Secu
Sécurité des services financiers : une étude qui fait froid dans le dos !
Par Laurent Delattre, publié le 19 novembre 2020
La dernière étude Varonis révèle une statistique étonnante : 64% des entreprises ont plus de 1000 dossiers financiers confidentiels en libre accès… et l’ignorent superbement…
Sur le papier, le secteur financier est souvent considéré comme l’un des plus matures en matière de cybersécurité. Logique quand on sait que le coût d’une fuite de données est évalué à 5,85 millions de dollars, le plus élevé de tous les secteurs. Et, par sa nature, ce secteur est aussi l’un des plus ciblés par les cybercriminels. Mais il n’est apparemment pas nécessaire d’être un expert de la cyberattaque pour accéder à des fichiers sensibles si l’on s’appuie sur les conclusions plutôt effarantes de la nouvelle étude « 2021 Data Risk Report – Financial Services » signée Varonis.
L’étude Varonis a été menée auprès de 56 organisations de services financiers totalisant globalement 4 milliards de fichiers.
Elle révèle l’incroyable quantité de fichiers exploités dans ce secteur et étonne par le nombre faramineux de fichiers accessibles par l’ensemble des salariés. En moyenne, chaque employé a accès à environ 11 millions de fichiers ! Dans les grandes organisations financières, la volumétrie s’élève même à 20 millions de fichiers accessibles à tous les employés !
L’étude révèle qu’en moyenne, un employé des services financiers a accès à 13 % des dossiers de l’entreprise. Remis en perspective, cela signifie que même les employés des plus petites entreprises ont une liberté illimitée de voir, copier, déplacer, modifier et supprimer des données pour plus d’un demi-million de fichiers — dont près de 20% contiennent des données sensibles sur les employés et les clients. Et le nombre de fichiers exposés double à mesure que la taille de l’entreprise augmente.
L’étude révèle ainsi qu’en moyenne les services financiers inspectés exposent 20 000 dossiers par Tera-octets, des dossiers en libre accès ! Et Varonis estime qu’il faudrait 15 ans pour remédier manuellement à cette absence de droits et de limitation d’accès.
Sans surprise, ces manquements s’accompagnent d’une hygiène assez pauvre de l’Active Directory. Plus de 59% des entreprises ont au moins 500 mots de passe qui n’expirent jamais !
Autre chiffre édifiant, 40% des grandes entreprises financières possèdent plus de 10 000 utilisateurs fantômes (des comptes actifs mais sans aucune activité) dans leurs Active Directory !
Une étude qui doit encourager tout RSSI et tout DSI à se repencher sur l’hygiène de son Active Directory et se livrer à des études sérieuses sur les dossiers partagés et les fichiers en libre accès dans leurs entreprises.
Source : 2021 Data Risk Report – Financial Services – Varonis