[Infographiques] Des membres du personnel menacent la sécurité des données éducatives dans le Cloud

En 2017, deux anciens élèves du district scolaire de Miami-Dade ont découvert que leur numéro de sécurité sociale, leurs résultats aux examens et d’autres renseignements personnels étaient affichés sur l’une des pages Web publiques du district. En fait, les renseignements personnels de centaines d’étudiants ont été publiés en ligne, et il était très facile de les trouver simplement en cherchant leurs noms sur Google. Les deux élèves ont poursuivi le conseil scolaire, et ont signalé l’incident aux autorités, et l’école fait maintenant l’objet d’une vérification approfondie de la part du ministère de l’Éducation des États-Unis concernant une possible violation du FERPA (Family Educational Rights and Privacy Act).

En 2018, le Palo Alto Unified School District a découvert qu’un employé conservait les noms, adresses et numéros de sécurité sociale des résidents de la région sur son ordinateur portable personnel. Cela a été particulièrement choquant parce que ce même employé s’était déjà fait voler un ordinateur portable contenant des données sensibles – malgré cet incident antérieur, il n’avait pas réussi à changer sa mauvaise habitude de mettre les données en danger de malversation.

Avez-vous remarqué le point commun à ces deux atteintes à la sécurité des données ? Dans les deux cas, des employés étaient impliqués. La menace des employés ne se limite pas aux établissements d’enseignement, mais elle y est plus pressante que dans d’autres industries, et ce, pour plusieurs raisons. Premièrement, un grand nombre d’employés ont accès à des informations sensibles sur les employés et les étudiants. Deuxièmement, ces personnes sont souvent moins bien informées sur les cybermenaces, et sont donc plus décontractées sur le partage de données sensibles ; les employés de l’école divulguent plus facilement les noms, les fonctions et les coordonnées que les employés d’autres secteurs verticaux. En fait, le rapport d’enquête sur les atteintes à la protection des données 2018 de Verizon a révélé que le secteur de l’éducation a le deuxième pourcentage le plus élevé de problèmes d’employés parmi les industries sondées, les données personnelles étant compromises dans 72 % des incidents.

Pendant ce temps, le Rapport 2018 en Profondeur sur le Cloud de Netwrix a révélé que 87 % des utilisateurs du secteur de l’éducation stockent des données sensibles dans le Cloud ; nous avons donc décidé de découvrir leurs plus grandes préoccupations en matière de sécurité concernant le Cloud, et quels seraient leurs plans pour y faire face. Nous avons découvert que de nombreuses entités éducatives qui utilisent activement le stockage dans le Cloud partagent les problèmes urgents : atténuer la menace par des employés et assurer la sécurité des données.

Une mauvaise visibilité met les données et les systèmes en danger

L’incertitude des établissements d’enseignement au sujet des données stockées dans le Cloud, est due à leur faible visibilité sur l’activité des utilisateurs. Sur l’ensemble des 93 entités éducatives interrogées, seules 18 % des équipes informatiques avaient une visibilité sur l’activité du personnel informatique, et seulement 7 % pouvaient contrôler l’activité des utilisateurs. Ce résultat est le pire parmi toutes les industries qui ont participé à l’enquête.

Savoir ce qui se passe dans votre infrastructure informatique est essentiel à toute approche de sécurité centrée sur les données. Après tout, si vous ne savez pas qui a accès à vos données sensibles et quand ces données sont utilisées, comment pouvez-vous vous assurer que l’accès aux données est limité au personnel autorisé uniquement, et que ces employés traitent les données d’une manière appropriée ?

Seulement 18% des entités éducatives ont une visibilité sur l’activité du personnel informatique

La situation s’aggrave lorsque des données sensibles sont stockées dans le Cloud. Les entreprises de tous les secteurs sont souvent insatisfaites des contrôles médiocres offerts par les fournisseurs d’accès au Cloud, et de leur capacité limitée à suivre l’accès aux données. Par conséquent, il n’est pas surprenant que l’incapacité à surveiller l’activité des utilisateurs dans le Cloud, était l’une des trois principales préoccupations des établissements d’enseignement en matière de sécurité dans le Cloud (mentionnée par 35 % des personnes interrogées). Le manque de visibilité les empêche de détecter les incidents de sécurité à un stade précoce et de réagir rapidement, ce qui rend les atteintes à la protection des données plus probables.

Une mauvaise visibilité de l’activité des utilisateurs crée également un terrain fertile pour les attaques de logiciels malveillants. Il n’est pas étonnant que 45 % des éducateurs s’inquiètent d’être exposés à un risque élevé d’infiltration de logiciels malveillants. Les pirates informatiques sont impatients de mettre la main sur les informations personnellement identifiables (IPI) que les écoles ont en abondance, ainsi que sur la propriété intellectuelle (PI), comme les résultats de la recherche. J’aimerais pouvoir dire qu’ils doivent être imaginatifs pour atteindre leurs objectifs, mais, trop souvent, ils peuvent entrer simplement en utilisant les exploits de Windows XP, qui n’est plus entretenu par Microsoft, mais que de nombreux établissements d’enseignement utilisent encore. Ils profitent également du laxisme des politiques BYOD pour injecter des logiciels malveillants afin de créer des botnets, et de distribuer des logiciels de minage de cryptomonnaie.

Les personnes employées représentent une plus grande menace que n’importe quelle autre

Bien que le rapport Verizon DBIR ait constaté que les acteurs externes sont à l’origine de la majorité (81 %) des incidents de sécurité, les personnes interrogées estiment que les employés représentent une plus grande menace pour la sécurité des données. Après tout, les pirates utilisent souvent des techniques d’ingénierie sociale, comme l’hameçonnage, pour tromper les employés, de sorte que la manière dont un seul employé traite un e-mail frauduleux, peut avoir un impact considérable sur la sécurité de l’ensemble de l’entreprise.

À cet égard, l’un des principaux avantages du Cloud, permettre à quiconque d’accéder aux données et aux services de n’importe où et à tout moment, devient un obstacle à une protection efficace des données, car il augmente le risque d’utilisation abusive de données sensibles par des employés internes, et donne aux attaquants un accès plus facile aux données sensibles, surtout s’ils peuvent compromettre un compte valide, qui dispose probablement de droits d’accès étendus.

62% des établissements d’enseignement ont désigné les employés comme leur principal risque de sécurité

Par conséquent, 62 % des établissements d’enseignement ont désigné les employés comme étant leur principal risque pour la sécurité. C’est le secteur des soins de santé qui vient en deuxième place, 55 % des personnes interrogées désignant les employés comme leur principal problème de sécurité dans le Cloud.

L’avenir du Cloud : positif mais pas fabuleux

Les personnes responsables de la sécurité informatique dans les établissements d’enseignement doivent également veiller à ce que l’infrastructure informatique soit opérationnelle 24 heures sur 24 et 7 jours sur 7 pour les possibilités d’apprentissage en ligne, et se préparer régulièrement à des audits de conformité. Lorsque l’équipe informatique n’est composée que de quelques personnes, cela peut être un défi de taille. Par conséquent, de nombreuses organisations éducatives ont commencé à se tourner vers le Cloud pour simplifier les tâches informatiques telles, que la maintenance des licences logicielles et l’équilibrage de charge, et éliminer les problèmes liés au matériel et aux logiciels historiques. Les éducateurs sont optimistes quant à une adoption plus large de l’informatique dans le Cloud. Environ 43 % des personnes interrogées sont favorables à l’idée d’obtenir davantage d’applications sous forme de services dans le Cloud. Il ne s’agit pas d’un résultat record par rapport à d’autres secteurs verticaux, mais il est beaucoup plus optimiste que le secteur des soins de santé qui ne compte que 23 %.

Lorsqu’il s’agit de déplacer des données plus sensibles vers le Cloud, les organisations éducatives sont positives mais pas très enthousiastes. Seulement 61 % des personnes interrogées soutiennent cette idée, le résultat le plus bas de toutes les industries interrogées, en grande partie en raison des préoccupations concernant la faible visibilité de l’activité des utilisateurs. Toutefois, à mesure que la technologie évolue, les avantages du Cloud – flexibilité, réduction des coûts et commodité générale – l’emporteront sur la crainte d’incidents de sécurité. D’ici là, les équipes informatiques auraient tendance à adopter le Cloud si elles avaient une meilleure visibilité de l’activité, que ce soit par le biais des services de sécurité offerts par le fournisseur de Cloud, ou d’une solution tierce.

Les collaborateurs sont à la fois le problème et la solution

Malgré le besoin croissant de technologies dans le Cloud, le secteur de l’éducation n’est pas encore équipé pour relever les défis en matière de sécurité. Pour améliorer la sécurité dans le Cloud, près de la moitié (46 %) des personnes interrogées prévoient de mettre en œuvre des politiques de sécurité plus strictes, et 39 % vont mieux éduquer leurs employés sur les questions de cybersécurité.

Ces étapes sont à la base de tout programme de sécurité, et elles peuvent être d’une aide considérable pour combattre la menace de personnels. Pour être efficaces, les politiques de sécurité doivent être régulièrement mises à jour, pour tenir compte de l’évolution du paysage de la menace, et elles doivent prévoir des règles et des procédures que tous ceux qui accèdent aux systèmes et aux données de l’entreprise, peuvent comprendre et suivre. Le matériel de formation devra être adapté au niveau de responsabilités et de connaissances des employés. Pour les rendre attrayants, vous pouvez utiliser plusieurs formats, depuis les vidéos et les présentations en direct, jusqu’aux jeux de rôle. Vos objectifs doivent être d’accroître la sensibilisation à la sécurité, d’expliquer comment identifier les problèmes potentiels et d’encourager les rapports au service informatique.

46% des établissements d’enseignement prévoient de mettre en œuvre des politiques de sécurité plus strictes

Cependant, sans visibilité sur l’activité des utilisateurs, ces efforts seront d’une aide limitée. Vous avez besoin de visibilité pour déterminer si les mises à jour de vos politiques de sécurité sont bien utilisées, et si les employés ont appris les bonnes leçons pendant les sessions de formation. Si ce n’est pas le cas, vous pouvez identifier les utilisateurs qui ont besoin d’une attention particulière, et leur offrir une formation supplémentaire sur mesure. Cette approche rendra votre stratégie de sécurité adaptative et aidera à accroître la sensibilisation à la sécurité, afin d’atténuer la menace par employé.

Cliquez pour afficher la version complet de l’imageInsiders Threaten Educational Data Security in the Cloud 2018

Résumé

Des réseaux gigantesques, des systèmes hérités non corrigés, des charges de IPI et d’IP, et des utilisateurs négligents avec des droits d’accès étendus, font des établissements d’enseignement une cible tentante pour les pirates informatiques. Si les technologies dans le Cloud peuvent aider à soulager de minuscules services informatiques, elles augmentent également la surface d’attaque de l’entreprise. Des politiques de sécurité plus strictes, et une meilleure formation des utilisateurs sont des stratégies essentielles pour améliorer la sécurité, mais le fait est qu’aucune organisation ne peut garantir qu’aucun employé ne sera victime d’escroquerie par hameçonnage, ou n’abusera délibérément de ses propres privilèges. Pour minimiser les risques, les équipes informatiques doivent avoir un aperçu à la fois de l’environnement et de l’activité des utilisateurs, afin de minimiser la surexposition des données et de repérer les comportements suspects avant qu’ils n’entraînent une atteinte à la protection des données.

Quelles sont les mesures les plus critiques pour la sécurité dans le Cloud ?

Loading ... Loading ...