Actualité web & High tech sur Usine Digitale

Dis-moi comment tu nommes tes fichiers... je trouverai les données sensibles de ton entreprise

|
Twitter Facebook Linkedin Google + Email
×

Le nom d’un fichier peut paraître anodin mais il peut mettre les données d’une entreprise à la disposition d’un cybercriminel interne ou externe, explique Joël Mollo, Directeur Europe du Sud Skyhigh Networks. Il est donc nécessaire d’informer et de former les employés sur ces problématiques ou de prendre les mesures nécessaires avec des solutions adaptées : contrôle des accès, chiffrement, etc.

Dis-moi comment tu nommes tes fichiers... je trouverai les données sensibles de ton entreprise
Dis-moi comment tu nommes tes fichiers... je trouverai les données sensibles de ton entreprise © Yuri Samoilov - Flickr - C.C.

Tout le monde s’accorde à dire que l’utilisation des données représente un enjeu majeur pour les entreprises. Il n’est donc pas étonnant qu’elles attirent toutes les convoitises, que ce soit de la part des spécialistes du marketing, du stockage ou de la sécurité. Les données sont au cœur de nos vies et de celles des entreprises. 

 

Dans l’entreprise, les données sont diverses : données personnelles des employés, données clients, données marketing, données stratégiques (R&D, contrats, etc.), données financières… Pas étonnant que ces dernières suscitent également un intérêt croissant auprès des cybercriminels, mais aussi des concurrents, des hacktivistes… qui peuvent chercher à les voler, à les détruire ou les rendre illisibles, sauf contre le paiement d’une rançon.

 

Historiquement, et à plusieurs niveaux (réseaux, serveurs, postes et terminaux), les entreprises ont appris à dresser des protections afin de sécuriser leurs données. Pourtant, malgré toutes ces précautions, l’actualité de la sécurité informatique reste l’une des plus riches en matière d’affaires criminelles. Le constat est simple : toutes les entreprises subissent régulièrement des attaques et il y a forcément un moment ou l’une d’entre- elles percera les défenses.

 

De plus, une fois l’attaque réussie et les données accessibles, le travail du cybercriminel est parfois facilité. 

 

Le fichier de la tentation

Comme le prouve les dernières actualités en matière de vols de données, les cybercriminels recherchent le plus souvent des documents qui contiennent des informations stratégiques (ex : budgets de l’entreprise, salaires, numéros de sécurité sociale des employés, etc.).

 

Or, il n’est pas rare que les employés peu informés emploient des mots clés explicites lorsqu’ils nomment leurs fichiers ou les documents qu’ils créent. Il est effectivement assez logique d’utiliser des mots comme "prime", "budget" ou "salaire" dans le nom des fichiers contenant des informations éponymes.

 

Une récente étude de Skyhigh Networks "Cloud Adoption and Risk Report" ?liste d’ailleurs les principaux noms de fichiers utilisés par les entreprises.?

Une organisation dispose ainsi en moyenne de :? 

- 7886 documents avec "budget" dans le nom de fichier?

- 6097 documents avec "salaire" dans le nom de fichier?

- 2681 documents avec "prime" dans le nom de fichier?

- 2217 documents avec "confidentiel" dans le nom de fichier?

- 1156 documents avec "mot de passe" dans le nom de fichier?

- 1384 documents avec "passeport" dans le nom de fichier?

- 156 documents avec "communiqué de presse" dans le nom de fichier

 

Outre les menaces externes, il est indispensable de rappeler que sans une bonne gestion des droits d’accès aux données, les employés peuvent également effectuer des recherches sur les serveurs de l’entreprise en utilisant le même vocabulaire et sont donc susceptibles d’accéder à des informations sensibles. Si un employé est en conflit avec son entreprise, sur le point de partir chez un concurrent ou tout simplement corrompu pour vendre des informations confidentielles, l’accès aux données devient un problème majeur. C’est ce que l’on appelle plus couramment la menace interne.

 

Le nom d’un fichier peut paraître anodin mais peut mettre très simplement les données d’une entreprise à la disposition d’un cybercriminel interne ou externe. Il est donc particulièrement important pour une entreprise d’informer et de former ses employés sur ces problématiques ou de prendre les mesures nécessaires avec des solutions adaptées : contrôle des accès, chiffrement, etc.

 

Cela est d’autant plus important qu’aujourd’hui les données de l’entreprise peuvent se retrouver sur une multitude de services SaaS (partage de fichiers, outils collaboratif), parfois utilisés à l’insu du service informatique de l’entreprise. On recense ainsi entre 500 et 2 000 applications cloud en moyenne au sein d‘une entreprise, un vrai défi pour le contrôle des données.

 

Joël Mollo, Directeur Europe du Sud Skyhigh Networks

 

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

1 commentaire

Forzy

04/01/2016 12h53 - Forzy

Bravo pour cet article, Pour votre information, fin juin dernier lors de la Mêlée Numérique à Toulouse ( association La Mêlée), le Club Open Innovation Toulouse ( C.O.I.T), qui réunit 30 grands groupes ou ETI du Sud Ouest, a réuni 50 grands groupes et ETI de toute la France ( Club Open Innovation Paris, Lyon, Bordeaux, Lille etc), qui ont effectivement pioché devant 100 start up du Sud Ouest et de toute la France, le lendemain ce sont les start up qui ont pioché devant les grands groupes, à votre disposition pour organiser la suite, E Forzy

Répondre au commentaire | Signaler un abus

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale