Selon un rapport Varonis Systems, 64 % de ces entreprises ont plus de 1000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès…
Le « Financial Data Risk Report » de Varonis Systems, spécialisé dans la cybersécurité et la gouvernance des données, peut surprendre. Mais il est surtout inquiétant.
Ce rapport s’appuie sur les évaluations des risques liés aux systèmes de fichiers menées à l’échelle mondiale (dont la France, le Royaume-Uni et Allemagne) pour des clients et prospects, soit quelque 4 milliards de fichiers dans 56 grandes organisations.
Si le secteur financier est l’un des plus matures en matière de cybersécurité, « il n’en demeure pas moins que les entreprises de ce de secteur sont parmi les plus visées par des cyberattaques, du fait des données sensibles qu’elles collectent auprès de leurs clients », rappelle Varonis.
Or, son étude constate que leurs données sont encore très largement exposées à des failles, menaces internes ou encore des attaques par rançongiciels (ransomwares). Autant de vulnérabilités qui peuvent entrainer des amendes pour non-conformités avec le RGPD, ou encore la norme PCI-DSS spécifique au monde bancaire.
Les principaux enseignements du rapport sont les suivants :
- Dans les organisations analysées, en moyenne 10,8 millions de dossiers sont accessibles à tous les employés. Cela atteint jusqu’à 20 millions dans les plus grands groupes (plus de 1500 employés).
- En moyenne, un(e) employé(e) d’une société de services financiers a accès à 13 % du total des dossiers de l'entreprise. Dans les petites entreprises (entre 1 et 500 employés pour ce rapport), un employé a en moyenne accès à plus d’un demi-million de fichiers, et ainsi une liberté illimitée de consulter, copier, déplacer et modifier les données qu’ils contiennent.
- Ces accès libres sont d’autant plus inquiétants que plus de 20 % de ces fichiers comportent des informations sensibles sur des collaborateurs ou des clients...
- La majorité (64 %) des entreprises analysées ont plus de 1000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès libre.
- En moyenne, 69 % des données sont « obsolètes », c’est-à-dire non consultées depuis plus de 90 jours. Ces données incluent souvent des données critiques, et elles sont ainsi tout autant exposées à des failles, et devraient faire l’objet d’une gestion appropriée (archivage sécurisé, suppression).
- Sachant qu’il faut environ 6 à 8 heures aux professionnels de l'informatique pour localiser et supprimer manuellement l'accès global à un dossier, cela signifie qu'il faudrait 13 à 18 ans pour gérer correctement les accès à ces fichiers (c’est-à-dire, les rendre accessibles uniquement aux bonnes personnes).
- Si ces organisations sont sensibilisées à la protection des données, il y a encore du travail à faire, car Varonis a identifié plus de 500 mots de passe qui n’expirent jamais.
Ces expositions plus nombreuses s’expliquent principalement par le recours de plus en plus important au Cloud, et notamment à l’utilisation d’outils collaboratifs et la mise en place dans l’urgence d’accès à distance via des VPN.
« La pandémie de Covid-19 et ce passage très rapide vers le télétravail dès lors que la population a été confinée, a en effet forcé de nombreuses entreprises à migrer vers le Cloud sans préparation adéquate en matière de cybersécurité. Cela a augmenté par inadvertance leur surface d'attaque lorsque les employés se connectaient par le biais de réseaux non sécurisés et d'ordinateurs domestiques », insiste Norman Girard, Vice-Président Europe Continentale de Varonis.