{"id":2435,"date":"2017-05-01T17:23:35","date_gmt":"2017-05-01T15:23:35","guid":{"rendered":"http:\/\/lmgn.fr\/?p=2435"},"modified":"2017-05-01T17:37:59","modified_gmt":"2017-05-01T15:37:59","slug":"une-entreprise-sur-deux-laisse-plus-de-1000-fichiers-sensibles-en-libre-acces","status":"publish","type":"post","link":"https:\/\/www.lmgn.fr\/?p=2435","title":{"rendered":"Une entreprise sur deux laisse plus de 1000 fichiers sensibles en libre acc\u00e8s"},"content":{"rendered":"
\n

Les sp\u00e9cialistes de la s\u00e9curit\u00e9 s\u2019inqui\u00e8tent de la menace provenant d\u2019employ\u00e9s m\u00e9contents ou corrompus. A raison, car les entreprises ont les plus grandes peines \u00e0 restreindre en interne l\u2019acc\u00e8s \u00e0 leurs informations sensibles.<\/p>\n<\/div>\n

\n
\n

47 % des organisations laissent au moins 1 000 fichiers sensibles accessibles \u00e0 tous leurs employ\u00e9s. Et dans 22 % des entreprises, ce sont m\u00eame plus de 12\u00a0000 fichiers renfermant des informations relatives \u00e0 la r\u00e9gulation, \u00e0 la propri\u00e9t\u00e9 intellectuelle, ayant une valeur concurrencielle ou normalement r\u00e9serv\u00e9es \u00e0 certains employ\u00e9s qui sont en libre acc\u00e8s. Ce sont quelques unes des conclusions, pas si surprenantes en r\u00e9alit\u00e9, d\u2019un audit men\u00e9 par Varonis, un sp\u00e9cialiste de la protection de donn\u00e9es, aupr\u00e8s de 80 organisations. Soit 3,79 Po de donn\u00e9es, 2,8 milliards de fichiers et 236 millions de dossiers pass\u00e9s au crible. Sur ce total, 48 millions de dossiers \u00e9taient ouverts \u00e0 tous au sein de l\u2019organisation, explique Varonis. La d\u00e9monstration concr\u00e8te de la difficult\u00e9 des administrateurs \u00e0 g\u00e9rer les droits d\u2019acc\u00e8s aux dossiers et fichiers sensibles dans les syst\u00e8mes Windows.<\/p>\n

\"Varonis_acces\"<\/a>Une faiblesse qui, d\u2019ailleurs, n\u2019a pas \u00e9chapp\u00e9 aux employ\u00e9s eux-m\u00eames. En ao\u00fbt 2016, une \u00e9tude du Ponemon Institute, command\u00e9e par le m\u00eame Varonis, montrait que 62 % d\u2019entre eux avaient conscience de pouvoir acc\u00e9der \u00e0 des donn\u00e9es qu\u2019ils n\u2019\u00e9taient probablement pas cens\u00e9s voir. Ces lacunes sont d\u2019ailleurs bien connues des professionnels de la s\u00e9curit\u00e9. Une \u00e9tude de Forrester Research montre que 60 % d\u2019entre eux reconnaissent que leur organisation ne parvient pas \u00e0 restreindre correctement les acc\u00e8s aux donn\u00e9es en interne. Et deux tiers de ces sp\u00e9cialistes ajoutent que leur entreprise \u00e9choue \u00e0 classer correctement l\u2019information non structur\u00e9e, l\u00e0 o\u00f9 r\u00e9side une large part de la propri\u00e9t\u00e9 intellectuelle et des plans strat\u00e9giques des organisations. Or, de r\u00e9centes affaires ont montr\u00e9 que des employ\u00e9s sur le d\u00e9part, m\u00e9contents \u00a0ou simplement attir\u00e9s par l\u2019app\u00e2t du gain, constituent une r\u00e9elle menace pour la s\u00e9curit\u00e9 des entreprises.<\/p>\n

Bien g\u00e9rer les dossiers pour le GDPR<\/h2>\n

Dans le d\u00e9tail, Varonis pointe \u00e9galement les erreurs dans la gestion des permissions d\u2019acc\u00e8s aux dossiers partag\u00e9s. 10 % d\u2019entre eux sont ainsi associ\u00e9s \u00e0 des permissions uniques, soit des autorisations ponctuelles fournies pour des cas particuliers. Or, pour Varonis, cette m\u00e9thode se r\u00e9v\u00e8le trop complexe \u00e0 analyser. \u00ab\u00a0Plus complexe est la structure du syst\u00e8me de fichiers, plus il existe de risques qu\u2019un utilisateur se voit accorder un acc\u00e8s non pr\u00e9vu. Les permissions uniques accroissent la complexit\u00e9 quand une entreprise tente de se conformer \u00e0 des r\u00e9gulations qui requi\u00e8rent un suivi pr\u00e9cis des acc\u00e8s aux donn\u00e9es sensibles, comme c\u2019est le cas du futur GDPR<\/em>\u00a0\u00bb, \u00e9crit<\/a> Varonis. A ce probl\u00e8me touchant, un dossier sur 10, s\u2019ajoutent quelques erreurs (dossiers prot\u00e9g\u00e9s, bloquant l\u2019h\u00e9ritage de droits, SID non r\u00e9solue\u2026), affectant quelques pourcents suppl\u00e9mentaires des dossiers audit\u00e9s. Notons que cette question de l\u2019h\u00e9ritage des droits lors d\u2019un changement de dossiers est tout sauf th\u00e9orique\u00a0; elle \u00e9tait m\u00eame au centre de l\u2019affaire dite LuxLeaks,<\/a> concernant des donn\u00e9es d\u00e9rob\u00e9es \u00e0 PwC Luxembourg.<\/p>\n

Au-del\u00e0 de la gestion des droits associ\u00e9s aux dossiers, se pose aussi la question de la maintenance des acc\u00e8s des utilisateurs. Varonis affirme avoir d\u00e9couvert, au cours de ses audits dans 80 organisations r\u00e9parties dans le monde, pr\u00e8s de 450\u00a0000 comptes d\u2019utilisateurs p\u00e9rim\u00e9s, mais conservant leurs droits d\u2019acc\u00e8s associ\u00e9s. Une cible classique pour les hackers. A elle seule, une organisation du monde de l\u2019\u00e9ducation en comptait 231\u00a0000\u00a0! Mais, m\u00eame chez le meilleur \u00e9l\u00e8ve du panel, 3 % des comptes \u00e9taient p\u00e9rim\u00e9s. Varonis ajoute que plus de 500\u00a0000 comptes d\u2019utilisateurs audit\u00e9s n\u2019\u00e9taient pas associ\u00e9s \u00e0 des r\u00e8gles d\u2019expiration du mot de passe, ce qui facilite les attaques par force brute et le maintien de hackers dans des syst\u00e8mes qu\u2019ils seraient parvenus \u00e0 compromettre.<\/p>\n<\/div>\n

Source :\u00a0http:\/\/www.silicon.fr\/entreprise-sur-deux-laisse-1000-fichiers-sensibles-libre-acces-173215.html<\/a><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Les sp\u00e9cialistes de la s\u00e9curit\u00e9 s\u2019inqui\u00e8tent de la menace provenant d\u2019employ\u00e9s m\u00e9contents ou corrompus. A raison, car les entreprises ont les plus grandes peines \u00e0 restreindre en interne l\u2019acc\u00e8s \u00e0 leurs informations sensibles. 47 % des organisations laissent au moins 1 000 fichiers sensibles accessibles \u00e0 tous leurs employ\u00e9s. Et dans 22 % des entreprises, ce sont m\u00eame plus de 12\u00a0000 fichiers renfermant des informations relatives \u00e0 la r\u00e9gulation, \u00e0 la propri\u00e9t\u00e9 intellectuelle, ayant une valeur concurrencielle ou normalement r\u00e9serv\u00e9es \u00e0 certains employ\u00e9s qui sont en libre acc\u00e8s. Ce sont quelques unes des conclusions, pas si surprenantes en r\u00e9alit\u00e9, d\u2019un <\/p>\n","protected":false},"author":2,"featured_media":2436,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/posts\/2435"}],"collection":[{"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2435"}],"version-history":[{"count":1,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/posts\/2435\/revisions"}],"predecessor-version":[{"id":2437,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/posts\/2435\/revisions\/2437"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=\/wp\/v2\/media\/2436"}],"wp:attachment":[{"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2435"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2435"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lmgn.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2435"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}