Sommaire
Exfiltration de données ou data exfiltration : définition
Selon Techopedia, l'exfiltration de données (ou data exfiltration, en anglais) se produit lorsqu'il y a une copie, un transfert ou une récupération non autorisés de données d'un serveur ou de l'ordinateur d'un individu.
Les organisations possédant des données de grande valeur sont particulièrement exposées à ce type d'attaques, qu'elles soient le fait d'acteurs extérieurs ou d'initiés de confiance.
Les menaces internes sont l'une des principales causes d'exfiltration de données, qu'elles soient accidentelles ou malveillantes. Les menaces d'initiés malveillants sont le fait d'individus de confiance qui cherchent à exfiltrer intentionnellement des données afin d'infliger des dommages à une organisation pour leur propre bénéfice (ou celui de quelqu'un d'autre).
Il est important de noter que deux incidents sur trois liés à des menaces d'initiés sont causés par un accident, ce qui pourrait s'avérer tout aussi coûteux pour une organisation si ces erreurs prennent trop de temps à être investiguées.
L'exfiltration de données figure parmi les principales préoccupations des organisations aujourd'hui. Selon une étude récente de McAfee, 61 % des professionnels de la sécurité ont été confrontés à une violation de données dans leur entreprise actuelle.
Avec des réglementations de conformité plus strictes autour de la confidentialité des données, comme le GDPR et le California Consumer Privacy Act, les enjeux de la déclaration des événements d'exfiltration de données sont également devenus beaucoup plus élevés.
La formation à la cybersécurité commence ici
Votre évaluation gratuite fonctionne comme suit :
- Prenez rendez-vous avec nos experts en cybersécurité afin qu'ils évaluent votre environnement et déterminent votre exposition aux menaces.
- Sous 24 heures et avec une configuration minimale, nous déployons nos solutions pour une durée de 30 jours.
- Découvrez nos technologies en action !
- Recevez un rapport mettant en évidence les vulnérabilités de votre dispositif de sécurité afin que vous puissiez prendre des mesures immédiates pour contrer les attaques de cybersécurité.
Remplissez ce formulaire pour demander un entretien avec nos experts en cybersécurité.
Un représentant de Proofpoint vous contactera sous peu.
Types d'exfiltration de données
Selon les recherches de McAfee citées plus haut, les méthodes d'exfiltration de données les plus courantes dans les organisations sont les suivantes :
- Fuites de bases de données
- Trafic réseau
- Partage de fichiers
- Courrier électronique d'entreprise
Applications et bases de données en cloud
Selon un récent rapport de CA Technologies sur les menaces internes, les bases de données sont le bien informatique le plus vulnérable, devant les serveurs de fichiers, les applications en cloud et les appareils mobiles.
Les données qu'elles contiennent étant très précieuses, les bases de données sont souvent la cible d'attaquants internes et externes.
Exfiltration de données via des supports de stockage amovibles
Les supports amovibles sont un autre vecteur courant de menace interne. Même à l'ère de l'omniprésence du stockage en cloud, les méthodes d'exfiltration de données à l'ancienne, comme les lecteurs flash, sont encore très répandues.
S'il n'est pas réaliste d'interdire complètement l'utilisation des clés USB dans toutes les organisations, les employés doivent comprendre les risques et adhérer aux politiques d'accès et de stockage des données.
Si le partage de fichiers est en tête de liste des méthodes d'exfiltration de données en Amérique du Nord, les clés USB sont le vecteur d'exfiltration numéro un en Asie-Pacifique et en Europe.
Menaces internes accidentelles
Outre les utilisateurs aux intentions malveillantes, les menaces internes accidentelles peuvent être une cause majeure d'exfiltration de données.
Les emails de phishing et les attaques d'ingénierie sociale restent un moyen éprouvé pour les pirates d'accéder aux données de l'entreprise. En outre, les mots de passe faibles ou réutilisés, ou l'absence d'authentification multifactorielle, sont des faiblesses courantes que les pirates recherchent pour infiltrer le compte d'un utilisateur.
Dans ces scénarios, la meilleure défense est souvent la sensibilisation à la cybersécurité. L'exfiltration de données par courrier électronique a également été fréquemment utilisée par les menaces internes dans l'étude de McAfee.
Mauvaise utilisation des données
Selon un récent rapport de Verizon sur les menaces d'initiés, le mauvais usage est une autre cause majeure d'exfiltration de données. Contrairement à son cousin négligent, la menace interne accidentelle, l'utilisation abusive peut se produire lorsque les utilisateurs cherchent à contourner, intentionnellement ou non, les contrôles ou les politiques de sécurité.
Par exemple, un employé peut utiliser un logiciel non approuvé pour travailler avec un contractant tiers parce qu'il est plus rapide ou plus facile à utiliser, ce qui entraîne une exfiltration involontaire de données.
Les employés peuvent également exfiltrer les données de l'entreprise de diverses manières, notamment par le biais de comptes de messagerie personnels, de stockage dans le cloud, d'imprimantes, de sites de partage de fichiers, de raccourcis clavier, etc.
Il peut être difficile pour une organisation de distinguer l'activité légitime des utilisateurs de l'activité malveillante, mais dans ces cas, disposer d'un système qui fournit un contexte aux actions des utilisateurs peut aider.
Comment prévenir l'exfiltration de données grâce à la surveillance de l'activité des utilisateurs et des données ?
De nombreuses organisations se tournent vers les défenses de sécurité traditionnelles telles que les solutions de prévention des pertes de données (DLP) pour prévenir l'exfiltration de données.
Bien que ces outils soient efficaces dans certains cas, ils ne parviennent pas toujours à détecter les exfiltrations de données dues à des menaces internes.
Par exemple, les solutions DLP d'entreprise sont généralement mises en place par une organisation pour détecter les violations des politiques d'utilisation des données et prévenir les pertes de données.
La mise en œuvre implique un processus étendu de découverte et de classification des données établi pour trouver, catégoriser et comprendre les données sensibles.
Ces paramètres doivent être gérés en permanence, à mesure que les besoins évoluent, ce qui oblige les équipes à affiner leurs règles de politique pour s'assurer que les sources et les définitions autour des données sensibles sont correctement mises à jour.
En réalité, ces solutions DLP sont difficiles à mettre en place et à maintenir pour les organisations, lourdes pour les terminaux et frustrantes pour les utilisateurs.
La découverte et la classification approfondies des données peuvent être lourdes pour de nombreuses organisations manquant de ressources, et lorsque de nouvelles technologies sont ajoutées à l'organisation, elles peuvent passer à travers les mailles du filet si le DLP n'est pas correctement maintenu.
De plus, les utilisateurs peuvent contourner un système DLP s'il ralentit leur productivité. Les systèmes DLP s'appuient souvent sur les utilisateurs finaux pour classer ou étiqueter les documents, et certains employés peuvent ajouter des étiquettes qui sont intentionnellement trompeuses pour conserver leur liberté d'utilisation autorisée.
En guise d'alternative ou de complément à une solution DLP, les organisations devraient adopter une solution dédiée à la gestion des menaces internes pour prévenir l'exfiltration des données.
Contrairement aux solutions DLP, une plateforme de gestion des menaces internes comme celle de Proofpoint s'appuie sur une combinaison de surveillance de l'activité des utilisateurs et des données.
Alors que les DLP et d'autres outils se concentrent uniquement sur les données, la surveillance de l'activité des utilisateurs permet de savoir qui fait quoi, quand et pourquoi.
De nombreuses défenses de sécurité traditionnelles sont orientées vers l'extérieur, de sorte qu'une solution de surveillance de l'activité des utilisateurs et des données peut détecter des actions potentiellement suspectes de la part des utilisateurs, ce que d'autres solutions ne font pas... jusqu'à ce qu'il soit trop tard.
Comme les menaces internes sont, par définition, déjà à l'intérieur du périmètre, elles peuvent souvent passer inaperçues, à moins que l'équipe de sécurité n'ait une visibilité sur l'activité des utilisateurs, en contexte avec d'autres données qui peuvent prouver si un incident est involontaire ou malveillant.
Une plateforme comme Proofpoint Insider Threat Management peut rapidement alerter les équipes d'une menace interne potentielle et fournir une chronologie de l'activité de l'utilisateur et une lecture détaillée de la vidéo pour accélérer les enquêtes.
Les organisations ne peuvent plus se permettre de laisser leurs précieuses données exposées. Elles doivent apprendre à stopper les menaces d'exfiltration de données les plus courantes, mettre en œuvre les politiques et les formations adéquates pour limiter les menaces accidentelles, et adopter une solution de gestion des menaces internes dédiée afin d'obtenir le niveau approprié de contexte dans un incident potentiel.
Si vous souhaitez tester l'environnement sandbox de Proofpoint, n'hésitez pas à l'essayer (aucun téléchargement ni installation requis) pour découvrir à quel point il peut être simple de détecter et de stopper l'exfiltration de données dans votre organisation.