Enquête dirigée par RAPPORT SUR LES MENACES DE L INTÉRIEUR. Édition Europe

Transcription

1 Enquête dirigée par RAPPORT 2014 SUR LES MENACES DE L INTÉRIEUR Édition Europe

2 TABLE DES MATIÈRES Sommaire Motivations, vue d ensemble et résumé des conclusions de l enquête... 1 Résumé des conclusions de l enquête... 3 Les menaces intérieures sont de plus en plus difficiles à détecter Les dirigeants ont le droit de s inquiéter... 5 La mise en conformité avec les réglementations force les entreprises européennes à dépenser plus pour la prévention des menaces intérieures... 7 Maintenir un bon niveau de protection contre les menaces intérieures reste un impératif opérationnel clé Les préoccupations actuelles pour la protection des données et des utilisateurs se focalisent sur l utilisation d une nouvelle technologie Profil de l analyste Ovum Rapport 2014 sur les menaces de l intérieur Édition Europe

3 SOMMAIRE RÉSUMÉ Le rapport «Vormetric Insider Threat 2014 European Edition» fournit des pistes sur la vision que les professionnels de l informatique et les décideurs ont de la sécurité effective du système d information de l entreprise et des données qu il doit protéger, pour que les utilisateurs qui en ont le plus besoin puissent y accéder. Ce rapport détaille l importance de chaque vol de données, les profils des cibles et la criticité des données volées. La médiatisation concernant la violation des données provenant de l intérieur des entreprises, ainsi que de l utilisation d identifiants compromis, viennent confirmer le besoin en solutions de sécurité plus complètes. Le panorama des menaces provenant de l intérieur est en constante évolution. Les menaces ont pour origine des employés ou des associés d une organisation qui, intentionnellement ou pas, effectuent une manipulation qui met leur organisation et ses données en danger. Pourtant, ce n est pas tout. Tous les vols de données les plus importants sont le résultat de techniques d attaques menées depuis l intérieur du réseau, ce qui aboutit à élargir la menace à des tierces parties ayant obtenu des identifiants autorisés pour pénétrer le réseau et y mener leurs activités délictueuses visant à causer des dégâts ou voler des données. La menace interne envers les systèmes d information institutionnels ne s arrête jamais, elle demeure constante et ne cesse de s amplifier. Les nouvelles technologies, incluant le cloud et les projets Big Data ajoutent encore aux possibilités de vols ou de pertes de données. Les problématiques liées aux contraintes légales ou de conformité vis-à-vis d une réglementation, tout comme la nécessité pour les entreprises de protéger leur image, ainsi que la perte de revenus, sont les leviers qui incitent les entreprises à fournir une meilleure protection contre les menaces internes y compris leurs employés de confiance. Alors que les discussions concernant les vols de données à grande échelle, les MPA, et l affaire Snowden dominent les médias, il est clair que les menaces provenant de l intérieur sont parmi les problèmes de sécurité informatique les plus importants auxquels les entreprises doivent faire face aujourd hui, un sentiment reflété par les conclusions de notre rapport. INTRODUCTION Le rapport «Vormetric Insider Threat» de 2014 se focalise sur les trois plus grands marchés européens en termes de volume d affaires et de technologie: France, Allemagne et Royaume-Uni (UK). Dans ces trois marchés, 540 directeurs informatiques ou directeurs généraux, environ 80% provenant d entreprises de taille moyenne à grande, ont été interrogés sur l impact que les menaces intérieures ont sur leurs organisations, et sur la façon dont ils sont préparés à y faire face. Les résultats de l étude montrent que, malgré des initiatives globales, détecter et corriger des failles de sécurité relatives aux données est de plus en plus difficile et très peu d entreprises se sentent en sécurité vis-à-vis de telles attaques. Les équipes de sécurité informatique font le meilleur usage des outils à leur disposition, mais ils ont besoin de faire plus alors que le nombre et l ampleur des vols de données augmentent sans relâche. Ces efforts sont invariablement entravés par les protections locales en place, les anciennes technologies de défense fragmentées et les stratégies ponctuelles qui sont dépassées par l aspect toujours changeant des menaces intérieures. Profil de l analyste Ovum 1

4 Les serveurs et les bases de données continuent de détenir la majeure partie des données structurées ou non des entreprises et, comme détaillé plus loin, sont à l origine des plus importants vols de données. Contrôler les périphériques mobiles est une préoccupation car ils sont de plus en plus utilisés dans des environnements de production. Mais les principaux problèmes lorsque l on parle de menace intérieure sont la façon dont ces périphériques sont utilisés comme points d entrée pour accéder aux données stockées sur les serveurs et dans les datacenters. Il y a un nombre infini de vols de données que ce soit depuis l intérieur ou par le biais d utilisateurs compromis, depuis un échelon local jusqu à l international. De récents cas en Europe incluent : mars 2014, la quatrième plus grande enseigne de distribution en Grande-Bretagne, les supermarchés Morrisons, a été victime d une attaque interne. Le vol incluait les détails des comptes bancaires d environ employés qui furent publiés sur internet. Comme c est souvent le cas, les propres systèmes de l entreprise n ont pas détecté que des données sensibles avaient été compromises. La compagnie a été avertie par un tiers, en l occurrence, le journal local qui avait reçu un courrier anonyme contenant les informations confidentielles des employés. Cette fuite est décrite comme un grave problème de vol de données et l entreprise a rapidement modifié sa politique interne de protection des données. Les premières investigations ont montré que le vol des données confidentielles des employés n était pas le résultat d une attaque extérieure. L entreprise a ensuite travaillé avec des experts ainsi qu avec la police, l origine du vol a ainsi été identifiée et un employé de l entreprise a été arrêté. PIRATÉS MORRISONS VODAFONE TARGET Fin 2013, Vodafone Allemagne a confirmé qu un attaquant avec des connaissances du fonctionnement interne avait volé les informations personnelles de 2 millions de clients depuis un serveur installé en Allemagne. Les identités, les adresses, les dates de naissance, ainsi que quelques données liées aux comptes bancaires ont été dérobées. Dans ce cas, Vodafone a identifié l auteur comme étant un utilisateur autorisé, avec des connaissances sur ses systèmes internes sensibles. Vodafone clame avoir des systèmes de sécurité à jour et bien entretenus mais a été victime de ce que l entreprise a décrit comme «une attaque très complexe qui a été menée avec des connaissances approfondies des systèmes internes les plus sécurisés». Dans ce cas, seuls les clients allemands furent affectés par le vol, et l entreprise pris toutes les mesures nécessaires pour bloquer l attaque sitôt celle-ci détectée, ainsi que pour informer les autorités allemandes compétentes. Au-delà de l Europe, l enseigne de grande distribution de Minneapolis Target a été victime d un vol de données considéré comme le plus important jamais effectué. Les dernières informations indiquent que les noms, adresses postales, numéros de téléphone et adresses s de plus de 70 millions de personnes ont été volés. Ceci complète la déclaration initiale faite fin 2013, lorsque Target a admis que les informations des cartes de paiement de plus de 40 millions de clients avaient été exposées. Les experts du domaine estiment que cette attaque a été perpétrée par un pirate utilisant des identifiants valides obtenus auprès d un partenaire ou d un prestataire. Ceci, en soit, est une preuve du manque de moyens de contrôle d accès. Les accès des tierces parties ne doivent jamais permettre le vol de données hautement confidentielles de l entreprise. Target était certifié comme étant conforme aux critères de l industrie des cartes de paiement (PCI), mais être capable de certifier que l entreprise est conforme ne garantit pas un environnement sécurisé. De plus, les excuses et les promesses du directeur général garantissant que les clients ne seraient pas financièrement pénalisés ne sont désormais plus acceptables, comme cela a été prouvé par les poursuites engagées par les clients et les partenaires. L impact et les coûts finaux sur l entreprise seront difficiles à estimer et dureront longtemps. Les coûts directs dépassent 60 millions de dollars, et l une des conséquences directes pour l entreprise a été une diminution immédiate de son profit de 50%, sa réputation a été sévèrement compromise et il faudra du temps pour appréhender les conséquences sur le plan commercial. Ce vol, survenant juste après l affaire Snowden et d autres attaques majeures provenant toutes de l intérieur, fournit une démonstration claire que les entreprises doivent améliorer le regard qu elles portent sur l accès aux données par les utilisateurs, la surveillance et la protection des données Rapport 2014 sur les menaces de l intérieur Édition Europe

5 RÉSUMÉ DE L ENQUÊTE Ci-dessous, les quelques chiffres clés issus des interviews: Seuls 9% des organisations se sentent à l abri d une attaque alors que plus d un quart (26%) se sentent vulnérables. Près de la moitié des personnes interrogées (46%) pensent que les attaques de l intérieur sont plus difficiles à détecter qu elles ne l étaient en % de plus pensent que les choses ne vont pas s arranger. La mise en conformité est la motivation principale pour les entreprises européennes pour dépenser plus dans la protection contre les menaces intérieures (40% des personnes interrogées), suivie par les demandes/ attentes des clients (30%) et la prise en compte des menaces persistantes avancées (30%). Quand on leur demande qui représente la plus grave menace intérieure pour les données de l entreprise, environ 50% citent les utilisateurs habituels, le deuxième grand ensemble regroupe les prestataires informatiques, les autres prestataires, puis les administrateurs informatiques et finalement les autres membres du service informatique. Les principales sources de problèmes identifiées par ces organisations impliquent le besoin de protéger de plus en plus d équipements informatiques, la nature distribuée de ces matériels, l usage pouvant être fait des services cloud, les projets Big Data, les équipements mobiles et le nombre de plus en plus grand d utilisateurs qui ont besoin d être surveillés et administrés. Les organisations sont toujours vulnérables et ont besoin de faire plus pour lutter contre les menaces provenant de l intérieur, qui vont de la mauvaise utilisation des ressources à une attaque ciblée par une MPA ce qui manque c est une approche basée sur une plateforme intégrée de protection des utilisateurs et des données. Les principaux problèmes liés au cloud incluent le manque de visibilité sur la sécurité du fournisseur, les potentialités d accès pour un utilisateur non autorisé, et le manque de contrôle sur la façon dont les données sont stockées. La nervosité vis-à-vis des projets Big Data est, apparemment, liée aux problèmes de sécurité avec ce qui est toujours perçue comme une technologie immature. Le chiffrement des données et la gestion des clés, suivis par la gestion des identités et des accès, puis par la protection du réseau et les outils traditionnels anti-malware, sont vus comme les moyens de dissuasion les plus importants vis-à-vis des menaces intérieures. Profil de l analyste Ovum 3

6 TRÈS PEU D ORGANISATIONS SE SENTENT À L ABRI D UNE ATTAQUE INTÉRIEURE Quand on leur demande s ils pensent que leur environnement professionnel est à l abri d une attaque intérieure, seuls 9% des dirigeants européens et des directeurs informatiques interrogés pour l enquête 2014 de Vormetric sur la menace intérieure répondent qu ils se sentent à l abri là où 26% disent se sentir vulnérables. L étude a confirmé qu une proportion significative des budgets de sécurité informatique est dépensée pour la protection des données, le contrôle d accès et la surveillance des utilisateurs. Néanmoins, les attaques ciblées par malware menaces persistantes avancées, etc. ont la capacité de compromettre des identifiants d utilisateurs autorisés, d éviter la détection lorsque l attaque est lancée et de voler des données sur une longue période de temps sans être découvertes. Tout ceci en complément d une approche plus traditionnelle des menaces provenant de l intérieur, telle que les employés licenciés cherchant à voler des informations institutionnelles pour leur propre profit. En conséquence de quoi, sans surprise, les professionnels de la sécurité et de l informatique sont soumis à la pression liée aux menaces intérieures qui elle-même peut émaner d une large variété de sources incluant leurs propres employés, partenaires, prestataires, fournisseurs de service, et pirates susceptibles d installer un logiciel malveillant utilisant des accès autorisés pour voler les données de l entreprise. Environ la moitié des entreprises Européennes pensent que les menaces provenant de l intérieur sont maintenant plus difficiles à détecter, avec en plus des responsables informatiques très inquiets sur ce que leurs utilisateurs pourraient faire de leurs données. Ce risque se combine aux menaces des cyberattaques visant les comptes des utilisateurs. La figure 1 ci-dessous positionne la vulnérabilité de l Europe vis-à-vis d une attaque intérieure. Elle montre que les pays européens se sentant les plus vulnérables sont l Allemagne à 33%, avec la France et la Grande-Bretagne respectivement à 23% et 22%. Cela contraste avec une étude plus ancienne menée aux Etats-Unis en septembre 2013 qui montre que 47% des sondés se sentaient vulnérables à une attaque de l intérieur. Figure 1: Le pourcentage des entreprises qui se sentent vulnérables à une attaque provenant de l intérieur 22% 23% 26% 33% 47% R-U France Europe Allemagne USA Rapport 2014 sur les menaces de l intérieur Édition Europe

7 LES MENACES INTÉRIEURES LES MENACES INTÉRIEURES SONT DE PLUS EN PLUS DIFFICILES À DÉTECTER LES DIRIGEANTS ONT LE DROIT DE S INQUIÉTER Les dirigeants et les responsables informatiques sont très inquiets de ce que leurs utilisateurs peuvent faire avec les données de l entreprise, des activités qui ne sont souvent pas sur le radar de la sécurité et qui ont toutes les chances de rester non détectées. Ils ont de vrais questionnements sur leurs utilisateurs, leurs sous-traitants, leurs prestataires, leurs fournisseurs de service avec leurs droits d accès partagés. Près de la moitié des sondés européens (46%), pensent que les menaces intérieures sont plus difficiles à détecter qu avant, et plus significativement, au vu de la nature diffuse des menaces intérieures, 36% estiment que les choses ne vont pas s améliorer. Une proportion significative des Européens sondés pensent que les menaces intérieures sont plus difficiles à détecter avec quelques écarts selon les pays interrogés. Dans les états considérés, le niveau le plus élevé d inquiétude est exprimé par les Français à 53%, les Allemands sont dans la moyenne avec 47% et les anglais ont le niveau le plus bas à 38%. Aux Etats-Unis 54% des entreprises estiment que les menaces intérieures sont de plus en plus difficiles à détecter. Figure 3: Les 4 raisons principales pour lesquelles les menaces intérieures sont plus difficiles à détecter L augmentation du volume de l activité réseau L augmentation dans l usage du Cloud Computing Il y a plus d employés, de prestataires, de sous-traitants, de partenaires, etc. avec un accès à notre réseau Nous avons plus de biens IT sur le réseau ce qui rend les choses plus compliquées Figure 2: Comment les entreprises européennes voient la difficulté d identifier les menaces intérieures 18% 36% 46% Les menaces intérieures sont plus difficiles à détecter/ prévenir aujourd hui qu elles ne l étaient en 2012 Les menaces intérieures ne sont pas plus faciles à détecter/prévenir qu elles ne l étaient en 2012 Les menaces intérieures sont plus faciles à détecter/prévenir qu elles l étaient en 2012 Pour les entreprises européennes, les raisons pour lesquelles les professionnels de la sécurité estiment que les menaces internes sont de plus en plus difficiles à détecter prennent en compte le nombre croissant et le panel de ressources IT en réseau devant être protégés, le volume associé d activité et de trafic réseau ainsi que le nombre croissant d employés (prestataires, sous-traitants, partenaires ) qui demandent un accès. D autres sujets de préoccupation incluent l usage de plus en plus fréquent du cloud et le manque ressenti de contrôles internes que ces services apportent, le niveau croissant de mobilité de leurs employés et l augmentation liée de l utilisation de périphériques mobiles et du BYOD. La figure 3 ci-dessous, liste les 4 principales raisons pour lesquelles les sondés estiment que les menaces intérieures seront plus difficiles à détecter. Profil de l analyste Ovum 5

8 LES EMPLOYÉS ET LEUR UTILISATION DES ÉQUIPEMENTS EN PRODUCTION DEVIENNENT UN PROBLÈME MAJEUR Quand les entreprises européennes sont interrogées sur ce qui représente la plus grande menace pour les données internes, près de la moitié des sondés citent les utilisateurs de tous les jours, le groupe suivant concerne les prestataires, puis les administrateurs systèmes et les équipes de l informatique. Les principaux problèmes cités (49%) concernent le fait d avoir à l œil les utilisateurs ayant un accès légitime aux ressources et aux données sensibles de l entreprise. Une part significative de l inquiétude (43%) est dirigée vers les prestataires et sous-traitants qui ont eux aussi un accès légitime aux réseaux. Les troisièmes et quatrièmes groupes élus par plus d un tiers des sondés (38%) sont l ensemble des administrateurs systèmes, des bases de données ou du réseau, et des autres membres du personnel informatique qui ont des accès privilégiés aux systèmes de production. Seulement 9% des organisations interrogées se sentent à l abri d une attaque. Figure 4: Les pourcentages pour les groupes d utilisateurs posant le plus grave problème de menace intérieure Employés non techniciens avec un accès légitime aux données sensibles et aux biens high-tech 33% 23% 29% 37% 38% 49% 38% 43% Sous-traitants avec un accès légitime à votre réseau interne Administrateurs I.T (i.e admnisitrateurs systèmes, administrateurs de bases de données, administrateurs réseaux, etc.) Autres employés de l informatique Fournisseurs de services informatiques avec un accès légitime à votre réseau interne à des fins de support Partenaires, clients, fournisseurs, etc. avec un accès légitime à votre réseau interne Direction générale (i.e D.G, D.A.F, etc.) Direction informatique (i.e DSI, RSSI, etc.) La comparaison des réponses par pays montre que la France et le Royaume-Uni dominent la liste et rapportent les plus hauts niveaux d inquiétude vis-à-vis des utilisateurs habituels (52%), et que l Allemagne a un niveau nettement plus bas (46%). Les témoignages quant aux menaces internes venant de l entreprise confirment qu il s agit d une inquiétude légitime. Dans le cas de Vodafone en Allemagne ou de Morrisons au Royaume-Uni, l origine du vol est remontée jusqu à des employés, et dans le cas du vol aux Etats-Unis chez les magasins Target, il s agissait d un prestataire/partenaire à l origine de l intrusion par un pirate. Les principales causes d inquiétude identifiées impliquent le besoin de protéger toujours plus de ressources IT la nature distribuée de ces ressources et leurs utilisateurs. L usage fait par les entreprises de services Rapport 2014 sur les menaces de l intérieur Édition Europe

9 CONFORMITÉ RÉGLEMENTAIRE hébergés dans le cloud et des périphériques mobiles, ainsi que le nombre croissant d utilisateurs devant être surveillés et gérés, ajoutent encore au niveau d inquiétude concernant les accès journaliers. Un autre domaine d inquiétude concerne la gestion des utilisateurs privilégiés. Alors qu ils se classent en général comme moins inquiets que leurs homologues américains, les Européens sont plus angoissés par le vol d identifiants d utilisateurs privilégiés, de leur compromission, ou de l abus des droits d accès. Les entreprises américaines sont d accord sur le fait que l abus de privilèges par un utilisateur privilégié est important, mais elles le sont également par leurs employés et le vol physique. Les principales priorités des Européens concernant les problèmes posés par les utilisateurs privilégiés incluent : le vol d identifiants privilégiés (42%), les identifiants compromis par une cyberattaque (39%), l abus des privilèges d accès (63%), l abus de privilèges par d autres employés (61%) et le vol physique de périphériques contenant des données (58%). En réponse au problème connu du contrôle des utilisateurs privilégiés, les entreprises européennes focalisent leur attention sur la séparation des rôles pour les utilisateurs privilégiés (73%), le maintien d un point central de gestion pour ce type d utilisateurs, leurs comptes, leurs droits d accès (72%) ainsi que la protection des mots de passe, identifiants et clés de chiffrement vulnérables (65%). LA MISE EN CONFORMITÉ AVEC LES RÉGLEMENTATIONS FORCE LES ENTREPRISES EUROPÉENNES À DÉPENSER PLUS POUR LA PRÉVENTION DES MENACES INTÉRIEURES Tel qu illustré dans la figure 5, les entreprises européennes envisagent d augmenter leur budget sécurité dans les 12 mois à cause des menaces intérieures. Les deux tiers veulent augmenter leurs budget et 23% parmi tous les sondés ont déjà augmenté leur budget en conséquence directe de menaces internes. Parmi les principaux marchés européens, les Allemands interrogés (69%) sont en tête dans leur volonté d augmenter leur budget pour l année à venir. La France suit à 66% et les Anglais ont le niveau le plus bas à 63%. Figure 5: Le pourcentage des entreprises envisageant une augmentation du budget sécurité suite à des attaques provenant de l intérieur 34% 23% 43% Oui, significativement Oui, un peu Non Les entreprises européennes déclarent que la mise en conformité réglementaire est le facteur le plus influent pour les faire dépenser plus dans des technologies de lutte contre les menaces intérieures. Les contraintes réglementaires ayant une influence sur la protection des données et des utilisateurs à l intérieure de l Union européenne, incluent la directive pour la protection des données qui impacte tous les états membres. A la mi-mars 2014, les députés européens ont voté à une majorité écrasante l ajout de nouvelles lois pour la protection des données personnelles des utilisateurs ajoutant ainsi une pression réglementaire supplémentaire sur les états membres. Pour la France, il y a la loi sur la protection des données, Profil de l analyste Ovum 7

10 en Allemagne, le «Federal Data Protection Act» et pour le Royaume- Uni, le «UK Data Protection Act». Il y a également les lois de liberté de l information globales à tous les états membres, ainsi que les directives d audit et de reporting pour les entreprises également connues comme EuroSOX. Les réglementations spécifiques aux secteurs d activité sont légions et incluent le Troisième Accord de Bâle, et la directive concernant les marchés et outils financiers (MiFiD) pour la banque et les services financiers. Il y a également des réglementations qui s étendent au-delà de l Europe, la plus pointue est la «Payment Card Industry Data Security Standard» (PCIDSS). PCI DSS impacte une grande variété d entreprises, de secteurs d activités et de régions. Les entreprises américaines, à 54%, sont moins prêtes à dépenser de l argent pour résoudre ce problème que les européennes à 66%. L étude a mis en évidence que la conformité réglementaire est vue par 40% des personnes interrogées comme un facteur clé du changement lorsque les entreprises européennes doivent justifier une augmentation des dépenses pour lutter contre les menaces internes. Ceci est loin devant d autres facteurs permettant d augmenter les dépenses, y compris le deuxième plus commun qui regroupe les attentes ou demandes de clients, et la conscience des MPA (30% également). Figure 6: Sécurités utilisées pour se protéger contre les attaques de l intérieur en nombre de personnes sondées Chiffrement avec contrôle d accès Gestion des Identités et des Accès (IAM) Outils de sécurité réseau (supervision, pare-feu) Antivirus / Antimalware Détection et Prévention d intrusion (IDS/IPS) Sécurités des postes de travail et des mobiles Traçabilité (informations sur les accès aux données) Gouvernance, risque et conformité (GRC) Prévention des fuites de données (DLP) Gestionnaires d événements de sécurité (SIEM) Rapport 2014 sur les menaces de l intérieur Édition Europe

11 PROTECTION MAINTENIR UN BON NIVEAU DE PROTECTION CONTRE LES MENACES INTÉRIEURES RESTE UN IMPÉRATIF OPÉRATIONNEL CLÉ Les résultats de l étude ont montré que les entreprises européennes sont plus à l aise vis-à-vis de leur niveau de sécurité que leurs homologues américains, mais qu elles continuent de chercher à faire mieux. Les protections traditionnelles des données, incluant les produits classiques anti-malware basés sur les signatures, continuent d être vues comme les plus efficaces des solutions visant les menaces intérieures. Il s agit là vraisemblablement d un écart d appréciation entre la protection des données et les vulnérabilités liées aux accès des utilisateurs, et les solutions de sécurité que les entreprises européennes mettent en place afin de fournir une palette de stratégies de protection contre les attaques initiés par des logiciels malveillants. Ce type de protection n intégrant pas la capacité de traiter les attaques ciblées et avancées qui contournent les défenses traditionnelles. Les entreprises américaines et européennes admettent que la mise en conformité est le premier incitateur pour augmenter les dépenses. Les quatre principaux groupes de contrôles de sécurité que les entreprises européennes décrivent comme étant les plus importants pour lutter contre les attaques intérieures sont : le chiffrement et le contrôle d accès (39%), la gestion des identités et des accès (IAM) 34%, les outils de sécurité du réseau (1%) et les protections antivirus/antimalware (30%). Ces résultats suggèrent que les postes de dépenses sécuritaires européens ne correspondent pas toujours à leurs attentes principales en termes de sécurité. C est particulièrement le cas avec la protection contre les menaces intérieures en raison de la nature changeante de la menace. Ceci offre également une intéressante comparaison entre le marché européen et le secteur plus anxieux/précautionneux des Etats-Unis. Figure 7: Surveillance des ressources d'information sensibles 13% 38% 49% Oui, nous surveillons constamment les accès et l utilisation de nos données sensibles Oui, nous menons bien des surveillances périodiques afin d être conformes avec les exigences de la conformité légale Non, nous avons choisi de ne pas surveiller les accès et l utilisation des données. Profil de l analyste Ovum 9

12 D une façon positive, les priorités de la protection des données identifiées par les Européens semblent être bien orientées, et il ressort un bon niveau d utilisation et de confiance dans la protection fournie. 68% des entreprises européennes chiffrent leurs données sensibles (données confidentielles de l entreprise, données soumises à réglementation, propriété intellectuelle, données clients, etc.). Les réponses américaines à une étude plus ancienne montrent un niveau d utilisation très similaire à 69%. 68% des entreprises européennes prétendent également renforcer la granularité de leurs contrôles d accès en créant des règles d utilisation pour des systèmes isolés, des applications et des documents qui sont censées protéger leurs données les plus sensibles. Ceci est à comparer aux 57% de l étude américaine. Un domaine important se démarque lorsque l on compare Europe et Etats-Unis : l utilisation d outils de surveillance. Presque 50% des entreprises européennes déclarent constamment surveiller l accès aux données sensibles. C est une comparaison favorable puisqu aux Etats-Unis, seules 29% des entreprises prennent en compte la surveillance. En résumé, les entreprises sont vulnérables et ont besoin de faire plus afin de prendre en compte les menaces provenant de l intérieur, qui vont de la mauvaise utilisation des ressources à une attaque ciblée par une MPA. En complément de ces chiffres, 38% des entreprises européennes effectuent une surveillance périodique. Les principales raisons avancées par les Européens pour ne pas effectuer un contrôle constant sont : «il est trop cher de surveiller constamment les accès et l utilisation des données sensibles» (68%), «nous n avons pas assez de personnels dans l équipe de sécurité pour surveiller et analyser les accès et l utilisation des données» (64%), et «nous limitons la surveillance à l accès et à l utilisation des données précises afin d être conforme avec les réglementations nationales ou sectorielles» (62%). Figure 8: Les trois principaux problèmes rencontrés lors de l utilisation du SaaS et du Cloud 55% 59% Manque de visibilité sur les mesures de sécurité prises par le fournisseur de cloud ou de SaaS Accès potentiel d autres utilisateurs du service à mes données internes Manque de contrôle sur l emplacement physique de mes données. 57% Rapport 2014 sur les menaces de l intérieur Édition Europe

13 CLOUD ET BIG DATA LES PRÉOCCUPATIONS ACTUELLES POUR LA PROTECTION DES DONNÉES ET DES UTILISATEURS SE FOCALISENT SUR L UTILISATION D UNE NOUVELLE TECHNOLOGIE Les personnes interrogées par l étude disent que l avènement du cloud et du Big Data sont les principaux sujets d inquiétude vis-à-vis des menaces intérieures. Des problèmes spécifiques autour du cloud et du SaaS incluent le manque de visibilité en termes de sécurité concernant le fournisseur de service (59%), les potentiels accès par des tiers non autorisés (57%), l absence de contrôle quant à l emplacement du stockage des données, le mélange de données provenant de différents pays ou régions, ainsi que le fait d avoir des données en dehors des frontières géographiques concernent 55% des organisations européennes. Les améliorations pouvant favoriser le décollage du cloud incluent : de meilleurs engagements en niveaux de service en termes de responsabilités en cas de vol de données du fait du fournisseur de service ou d un autre client du fournisseur de cloud (59%), le chiffrement des données dans le SaaS/cloud avec un contrôle local des clés de chiffrement (57%) et la mise à disposition d informations détaillées sur les architectures physiques et IT (57% également). Pour les projets Big Data, il y a un mélange des vues exprimées qui traduit la nervosité quant à utiliser ce qui est encore une nouvelle technologie, et sur le bénéfice global pouvant en être attendu. Par exemple, d un point de vue sécurité, plus d un tiers des personnes interrogées (36%) voient cette technologie à la fois comme une menace et comme une opportunité. 26% des sondés ne voient que l aspect menace. Les réponses correspondent aux tendances générales de l industrie où les entreprises les plus avancées se sont emparées du Big Data et vantent les bénéfices de leur utilisation. Ceci inclut la possibilité de fournir et d améliorer l analyse des activités des utilisateurs internes, d effectuer des contrôles de sécurité basés sur le risque encouru, et comme résultat, d améliorer le profil de risque de l entreprise. D autres ont adopté une approche attentiste, le temps de déterminer comment ils peuvent extraire une valeur de cette technologie. Comme illustré dans la figure 9, les sondés sont préoccupés par la protection du Big Data détenant des informations sensibles (69%), par le mélange de données provenant de différents pays pouvant provoquer des violations en termes de confidentialité ou de conformité légales (60%) et par la nature distribuée des opérations résultant de la possibilité pour les données sensibles d être stockées n importe où (59%). La très grande majorité des personnes interrogées fait le lien entre projets Big Data et sécurité, seuls 2% ne font pas la connexion. Pourtant, 10% de ceux qui reconnaissent ce lien luttent pour savoir où cela les mène et quelles sont les actions à prendre. Figure 9: Problèmes relatifs au BigData, classés par quantité de réponses Sécurité des extractions pouvant contenir des données sensibles 293 Mélange de données provenant de pays différents et pouvant occasionner des problèmes liés à la conformité et à la vie privée 257 La nature distribuée des résultats et la possibilité pour des données sensibles d être conservées n importe où 253 Manque d information sur la provenance des données intégrées dans le BigData 250 Manque de sécurité, conformité et de chiffrement et autres structures dans les environnements BigData Rôle utilisateur privilégié complémentaire pouvant avoir accès aux données protégées Profil de l analyste Ovum 11

14 LES ORGANISATIONS SONT PLUS GÊNÉES QU AIDÉES PAR LES PRODUITS ET STRATÉGIES DE SÉCURITÉ EN PLACE Seules 9% des entreprises qui ont répondu à l étude 2014 de Vormetric sur les menaces intérieures en Europe se sentent en sécurité vis-à-vis d une attaque, et plus d un quart estiment qu elles sont vulnérables. Presque la moitié pense que les menaces intérieures sont maintenant plus difficiles à détecter qu auparavant. Ce niveau de reconnaissance est répandu au travers du marché européen, ce qui confirme le besoin d investir plus en solutions de protection contre les menaces intérieures. Aussi, les anciens produits de sécurité dédiés ne sont plus capables de fournir le niveau de protection et d adaptabilité nécessaires pour garantir une sécurité efficace des données contre les menaces intérieures. Plutôt que de dépenser du temps et de l argent pour le maintien de solutions dépassées, il serait plus avantageux d investir dans leur remplacement, l intégration et le contrôle. C est toujours ce qui préoccupe les experts de l industrie lorsqu ils ont été interrogés sur ce qui représentait la plus grave menace intérieure pour leurs données d entreprise. La moitié des sondés a indiqué que leurs utilisateurs réguliers causaient le plus de problèmes. Il y a également de sérieux problèmes avec les prestataires de service, les sous-traitants, les administrateurs systèmes et autres membres des équipes informatiques. L Insider Threat Survey met en évidence que les entreprises européennes reconnaissent la nécessité de mieux se protéger des menaces intérieures, mais qu elles ont encore besoin d améliorer leur posture vis-à-vis du risque et d optimiser l utilisation des solutions de protection. En résumé, les entreprises restent vulnérables et ont besoin de faire mieux pour prendre en compte les menaces intérieures, qui vont de la mauvaise utilisation des ressources à des menaces MPA bien ciblées. Elles sont souvent plus gênées qu aidées par les solutions de sécurité fragmentées qui ont été déployées pour protéger leurs données les plus précieuses. Ce qui est nécessaire et lié à l antériorité du système d information et aux problèmes de coûts de remplacements, et ce qui manque le plus souvent, c est une plateforme intégrée pour la protection des utilisateurs et des données. Plutôt que de dépenser plus de temps et d efforts pour maintenir de vieux outils de sécurité, il serait plus pertinent d investir dans le remplacement, l intégration et le contrôle. Les domaines dans lesquels des améliorations doivent être faites incluent: la mise en place d une gestion centralisée afin de fournir une tour de contrôle qui offre une vue synthétique et cohérente de chaque profil de risque et position de sécurité ; la réponse aux multiples besoins en termes de sécurité pour les données stockées et en transit ; la fourniture du chiffrement et de la gestion de clés pour les données sensibles ; un contrôle d accès pour assurer que seuls les utilisateurs autorisés peuvent accéder, ainsi qu une couche de traçabilité pouvant identifier les nouvelles menaces qui permettent ainsi de mettre en évidence les manques en termes de sécurité. Enfin, la surveillance des actions des utilisateurs et son alignement avec le profil de risque de l organisation Rapport 2014 sur les menaces de l intérieur Édition Europe

15 PROFIL DE L ANALYSTE OVUM PROFIL DE L ANALYSTE Andrew Kellett, Principal Analyst Software IT Solutions, Ovum Andrew aime le défi que représente un état de l art pour une technologie. En tant qu analyste principal de l équipe sécurité du groupe OVUM IT, il a l opportunité d évaluer, de donner son opinion et de gérer l orientation d Ovum en termes de sécurité, notamment grâce à son intérêt pour les dernières tendances de la sécurité. Il est responsable de la recherche des technologies clés nécessaires à la protection des organisations des secteurs publics et privés, de leurs systèmes de production ainsi que de leurs utilisateurs. Cette fonction lui permet de façon égale de promouvoir le besoin d une bonne protection du métier et, en même temps, de rechercher les dernières méthodes d attaque. En tant qu analyste principal, Andrew œuvre pour appliquer les résultats de ses recherches aux systèmes de sécurité dédiés à la protection des données et des utilisateurs, et a écrit des articles sur un large panel de domaines d activités et de technologies. Andrew est l auteur de nombreux rapports majeurs concernant la sécurité, sur des sujets comprenant l identité et la gestion des accès et, plus récemment, la sécurité de l information, la prévention des fuites de données et la sécurité du web. Andrew intervient régulièrement à l occasion de briefings stratégiques et de cours magistraux dispensés par Ovum, et il est également intervenant pour d autres organisations. Andrew a travaillé dans l industrie pendant plus de 30 ans et, avant de rejoindre Ovum, était responsable de production et analyste pour un groupe international de service dédié aux commerces de luxe. Il était responsable de la gestion et du déploiement des TPE de l entreprise ainsi que de la sélection, du déploiement, de l administration, et de la production des systèmes back-office. Avant cela, Andrew travaillait comme analyste système et chef de projet pour une grande entreprise du domaine de la finance. A PROPOS DE VORMETRIC Vormetric (@Vormetric) est le leader du marché des solutions de sécurité de données pour les environnements physiques, virtuels ou cloud. Vormetric assiste plus de 1300 clients, dont 17 font partie des «Fortune 25», ainsi que les agences gouvernementales les plus sensibilisées à la sécurité, afin de respecter les contraintes légales de protection des informations et de protéger ce qui compte vraiment : leurs données sensibles des menaces à la fois intérieures ou extérieures. La solution évolutive de Vormetric protège tous les fichiers, bases de données et applications accessibles dans l entreprise qu il s agisse du datacenter ou des environnements cloud ou big data, avec Data Security Platform, un pare-feu de données extrêmement performant, leader de son marché, incorporant un chiffrement transparent pour les applications, un contrôle des accès pour les utilisateurs privilégiés, de l automatisation et de la traçabilité. Vormetric : parce que les données ne peuvent pas se défendre elles-mêmes. Profil de l analyste Ovum 13

16 CENTRES DE COMPÉTENCES OVUM Les centres de compétences Ovum sont un nouveau service premium offrant l intégrale des informations Ovum dans des formats totalement interactifs. Pour avoir plus d informations sur les Centres de Compétences Ovum et sur nos recherches, contactez-nous: FAITES TRAVAILLER VORMETRIC POUR VOUS Pour en apprendre plus sur la façon dont Vormetric peut protéger vos biens les plus sensibles, visitez Vormetric.com ou contactez-nous à: info@vormetric.com (english contact) or contact@totaldevice.com (french contact) Ovum Europe Mortimer House Mortimer Street London W1T 3JH, UK crmgroup@ovum.com Ovum Australia Level 5, 459 Little Collins Street Melbourne, VIC 3000 Australia Ovum New York 100 Wall Street, 9th Floor New York NY 10005, USA Ovum. All rights reserved. Global Headquarters 2545 N. 1st Street, San Jose, CA Tel: Fax: EMEA Headquarters 200 Brook Drive Green Park, Reading, RG2 6UB United Kingdom Tel: Fax: APAC Headquarters 27F, Trade Tower, Samsung-dong, Gangnam-gu, Seoul. ( ) Tel: Vormetric, Inc. All rights reserved Rapport 2014 sur les menaces de l intérieur Édition Europe Profil de l analyste Ovum