils ont besoin pour faire leur travail. L'approche POLP vise à vérifier régulièrement les privilèges d'accès des utilisateurs internes afin de garantir le niveau d'accès minimal nécessaire aux données, systèmes, réseaux et appareils pour permettre à l'individu d'assumer les responsabilités essentielles de son rôle. L'une des clés est de se concentrer sur l'idée de "responsabilités essentielles" ; un accès temporaire peut être accordé dans des cas exceptionnels tout en maintenant l'accès le moins privilégié pour le travail quotidien.

2. Mettez en place une politique de mot de passe solide

Des mots de passe forts constituent l'une des meilleures protections contre les accès non autorisés. Cela signifie qu'il faut élaborer et appliquer une politique de mots de passe forts qui exige de tous les utilisateurs qu'ils suivent les meilleures pratiques établies pour créer - et changer régulièrement - des mots de passe forts, et s'assurer que les mots de passe ne sont pas réutilisés sur des appareils, des applications ou d'autres comptes. L'un des moyens les plus simples d'aider vos utilisateurs à conserver des mots de passe forts est d'utiliser un gestionnaire de mots de passe qui peut générer (et mémoriser) des mots de passe d'une complexité et d'un caractère aléatoire bien plus grands que ceux qu'un être humain pourrait jamais obtenir.

3. Utilisez l'authentification multifactorielle (MFA)

L'accès non autorisé découle souvent d'un single mot de passe ou d'un single identifiant compromis. Mais si la personne n'a fait que deviner, pirater ou obtenir illégitimement le mot de passe, l' authentification multifactorielle peut facilement empêcher l'accès non autorisé. L'acteur illégitime n'aura certainement pas accès à la forme secondaire (ou tertiaire) de vérification de l'identité (comme un code d'accès à usage unique envoyé à l'appareil mobile de l'utilisateur légitime). 

4. Maintenir les correctifs de sécurité à jour

Les acteurs externes obtiennent souvent un accès non autorisé par le biais de vulnérabilités connues. Heureusement, cela signifie que ces intrusions peuvent être bloquées en veillant simplement à mettre régulièrement à jour tous les logiciels, à garder les correctifs de sécurité à jour et à régler les mises à jour de sécurité sur automatique chaque fois que cela est possible.

5. N'oubliez pas la sécurité physique

Bien que la plupart des accès non autorisés soient numériques - l'acteur non autorisé utilise un identifiant compromis pour accéder à des données ou à des réseaux informatiques à partir de son propre appareil -la sécurité physiquesur votre lieu de travail est toujours essentielle. Qu'il s'agisse d'un acteur interne malveillant ou d'un acteur externe visitant votre lieu de travail, laisser des appareils déverrouillés ou des mots de passe écrits bien visibles est une recette facile pour un accès non autorisé.

Comment détecter un accès non autorisé ?

La prévention est la première défense contre les accès non autorisés. Mais lorsque ces incidents se produisent, le temps est un facteur essentiel pour atténuer les dommages. Plus vous pouvez détecter immédiatement un accès non autorisé - et plus vous pouvez enquêter efficacement sur l'incident - plus vous pouvez réagir rapidement pour verrouiller l'accès, exclure l'acteur illégitime et reprendre le contrôle de vos données, de vos systèmes et de vos réseaux.

Il existe de nombreuses technologies de sécurité conventionnelles, telles que DLP et CASB, qui promettent d'alerter les équipes de sécurité en cas d'accès non autorisé à des données ou à un réseau informatique. Malheureusement, les outils de sécurité conventionnels se heurtent à trois problèmes majeurs :

Problème majeur n° 1 : la plupart des accès non autorisés sont le fait d'initiés.

Qualifier les accès non autorisés d'"intrusions" est une erreur d'appellation courante. En effet, environ deux tiers des violations de données sont le fait d'initiés. Il s'agit d'employés, de tiers tels que des partenaires fournisseurs et d'autres acteurs internes qui disposent déjà de privilèges d'accès importants au sein de votre organisation. Il ne s'agit donc pas simplement de rechercher le drapeau rouge d'un acteur extérieur que vous ne reconnaissez pas.

Problème n°2 : De nombreux accès non autorisés ne sont pas forcés

L'expression "accéder sans autorisation" a des connotations de piratage ou d'intrusion dans un système ou un réseau. La plupart du temps, ce n'est pas si difficile : Les fichiers et les informations ne sont pas correctement sécurisés, que ce soit en ne sécurisant pas du tout les informations pour les utilisateurs internes ou en ne respectant pas le principe du moindre privilège. La partie "sans autorisation" de la définition de l'accès non autorisé est également floue : Si l'accès n'est pas sécurisé ou si un employé peut accéder aux données ou au réseau, doit-il demander une autorisation spécifique ? Les outils de sécurité conventionnels basés sur des règles ont du mal à gérer ce type d'accès non autorisé, car les utilisateurs internes n'enfreignent aucune règle qui déclencherait des alertes. Mais quelle que soit l'intention, le risque est toujours présent.

Problème n°3 : De plus en plus de données n'ont pas d'autorisations définies

Dans l'entreprise typique de l'"économie de la connaissance", le "travail" que les employés effectuent chaque jour prend la forme de fichiers et de données qu'ils créent, partagent et modifient tout au long de la journée. Ces données non structurées se trouvent sur des terminaux, dans des applications de stockage et de synchronisation et de partage en nuage telles que Box ou Google Drive, dans des pièces jointes d'e-mails, des chats Slack, etc. L'accès illégitime à ces données peut ne pas être techniquement "non autorisé" parce que les données sont créées et évoluent trop rapidement pour être officiellement classées comme sensibles, protégées ou de grande valeur. Mais lorsque ces fichiers se transforment en informations plus précieuses ou plus sensibles, les équipes de sécurité doivent être en mesure de contrôler (et de retracer) qui a eu accès à quoi, quand et par quels canaux.

Toutes les données sont importantes - concentrez-vous sur les signaux de risque

Alors que la complexité des données, des systèmes et des réseaux augmente dans l'entreprise moderne, la prévention, la détection et la réponse à un accès non autorisé nécessitent un changement de mentalité : Toutes les données sont importantes. Les équipes de sécurité doivent avoir une visibilité permanente sur toutes les activités liées aux données et aux fichiers, pour tous les utilisateurs et tous les appareils, sur le réseau et en dehors.

Cette base de visibilité des données permettra aux équipes de sécurité d'éliminer le bruit des activités quotidiennes et d'identifier un signal de risque de haute fidélité qui peut indiquer un accès non autorisé qui n'est pas facilement signalé ou bloqué par les outils de sécurité conventionnels. Ces signaux de risque se répartissent en quelques catégories principales - activité en dehors des heures de travail, activité des employés qui quittent l'entreprise, activité de fichiers de grande taille ou de grande valeur - mais tout cela se résume à une seule idée : Les utilisateurs accèdent à des systèmes, des fichiers ou des informations qu'ils n'ont pas l'habitude deconsulter .

Adoptez une approche adaptée à la réponse aux accès non autorisés

Il n'existe pas d'approche unique de la réponse aux incidents en cas d'accès non autorisé. La réponse dépend de ce qui a été consulté, de la personne qui l'a consulté et de ce qui s'est passé ensuite. La clé pour limiter les dégâts est de s'assurer que votre équipe de sécurité peut obtenir des réponses rapides à ces questions cruciales. Cette même base de visibilité complète de toutes les activités des utilisateurs, des fichiers et des données permet d'accélérer les enquêtes sur les incidents, en donnant aux équipes de sécurité des informations contextuelles pour répondre à ces questions centrales et en leur fournissant les preuves médico-légales nécessaires pour collaborer avec les RH, le service juridique et le service informatique afin de réagir rapidement et efficacement.

Découvrez comment Mimecast Incydr peut vous aider à détecter les accès non autorisés aux données, appareils, systèmes et réseaux de votre entreprise et à y répondre.