Stratégies de sécurité : utilisation détournée des ressources

Dans la première partie de cet article, nous avons parlé des attaques ciblées et des méthodes utilisées par les individus malintentionnés pour s’introduire dans les réseaux d’entreprise en infectant les ordinateurs des employés qui utilisent leur poste de travail pour accéder aux réseaux sociaux et visiter des sites sans aucun rapport avec leur travail.

Il existe d’autres menaces en plus de ces attaques ciblées. Les employés peuvent devenir, sciemment ou non, coupable de la divulgation d’informations confidentielles ou violer les lois sur les droits d’auteur, ce qui pourrait déboucher sur des poursuites contre la société.

Nous allons présenter ici des incidents liés à la diffusion et la sauvegarde de documents professionnels dans la boîte de messagerie privée ou dans un service de stockage dans le cloud et à l’utilisation d’applications pour l’échange de fichiers P2P. Nous évoquerons les technologies et les stratégies de sécurité qui pourraient permettre aux administrateurs système et aux experts en sécurité informatique d’éviter de tels incidents.

Réputation ruinée

La réputation est un avoir important de la société qui doit être protégé, et pas seulement des individus malintentionnés. Les employés qui envoient des messages professionnels via leur messagerie privée, qui téléchargent du contenu illicite et installent des logiciels pirates sur leur poste de travail ne se doutent même pas que ces actions pourraient entacher la réputation de la société pour laquelle ils travaillent.

Divulgation d’informations confidentielles

Une société a été confrontée à un incident impliquant la divulgation d’importantes informations confidentielles. Les membres du service de sécurité informatique ont débuté leur enquête par la vérification des documents qui avaient été divulgués et ils ont été surpris de découvrir que les métadonnées renfermaient des informations importantes : nom de la société, nom de l’ordinateur sur lequel le document avait été enregistré pour la dernière fois, nom des auteurs, adresses de messagerie électronique, numéros de téléphone, etc. En général, les individus malintentionnés suppriment ces informations afin de dissimuler la source de la fuite. Dans le cadre de cette enquête, les experts en sécurité informatique ont découvert des copies des documents divulgués sur les postes de travail de cinq employés. Aucun de ces cinq employés n’admettait d’avoir envoyé des documents à un tiers et ils furent tous sincèrement surpris d’apprendre, pendant les entretiens avec les membres du service de sécurité, ce qui s’était produit. L’analyse des journaux du serveur proxy de l’entreprise permit de voir qu’un des employés avait chargé sur le serveur d’un service de messagerie en ligne gratuit des fichiers dont le nom correspondait à celui des documents publiés.

Lors d’un nouvel entretien, l’employé raconta aux experts de la sécurité informatique qu’il utilisait parfois sa messagerie privée pour conserver des documents du travail. De son point de vue, c’était une solution pratique : s’il n’avait pas le temps de terminer un document ou de finir de le lire au travail, il l’envoyait à son courrier privé et terminait son travail à domicile. Il faut dire que n’importe quel employé d’une société peut obtenir sans aucune difficulté un accès à distance à sa boîte aux lettres dans le système de messagerie de l’entreprise : il suffit d’introduire la demande et de recevoir le jeton et les instructions de connexion. L’employé confirma qu’il avait essayé de se connecter à sa messagerie professionnelle depuis chez lui mais qu’il n’avait pas réussi à tout configurer. Il avait alors pensé qu’il ne risquait rien s’il décidait d’utiliser sa messagerie privée à des fins professionnelles.

Après avoir obtenu un accès à la boîte aux lettres personnelles de l’employé, les experts en sécurité informatiques ont analysé la liste des adresses IP qui s’étaient connectées à la boîte aux lettres. Outre l’adresse IP du travail et l’adresse IP privée de l’employé, la liste contenait une multitude d’autres adresses IP appartenant à des serveurs proxy de différents pays.

L’enquête permit également de découvrir la présence d’un logiciel espion sur l’ordinateur domestique de l’employé. Ce programme avait pour but d’enregistrer les données d’accès de l’utilisateur (noms d’utilisateur, mots de passe, numéros de cartes bancaires, etc.) pour différents sites, réseaux sociaux, boîtes aux lettres, services de transactions bancaires par Internet, etc. Après avoir ouvert à la boîte aux lettres de l’employé à l’aide du programme malveillant, l’individu malintentionné a découvert de nombreux documents professionnels.

L’employé fautif a été licencié, mais l’impact de l’incident sur la réputation de la société n’est pas prêt de disparaître.

Violation du droit d’auteur

Tout le monde sait que le téléchargement de contenu pirate constitue une violation du droit d’auteur. Mais beaucoup semble oublier qu’au moment de naviguer sur Internet depuis son poste de travail, c’est l’adresse IP de l’entreprise qui est enregistrée. Cela signifie qu’en cas de violation de la loi, c’est la responsabilité de la société qui sera engagée.

Une petite entreprise a ainsi vécu une mauvaise expérience. A certaines heures, la vitesse de la connexion à Internet chutait sensiblement. L’administrateur système consulta les statistiques du trafic réseau et remarqua qu’un seul ordinateur utilisait 80 % de la bande passante du réseau  et que le nombre de connexions entrantes/sortantes variait. L’administrateur avança l’hypothèse que l’utilisateur de cet ordinateur échangeait des fichiers via un réseau P2P.

Il se fait qu’un des employés venait au travail avec son ordinateur portable personnel qu’il connectait au réseau de l’entreprise. Un client BitTorrent était installé sur cet ordinateur et celui-ci était lancé automatiquement au démarrage du système. L’employé avait tout simplement oublié cet élément et c’est cette application sur son ordinateur qui était à l’origine des problèmes d’accès à Internet.

Trois mois plus tard, des policiers sont arrivés avec un mandat de perquisition.Ils sont repartis avec de nombreux disques durs et  documents. La société avait été soupçonnée de violer la législation sur les droits d’auteur en utilisation des logiciels pirates. A l’issue du procès, le juge condamna la société à payer une amende. Depuis cet incident, les stratégies de sécurité informatique de la société insistent beaucoup plus sur l’interdiction d’utiliser la moindre application pirate sur les postes de travail. En cas de non respect de cette disposition, l’employé doit payer une lourde amende et si l’infraction se reproduit, l’employé est licencié. De plus, non seulement est-il interdit de télécharger n’importe quel contenu sans licence (applications piratées, films, musique, livres électroniques, etc.) via le réseau de l’entreprise, mais il est également interdit de les amener de chez soi.

Solution

Les deux exemples ci-dessus illustrent des cas où le non respect des stratégies de sécurité de la société a eu de graves répercussions. Dans la vie de tous les jours, il existe une multitude de scénarios les plus divers. Heureusement, il existe plusieurs technologies simples qui, associées aux stratégies de sécurité, permettront d’éviter la majorité de ces incidents.

Contrôle du trafic réseau

Dans les cas présentés, à savoir la fuite de documents et le téléchargement de contenu illicite via un réseau P2P, le réseau de l’entreprise fut le canal utilisé pour envoyer et recevoir les données. Par conséquent, le contrôle du trafic réseau doit être la première mesure de sécurité à mettre en place. Des technologies comme Firewall, IPS et HIPS permettent aux administrateurs système et aux experts en sécurité informatique de limiter ou de bloquer :

  • L’accès aux services publics et à leurs serveurs (services de messagerie, stockage dans le cloud, sites au contenu interdit, etc.).
  • La possibilité d’utiliser les ports et les protocoles requis pour les échanges avec les réseaux P2P.
  • L’envoi de documents professionnels au-delà du réseau de l’entreprise.

Il faut savoir que le seul contrôle du trafic de messagerie n’est pas en mesure de garantir un niveau de protection élevé pour le réseau de l’entreprise. Les employés peuvent utiliser des outils de chiffrement du trafic, se connecter aux sites miroir des services Internet ou déjouer les politiques réseau à l’aide d’un serveur proxy ou un proxy anonyme. De plus, de nombreuses applications sont capables d’utiliser les ports d’autres applications et d’envoyer leur trafic via différents protocoles qui ne peuvent être interdits. Malgré cela, le contrôle du trafic réseau est nécessaire et important. Il suffit simplement de l’associer au contrôle des applications et au chiffrement des fichiers.

Contrôle des applications

Grâce au contrôle des applications, l’administrateur système ou l’expert en sécurité informatique peut non seulement interdire l’utilisation du moindre programme indésirable (client de torrent, client de messagerie de réseaux sociaux, jeux, logiciels pirates, lecteurs de média, etc.), mais également voir qui utilise quelles applications et à quel moment. Il est ainsi possible d’identifier facilement les utilisateurs qui tentent de contourner les stratégies de sécurité. Il est toutefois pratiquement impossible d’interdire tous les logiciels pirates car leur nombre est très élevé et le nombre de modifications, avec des différences sur quelques octets seulement, qui peut être créé est astronomique Dans ce cas, il est plus efficace d’utiliser le contrôle des applications en mode Default Deny (refus par défaut) : ceci garantit que l’utilisateur peut uniquement lancer une application autorisée par l’administrateur et le service de sécurité.

Chiffrement des fichiers

Souvent, il est pratiquement impossible de surveiller l’utilisation des services de cloud et de messagerie personnelle choisis par certains employés comme lieu de stockage de documents professionnels contenant des informations confidentielles. Nombreux sont les services de messagerie et les services de stockage dans le cloud qui chiffrent les fichiers envoyés par les utilisateurs, mais cela ne suffit pas pour garantir la protection contre les individus malintentionnés : il leur suffit de voler les informations d’identification de l’utilisateur pour pouvoir accéder à ces fichiers.

Afin de compliquer la tâche des individus malintentionnés, de nombreux services proposent aux utilisateurs d’associer un numéro de téléphone mobile au compte. Dans ce cas, l’accès au compte requiert non seulement le nom d’utilisateur et le mot de passe, mais également un code de confirmation unique envoyé au numéro de téléphone enregistré lors de la tentative d’accès. Il convient de signaler que cette protection est fiable uniquement si l’appareil nomade n’a pas été infecté par un programme malveillant qui permet à l’individu malintentionné d’intercepter le code.

Mais heureusement, il existe une méthode bien plus fiable pour protéger les documents professionnels envoyés au-delà du réseau de l’entreprise : le chiffrement des fichiers. Même si un individu malintentionné parvient à accéder au compte de l’utilisateur dans un service de messagerie ou un service dans le cloud où l’employé a décider de conserver les documents, il ne pourra pas consulter le contenu de ces documents car ceux-ci auront été chiffrés avant de quitter le réseau de l’entreprise vers le serveur externe.

Stratégies de sécurité

Le contrôle du trafic réseau, le contrôle des applications et le chiffrement des données sont des mesures de sécurité importantes qui permettent d’identifier et de bloquer automatiquement les fuites de données ou l’utilisation d’applications illicites sur le réseau de l’entreprise. Ceci étant dit, l’application de stratégies de sécurité et la formation des employés sont également indispensables car beaucoup d’utilisateurs ne comprennent pas que leurs actions peuvent poser des risques pour la société.

Dans les cas de violations répétées, les stratégies doivent prévoir des sanctions administratives pouvant aller jusqu’au licenciement.

Ces stratégies de sécurité doivent également définir le protocole à suivre en cas de licenciement d’un employé ayant accès à des informations confidentielles ou à des infrastructures critiques pour le système.

Conclusion

Des incidents tels qu’une fuite d’informations confidentielles ou le téléchargement de contenu illicite depuis l’adresse IP de l’entreprise peuvent nuire gravement à la réputation de la société.

Afin d’éviter de tels inconvénients, il faut limiter, voire bloquer totalement l’accès des employés aux ressources Internet qui constituent une menace pour l’entreprise. Il faut également limiter ou interdire l’utilisation des ports et des protocoles de transfert de données ainsi que des applications qui ne sont pas nécessaires à l’exécution des tâches de l’employé. Les entreprises ont tout intérêt à appliquer une politique de chiffrement des fichiers afin de garantir la confidentialité et l’intégrité des documents.

Les experts en sécurité informatique ne doivent pas oublier que leur fonction ne se limite pas uniquement à la détection et à la neutralisation des incidents à l’aide de diverses technologies. Ils doivent également accorder leur attention au volet administratif de la protection. Les utilisateurs doivent savoir ce qui est autorisé par la stratégie de sécurité. Ils doivent également connaître les interdits et être au courant des conséquences qui les attendent en cas de violation des règles.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *