Avec la pandémie en cours, une vague de cybercriminalité sans précédent est en train de submerger le monde entier, avec en particulier un risque majeur de vol, de corruption ou de détournement de données critiques, ce qu’on appelle un Data Breach… Pour faire le point sur cette situation inédite, OakLand Group, un acteur spécialisé expert de la Data Privacy et de la Data Protection et le pôle d’expertise en cybersécurité du groupe AUSY exposent leur vision.
la crise sanitaire a-t-elle eu une incidence sur la sécurité des entreprises et les cyberattaques ?
La crise sanitaire que nous sommes en train de vivre a profondément et brutalement changé notre manière de travailler et ceci dans une logique de court terme qui n’est pas forcément soutenable dans la durée. Des mesures exceptionnelles ont dû être mises en place par la plupart des entreprises pour maintenir leurs activités. Une partie d’entre elles étaient déjà aguerries aux méthodes de télétravail, facilitées ces dernières années par la législation, les services cloud et les outils collaboratifs. D’autres ont dû réagir dans l’urgence, parfois même au détriment de la sécurité de leurs infrastructures en permettant, par exemple, l’utilisation de matériel personnel pour un usage professionnel ou l’installation de logiciels grand public non validés par les DSI ; et tout ceci avec des salariés qui n’étaient pas préparés ou suffisamment sensibilisés aux risques informatiques encourus.
Les cybercriminels l’ont bien compris et n’ont pas tardé à passer à l’action. Force est de constater que les actes de cybercriminalité ont augmenté dans des proportions inédites depuis le début de la pandémie. Ils ont su jouer sur la psychose ambiante, la déstabilisation des salariés dans leur environnement domestique et l’effacement progressif des barrières entre les activités professionnelles et personnelles.
Ainsi, il a été constaté une forte augmentation au niveau mondial des attaques sous forme de phishing (hameçonnage) à travers l’envoi de fausses notifications pour se connecter à une visio-conférence, pour écouter un message audio, ou avoir les dernières nouvelles sur la propagation de l’épidémie par exemple. Ces tentatives d’infection des outils informatiques sont de véritables bombes à retardement qui n’attendent qu’une chose : que l’utilisateur se reconnecte au réseau de l’entreprise !
Aujourd’hui plus de 90% des malwares sont véhiculés par email, via des envois de masse en mode « Spray and...Pray ! », terme emprunté au monde financier qui désigne l’envoi massif de messages génériques, ou bien en « Spear-Phishing », une technique plus complexe et plus efficace qui cible plus spécifiquement une personne et donc plus trompeuse pour l’utilisateur. Une fois que vous avez cliqué au mauvais endroit, le ou les logiciels malveillants auxquels vous avez ouvert grand la porte, vont chercher à exploiter des failles dans les configurations de votre PC ou dans les logiciels installés et non mis à jour.
En bref, quels que soient les moyens investis par une entreprise dans la protection technique de ses infrastructures informatiques et de son patrimoine applicatif, l’utilisateur, vous, nous, restons les maillons faibles et potentiellement à la source d’un Data Breach.
comment définiriez-vous ce qu’est un data breach ?
Un Data Breach, au sens du RGPD, est une violation accidentelle ou illicite de la sécurité entraînant l’accès à des données à caractère personnel et potentiellement leur destruction, perte, altération ou divulgation ayant pour conséquence une possible atteinte à la vie privée des personnes concernées. Le but est d’obtenir des données de valeur, soit pour les monétiser sur d’autres environnements, soit pour demander une rançon (le plus souvent sous forme de bitcoins).
Le RGPD, pour Règlement Général pour la Protection des Données personnelles, est un règlement de l'Union européenne du 27 Avril 2016 qui constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données et la libre circulation de ces dernières pour les individus au sein de l'Union Européenne.
dans votre domaine d’intervention, quels sont les principaux impacts et les conséquences d’un data breach ?
Nous ne pouvons que constater la fragilité de nos organisations et l’exposition de nos data face à cette cybercriminalité montante. Depuis 5 ans la fréquence et l’impact des fuites de données a explosé et il est estimé que les dommages liés au cybercrime vont atteindre 6 000 Milliards de dollars en 2021. S’attaquer à une entreprise peut être très lucratif : Des millions de dollars sont demandés pour restaurer des données chiffrées par des ransomwares et si l’entreprise refuse de payer, les pirates n’hésitent plus à les vendre aux enchères ou à les exposer sur internet. Un Data Breach entraine donc forcément des conséquences plus ou moins graves pour la renommée d’une entreprise et donc un impact financier lié à la perte potentielle de clients, partenaires ou investisseurs. De surcroit, si une négligence est clairement mise en évidence, l’autorité de contrôle peut lui infliger une amende représentant jusqu’à 4% de son chiffre d’affaires global.
avez-vous constaté des écueils récurrents dans la gestion du data breach ?
On le répète souvent mais il n’est plus question de savoir SI votre entreprise sera victime d’une attaque mais de savoir QUAND ET SURTOUT COMMENT REAGIR quand cela arrivera. Lorsque la maison est en flammes ce n’est en général pas le bon moment de se demander comment joindre les pompiers et quoi sauver en priorité. Il faut donc se poser les bonnes questions dès aujourd’hui sur les procédures, les moyens techniques et l’organisation à déployer le jour de la crise.
Notre retour d’expérience nous a permis de mettre en évidence des manquements systématiques face à ce type d’attaques. Avant tout, il s’agit principalement de problématiques liées à un manque d’acculturation de l’organisation ainsi qu’à des processus et une gouvernance inadaptés. En effet, les principaux écueils dans la gestion d’un Data Breach sont directement liés à l’impréparation ou au manque d’implémentation de processus formels et une gouvernance incertaine qui exposent les organisations aux impacts cités plus haut. Lorsque qu’une brèche est détectée, personne n’est prêt pour s’occuper de l’opérationnel.
est-il facile de détecter un data breach et d’évaluer son impact technique ?
Loin de là ! D’après une enquête d’IBM, en 2019, un incident de sécurité est identifié en moyenne 206 jours après son apparition et c’est en moyenne 106 jours supplémentaires qui sont nécessaires pour les remédiations et les traitements post-mortem. Presqu’un an donc ! Ces délais peuvent être expliqués par la quantité importante de données et traces générées chaque jour par les SI modernes (de plusieurs Giga-octets pour des SI de petite taille à des Téraoctets pour des grands groupes), des techniques de plus en plus sophistiquées des acteurs malveillants et les équipes DSI/SSI souvent trop petites et surchargées pour pouvoir traiter, analyser et corréler correctement les informations.
quels sont les éléments techniques à collecter et à présenter dans un rapport technique pour documenter correctement un data breach ?
L’objectif principal des données techniques à rassembler lors d’une fuite de données est d’aider les prises de décision dans un moment de crise. Ces données devraient apporter les réponses aux questions suivantes :
- Quelles sont les personnes concernées par cet incident ?
- Quels types de données (nature, format, quantité) ont été accessibles sans autorisation ?
- Qui y a eu accès (acteur interne, externe, non identifié) ?
- Quand a eu lieu la fuite, combien de temps a-t-elle duré et quand a-t-elle été détectée ?
- Comment les données concernées ont-elles été manipulées (lecture, copie, exfiltration, altération) ?
- Quelle était l’origine de la fuite (acte malveillant, erreur humaine ou technique) ?
- Quelle remédiation appliquer immédiatement et à long terme ?
- Le phénomène peut-il se reproduire ?
La seule manière d’être en capacité de répondre à ces questions est d’avoir été préparé avant l’incident, à savoir :
- S’assurer régulièrement que tous les systèmes pertinents génèrent bien des logs (firewalls, proxy web, bases de données, anti-virus et systèmes d’accès aux bureaux…).
- S’assurer que ces logs sont centralisés, sécurisés et protégés contre des altérations malveillantes. Il est difficile d’analyser l’origine d’un ransomware si le serveur de centralisation des logs est également chiffré par exemple.
- Cartographier les données, les traitements associés, les accès autorisés et les interactions entre les différents outils. Par exemple, si l’entreprise traite des données sensibles (santé, bancaires, personnelles) il est très important de savoir où et sous quel format elles sont stockées et qui a le droit d’y accéder.
- S’assurer que tous les accès et toutes les actions sur les données de l’entreprise sont non répudiables et tracés correctement.
En plus de guider les décisions du management et du DPO (Data Protection Officer) sur la gestion de la crise, ces informations vont également permettre par la suite de fournir des preuves au régulateur, de communiquer efficacement auprès des personnes concernées et d’aider dans la mise en place des remédiations et correctifs techniques.
comment peut-on savoir qu’un data breach a été correctement géré ?
Un cas de Data Breach est considéré comme bien géré lorsque :
- Un incident a été ouvert dès la constatation du problème.
- Toutes les informations concernant le problème, et nécessaires au Data Protection Officer, ont été documentées.
- Tous les sous-traitants concernés (au sens RGPD) se sont vus informés de l’évolution de la prise en compte du problème.
- Tous les éléments liés à l’évolution du traitement du problème sont documentés dans le ticket.
- Le(s) problème(s) ou limite(s) à l’origine du problème ont été clairement identifiés et corrigés.
- Dans le cas d’un sous-traitant, le Data Protection Officer communique immédiatement tous les éléments du problème après identification par ses équipes au(x) responsable(s) des traitement(s).
- Dans le cas d’un responsable des traitements, le Data Protection Officer communique dans les 72 heures tous les éléments du problème après identification par ses équipes à l’autorité de contrôle et potentiellement aux personnes concernées, après avis de la direction de l’entreprise et/ou de l’autorité de contrôle.
- Tous les éléments ont été communiqués. Toutes les démarches demandées par l’autorité de contrôle et les personnes concernées ont été effectuées dans le temps imparti.
- Le statut de l’incident associé a été mis à jour d’une manière appropriée et a été fermé seulement quand la situation présente toutes les conditions requises.
- Les mesures techniques pour éviter que le problème d’origine ne se reproduise sont mises en place d’une manière durable, fiable et documentée.
quelles sont les méthodes de remédiation les plus efficaces ?
Qu’on se le dise, il n’y a pas de solution miracle ici. La défense en profondeur reste le standard le plus adapté. Le but est d’opposer le plus de couches de sécurité et d’outils de protection à un attaquant pour le retarder (et ainsi pouvoir le détecter à temps) ou limiter l’impact de son intrusion. De la protection périmétrique au chiffrement des données en passant par le principe du moindre privilège, tous les moyens ont leur rôle à jouer… Mais comme évoqué plus tôt, un utilisateur malveillant ou maladroit, qui copie un document confidentiel sur une clé USB pour l’emmener chez lui contourne complétement tous ces outils. Un travail de préparation et d’adaptation continue au niveau de l’information, de l’organisation, des processus auprès des collaborateurs et partenaires est donc de la plus haute importance.
que manque-t-il aux entreprises pour y faire face correctement et quelle pourrait être une meilleure approche ?
Dans une organisation classique, telle qu’on la trouve chez la plupart de nos clients, différents acteurs, à différents niveaux, sont impliqués dans ce type de situation :
- Des consultants juridiques et avocats
- Des spécialistes sécurité, au sens ISO 27001
- Des gestionnaires IT focalisés sur la gestion quotidienne des opérations
- Un département légal, lui aussi fonctionnant au jour le jour (day to day)
Or, la plupart du temps, ces services correspondants sont assurés en parallèle, avec des degrés de maturité différents, sans qu’il n’y ait de lien ou de synchronisation approprié permettant de coordonner et d’orienter l’ensemble des tâches opérationnelles à mener. De ce fait personne ne peut ou ne souhaite s’occuper du « problème » dans son intégralité.
De plus, face à la situation actuelle post pandémie, les entreprises fragilisées se concentrent davantage sur le redémarrage de leurs activités, sur leur santé financière. Certaines équipes restent encore délocalisées, ce qui ne place pas le sujet de la sécurité des données en priorité et peut aussi compliquer la coordination des actions pour avoir une réponse juste face à une attaque.
Le responsable de traitement (au sens RGPD) doit considérer la gestion des Data Breach comme une priorité et dispose d’un délai de 72 heures pour identifier le problème avec le bon niveau de détails, pour mettre en place des mesures correctives et pour informer la CNIL ainsi que les personnes concernées. La gestion d’un Data Breach nécessite un cadrage global, d’une part de la gouvernance et de la communication, d’autre part de l’analyse et de la remédiation techniques.
quel est l’intérêt de s’associer avec un partenaire tiers (oakland / ausy) pour la gestion d’un data breach plutôt que d’intervenir uniquement par ses propres moyens ?
S’appuyer sur des partenaires de confiance pour se préparer en amont et gérer en aval un Data Breach peut être la solution. Réunir des forces et des savoir-faire complémentaires, comme c’est le cas avec AUSY et OAKland Group, permettrait de proposer une gestion complète et de bout en bout. La combinaison d’expertises en cybersécurité et RGPD garantit un accompagnement sur l’alignement préalable de l’organisation et du processus de gestion des brèches tant dans la définition et la mise en place, que la gestion des cas de crise, et ce, sans compter l’adaptation permanente à l’évolution de l’organisation et de la réglementation.
L’expérience d’OAKland Group sur la préparation et la sensibilisation en amont, mais également les bons réflexes et les démarches à suivre une fois l’incident arrivé, couplée à l’expertise technique cybersécurité d’AUSY garantirait un service de bout en bout, des phases de conseils à la remédiation. De plus, le RGPD utilise un langage bien spécifique et repose sur une structure bien définie de responsabilités, de canaux de communication et de délais. S’associer avec une société dont le cœur de métier est la donnée et sa protection permet d’ajouter la couche gouvernance et process aux savoir-faire techniques apportés par AUSY, de bénéficier d’un point de contact unique, d’une activation du service directe et simple ainsi que d’une prise en charge jusqu’à clôture finale de l’incident : Service tout en un !
OAKland Group, société de dimension internationale, dont le siège est à Genève, a pour mission d’accompagner les entreprises dans toutes les étapes de la définition et de la mise en œuvre de leur stratégie Data, avec pour objectif d’augmenter leur valeur. Data Strategy, Data Operations et Data Compliance sont les 3 principaux axes d’expertise proposés par OAKland. La conformité, notamment eu égard au RGPD, doit être au cœur de la stratégie pour faire des données un patrimoine de valeur, et de l’entreprise un partenaire de confiance.
AUSY, ESN internationale filiale du groupe Randstad, c’est plus de 70 consultants cybersécurité en France et au Portugal, avec des rôles et compétences variés, allant de la mise en place de SMSI jusqu’au hacking éthique en passant par la rédaction des PCA, la mise en place d’architectures réseaux sécurisées, l’optimisation d’infrastructures Cloud ou la gestion d’incidents de sécurité. Des compétences que nous challengeons lors d’évènements et salons cyber comme par exemple le FIC où les consultants AUSY se sont classés dans le Top 20 cette année avec une équipe de seulement 4 hackeurs !