DoorDash, un service de livraison de produits alimentaires américain, a récemment subi une brèche de sécurité exposant des données sensibles de près de 5 millions de clients, employés et commerçants.

Cette violation est importante à la fois en termes de portée et de types d'informations personnelles qui ont été dérobées.

Cela comprend : les permis de conduire, les numéros de carte de crédit, les adresses de livraison, ainsi que les noms, adresses e-mail et numéros de téléphone.

Comme d’autres avant elle, cette faille a été découverte des mois après que des dommages aient déjà été causés, notamment suite à l’identification d’une activité inhabituelle chez un fournisseur de services tiers.

Pour Ketty Cassamajor, PreSales Manager France, chez CyberArk la question de la sécurisation des intervenants tiers est en effet au centre de nombreuses violations qui touchent les entreprises.

« Aujourd'hui, de nombreuses entreprises font appel à des tiers, tels que des sous-traitants, des partenaires ou autres fournisseurs de technologies et de services, pour leurs opérations IT critiques.

Dans le cadre de ce travail sous contrat, ces fournisseurs tiers nécessitent un accès à distance aux ressources internes sensibles. Cependant, l’ensemble des solutions qui fournissent actuellement les accès administrateurs – c’est-à-dire à privilèges – adaptés laissent beaucoup à désirer.

Depuis leur création au milieu des années 90, les entreprises s’appuient sur des réseaux privés virtuels (VPN). Malheureusement, ces derniers étendent l'accès réseau aux utilisateurs authentifiés et autorisent l'accès aux ressources au-delà de ce qui est nécessaire aux utilisateurs pour effectuer leur travail.

Les VPN ont été inventés avant que les smartphones, le travail à distance et le mode Bring Your Own Device (BYOD) ne soient aussi courants et répandus qu'aujourd'hui. Ils n’étaient pas destinés à fournir un accès basé sur les rôles, ce qui est essentiel pour limiter l’accès des fournisseurs distants sans perturber la réalisation de leurs tâches.

La société DoorDash a annoncé qu'à l'avenir, elle bloquerait l'accès des utilisateurs non autorisés, encouragerait les utilisateurs à changer de mot de passe et améliorerait les protocoles de sécurité permettant aux fournisseurs tiers d'accéder à ses systèmes internes.

Pour ce faire, elle pourrait s’appuyer sur les mesures suivantes :

• La mise en place et l’application systématique des contrôles stricts pour déterminer qui est capable d'accéder aux ressources internes critiques hébergeant des informations sensibles.

• L’activation d’alertes et de réactions aux comportements ou activités inhabituels en améliorant la visibilité sur les événements liés aux privilèges qui se produisent dans le réseau.

Par exemple, quels utilisateurs accèdent à quelles ressources.

• L’implémentation de processus d’approvisionnement et de désapprovisionnement automatiques. Grâce à cela, les fournisseurs tiers ne peuvent accéder qu'aux systèmes dont ils ont besoin pour leurs tâches.

• Le déploiement de méthodes d'authentification multi-facteurs sécurisées pour vérifier l'identité des fournisseurs tiers.

Bien que DoorDash n’ait pas communiqué sur les mesures exactes qui seront prises, de manière générale toute personne qui intervient dans une entreprise doit être soumise aux mêmes règles de sécurité, et ses accès scrupuleusement contrôlés.

Partant du principe que la menace peut être interne comme externe, les organisations doivent absolument inclure la gestion des intervenants extérieurs dans leurs politiques de sécurité pour éviter des failles, si souvent répétées ces dernières années par faute de visibilité dans leurs réseaux et de connaissance de leurs accès. 

Gérer la sécurité par omission ne peut que conduire à des dommages parfois irréversibles. »

Ketty Cassamajor, PreSales Manager France, chez CyberArk