Un piratage stupéfiant de données
Certains rapports estiment que Sony était piraté depuis un an. L’ampleur des données publiées est tout simplement hors du commun : en ressources humaines des documents qui détaillent les informations sur les salariés : adresses des domiciles, 47 000 numéros de sécurité sociale, grilles de salaires, entretiens d’évaluation, et les politiques de développement de la société : stratégies de recrutement, informations marketing, documents de politique commerciale, projets de films, scripts pas encore en production … une capture stupéfiante de données confidentielles ou sensibles.
A lire aussi Espionnage industriel : êtes-vous concerné
Un budget de sécurité pas à la hauteur des risques
Selon les documents divulgués, le budget de Sony Pictures Entertainment pour la sécurité de l’information serait de 1,5 à 2.000.000 $ par an. Pour une société valorisée à plusieurs dizaines de milliards de dollars, le montant est aussi faible qu’inefficace. Les Gardiens de la Paix ont probablement travaillé avec des initiés, le mal est fait et montre l’ampleur de la négligence systémique de son informatique. Lorsque vous considérez le risque propre à votre organisation, le coût des mesures de sécurité doit être pesé par rapport à la vraisemblance qu’une ressource puisse être compromise, sauf pour les informations d’identification personnelle comme les numéros de sécurité sociale de milliers de salariés et d’anciens salariés, avec adresses, données de soins de santé. Les dégâts sont incommensurables : identités volées, comptes bancaires compromis, domiciles fragilisés.
La défense en profondeur de votre système d’information
La défense en profondeur est une stratégie qui conçoit votre plan de sécurité autour de la sécurisation de tous les domaines opérationnels, et de chaque interconnexion entre réseaux et systèmes. Elle conduit par procuration à la diligence raisonnable en profondeur: une image complète et détaillée des mesures prises pour assurer la sécurité de votre entreprise par le personnel responsable. Si Sony avait pratiqué cette stratégie et assuré la diligence de ses employés sécurité de l’information, elle aurait probablement évité le pire. La défense en profondeur réduit grandement les risques de piratage de vos systèmes. Chaque couche de sécurité ajoute un barrage aux attaques des hackers. En outre, une fonction de mise en réseau qui interdit implicitement aux postes de travail de parler entre eux – mais pas les serveurs aurait selon les experts entravé la propagation de malware.
A lire aussi Ecoutes par la NSA : intox ou hypocrisie ? Témoignage d’un cadre
Leçons à tirer du piratage de Sony Pictures
Comme pour tout incident de sécurité, la dernière violation des données de Sony offre un trésor d’enseignements à tirer :
– Accepter les échecs de conformité réglementaire comme des «risques acceptables» et y remédier.
– Arrêter de stocker les noms d’utilisateurs et les mots de passe de comptes d’administration ou d’utilisateurs dans des fichiers texte n’importe où sur votre réseau local comme l’a fait Sony. Etablir un gestionnaire de mot de passe physiquement dans un stockage crypté dans un coffre-fort verrouillé ou en dehors du réseau.
– Ne plus stocker les informations d’identification personnelle des salariés ou des clients dans des formats de fichiers non garantis. Les maintenir dans une base de données correctement cryptée, et prendre toutes les mesures pour les protéger conformément au droit réglementaire applicable. Fixez cette base de données contre les accès non autorisés avec une authentification multi-facteurs, et pas seulement par un simple mot de passe.
– Sensibiliser votre middle management sur les avertissements des subordonnés relatifs à des failles de sécurité potentielles ou des préoccupations, vous assurer qu’il y a un processus de communication clair pour permettre à tout collaborateur de signaler une préoccupation de sécurité.
– Recruter du personnel qualifié en sécurité de l’information qui exerce ses fonctions avec le sens de sa responsabilité de «police de données », à savoir assurer que les données sensibles telles que les informations d’identification personnelle des salariés soient autant que cela se peut impossibles à pirater.
– Recourir à des contrôles externes pour examiner l’état de votre sécurité et vous fournir des indications ou des suggestions alternatives quant aux zones difficiles à sécuriser.
– Faire des tests de pénétration de votre réseau et des systèmes de votre entreprise afin de vous assurer que votre stratégie de sécurité vous protège autant que cela est techniquement possible. Ces tests de pénétration doivent utiliser les mêmes techniques criminelles pour pénétrer dans votre réseau.
– Pratiquer la défense en profondeur, appliquer des filtres granulaires et des mesures de sécurité à tous les niveaux, dans tous les domaines de fonctionnement. Une stratégie de sécurité qui n’est pas exhaustive n’est pas une bonne stratégie: la capacité d’obtenir les données de votre organisation est inversement proportionnelle au nombre d’aspects négligés ou sans surveillance dans votre système d’information.
– N’utiliser pas les fonctionnalités de sécurité disponibles pour vous qui sont déjà intégrés à votre infrastructure de réseau et des systèmes. Pourquoi ne pas utiliser une fonction lorsque vous avez la possibilité de le faire ? Certains pourraient ne pas être adaptés, mais d’autres peuvent combler une lacune critique. Parlez avec vos ingénieurs pour voir ce qui peut être fait.
– Vérifier les attitudes de votre personnel en matière de technologies de l’information et de la sécurité de l’information vers leur métier. Un salarié qui néglige la sécurité doit être immédiatement alerté et invité à changer de comportement. Evitez ainsi une «menace interne», un salarié irresponsable est aussi dangereux qu’un mécontent.
A lire aussi La Mafia a-t-elle infiltré votre entreprise… ?!