Informatique légale

Ce que nous avons appris de la violation de Facebook

Posted by admin

Il y a encore des gros titres sur la violation de données sur Facebook.

Contrairement au piratage de sites où les informations de carte de crédit venaient d’être volées aux principaux détaillants, la société en question, Cambridge Analytica, avait le droit d’utiliser réellement ces données.

Malheureusement, ils ont utilisé ces informations sans autorisation et d’une manière qui était ouvertement trompeuse pour les utilisateurs de Facebook et Facebook lui-même.

Le PDG de Facebook, Mark Zuckerberg, s’est engagé à apporter des changements pour empêcher ce type d’utilisation abusive des informations à l’avenir, mais il semble que bon nombre de ces changements seront apportés en interne.

Les utilisateurs individuels et les entreprises doivent encore prendre leurs propres mesures pour s’assurer que leurs informations restent aussi protégées et sécurisées que possible.

Pour les particuliers, le processus d’amélioration de la protection en ligne est assez simple. Cela peut aller de l’abandon total de sites comme Facebook, à éviter les sites de jeux et de quiz gratuits où vous devez donner accès à vos informations et à celles de vos amis.

Une approche distincte consiste à utiliser des comptes différents. L’un pourrait être utilisé pour accéder à d’importants sites financiers. Un deuxième et un autre peuvent être utilisés pour les pages de médias sociaux. L’utilisation de différents comptes peut être plus de travail, mais cela ajoute des couches supplémentaires pour éloigner un infiltrateur de vos données les plus importantes.

Les entreprises, en revanche, ont besoin d’une approche plus globale. Alors que presque toutes utilisent des pare-feu, des listes de contrôle d’accès, le cryptage des comptes et plus encore pour empêcher un piratage, de nombreuses entreprises ne parviennent pas à maintenir le cadre qui mène aux données.

Un exemple est une entreprise qui utilise des comptes d’utilisateurs avec des règles qui imposent des changements de mot de passe fréquents, mais qui ne sont pas laxistes quant à la modification des informations d’identification de leurs périphériques d’infrastructure pour les pare-feu, les routeurs ou les changements de mot de passe. En fait, bon nombre d’entre eux ne changent jamais.

Ceux qui utilisent les services de données Web doivent également changer leurs mots de passe. Un nom d’utilisateur et un mot de passe ou une clé API sont nécessaires pour accéder, qui sont créés lors de la construction de l’application, mais sont également rarement modifiés. Un ancien membre du personnel qui connaît la clé de sécurité API de sa passerelle de traitement de carte de crédit a pu accéder à ces données même s’il n’était plus avec cette société.

Cela pourrait empirer. De nombreuses grandes entreprises font appel à des entreprises supplémentaires pour aider au développement d’applications. Dans ce scénario, le logiciel est copié sur les serveurs des sociétés supplémentaires et peut contenir les mêmes clés API ou combinaisons nom d’utilisateur / mot de passe que celles utilisées dans l’application de production. Comme la plupart sont rarement modifiés, un employé tiers mécontent a désormais accès à toutes les informations dont il a besoin pour obtenir les données.

Des processus supplémentaires doivent également être entrepris pour éviter une violation de données. Ceux-ci inclus …

• Identification de tous les périphériques impliqués dans l’accès public aux données de l’entreprise, y compris les pare-feu, les routeurs, les commutateurs, les serveurs, etc. Développez des listes de contrôle d’accès (ACL) détaillées pour tous ces périphériques. Changez régulièrement les mots de passe utilisés pour accéder à ces appareils et changez-les lorsqu’un membre d’une ACL sur ce chemin quitte l’entreprise.

• Identifiez tous les mots de passe des applications intégrées pouvant accéder aux données. Ce sont des mots de passe qui sont «intégrés» aux applications qui accèdent aux données. Changez régulièrement ces mots de passe. Modifiez-les lorsqu’une personne travaillant sur l’un de ces logiciels quitte l’entreprise.

• Si vous faites appel à des sociétés tierces pour vous assister dans le développement d’applications, vous devez configurer des informations d’identification tierces individuelles et les modifier régulièrement.

• Si vous utilisez une clé API pour accéder aux services Web, demandez une nouvelle clé lorsque les personnes impliquées dans ces services Web quittent l’entreprise.

• Anticipez une brèche et élaborez des plans pour la détecter et l’arrêter. Comment les entreprises se protègent-elles contre cela? C’est un peu compliqué, mais pas hors de portée. L’audit est intégré à la plupart des systèmes de bases de données et n’est malheureusement pas utilisé correctement ou pas du tout.

Un exemple serait si une base de données avait une table de données contenant des données sur les clients ou les employés. En tant que développeur d’applications, vous vous attendez à ce qu’une application ait accès à ces données, mais si une requête ad hoc a été exécutée pour récupérer une grande partie de ces données, un audit de base de données correctement configuré devrait au moins avertir que cela se produit. .

• Utilisez la gestion du changement pour contrôler le changement. Un logiciel de gestion des changements doit être installé pour faciliter la gestion et le suivi. Verrouillez tous les comptes hors production jusqu’à ce qu’une demande de modification soit active.

• Ne vous fiez pas aux audits internes. Lorsqu’une entreprise se vérifie, elle minimise généralement les lacunes potentielles. Il est préférable d’engager un tiers pour vérifier votre sécurité et vos politiques.

De nombreuses entreprises proposent des audits, mais cet auteur a constaté au fil du temps qu’une approche médico-légale fonctionne mieux. Analyser tous les aspects du cadre, formuler la politique et en assurer le suivi est une nécessité. Oui, changer tous les appareils et les mots de passe intégrés est délicat, mais c’est plus facile que d’aller devant un tribunal de l’opinion publique en cas de violation de données.

Leave A Comment