Le niveau d’exposition aux risques des fichiers sensibles atteint un niveau alarmant

0

Varonis dévoile les conclusions de la nouvelle édition du « Varonis Data Risk Report », qui donne un aperçu des risques associés aux données des entreprises, identifie l’emplacement des données sensibles et réglementaires, révèle les zones à risque élevé et surexposées, et formule des recommandations visant à accroître le dispositif de sécurité des entreprises. En plus, il montre qu’au sein des entreprises le niveau d’exposition aux risques des fichiers sensibles atteint un niveau alarmant car, en moyenne, pas moins de 20 % des dossiers seraient laissés en accès libre à l’ensemble des employés.

S’appuyant sur sa plateforme DSP (Data Security Platform), Varonis a mené plus de mille évaluations de risques sur un sous-ensemble de systèmes de fichiers appartenant à des clients existants et potentiels ayant comme principale conclusion l’incapacité des entreprises à réduire l’utilisation des groupes d’accès globaux, à verrouiller les fichiers sensibles et à supprimer les données obsolètes les expose à un risque de piratage de leurs données, à des menaces internes et à des attaques par rançongiciel aux conséquences dévastatrices.

Pour beaucoup d’entreprises, le monde de la cybersécurité demeure toujours difficile à comprendre, les attaques peuvent surgir de partout et à tout moment. Le coût d’une faille de données sera en effet dévastateur puis que 47 % des entreprises laissent au moins 1 000 fichiers sensibles ouverts à tous les employés. En plus, pour 22 % d’entre elles, ce chiffre monte même à 12 000 fichiers sensibles laissés en accès libre à tous leurs employés.

Varonis 1Selon une étude client réalisée par TechValidate, 68 % des entreprises réalisent une évaluation des risques pour mesurer leurs préoccupations liées à la sécurité, 89 % bénéficient de l’identification de leurs données à risque classées et sensibles, et 82 % placent la question de l’accès généralisé au premier rang de leurs priorités après avoir pris connaissance des résultats. Par contre, 71 % de l’ensemble des dossiers analysés par Varonis contenaient des données obsolètes, soit un total de près de 2 pétaoctets de données.

Une évaluation des risques est nécessaire

« Dans les cas de piratage de données et d’attaques par ransomware, les fichiers sont ciblés en raison de leur degré de sensibilité et sont généralement vulnérables à une mauvaise utilisation faite en interne ou en externe par des utilisateurs qui franchissent le périmètre » affirme Norman Girard, Vice-Président et directeur général Europe de Varonis. Ainsi, les entreprises participent aux évaluations des risques ont conscience de la valeur de leurs données et des risques encourus en cas de vol ou d’utilisation abusive.

Elles doivent donc procéder à une évaluation des risques afin de déterminer ce qu’une faille pourrait concrètement leur coûter, et surtout faire attention aux millions de dossiers associés à des autorisations uniques, ce qui augmente la complexité et rend difficile pour les entreprises la mise en place du principe du moindre privilège et le respect de réglementations telles que le Règlement général sur la protection des données (General Data Protection Regulation, GDPR).

Une évolution imposé par le règlement concerne l’obligation de nommer un data protection officer (DPO, ou délégué à la protection des données). Ce délégué exercera de nombreuses missions, notamment d’information et de conseil du responsable du traitement des données personnelles. Il s’assurera également du respect des dispositions du règlement et de la communication avec l’autorité nationale de protection des données (en France, la CNIL).

« les données en elles-mêmes restent encore trop souvent largement accessibles et non surveillées »

Dans ce sens, selon une récente étude du Ponemon Institute, 62 % des utilisateurs finaux affirment avoir accès à des données de l’entreprise qu’ils ne devraient probablement pas pouvoir consulter. Par ailleurs, une étude de Forrester Consulting a conclu que 59 % des entreprises n’appliquaient pas de modèle d’autorisation selon le principe du « need-to-know » (besoin de savoir) pour autoriser l’accès à leurs fichiers sensibles.

 

En conclusion, si les entreprises portent aujourd’hui leur attention sur les mécanismes de défense externes et la neutralisation des menaces, « les données en elles-mêmes restent encore trop souvent largement accessibles et non surveillées », signale Norman Girard.

About Author

Globb Security France

Leave A Reply