Pensez un instant à votre entreprise. Quel volume de ses données sensibles se trouvent sur des documents Office ? Dans la plupart des cas, ce pourcentage est alarmant. Quel est le destin de tous ces fichiers ? Ils transitent et se baladent ici et là, et c'est bien là que le bât blesse...
SkyHigh Networks (qui appartient désormais à McAfee) a analysé les données de pas moins de 23 millions d’utilisateurs et a constaté que « 15,8 % de tous les fichiers analysés étaient de nature sensible, 7,6 % d'entre eux étaient des données confidentielles, 4,3 % contenaient des données personnelles, 2,3 % contenaient des informations de paiement et 1,6 % stockaient des informations relatives à la santé ».
Les pare-feu et les solutions anti-malware du monde entier ne peuvent rien contre la sécurité des données lorsque les fichiers sont envoyés par courrier électronique à un niveau proche du spam.
Ces fichiers doivent être cryptés par défaut et en toute sécurité par principe.
Ce ne sont là que quelques-unes des conclusions du dernier rapport d’Osterman Research intitulé Cybersecurity in Government Viewpoint 2021.
Un large éventail de corps gouvernementaux
Les institutions gouvernementales sont de toutes formes et de toutes tailles - et les menaces aussi. Tout, de la grande organisation fédérale à la petite ville, peut être considéré comme une institution « gouvernementale ». Cette variété s'accompagne d'un paysage de menaces diversifié, avec d'innombrables attaques de mauvais acteurs implacables prêts à tout pour s'introduire sans faire de bruit. Nous savons que ces menaces sont en augmentation, mais dans quelle mesure êtes-vous réellement préparé ? » prévient Osterman.
Les agences gouvernementales sont une cible irrésistible. « Les cybercriminels s’en prennent au secteur gouvernemental pour saper la confiance des citoyens, voler des données vitales et classifiées, et tirer parti des faiblesses systémiques de la cybersécurité contre les agences », précise Osterman.
Et qui a de plus grands secrets que les gouvernements ? Quand les gouvernements sont touchés, ça fait mal. « Certaines agences du gouvernement fédéral et central ont une signification symbolique pour les citoyens de l’ensemble du pays, et un incident de cybersécurité dans l’une de ces institutions brise le sentiment collectif de sûreté et de sécurité sur la scène mondiale », a déclaré la maison de recherche. « Miner la confiance des citoyens demeure un puissant moyen de déstabilisation politique pour les puissances étrangères, les groupes d’attaque et les cybercriminels activistes. »
Si tous les organismes gouvernementaux détiennent des données sensibles, certaines de ces données se hissent au rang de secret absolu et nécessitent une sécurité et une protection de fichiers solides. « Les organismes gouvernementaux détiennent des données précieuses pour les gouvernements étrangers, les autres partis politiques, les dissidents et les pirates informatiques à la recherche de données pour l'usurpation d'identité et les attaques de phishing ciblées. Exemple : les agences créent et conservent des données sensibles sur les manœuvres militaires, les plans de défense, les terroristes connus et présumés, les lieux de déploiement et sur les informations relatives à l'identité des agents de renseignement dans d'autres pays, et d'autres questions de sécurité nationale et de politique étrangère », prévient Osterman.
Les organismes plus petits détiennent toujours des informations sensibles sur les citoyens. « Les citoyens n'ont pas d'autre choix que de fournir leurs propres données sensibles et confidentielles aux agences gouvernementales lors d'interactions de routine, telles que le dépôt de documents fiscaux, le paiement des impôts locaux et d'État, et la demande de licences commerciales. En vertu de ce qu'il fait, le gouvernement accumule une empreinte massive de données parmi les plus sensibles et confidentielles relatives aux personnes et aux entreprises », souligne Osterman.
Ces fichiers peuvent être chargés d'informations personnelles identifiables telles que des noms, adresses et numéros de téléphone de citoyens, des informations sur la santé, des données relatives aux prestations sociales, etc.
Le problème des e-mails : il est de taille!
Le courriel n'est-il pas formidable ? Non, pas lorsqu'il s'agit de la protection de fichiers. Le courrier électronique est utilisé pour presque tout, même pour ce qui ne devrait pas l'être, comme le transfert d'informations sensibles. Et le courriel est utilisé si souvent que les erreurs sont inévitables. Combien de messages ont été envoyés à l'ensemble de la société alors qu'ils n'étaient destinés qu'à une seule personne ? Et vu la fréquence à laquelle les courriels sont hackés, les criminels peuvent aussi consulter toutes les pièces jointes confidentielles.
Osterman en prend acte et met en garde contre l'utilisation de l'email pour le partage et le transfert de fichiers :
« L'utilisation de l'email comme principal moyen de transfert de documents contenant des informations sensibles soulève plusieurs menaces de cybersécurité, notamment le détournement accidentel de l'original en l'envoyant à la mauvaise personne, l'accès non autorisé aux éléments du dossier Envoyé d'un compte email suite à un vol de crédence, et l'accès non autorisé à tous les messages et pièces jointes stockés dans le compte email - documentation de projet, données sensibles sur les personnes et les citoyens, réflexion sur la stratégie de l'entreprise, etc. », expliquent les chercheurs. « La migration vers le cloud pour les services de messagerie a vu les utilisateurs accéder à des boîtes aux lettres de 50 et 100 Go. Qu'elles proviennent d'une attaque par hameçonnage, du forçage brutal d'un mot de passe ou d'un autre type de compromission, plusieurs des violations de données présentées dans cette section étaient centrées sur des comptes de messagerie compromis. »
Il existe une meilleure façon d’assurer la protection des fichiers : le transfert de fichiers sécurisé (MFT) protège les données lorsqu’elles sont partagées et lorsqu’elles sont en transit. « Le courrier électronique est aujourd'hui le moyen le plus courant de partager des documents et des fichiers au sein des agences, entre les agences et en dehors du secteur public. Les documents contenant des données sensibles et personnelles envoyés par courrier électronique doivent bénéficier d'une protection supplémentaire au moyen du cryptage. Cela réduit la probabilité d'une violation de données si le message est envoyé à la mauvaise personne et si le compte de messagerie est compromis », estime Osterman. « Les solutions de transfert de fichiers sécurisé assurent une base beaucoup plus solide pour le partage et la protection des données sensibles. Les fichiers transférés sont protégés par cryptage, l’accès est contrôlé par la vérification de l’identité et les fichiers ne sont jamais stockés au sein de comptes de messagerie.
Trois exemples concrets : comment les institutions gouvernementales tirent parti du transfert de fichiers sécurisé (MFT) pour la protection de leurs fichiers
Voici trois études de cas mettant le transfert de fichiers sécurisé (MFT) en action.
Le Comté de Milwaukee centralise des dizaines de systèmes de transfert de fichiers sur Progress MOVEit
Lorsque le comté de Milwaukee a voulu renforcer son efficacité technologique pour mieux remplir sa mission de service public, la standardisation du transfert de fichiers de données sur Progress MOVEit a été un choix évident. Les dizaines de solutions de transfert de fichiers utilisées par les différents départements du comté nécessitaient un travail manuel, un codage personnalisé et un investissement en temps considérable.
« Je suis ravi de ses nombreuses possibilités. Le développeur en moi est impatient d'utiliser la fonctionnalité API. Dans l'ensemble, MOVEit est un outil de transfert de fichiers très solide et riche en fonctionnalités. -- Ilija Lukic, analyste d’applications III, Comté de Milwaukee.
L'équipe du Comté de Milwaukee a tout de suite constaté que MOVEit faisait la différence, et de plus en plus d'équipes et de départements s'y sont mis chaque jour. Chaque équipe était enchantée de ne plus avoir à transférer manuellement les fichiers ou à passer du temps à écrire du code dans leurs applications pour gérer les transferts de fichiers entre les environnements et les systèmes.
Lisez l’étude de cas complète sur le Comté de Milwaukee.
Le Cambridgeshire County Council facilite le transfert de fichiers sécurisé pour 4 000 utilisateurs
Le conseil du Comté de Cambridgeshire est l'autorité gouvernementale locale britannique responsable de l'administration de 60 circonscriptions électorales dans le Comté de Cambridgeshire.
Avant d’acquérir une solution de transfert de fichiers sécurisé, les utilisateurs du conseil transféraient des données entre des organisations du secteur public soit par l’intermédiaire de la passerelle Government Connect, soit par le biais d'une solution FTP générique. Cependant, de nombreux employés considéraient cela comme « maladroit », inefficace et difficile à utiliser. Les utilisateurs ont également noté qu'il n'y avait aucun moyen de partager des informations sensibles, par exemple des données sur les soins de santé, les services sociaux ou la garde d'enfants avec des tiers tels que les services d'urgence ou les associations de logement - ce qui était une exigence fréquente.
Le conseil avait besoin d’une solution de transfert de fichiers sécurisé qui pourrait:
- Être adoptée rapidement et simplement comme la solution de référence pour les transferts de fichiers sécurisés avec des tiers
- Prévenir toute fuite d’informations publiques commercialement sensibles ou confidentielles, telles que des accords financiers avec des fournisseurs ou des dossiers relatifs à des institutions telles que des maisons de soins, des établissements d’enseignement ou des prisons
- Être utilisée par les utilisateurs sans formation en amont
- Assurer une visibilité complète sur les dossiers qui circulent entre le conseil et des tiers
- Respecter les lignes directrices réglementaires établies par le Commissariat à l’information
- Activer un itinéraire ad-hoc plus efficace pour le partage général de fichiers volumineux ou nombreux
Jusqu'à présent, les réactions des utilisateurs ont été très positives, l'opinion générale étant que, parce que MOVEit fait appel à un portail facile à utiliser et à des instructions claires, c'était un peu comme s'inscrire à un nouveau service grand public, tel que Gmail ou Yahoo. La plupart des utilisateurs ont été immédiatement satisfaits du système qui ne contenait qu'une petite brochure d'instructions. En outre, quasiment aucune assistance n'a été nécessaire pour ces utilisateurs.
Lisez l’étude de cas complète Cambridgeshire County Council.
La ville de Guelph sécurise les transferts de fichiers des employés et économise de l'argent avec MOVEit
Guelph est une ville de taille moyenne du sud-ouest de l'Ontario qui se classe régulièrement parmi les meilleurs endroits où vivre au Canada. Avec 2 000 employés au service des citoyens de Guelph depuis l'hôtel de ville et 40 offices satellites qui fournissent des services de police, d'incendie, d'urgence médicale, de travaux publics, de transport en commun, de délivrance de permis et autres, la protection des renseignements confidentiels est d'une importance capitale, et Guelph doit se conformer aux exigences de la Loi sur l'accès à l'information municipale et la protection de la vie privée (MFIPPA) et de la Loi sur la protection des renseignements personnels sur la santé (PHIPA).
Cependant, le nombre d'employés qui devaient transférer ces fichiers confidentiels de manière occasionnelle était en augmentation. Par conséquent, de nombreux membres du personnel utilisaient des sites de transfert de fichiers non sécurisés et grand public pour échanger leurs fichiers. Il était donc impossible pour le service informatique de savoir quels fichiers étaient transférés, qui les transférait et où ils étaient envoyés. Cette situation rendait impossible la conformité totale aux exigences MFIPPA et PHIPA, ce qui mettait la ville de Guelph en danger.
Désormais, Guelph utilise MOVEit Secure Email Attachments pour envoyer des fichiers volumineux en toute sécurité et réduire la charge sur ses systèmes de messagerie. Cette solution prend en charge l'envoi et la réception de fichiers et de messages entre individus et groupes à l'aide d'Outlook ou d'une simple interface de navigateur, répondant ainsi aux besoins des employés en matière de commodité et de facilité d'utilisation, tout en permettant au service informatique d'exercer la visibilité et le contrôle dont il a besoin pour faire face aux pratiques risquées de partage de fichiers personnels. Guelph déploie MOVEit File Transfer, la solution de transfert de fichiers sécurisé de Progress. MOVEit peut également être déployé dans le cloud, voire en mode hybride.
Lisez l’étude de cas complète sur la ville de Guelph.
Un logiciel de transfert de fichiers sécurisé (MFT) préserve les secrets gouvernementaux
De nombreuses violations de données se produisent lorsque des fichiers sont déplacés au sein de votre groupe ou vers des partenaires et d’autres organisations ayant un intérêt direct. Avec MOVEit Managed File Transfer (MFT) de Progress, vous pouvez établir une collaboration sécurisée et des transferts automatisés de fichiers de données personnelles sensibles. Ces fichiers sont non seulement déplacés en toute sécurité, mais ils incluent également le cryptage et le suivi de l’activité.
Par défaut, tous les fichiers envoyés en dehors des bureaux doivent être traités de manière sécurisée et traçable - ce qui correspond à la technologie MFT.
Avec MOVEit Managed File Transfer, vous ne dépendrez plus de vos employés pour envoyer des données personnelles par e-mail à d'autres employés ou à des entités extérieures, ou pour utiliser des services de partage de fichiers non sécurisés. Avec le logiciel MFT sécurisé, vous éliminez les erreurs des utilisateurs et pouvez suivre et établir des rapports sur les modalités de chaque transfert de fichiers.
Les avantages de MOVEit pour les ministères et les institutions gouvernementales
- Productivité accrue: les employés peuvent facilement partager des fichiers de toute taille et de tout type, même avec des utilisateurs internes et externes
- >Facilité de reporting de conformité: pour les réglementations et normes telles que RGPD, PCI, SOX, BASEL I / II / II, MiFID II
- Réduction du risque de perte de données: visibilité, contrôle, sécurité et auditabilité accrus de vos transferts de données
Doug Barney
Doug Barney was the founding editor of Redmond Magazine, Redmond Channel Partner, Redmond Developer News and Virtualization Review. Doug also served as Executive Editor of Network World, Editor in Chief of AmigaWorld, and Editor in Chief of Network Computing.