Une attaque d’email de phishing sur une entité couverte par la loi américaine HIPAA (Health Insurance Portability and Accountability Act) a entraîné une pénalité de 400 000 $ pour non-respect de ce texte.
Ce n’est pas la première fois qu’une attaque de phishing est sanctionnée par l’Office des droits civils (OCR) pour non-conformité.
L’incapacité à prévenir les attaques de phishing n’est pas nécessairement synonyme de sanction, mais le fait de ne pas mettre en œuvre des protections suffisantes pour empêcher de telles attaques pourrait mettre les entités couvertes par l’HIPAA dans l’embarras.
Conformité HIPAA et attaque d’email de phishing
L’OCR du Département américain de la santé et des services sociaux est chargé de faire respecter les règles de la loi sur la transférabilité et la responsabilité en matière d’assurance maladie.
L’OCR effectue les audits des entités couvertes pour identifier les aspects des règles HIPAA qui s’avèrent problématiques pour les entités concernées.
Cependant, à ce jour, aucune sanction financière n’a été émise suite à des infractions à la loi HIPAA découvertes lors de ces audits. Mais ce n’est certainement pas le cas lorsqu’il s’agit d’enquêtes sur des violations de données.
OCR enquête sur toutes les formes de violations de données touchant plus de 500 personnes. Ces enquêtes aboutissent souvent à la découverte de violations des règles de l’HIPAA.
Toute entité couverte par cette loi et qui subit une attaque de phishing entraînant l’exposition d’informations de santé protégées de patients ou de membres d’assurance maladie pourrait être considérée comme ayant violé l’HIPAA.
Une seule attaque de phishing qui n’a pas été contrecarrée pourrait donc entraîner une amende considérable pour non-conformité.
Quelles sont les règles de l’HIPAA qui couvrent le phishing ?
Bien que cette loi ne mentionne pas spécifiquement le phishing, cette menace pourrait porter atteinte à la confidentialité, l’intégrité et la disponibilité des informations électroniques protégées sur la santé (ou Electronic protected health information – ePHI).
Le phishing est donc couvert par les exigences administratives de la règle de sécurité HIPAA.
Les entités couvertes par la règle de sécurité HIPAA sont tenues de dispenser une formation continue appropriée aux membres de leur personnel.
Selon le §164.308.(a).(5).(i), une formation de sensibilisation à la sécurité est nécessaire. Bien que ces exigences soient adressables, elles ne peuvent être ignorées.
Les exigences administratives incluent l’envoi de rappels de sécurité, la protection contre les malwares, la gestion de mots de passe et la surveillance des connexions.
Les employés doivent également apprendre à identifier les emails de phishing potentiels et connaître la réponse correcte lorsqu’ils en reçoivent un.
La règle de sécurité HIPAA exige également la mise en place de protections techniques contre les menaces pesant sur les ePHI.
Des mesures de sécurité raisonnables et appropriées, telles que le chiffrement, devraient être utilisées pour protéger les informations.
Comme les EPHI sont souvent divulguées via des comptes de messagerie, une mesure de sécurité raisonnable et appropriée consisterait donc à utiliser une solution de filtrage du spam avec un composant anti-phishing.
PhishMe rapporte que 91 % des cyberattaques commencent par un email de phishing. Une solution de filtrage anti-spam peut donc être considérée comme un contrôle de sécurité essentiel.
Le risque de phishing doit être mis en évidence lors de l’analyse de votre système de sécurité. C’est un élément obligatoire de la règle de sécurité HIPAA.
Une telle analyse doit identifier les risques et les vulnérabilités susceptibles d’entraîner la divulgation ou le vol des ePHI. Ces failles doivent ensuite être traitées dans le cadre du processus de gestion de la sécurité de l’entité couverte.
Sanctions HIPAA pour attaques d’email de phishing
OCR a récemment conclu un accord avec Metro Community Provider Network (MCPN), un centre de santé agréé par le gouvernement fédéral (FQHC), basé à Denver, au Colorado.
Cela fait suite à une attaque de phishing survenue en décembre 2011.
L’attaque a permis aux pirates d’accéder aux comptes de messagerie de l’organisation après que les employés aient répondu à un email de phishing et fourni ses informations d’identification.
Les ePHI de 3 200 personnes figuraient dans les comptes de messagerie piratés.
L’amende ne visait pas précisément à empêcher toutes les attaques de phishing, mais à faire suffisamment d’efforts pour gérer les risques de sécurité.
MCPN n’avait pas effectué l’analyse des risques avant l’attaque et n’avait pas mis en œuvre de mesures de sécurité suffisantes pour réduire les failles et les vulnérabilités à un niveau raisonnable et approprié.
Le centre de santé MCPN a dû verser 400 000 $ à l’OCR suite à cet incident.
En 2015, une autre entité couverte par l’HIPAA a fini par se mettre d’accord avec l’OCR pour résoudre les violations des règles HIPAA suite à une attaque de phishing.
Le centre médical de l’Université de Washington a versé 750 000 dollars à l’OCR en raison de la divulgation de 90 000 ePHI individuelles. Pour ce cas précis, l’attaque de phishing permettait à des attaquants d’installer des malwares.
Jocelyn Samuels, directeur d’OCR à l’époque, a déclaré: « Une analyse de risque efficace doit être exhaustive et menée dans l’ensemble de l’organisation pour traiter suffisamment les risques et les vulnérabilités des données des patients.
Trop souvent, nous voyons des entités couvertes avec une analyse de risque limitée, qui se concentre sur un système spécifique tel que les dossiers médicaux électroniques, où qui n’assure pas une supervision et une responsabilité appropriées pour toute l’entreprise. »
On ne s’attend pas à ce que les entités visées empêchent toutes les attaques de phishing, mais elles doivent s’assurer que le risque de phishing soit identifié et que des mesures soient mises en place pour empêcher ces attaques d’entraîner l’exposition au vol des ePHI.
Dans le cas contraire, une amende relative à violation de la loi HIPAA pourrait être infligée aux entreprises concernées.
Une faille dans le navigateur Safari mobile a été exploitée par des cybercriminels et utilisée pour extorquer de l’argent à des individus qui ont déjà utilisé leur appareil mobile pour regarder de la pornographie ou d’autres contenus illégaux.
Comment fonctionne le Scareware utilisé contre Safari ?
Le scareware empêche l’utilisateur du navigateur Safari d’accéder à Internet sur son appareil et charge une série de messages popup.
Un popup s’affiche pour informer l’utilisateur que Safari ne peut pas ouvrir la page demandée.
Cliquer sur « OK » pour fermer le message déclenche un autre avertissement popup.
Safari est alors verrouillé dans une boucle sans fin de messages popup qui ne peuvent pas être fermés.
Un message s’affiche en arrière-plan indiquant que l’appareil a été verrouillé, car il a été découvert que l’utilisateur avait consulté un contenu Web illégal.
Certains utilisateurs ont signalé des messages contenant des bannières d’Interpol, dont le but est de faire croire à l’utilisateur que la serrure a été placée sur son téléphone par les forces de l’ordre.
La seule façon de déverrouiller l’appareil, selon les messages, est de payer une amende.
L’un des domaines utilisés par les attaquants est police-pay.com.
Cependant, peu d’utilisateurs seraient probablement trompés en pensant que le verrouillage du navigateur avait été mis en place par un service de police, car l’amende devait être payée sous la forme de carte-cadeau iTunes.
D’autres messages ont menacé l’utilisateur d’une action de la police si le paiement n’est pas effectué.
Dans ce cas, les attaquants ont affirmé qu’ils enverront l’historique de navigation de l’utilisateur et les fichiers téléchargés à la Metropolitan Police.
Cette campagne de scareware sur Safari n’est pas nouvelle, bien que la vulnérabilité « zero day » qui a été exploitée pour afficher les messages l’était.
Les attaquants ont chargé du code sur un certain nombre de sites Web, exploitant ainsi une vulnérabilité dans la façon dont le navigateur Safari gère les fenêtres pop-up JavaScript. Le code visait les versions 10.2 et antérieures d’iOS.
La campagne scareware sur Safari a récemment été découverte par Lookout qui a transmis les détails du kit d’exploitation à Apple le mois dernier.
Apple vient de publier une mise à jour de son navigateur pour empêcher l’attaque de se produire.
Les utilisateurs peuvent donc protéger leurs appareils contre une telle menace en mettant à jour leurs navigateurs avec la version 10.3 d’iOS.
Quelle est la différence entre un scareware et un ransomware ?
Les scarewares sont différents des ransomwares, bien que les deux soient utilisés pour extorquer de l’argent.
Dans le cas d’un ransomware, l’accès à un dispositif est obtenu par l’attaquant et un malware de chiffrement de fichiers est téléchargé.
Ce malware verrouille alors les fichiers des utilisateurs à l’aide d’un chiffrement puissant.
Si une sauvegarde des fichiers chiffrés n’appartient pas à l’utilisateur, ce dernier risque de perdre des données, sauf s’il paie les attaquants pour qu’ils déchiffrent les fichiers verrouillés.
Les scarewares peuvent impliquer des malwares, bien que le plus souvent — comme ce fut le cas pour cette campagne sur Safari — il s’agit de codes malveillants sur des sites Web.
Le code est exécuté lorsqu’un utilisateur doté d’un navigateur vulnérable visite une page Web infectée.
L’idée derrière le scareware est d’effrayer l’utilisateur final pour qu’il paie la rançon demandée afin de déverrouiller son appareil.
Contrairement aux attaques par ransomwares, qui ne peuvent être déverrouillés sans une clé de déchiffrement, il est généralement possible de déverrouiller les navigateurs verrouillés par un scareware avec un peu de savoir-faire informatique.
Pour notre cas, le contrôle du téléphone pouvait être récupéré en vidant le cache du navigateur Safari.
Qu’est-ce qui vous empêche de dormir la nuit ? Si vous êtes un Responsable de la Sécurité des Systèmes d’Information (RSSI) d’une grande entreprise, il se peut que vous ayez peur de perdre votre emploi au cas où votre employeur serait victime d’une cyberattaque comme une atteinte à la protection des données.
Les RSSI prennent la responsabilité des cyberattaques subit par leurs entreprises
C’est l’une des statistiques inquiétantes rapportées par l’étude Megatrend Study du Ponemon Institute.
Cette étude, rendue publique plus tôt cette année, a montré que les nombreux incidents cybernétiques qui ont fait la une des journaux et des médias au cours des deux dernières années semblent avoir des répercussions sur les dirigeants du RSSI et d’autres dirigeants de C-Suite.
L’enquête portait sur 612 RSSI, DSI et autres professionnels de la sécurité de l’information :
45 % des répondants ont déclaré qu’ils craignaient de perdre leur emploi à la suite d’une cyberattaque majeure.
Cela semble compréhensible puisqu’en 2018, 67 % d’entre eux s’attendent à une atteinte à la protection des données ou à un type d’attaque informatique semblable, contre 60 % en 2017.
Ces appréhensions ne sont pas propres aux professionnels de l’industrie établis aux États-Unis.
Une enquête menée dans le cadre de la conférence Infosecurity Europe 2017 a rapporté des résultats similaires.
En effet, on a demandé aux professionnels de la sécurité le poste le plus responsable d’une entreprise en cas d’atteinte à la protection des données.
Parmi les répondants, 40 % affirmaient que les PDG seraient les premiers à être sur la ligne de mire, suivis des RSSI (21 %), des autres professionnels de la sécurité de l’information (15 %) et des DSI (14 %).
Parmi les exemples récents de départs forcés, on peut citer celui du chef de la direction d’Equifax, Richard Smith, après la divulgation d’une violation massive de données.
Chez Uber, trois cadres supérieurs du département sécurité ont également démissionné suite à la dissimulation révélée d’une attaque cybercriminelle. Suite à cela, les données de plus de 50 millions de conducteurs et passagers ont été atteintes.
Uber a dû payer un groupe de pirates informatiques pour effacer les dossiers infectés.
D’autres exemples d’attaques de haut niveau ont impliqué d’autres entreprises, comme :
Le fabricant aérospatial autrichien FACC
Sony
Target
Home Depot.
Le grand public est clairement convaincu que les entreprises doivent être pénalisées pour les violations de données impliquant des informations personnelles.
Dans un sondage mené récemment auprès de 9 000 consommateurs en Australie, au Benelux, en France, en Allemagne, en Russie, aux Émirats arabes unis, en Arabie saoudite, en Inde, au Japon, au Royaume-Uni et aux États-Unis, 70 % des répondants ont attribué la responsabilité de protéger et de sécuriser leurs données directement aux entreprises.
L’étude du Ponemon Institute montre que le stress lié à la cybercriminalité affecte les RSSI
Non seulement la majorité d’entre eux estiment qu’une cyberattaque est imminente, mais 66 % disent qu’ils s’attendent à ce que leur travail devienne plus stressant au cours des douze prochains mois.
Un autre fait inquiétant est que :
44 % des répondants ont indiqué qu’ils prévoyaient de faire une mutation latérale au sein de leur organisation, en travaillant hors du domaine de la sécurité informatique.
40 % envisagent tout simplement de changer de carrière.
Pourquoi les responsables de la sécurité informatique du C-Suite sont-ils si inquiets ?
Certes, la publicité sur les cyberattaques – telles que les atteintes à la protection des données et les attaques de ransomwares – a fait monter la pression pour ces dirigeants.
Mais la surcharge d’informations et l’augmentation des réglementations y contribuent également.
Outre ces faits, l’étude du Ponemon Institute a mis en évidence d’autres préoccupations spécifiques des répondants.
70 % d’entre eux ont affirmé que la cause la plus probable d’une atteinte à la protection des données était le manque de personnel interne compétent.
64 % ont souligné le manque d’expertise interne qui pourrait entraîner une atteinte à la protection des données. La pénurie chronique de talents dans le domaine de la cybersécurité est qualifiée d’épidémie selon certains analystes de l’industrie. L’un des principaux groupes de défense de la sécurité de l’information prévoit qu’il y aura une pénurie mondiale de deux millions de professionnels de la sécurité d’ici 2019.
47 % s’inquiétaient d’une brèche potentielle due à l’incapacité de leur organisation à sécuriser les dispositifs IoT (Internet des objets).
56 % d’entre eux ont cité que les organisations sont incapables de faire face aux cyberattaques qui sont de plus en plus sophistiquées.
Un tiers des répondants ont affirmé que cette préoccupation est due à un financement inadéquat.
40 % ont déclaré que leurs budgets de sécurité informatique étaient restés stables l’an dernier malgré les menaces croissantes, tandis que 23 % s’attendaient à un budget réduit pour les douze mois à venir.
L’une des principales préoccupations exprimées dans le rapport était l’incapacité de se préparer à de nouveaux types de menaces sur le long terme, en raison de l’augmentation du nombre d’attaques quotidiennes.
Les malwares et le phishing demeurent leur principale préoccupation, car ils constituent le principal moyen de diffusion des attaques cybernétiques.
La capacité de sécuriser complètement la messagerie électronique des utilisateurs est également une priorité absolue, outre la mise en œuvre d’outils de sécurité tels que le filtrage moderne des emails et des contenus web.
La cybersécurité doit devenir une culture pratiquée dans chaque organisation. En attendant, le stress des RSSI restera certainement élevé.
Le mardi 27 juin 2017, une importante cyberattaque utilisant des ransomwares a eu lieu.
Elle ciblait des organisations à travers le monde.
Les analystes de TitanHQ ont enquêté sur cette nouvelle vague d’attaques de ransomwares.
Les premiers résultats de notre fournisseur antivirus Kaspersky suggèrent qu’il ne s’agit pas d’une variante du ransomware Petya, telle que rapportée publiquement, mais d’un nouveau ransomware qui n’a jamais été vu auparavant.
Bien qu’il présente des chaînes de caractères similaires à celles de Petya, il possède des fonctionnalités complètement différentes. Kaspersky l’a nommé « ExPetr ».
Il s’agit d’une attaque complexe impliquant plusieurs vecteurs de malwares.
Nous pouvons confirmer que les kits d’exploitation modifiés d’EternalBlue et d’EternalRomance — lesquels ont été utilisés lors de l’attaque ransomwares avec WannaCry en mai — ont été utilisés par les criminels pour propager des virus dans le réseau des entreprises.
Kaspersky a nommé les variantes de cette menace de différentes manières, à savoir :
Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
Trojan-Ransom.Win32.ExPetr.gen
Win32.Generic
Win32.Generic.
Protection SpamTitan contre le ransomware ExPetr
Les clients utilisant SpamTitan sont protégés contre toutes les variantes récentes du ransomware ExPetr.
Notre service antivirus peut bloquer cette menace et nous travaillons en étroite collaboration avec des fournisseurs spécialisés pour assurer une protection optimale de vos réseaux d’entreprise.
TitanHQ a détecté l’infection initiale à l’aide de la fonction de protection Kaspersky.
Que devriez-vous faire ?
Nous conseillons à toutes les organisations de mettre à jour leurs logiciels Windows : les utilisateurs de Windows XP et Windows 7 peuvent se protéger en installant le correctif de sécurité MS17-010.
Nous conseillons également à toutes les organisations de s’assurer qu’elles disposent de systèmes de sauvegarde des données, notamment la méthode de sauvegarde 3-2-1. Un système de sauvegarde approprié et opportun peut être utilisé pour restaurer les fichiers originaux après une perte de données.
S’assurer que tous les mécanismes de protection antivirus sont activés.
Évitez d’ouvrir des pièces jointes à des emails auxquels vous ne vous attendez pas ou provenant de destinataires que vous ne connaissez pas.
Couches de sécurité
De nos jours, les entreprises ont besoin de plusieurs niveaux de sécurité pour stopper les emails qui passent à travers votre pare-feu, par le biais d’un antispam et d’une solution antivirus pour votre serveur de messagerie.
Si l’email parvient à contourner votre système de défense, il sera alors arrêté par l’antivirus.
Au cas où un malware s’installerait sur votre poste de travail, il va également être détecté dès qu’il commence à fonctionner de façon suspecte.
Vous pouvez donc vous protéger contre les virus, les attaques de phishing et de ransomwares, et bien d’autres menaces en ligne.
Corriger – Répondre – Atténuer
En cas d’attaque par des ransomwares, les sauvegardes sont essentielles, tout comme la mise à jour régulière de vos systèmes.
Le problème est que les entreprises ne peuvent pas toujours appliquer les correctifs le jour où elles sont disponibles, car les entreprises doivent encore tester les modifications et s’assurer que les mises à jour n’auront aucun impact sur leur fonctionnement.
Il est également crucial pour les équipes informatiques d’intégrer la redondance dans l’infrastructure, de sorte que lorsqu’un système sera mis hors service pendant la période de test, un autre système pourra fonctionner correctement.
Les équipes informatiques doivent disposer d’un plan pour hiérarchiser les mises à jour de sécurité ou mettre en place des mesures de protection pour celles qui ne peuvent pas être corrigées.
La seule certitude concernant les ransomwares, c’est qu’ils évoluent tout le temps. Rien qu’en janvier, 37 nouvelles variantes se sont apparues, dont :
F Society
CyberHub
Spora
Marlboro
Dark OverLord
Pour n’en citer que quelques-unes.
Avec autant de souches différentes qui circulent sur le web, les précautions restent les mêmes :
Les entreprises doivent maintenir des sauvegardes
Utiliser une sécurité efficace de la messagerie électronique et du web
Traiter le spam comme un vecteur sérieux de malwares plutôt que comme une simple nuisance.
Les statistiques concernant les attaques de ransomwares montrent clairement comment les entreprises ignorent ou n’accordent pas la priorité aux correctifs.
Avez-vous appliqué tous vos correctifs après les attaques de WannaCry ?
Avez-vous été victime d’une attaque par le ransomware ExPetr ?
Si vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sensibles soient protégés, parlez-en à nos spécialistes ou envoyez-nous un email à info@titanhq.com pour toute question.
Les établissements d’enseignement, de la maternelle au lycée ainsi que de l’enseignement supérieur, sont régulièrement piratés.
La situation ne montre aucun signe d’amélioration.
Les conséquences de tout vol de données sont énormes non seulement en termes de réputation, mais aussi en termes juridique, économique et opérationnel.
Le financement futur pourrait être affecté, mais il y a aussi le risque de perte de frais de scolarité futurs et de revenus associés.
L’année dernière, un article paru dans le Huffington Post donnait des exemples de cinq collèges dont les atteintes à la protection des données étaient encore plus importantes que celles de Sony.
Voici quelques exemples d’atteintes récentes à la protection des données dans le domaine de l’éducation :
Les réseaux de l’Université du Maryland ont été piratés en janvier 2014, ce qui a entraîné la divulgation des données de 310 000 étudiants. La brèche a coûté plus de 6 millions de dollars à l’université pour que les victimes puissent bénéficier de services de surveillance du crédit.
Le district scolaire Park Hill de Kansas City, au Missouri, a signalé une infraction en juillet 2014. Un ancien employé a eu accès à des données confidentielles sur des élèves et des employés. Ces données ont été ensuite publiées par inadvertance sur Internet. Plus de 10 000 personnes ont été victimes de cette attaque. Des dossiers ont été endommagés, y compris des numéros de sécurité sociale et des évaluations des employés.
En juin 2014, plus de 30 000 étudiants du Riverside Community College District, en Californie, ont vu leurs données exposées (numéros de sécurité sociale, dossiers scolaires, etc.) lorsqu’un employé a envoyé des dossiers par email à une adresse électronique incorrecte via un système non sécurisé.
Universities UK est une organisation regroupant les directeurs généraux des universités britanniques qui œuvre pour le soutien et la promotion du secteur de l’enseignement supérieur britannique.
Elle a commandé un rapport qui examine les moyens de mettre en œuvre la cybersécurité dans les établissements d’enseignement supérieur au niveau de la direction.
Leurs suggestions sur la manière d’assurer une cybersécurité adéquate semblent très similaires aux approches que toute grande entreprise devrait adopter :
Évaluer le risque institutionnel en identifiant les actifs informationnels, en évaluant leurs vulnérabilités et en établissant leurs priorités de gestion.
Mettre en place un système de surveillance et de communication efficace des risques liés à l’information entre le conseil d’administration de l’institution, les propriétaires, les contrôleurs et les actifs informationnels.
Mettre en œuvre des contrôles réseau généraux, ciblés et appropriés, notamment le partage et la mise à jour des vulnérabilités et des pratiques menées en interne et en externe.
La nature et la fiabilité des données associées à un large éventail d’activités nécessitent un ensemble de modèles de cybersécurité ciblés, adaptés et proportionnés à leurs actifs.
Les universités sont les cibles parfaites pour un vol de données
Les données sont essentielles au bon fonctionnement d’un établissement d’enseignement, ainsi qu’à la recherche et à la production d’autres données.
Il peut s’agir du principal actif intellectuel — parfois sensible du point de vue politique ou commercial — et essentiel pour que l’université puisse répondre à ses besoins commerciaux ou académiques.
Il suffit prendre l’exemple de la nature des données sur les changements climatiques ou des dossiers médicaux.
Il peut également s’agir de données d’entreprise, sur les étudiants, les finances et les ressources humaines.
Celles-ci sont soumises aux lois habituelles sur la protection des données.
Le financement futur pourrait être affecté, mais il y a aussi le risque de perte de frais de scolarité futurs et de revenus associés.
Des poursuites et d’autres sanctions pourraient être intentées à l’encontre de l’établissement, mais la perte de propriété intellectuelle pourrait aussi survenir.
Il peut même y avoir des dommages aux infrastructures qui paralysent les activités de l’institution.
Les réseaux universitaires alimentaient les attaques contre les systèmes externes
Les données personnelles et financières stockées dans les systèmes de données universitaires sont d’une grande valeur pour les cybercriminels.
Les données commerciales, quant à elles, peuvent intéresser les espions d’entreprises, tandis que les données liées à la recherche scientifique ou aux subventions peuvent être ciblées par des groupes soutenus par un État-nation.
Même l’infrastructure universitaire, avec sa large bande passante et ses serveurs puissants, constitue une cible pour les pirates informatiques. Il peut être détourné et utilisé pour mener des attaques sur d’autres systèmes externes.
Lorsque les systèmes informatiques du New York Times ont été piratés en 2013, l’enquête qui a suivi a révélé que les attaques avaient été dirigées contre des ordinateurs compromis dans des universités américaines.
Les menaces habituels des vols de données
Les menaces auxquelles font face les établissements d’enseignement sont toujours les mêmes.
Manipulation psychologique qui cible l’utilisateur,
Spams/emails de phishing,
Macros malveillantes/ransomwares,
Protocoles de sécurité obsolètes et/ou faibles,
Vulnérabilités des navigateurs,
Logiciels non corrigés et vulnérabilités logicielles,
Kits d’exploitation « zero-day »,
Mauvaise configuration du pare-feu et du réseau,
Manque de contrôle des applications,
Accès USB non sécurisé,
Botnets et attaques par déni de service distribué (DDOS),
Accès à distance permanent,
Banque de contrôle des appareils mobiles
Problèmes d’infrastructure et silos de données : Un cauchemar pour la sécurité des réseaux
Ce qui différencie réellement les établissements d’enseignement supérieur et le réseau d’entreprise est la nature du campus et du réseau de l’Université.
Composée de nombreux réseaux, parfois dispersés, l’infrastructure réseau des universités constitue un cauchemar pour les professionnels de la sécurité informatique d’entreprise.
Ce n’est pas dû à un manque de prévoyance ou d’ignorance en matière de sécurité informatique sur le campus (c’est loin d’être le cas !).
En effet, L’environnement éducatif et l’ouverture du campus au grand public signifient qu’il n’y a aucune infrastructure centrée sur la sécurité étroite tel qu’on voit dans les réseaux d’entreprise.
Dans les établissements d’enseignement, il est courant de voir
Des flux réguliers d’étudiants de premier cycle
Des chercheurs et des diplômés qui collaborent et partagent des données à l’échelle mondiale
Des universitaires en visite
Des pratiques qui permettent aux utilisateurs d’apporter leurs propres appareils pour se connecter au réseau
Etc.
Pourtant, dans de tels environnements, le concept de sécurité des données rigoureuse a toujours été considéré comme inutile, voire indésirable.
Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises.
La sécurité informatique est un compromis
Il y a un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place.
La sécurité dans toutes les organisations, commerciales ou académiques, est un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier qui pourraient être encourus en défense en cas d’atteinte à la protection des données.
L’augmentation des menaces en ligne et les nouvelles sanctions sévères pour les atteintes à la protection des données obligent les universités à prendre la cybersécurité plus au sérieux.
Une approche efficace consistait à segmenter et à partitionner autant que possible les réseaux des campus afin que les données les plus sensibles et les plus précieuses puissent être protégées de manière adéquate.
Il fallait également permettre la création de parties du réseau relativement ouvertes pour répondre aux besoins en matière de formation et de recherche.
Cela peut être complexe et nécessiter une analyse détaillée des risques, outre l’établissement de priorités de gestion et des mesures de sécurité connexes.
En réalité, c’est une approche qui commence à être adoptée par les réseaux d’entreprise.
Le fait de considérer que le « monde extérieur » est dangereux et que le réseau local est toujours sécurisé est désormais quelque chose de démodé.
La DMZ qui servait auparavant de sandbox aux systèmes partagés entre le WAN et le LAN est maintenant considérée comme la zone protégée pour sécuriser les serveurs du monde extérieur et du monde intérieur.
La pratique consistait à utiliser des systèmes de sécurité capables de surveiller le réseau et détecter les anomalies comportementales, plutôt que de compter sur une protection par périmètre.
Et c’est là que les universités peuvent être en avance sur le monde de l’entreprise.
L’équipe de TitanHQ travaille depuis plus de 20 ans sur les solutions antispam ; le filtrage Web et l’archivage des emails pour les écoles.
Nous avons une compréhension profonde des problèmes de sécurité web et nous sommes conscients que toutes les écoles et tous les collèges devraient faire quelque chose pour protéger les étudiants, le personnel scolaire et les visiteurs.
Les cybercriminels veulent vos données, alors ne les leur donnez pas !
Commencez dès aujourd’hui à protéger votre organisme éducatif contre les infractions coûteuses et les amendes.
La sécurité web est essentielle à la protection de vos données.
Essayez la version gratuite de WebTitan dès aujourd’hui !
