Les gros titres continuent d’abonder sur la violation de données chez Facebook.
Totalement différent des piratages de sites où les informations de carte de crédit venaient d’être volées chez les grands détaillants, la société en question, Cambridge Analytica, avait le droit d’utiliser réellement ces données.
Malheureusement, ils ont utilisé ces informations sans autorisation et d’une manière manifestement trompeuse à la fois pour les utilisateurs de Facebook et pour Facebook lui-même.
Le PDG de Facebook, Mark Zuckerberg, s’est engagé à apporter des modifications pour empêcher que ces types d’utilisation abusive des informations ne se produisent à l’avenir, mais il semble que bon nombre de ces modifications seront apportées en interne.
Les utilisateurs individuels et les entreprises doivent encore prendre leurs propres mesures pour s’assurer que leurs informations restent aussi protégées et sécurisées que possible.
Pour les particuliers, le processus d’amélioration de la protection en ligne est assez simple. Cela peut aller de quitter complètement des sites tels que Facebook à éviter les soi-disant sites de jeux et de quiz gratuits où vous devez fournir l’accès à vos informations et à celles de vos amis.
Une approche distincte consiste à utiliser différents comptes. L’un pourrait être utilisé pour accéder à d’importants sites financiers. Un deuxième et d’autres pourraient être utilisés pour les pages de médias sociaux. L’utilisation d’une variété de comptes peut créer plus de travail, mais cela ajoute des couches supplémentaires pour éloigner un infiltré de vos données clés.
Les entreprises, quant à elles, ont besoin d’une approche plus globale. Alors que presque tous utilisent des pare-feu, des listes de contrôle d’accès, le cryptage des comptes, etc. pour empêcher un piratage, de nombreuses entreprises ne parviennent pas à maintenir le cadre qui mène aux données.
Un exemple est une entreprise qui utilise des comptes d’utilisateurs avec des règles qui imposent des modifications régulières des mots de passe, mais qui fait preuve de laxisme dans la modification des informations d’identification de ses périphériques d’infrastructure pour les pare-feu, les routeurs ou les mots de passe des commutateurs. En fait, beaucoup d’entre eux ne changent jamais.
Ceux qui utilisent des services de données Web doivent également modifier leurs mots de passe. Un nom d’utilisateur et un mot de passe ou une clé API sont nécessaires pour y accéder, qui sont créés lors de la construction de l’application, mais encore une fois, ils sont rarement modifiés. Un ancien membre du personnel qui connaît la clé de sécurité API de sa passerelle de traitement des cartes de crédit pourrait accéder à ces données même s’il n’était plus employé dans cette entreprise.
Les choses peuvent empirer. De nombreuses grandes entreprises font appel à des entreprises supplémentaires pour aider au développement d’applications. Dans ce scénario, le logiciel est copié sur les serveurs des entreprises supplémentaires et peut contenir les mêmes clés API ou combinaisons nom d’utilisateur/mot de passe que celles utilisées dans l’application de production. Comme la plupart sont rarement modifiées, un travailleur mécontent d’une entreprise tierce a désormais accès à toutes les informations dont il a besoin pour saisir les données.
Des processus supplémentaires doivent également être mis en place pour éviter qu’une violation de données ne se produise. Ceux-ci inclus…
• Identifier tous les appareils impliqués dans l’accès public aux données de l’entreprise, y compris les pare-feux, les routeurs, les commutateurs, les serveurs, etc. Développer des listes de contrôle d’accès (ACL) détaillées pour tous ces appareils. Modifiez à nouveau fréquemment les mots de passe utilisés pour accéder à ces périphériques et modifiez-les lorsqu’un membre de n’importe quelle ACL de ce chemin quitte l’entreprise.
• Identification de tous les mots de passe des applications intégrées qui accèdent aux données. Il s’agit de mots de passe “intégrés” aux applications qui accèdent aux données. Changez fréquemment ces mots de passe. Modifiez-les lorsqu’une personne travaillant sur l’un de ces progiciels quitte l’entreprise.
• Lorsque vous faites appel à des sociétés tierces pour vous aider dans le développement d’applications, établissez des informations d’identification tierces distinctes et modifiez-les fréquemment.
• Si vous utilisez une clé API pour accéder aux services Web, demandez une nouvelle clé lorsque les personnes impliquées dans ces services Web quittent l’entreprise.
• Anticipez qu’une violation se produira et élaborez des plans pour la détecter et l’arrêter. Comment les entreprises s’en protègent-elles ? C’est un peu compliqué mais pas hors de portée. La plupart des systèmes de bases de données ont un audit intégré, et malheureusement, il n’est pas utilisé correctement ou pas du tout.
Un exemple serait si une base de données avait une table de données contenant des données sur les clients ou les employés. En tant que développeur d’applications, on s’attendrait à ce qu’une application accède à ces données, cependant, si une requête ad hoc a été effectuée qui a interrogé une grande partie de ces données, un audit de base de données correctement configuré devrait, au minimum, fournir une alerte que cela se produit .
• Utiliser la gestion du changement pour contrôler le changement. Un logiciel de gestion des modifications doit être installé pour faciliter la gestion et le suivi. Verrouillez tous les comptes hors production jusqu’à ce qu’une demande de modification soit active.
• Ne comptez pas sur l’audit interne. Lorsqu’une entreprise s’auto-audite, elle minimise généralement les défauts potentiels. Il est préférable d’utiliser un tiers pour auditer votre sécurité et auditer vos politiques.
De nombreuses entreprises fournissent des services d’audit, mais au fil du temps, cet auteur a découvert qu’une approche médico-légale fonctionnait mieux. Analyser tous les aspects du cadre, élaborer des politiques et les contrôler est une nécessité. Oui, il est pénible de changer tous les appareils et les mots de passe intégrés, mais c’est plus facile que d’affronter le tribunal de l’opinion publique en cas de violation de données.