Views
2 months ago

Cybersecurity 2022

PUBLIREPORTAGE Votre

PUBLIREPORTAGE Votre entreprise est-elle déjà passée à la sécurité centrée sur les données? La protection des données est un thème central pour chaque entreprise suisse. La Loi révisée sur la protection des données représente un défi supplémentaire qu’il convient d’aborder sans tarder. Les entreprises ont besoin de nouveaux standard pour la sécurité et la protection des données. comforte et DataStore leur apportent des conseils et un soutien opérationnel. L’auteur Thorsten Daniels, SVP, comforte AG t.daniels@comforte.com +49 (0) 175 8798136 La plupart des entreprises agissent dans un contexte de tension entre la protection des données, la sécurité, les changements technologiques et la menace croissante de cyberattaques. Elles doivent faire avec des réglementations de protection des données complexes, des innovations axées sur les données et des environnements cloud et cloud native. Les questions ne manquent pas qui causent ainsi des nuits blanches à de nombreux CxO: CEO/CFO: Comment éviter les dommages financiers et les dégâts d’image et de réputation causés par le non-respect des règles de protection des données? CISO: Comment pouvons-nous identifier et protéger les données sensibles dans les systèmes centraux traditionnels et les environnements cloud modernes? CIO/CDO: Comment à la fois protéger efficacement les données et les exploiter pour un traitement et une analyse ultérieurs, sans que cela ne devienne un projet risqué, long et coûteux? Pour répondre à ces questions, les entreprises n’ont d’autre choix de développer et mettre en place de nouvelles normes en matière de sécurité et de protection des données. Mais la plupart des solutions se révèlent incomplètes, trop compliquées à mettre en œuvre et incompatibles avec les pratiques DevOps modernes. comforte adopte une approche différente: grâce à des technologies performantes de protection, de sécurité et d’automatisation des données, les entreprises peuvent gagner en agilité, répondre aux exigences En savoir plus www.comforte.com de conformité, sécuriser leurs propres applications et produits et mettre en œuvre des stratégies SaaS, cloud et cloud native. Le nombre alarmant de violations de la protection des données signalées dans le monde entier montre que les méthodes de défense périmétrique et de détection des intrusions atteignent leurs limites et deviennent de plus en plus inefficaces. Solution de bout en bout La plateforme de sécurité des données comforte comprend trois services intégrés soutenant une stratégie de sécurité des données complète de bout en bout: · SecurDPS Discovery & Classification: Découverte et classification des données. · SecurDPS Enterprise: Intégration et surveillance de la sécurité des données; protection des données via la tokenisation, le chiffrement respectueux du format, ou l’offuscation (Data Masking). · SecurDPS Connect: Intégration rapide de solutions SaaS RECONNAISSANCE & CLASSIFICATION SecurDPS Discovery & Classification La plateforme SecurDPS offre aux entreprises une vue d’ensemble de toutes leurs données sensibles qu’elles peuvent contrôler de manière conviviale. Grâce à un niveau de transparence élevé, grâce à une meilleure et plus rapide compréhension des risques liés à la protection des données, et grâce INVENTAIRE CONSIGNES PROTECTION Plateforme de protection des données de comforte à des informations sur l’origine et de l’utilisation des données (Data Lineage), les entreprises profitent d’une perspective unique et puissante pour planifier leur mise en conformité en matière de protection des données et mesurer quantitativement les risques de sécurité. Elles peuvent ainsi mener à bien des migrations cloud, l’introduction de solutions SaaS, des initiatives de data science et quantité d’autres applications exigeantes s’appuyant sur des données sensibles sans pour autant risquer de fuite de données. Un soutien compétent Garantir la protection des données dans la pratique, conformément aux exigences de l’entreprise et à la législation, est un grand défi. Souvent, le personnel qualifié fait défaut. En collaboration avec comforte, DataStore offre un soutien efficace pour la planification et la réalisation de projets de protection des données. Contact Peter Mätzler Senior Business Development Manager peter.maetzler@datastore.ch +41 56 419 71 94 MISE EN ŒUVRE SecurDPS Enterprise & SecurDPS Connect

Mobiliser les collaborateurs pour signaler les e-mails de phishing Selon une étude de l’EPFZ réalisée pendant plus d’une année auprès de 15 000 employés d’une même entreprise, leur confier le signalement des e-mails de phishing est une option efficace et viable. L’étude montre aussi l’utilité des messages d’avertissement. Rodolphe Koller FACTEUR HUMAIN Des chercheurs de l’EPFZ ont réalisé une vaste étude sur la réponse des collaborateurs aux e-mails de phishing. Durant un laps de 15 mois, ils ont envoyé huit messages de phishing simulés à près de 15 000 collaborateurs travaillant dans différents départements d’une grande entreprise partenaire de l’étude. Les chercheurs ont par ailleurs mis au point un bouton dans l’application mail permettant aux employés de signaler des messages suspects. Cette infrastructure en place, ils ont analysé qui sont les collaborateurs les plus vulnérables, comment cette faiblesse évolue dans le temps, quelle est l’effectivité des formations et avertissements, et quel rôle peuvent jouer les collaborateurs dans la détection du phishing. Inédite de par son ampleur, l’étude montre que la vulnérabilité des collaborateurs dépend de leur âge, de leurs compétences IT, mais aussi que les collaborateurs ayant une utilisation très spécialisée de leur ordinateur sont plus souvent piégés (par exemple le personnel d’une succursale employant en général un seul programme dédié). Il apparaît par ailleurs que certains collaborateurs se font berner de manière répétée et qu’à la longue beaucoup de collaborateurs finissent par être piégés par les messages frauduleux. Crowdsourcer le signalement des messages suspects S’agissant de la signalisation de messages suspects, les chercheurs font observer que le jugement des utilisateurs était correct dans 68% des cas pour les tentatives de phishing et dans 79% pour les spam. L’étude montre surtout que les employés sont relativement rapides à réagir: 10% des signalements sont réalisés dans les 5 minutes et 35% dans la demiheure. Sur la base de ces chiffres, les chercheurs relèvent que, dans une grande entreprise dont une centaine d’employés ont été visés par une attaque de phishing, les collaborateurs enverraient 8 à 25 signalements, le premier arrivant sans doute dans les 5 minutes et un plus grand nombre dans les 30 minutes. Pour les chercheurs, ces résultats montrent que le recours aux utilisateurs pour l’identification des messages de phishing au niveau de l’entreprise permettrait de réduire significativement la menace. A cela s’ajoute que les chercheurs n’ont constaté aucune baisse de performance dans la durée. Le mécanisme de crowdsourcing pourrait être mis en œuvre et opéré économiquement, selon les chercheurs. Pour encourager les collaborateurs à rapporter tout message suspect et éviter la surcharge du personnel IT, ils proposent de déployer un dispositif de filtrage en complément de l’appliance antiphishing, pour écarter les faux positifs ou mails bénins parmi les signalements. Les alertes ça marche, les invitations à se former moins L’étude confirme par ailleurs que les alertes en tête des e-mails (telles que celles prodiguées par Gmail) se montrent efficaces, quel que soit leur niveau de détail. Les avertissements ont contribué à ce que les participants ne cliquent pas sur les liens ou n’activent pas les macros contenues dans certains messages de simulation, relèvent les chercheurs. Autre constat plutôt surprenant, les pages proposant une formation aux collaborateurs qui viennent de se faire piéger, ne servent pas à grand-chose. Statistiquement, les employés qui se sont vus proposer ces formations se sont même montrés plus vulnérables par la suite. Pour l’expliquer, les chercheurs font l’hypothèse que ces messages ont renforcé le sentiment de sécurité des utilisateurs… Image: corepics / Fotolia.com 7