Que le cabinet d'avocats panaméen Mossack Fonseca se soit fait dérober des documents, cela n'est guère surprenant pour ceux qui ont quelques connaissances en matière de sécurité. Intentionnellement ou non, ce vol de données a débouché sur un énorme scandale, impliquant le monde politique et celui des affaires, et il nous rappelle à l'ordre sur les bonnes conduites et pratiques à respecter.
"La sécurité par l'obscurité", c'est fini :
Cette notion est dépassée. Les personnes mal intentionnées sont capables de s'adapter rapidement (explorer un large éventail de possibilités, mettre leur nez dans une infrastructure qu'ils ne pensaient pas être aussi accessible, et la baisse continue des coûts associée à un déni de service, l'hameçonnage et autre dégât du même style). Disons-le, ces gens ont constamment un ensemble de cibles à leur portée. Et cela restera toujours un problème. Si vous avez une petite entreprise, une mutuelle, un cabinet d'avocats ou une petite agence, vous devez utiliser au minimum quelques procédures rudimentaires pour éviter ce genre d'attaque.
Une capacité d'attaque croissante
Quand les sociétés proposent de nouveaux produits et services, la plupart ont tendance à penser sécurité après coup. Alors que ce comportement est en train de changer aux deux extrémités de la chaîne (du côté des Fortune 100 comme du côté des startups), c'est une description malheureusement très fidèle du fonctionnement des sociétés de moyenne taille. Chaque contrat avec un nouveau fournisseur, le site web, les applis mobiles et l'accès au portail créent des failles dans un système qui doit être identifié, compris puis priorisé. Certaines questions parmi les plus basiques en sécurité et en gestion des risques doivent être posées (pour chacun de ces scénarios) : - Est-ce que ce nouveau système ou service dispose de contrôles de sécurité adaptés ? Lesquels ? Pour combien de temps ? Quand devons-nous revoir cette décision ? Etc.
Gestion des risques pitoyable :
La gestion des risques est une discipline. C'est comme faire de l'exercice et vous brosser les dents. Chacun sait qu'il doit le faire, mais trop peu le font correctement... Et encore moins le font de manière fiable et constante sur de longues périodes. D'après les premières informations, Mossack Fonseca avait des lacunes évidentes et pouvait donc subir des attaques extérieures. Cela ne devrait jamais être une surprise. Les firmes juridiques et comptables ont été prévenues de tous ces problèmes depuis des lustres.
La menace interne :
La facilité avec laquelle un employé mécontent ou mal payé, un partenaire, un fournisseur ont accès aux systèmes de données sensibles d'une entreprise demeure un énorme problème. La transformation numérique du monde de l'entreprise au cours des dix dernières années a pris de court la plupart des sociétés : beaucoup ont du mal à garder une trace des droits fondamentaux d'autorisation et d'accès, à suivre leur périmètre de sécurité (si cela existe encore) et à disposer d'une solide authentification. En conséquence, si l'un des individus dont nous parlons est déterminé à voler des données, il y a des chances qu'il y parviendra avec un peu de persévérance. En outre, la croissance rapide des attaques par hameçonnage apporte avec elle la possibilité, croissante elle aussi, d'une "menace interne accidentelle", comme par exemple un CFO ou un administrateur informatique ayant accès à un système critique trompés par des manœuvres d'ingénierie sociale. L'éducation, la formation voire parfois la surveillance sont de bonnes tactiques à utiliser à l'égard des personnes risquant d'être le plus ciblées.
La plupart des articles sur Panama Papers contiennent de nombreuses implications sur les stratégies, l'évasion fiscale, la corruption et la politique ; c'est compréhensible et justifié vu le trésor de données dévoilées. Ce scandale a également du sens pour la communauté de la sécurité et pour ceux qui souhaitent comprendre comment un scandale de cette magnitude a pu voir le jour. Sociétés juridiques, comptables et financières, prenez-en bonne note.
"La sécurité par l'obscurité", c'est fini :
Cette notion est dépassée. Les personnes mal intentionnées sont capables de s'adapter rapidement (explorer un large éventail de possibilités, mettre leur nez dans une infrastructure qu'ils ne pensaient pas être aussi accessible, et la baisse continue des coûts associée à un déni de service, l'hameçonnage et autre dégât du même style). Disons-le, ces gens ont constamment un ensemble de cibles à leur portée. Et cela restera toujours un problème. Si vous avez une petite entreprise, une mutuelle, un cabinet d'avocats ou une petite agence, vous devez utiliser au minimum quelques procédures rudimentaires pour éviter ce genre d'attaque.
Une capacité d'attaque croissante
Quand les sociétés proposent de nouveaux produits et services, la plupart ont tendance à penser sécurité après coup. Alors que ce comportement est en train de changer aux deux extrémités de la chaîne (du côté des Fortune 100 comme du côté des startups), c'est une description malheureusement très fidèle du fonctionnement des sociétés de moyenne taille. Chaque contrat avec un nouveau fournisseur, le site web, les applis mobiles et l'accès au portail créent des failles dans un système qui doit être identifié, compris puis priorisé. Certaines questions parmi les plus basiques en sécurité et en gestion des risques doivent être posées (pour chacun de ces scénarios) : - Est-ce que ce nouveau système ou service dispose de contrôles de sécurité adaptés ? Lesquels ? Pour combien de temps ? Quand devons-nous revoir cette décision ? Etc.
Gestion des risques pitoyable :
La gestion des risques est une discipline. C'est comme faire de l'exercice et vous brosser les dents. Chacun sait qu'il doit le faire, mais trop peu le font correctement... Et encore moins le font de manière fiable et constante sur de longues périodes. D'après les premières informations, Mossack Fonseca avait des lacunes évidentes et pouvait donc subir des attaques extérieures. Cela ne devrait jamais être une surprise. Les firmes juridiques et comptables ont été prévenues de tous ces problèmes depuis des lustres.
La menace interne :
La facilité avec laquelle un employé mécontent ou mal payé, un partenaire, un fournisseur ont accès aux systèmes de données sensibles d'une entreprise demeure un énorme problème. La transformation numérique du monde de l'entreprise au cours des dix dernières années a pris de court la plupart des sociétés : beaucoup ont du mal à garder une trace des droits fondamentaux d'autorisation et d'accès, à suivre leur périmètre de sécurité (si cela existe encore) et à disposer d'une solide authentification. En conséquence, si l'un des individus dont nous parlons est déterminé à voler des données, il y a des chances qu'il y parviendra avec un peu de persévérance. En outre, la croissance rapide des attaques par hameçonnage apporte avec elle la possibilité, croissante elle aussi, d'une "menace interne accidentelle", comme par exemple un CFO ou un administrateur informatique ayant accès à un système critique trompés par des manœuvres d'ingénierie sociale. L'éducation, la formation voire parfois la surveillance sont de bonnes tactiques à utiliser à l'égard des personnes risquant d'être le plus ciblées.
La plupart des articles sur Panama Papers contiennent de nombreuses implications sur les stratégies, l'évasion fiscale, la corruption et la politique ; c'est compréhensible et justifié vu le trésor de données dévoilées. Ce scandale a également du sens pour la communauté de la sécurité et pour ceux qui souhaitent comprendre comment un scandale de cette magnitude a pu voir le jour. Sociétés juridiques, comptables et financières, prenez-en bonne note.
Les médias du groupe Finyear
Lisez gratuitement :
Le quotidien Finyear :
- Finyear Quotidien
La newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation, Blockchain révolution & Digital transformation.
Les 6 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief FinTech Officer
- The Chief Blockchain Officer
- The Chief Digital Officer
Le magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour recevoir un avis de publication pour une ou plusieurs lettres
Le quotidien Finyear :
- Finyear Quotidien
La newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation, Blockchain révolution & Digital transformation.
Les 6 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief FinTech Officer
- The Chief Blockchain Officer
- The Chief Digital Officer
Le magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour recevoir un avis de publication pour une ou plusieurs lettres
Autres articles
-
Crypto : Les grands magasins Printemps en partenariat avec Binance Pay et Lyzi pour accepter les paiements en cryptomonnaie
-
Quelles sont les règles concernant le rachat d'un PER ?
-
Freqens : 3 millions pour la fintech afin de peaufiner sa plateforme de benchmarking des prix B2B
-
Wero, le portefeuille de paiement numérique d'EPI, arrive en Belgique
-
Etude | Les Fintechs Durables font leur Panorama