Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets

Sécurité : Faille DoorDash : Manque de sécurité des accès
Posté par JulieM le 7/10/2019 13:30:00 Articles du même auteur

DoorDash, un service de livraison de produits alimentaires américain, a récemment subi une brèche de sécurité exposant des données sensibles de près de 5 millions de clients, employés et commerçants.



Cette violation est importante à la fois en termes de portée et de types d'informations personnelles qui ont été dérobées.

Cela comprend : les permis de conduire, les numéros de carte de crédit, les adresses de livraison, ainsi que les noms, adresses e-mail et numéros de téléphone.

Comme d’autres avant elle, cette faille a été découverte des mois après que des dommages aient déjà été causés, notamment suite à l’identification d’une activité inhabituelle chez un fournisseur de services tiers.

Pour Ketty Cassamajor, PreSales Manager France, chez CyberArk la question de la sécurisation des intervenants tiers est en effet au centre de nombreuses violations qui touchent les entreprises.

« Aujourd'hui, de nombreuses entreprises font appel à des tiers, tels que des sous-traitants, des partenaires ou autres fournisseurs de technologies et de services, pour leurs opérations IT critiques.

Dans le cadre de ce travail sous contrat, ces fournisseurs tiers nécessitent un accès à distance aux ressources internes sensibles. Cependant, l’ensemble des solutions qui fournissent actuellement les accès administrateurs – c’est-à-dire à privilèges – adaptés laissent beaucoup à désirer.

Depuis leur création au milieu des années 90, les entreprises s’appuient sur des réseaux privés virtuels (VPN). Malheureusement, ces derniers étendent l'accès réseau aux utilisateurs authentifiés et autorisent l'accès aux ressources au-delà de ce qui est nécessaire aux utilisateurs pour effectuer leur travail.

Les VPN ont été inventés avant que les smartphones, le travail à distance et le mode Bring Your Own Device (BYOD) ne soient aussi courants et répandus qu'aujourd'hui. Ils n’étaient pas destinés à fournir un accès basé sur les rôles, ce qui est essentiel pour limiter l’accès des fournisseurs distants sans perturber la réalisation de leurs tâches.

La société DoorDash a annoncé qu'à l'avenir, elle bloquerait l'accès des utilisateurs non autorisés, encouragerait les utilisateurs à changer de mot de passe et améliorerait les protocoles de sécurité permettant aux fournisseurs tiers d'accéder à ses systèmes internes.

Pour ce faire, elle pourrait s’appuyer sur les mesures suivantes :

• La mise en place et l’application systématique des contrôles stricts pour déterminer qui est capable d'accéder aux ressources internes critiques hébergeant des informations sensibles.

• L’activation d’alertes et de réactions aux comportements ou activités inhabituels en améliorant la visibilité sur les événements liés aux privilèges qui se produisent dans le réseau.

Par exemple, quels utilisateurs accèdent à quelles ressources.

• L’implémentation de processus d’approvisionnement et de désapprovisionnement automatiques. Grâce à cela, les fournisseurs tiers ne peuvent accéder qu'aux systèmes dont ils ont besoin pour leurs tâches.

• Le déploiement de méthodes d'authentification multi-facteurs sécurisées pour vérifier l'identité des fournisseurs tiers.

Bien que DoorDash n’ait pas communiqué sur les mesures exactes qui seront prises, de manière générale toute personne qui intervient dans une entreprise doit être soumise aux mêmes règles de sécurité, et ses accès scrupuleusement contrôlés.

Partant du principe que la menace peut être interne comme externe, les organisations doivent absolument inclure la gestion des intervenants extérieurs dans leurs politiques de sécurité pour éviter des failles, si souvent répétées ces dernières années par faute de visibilité dans leurs réseaux et de connaissance de leurs accès. 

Gérer la sécurité par omission ne peut que conduire à des dommages parfois irréversibles. »

Ketty Cassamajor, PreSales Manager France, chez CyberArk

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
15/10/2019 15:00:00 - Shadowplay : Metropolis Foe : sur PC en 2020 !
15/10/2019 14:30:00 - Astérix & Obélix XXL3 : Le Menhir de Cristal
15/10/2019 14:00:00 - Werewolf : The Apocalypse-Earthblood : Le 19 octobre.
15/10/2019 13:30:00 - Confort et sécurité pour les consommateurs et les entreprises
14/10/2019 15:00:00 - TSW : Rhein-Ruhr Osten : Wuppertal - Hagen, Console et PC
14/10/2019 14:30:00 - Frostpunk : Disponible sur PS4 et Xbox-One.
14/10/2019 14:00:00 - WarSaw : RPG tactique, Test PC.
14/10/2019 13:30:00 - Cybersécurité : Nous ne sommes pas bon en détection.!
14/10/2019 12:00:00 - DataLocker Sentry K-300 : Le Fort-Knox des clés USB
11/10/2019 15:00:00 - Doom Eternal : Date de sortie et plus.

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender



www.bitdefender.fr

Bitdefender






© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité