L’affaire des Panama Papers n’est pas un piratage, comme l’ont d’abord annoncé les rapports de presse, mais une fuite venue de l’intérieur.
Comment ce scandale a-t-il pu voir le jour ? «Suite à une déception sentimentale, assure Bogdan Botezatu, Senior Analyst, Bitdefender. Une ex-employée du cabinet d’avocats panaméen Mossack, ayant accès aux données, s’est vengée après sa rupture avec un des employés de la firme en rendant publiques les listes de clients et certaines autres données étroitement liées !»
La suite des Panama Papers, on le connaît. Environ 2,6 To de données dévoilées, y compris des informations sur les comptes à l’étranger appartenant à la famille de David Cameron et de Vladimir Poutine, ainsi qu’à d’autres hommes politiques d’Islande, de Malte, du Pakistan et d’Ukraine…
Informations à vendre, pas cher…
L’année dernière, des chercheurs ont estimé que près de 35% des employés seraient susceptibles de vendre des informations sur les brevets de leur entreprise, ses informations financières et même les informations de carte de crédit d’un client, à condition qu’on leur propose une somme suffisante pour cela. L’enquête a aussi montré que pour moins de 8 000 USD (soit près de 7 100 EUR), 25% des employés pourraient vendre des données sur leur entreprise, prenant le risque à la fois de mettre en péril leur emploi et d’encourir des poursuites judiciaires.
La tentation de vendre des informations confidentielles est d’autant plus exacerbée que les employés y ont accès facilement, 61% des sondés affirmant qu’ils ont eu accès à des données confidentielles sur leurs clients. 51% ont eu accès à des données financières, telles que les comptes de l’entreprise ou des informations sur les actionnaires et 49% ont eu accès à des informations sensibles sur les produits de l’entreprise, telles que les lancements et les brevets.
Pour atténuer l’erreur humaine, une entreprise doit déployer des contrôles de sécurité pour surveiller les autorisations d’accès par les employés aux données confidentielles. Elle doit vérifier la gestion et le suivi des privilèges de l’utilisateur final, le cloisonnement du réseau pour un meilleur contrôle et une meilleure sécurité, -les antécédents de l’activité en ligne d’un employé avant de lui accorder un accès privilégié.
«Je recommande aux entreprises d’établir des protocoles et des politiques strictes ainsi que de limiter la façon dont les employés utilisent les équipements et infrastructures et disposent de privilèges à l’intérieur du réseau de l’entreprise, conseille Bogdan Botezatu. Le service IT doit définir des politiques pour une utilisation appropriée des équipements et s’assurer qu’elles sont bien mises en œuvre. Un autre élément clé pour une sécurité renforcée, consiste à cloisonner les droits d’accès en fonction des besoins précis des employés : ces derniers ne doivent pouvoir accéder qu’aux ressources essentielles à leurs activités quotidiennes. Seul le personnel autorisé doit avoir accès aux données critiques et sensibles, uniquement en respectant des protocoles de sécurité stricts et des mécanismes d’authentification avancés.
Outre l’authentification à deux facteurs, l’authentification à deux personnes pourrait également être mise en place pour les systèmes critiques, semblables à des institutions financières où les grandes transactions doivent être autorisées par deux ou plusieurs personnes. De plus, les sauvegardes doivent être stockées uniquement au sein-même de l’entreprise et toutes les données doivent être répertoriées et détruites de manière appropriée lorsqu’elles ne sont plus nécessaires. Tous les privilèges et comptes d’anciens employés doivent être révoqués immédiatement suite à leur départ.
«Les anciens employés sont à l’origine de risques importants de fuites de données et peuvent fragiliser une entreprise, tant qu’ils ont accès à des informations confidentielles, poursuit Bogdan Botezatu. Les entreprises doivent limiter les risques que leurs ex-employés utilisent des informations dans leur intérêt propre ou puissent accéder aux données après leur départ. Tous les mots de passe utilisés pour accéder aux comptes de l’entreprise doivent aussi être modifiés régulièrement pour réduire le facteur de risque de failles de sécurité.»
L’origine des Panama Papers
Il est intéressant de noter que 64% des entreprises n’ont qu’une idée approximative de l’emplacement de leurs informations sensibles, alors que plus de la moitié craint particulièrement pour la sécurité de leurs données suites à des erreurs qui seraient commises par des intérimaires ou des prestataires de services, selon l’étude The State of Data Security Intelligence, réalisée par le Ponemon Institute. Parmi les principaux sujets d’inquiétude de responsables IT, on note : le manque de connaissances concernant les données (52%), la gestion externalisée des données (48%) et la migration vers de nouvelles plates-formes mobiles ou des écosystèmes de cloud computing (47%), indique le rapport. Les cybercriminels, le non-respect des lois et réglementations, les erreurs des employés, le non-respect des processus opérationnels et l’usurpation d’identité font également partie des principales préoccupations.
«L’affaire des Panama Papers a été largement couverte par les médias, totalisant plus de 10 000 articles rédigés dans le monde. Cette affaire a surtout été traitée sous un angle purement financier, légal et moral, listant un certain nombre de personnalités impliquées. En tant qu’expert en cybersécurité, j’ai préféré m’intéresser à l’origine même de la fuite de données et analyser les problèmes que toute entreprise peut rencontrer dans la gestion de ses informations sensibles et de ses anciens employés, conclut Bogdan Botezatu. Une politique plus restrictive de gestion des accès aux données sensibles de leur ancienne entreprise se présente alors comme l’alternative la plus sûre, pour éviter à votre entreprise de devenir le prochain Mossack Fonseca.»