Archives par mot-clé : fuites de données

Cybersécurité, Entreprise

Licenciements : sécuriser les accès et les données

Quand un salarié change de poste ou quitte l’entreprise, chaque accès oublié ou support non restitué devient une opportunité de fuite, de sabotage discret ou de revente de données sensibles.

Le départ d’un collaborateur, volontaire ou contraint, est un moment critique pour la sécurité des systèmes d’information. Entre télétravail généralisé, outils cloud et informatique parallèle, les risques de fuite de données explosent si la révocation des accès, la restitution des supports et le contrôle des téléchargements ne sont pas rigoureusement encadrés. Comme va vous le montrer DataSecurityBreach.fr les licenciements nourrissent une offre soutenue sur le darknet, où des bases clients et informations internes se négocient activement. En structurant les procédures d’embauche, de mobilité et de sortie autour du principe du moindre privilège, de l’Identity and Access Management et de la surveillance des usages, les entreprises réduisent fortement la surface d’attaque interne.

Le licenciement, moment privilégié pour les fuites de données

Le fonctionnement normal d’une organisation repose sur une évidence souvent oubliée en sécurité : aucun salarié n’est éternel. Les recrutements, les mobilités internes, puis les licenciements forment un cycle naturel, mais les politiques de protection du système d’information se concentrent beaucoup plus sur l’entrée que sur la sortie des personnes. Cette asymétrie crée un angle mort où les risques explosent précisément au moment où le lien de confiance se fragilise.

Les fuites liées aux licenciements constituent une des infractions intentionnelles les plus courantes dans les entreprises. Les données internes, notamment commerciales, sont activement recherchées sur le darknet.

Le problème commence dès l’embauche lorsqu’un candidat est recruté sans vérification suffisante de sa fiabilité. Un employé peu scrupuleux peut, une fois informé de son licenciement, voler des secrets d’affaires, transférer des fichiers stratégiques vers un concurrent ou supprimer des informations critiques pour nuire à l’entreprise. C’est ici que la fonction sécurité, y compris l’équipe en charge de la protection du système d’information, doit jouer un rôle dès le recrutement.

Un contrôle d’antécédents approfondi mené par le service compétent permet de vérifier diplômes, expériences précédentes, éventuels casiers judiciaires ou éléments problématiques susceptibles d’augmenter le risque pour l’organisation. L’objectif n’est pas de transformer chaque recrutement en enquête intrusive, mais de réduire la probabilité d’intégrer un futur acteur malveillant. En parallèle, la sensibilisation régulière des équipes aux enjeux de cybersécurité rappelle les obligations de confidentialité et l’impact d’un comportement déviant.

Le principe du moindre privilège sert de garde-fou permanent. En limitant les droits d’accès de chacun aux seules ressources nécessaires à ses missions, l’entreprise réduit mécaniquement le volume de données auxquelles un salarié peut accéder et potentiellement emporter au moment de son départ. Des sauvegardes robustes et une protection renforcée des fichiers critiques complètent ce dispositif en permettant de restaurer des informations effacées volontairement ou non, tout en limitant la capacité de nuisance d’un employé sur le départ.

Révocation des accès, shadow IT et angles morts du cloud

Le risque le plus immédiat au moment d’un licenciement réside dans la suppression tardive ou incomplète des droits d’accès. Un compte mail ou un identifiant applicatif laissés actifs quelques jours de trop peuvent suffire à exfiltrer une base de clients ou à détruire des données essentielles. Pire, un compte oublié peut être récupéré par un attaquant externe pour rebondir sur les systèmes internes et mener une intrusion plus large.

La difficulté vient du fait qu’il est souvent complexe de tracer précisément l’historique des autorisations accordées à un salarié, surtout lorsqu’il est en poste depuis des années ou qu’il détient des privilèges d’administration. Pour reprendre la main, des audits réguliers des droits permettent de cartographier les catégories d’accès, de repérer ceux devenus inutiles et d’identifier les entorses aux procédures validées. L’intervention de prestataires spécialisés, mandatés pour réaliser des évaluations de risques et structurer les processus de sécurité du système d’information, peut apporter un regard externe et une vision plus complète.

La mise en place de solutions de gestion des identités et des accès, ainsi que de technologies dédiées à la sécurité des identités, devient le socle technique de ce contrôle. En automatisant les workflows, l’entreprise peut révoquer les rôles associés à un collaborateur dans les 24 heures suivant un licenciement ou un changement de poste, tout en notifiant les responsables et en générant des journaux d’audit. Ce délai chiffré, 24 heures, fixe un objectif clair de réactivité et limite la période pendant laquelle un compte résiduel peut être exploité.

Mais un autre risque se glisse en périphérie de ces dispositifs : l’informatique parallèle, ou shadow IT. Utilisation d’outils non référencés, ouvertures de comptes personnels sur des services en ligne, adoption spontanée de plateformes cloud ou SaaS, autant de pratiques qui échappent aux mécanismes classiques d’Identity and Access Management. Tant que ces systèmes ne sont pas intégrés à l’annuaire d’entreprise, les départs de collaborateurs ne déclenchent pas automatiquement la suppression des comptes associés. L’accès persiste alors au-delà du dernier jour travaillé, parfois dans une opacité totale pour la DSI.

La menace ne se limite pas à la fuite de données : introduction de logiciels malveillants, perte de capacité de reprise après sinistre, incohérences dans les sauvegardes, autant de conséquences possibles. Pour retrouver de la visibilité, il est nécessaire de recourir à des outils de surveillance du trafic réseau et à des solutions d’analyse du comportement des utilisateurs et des entités (UEBA). En observant les schémas d’activité, ces technologies mettent en lumière les usages cachés, détectent les connexions inhabituelles à des services SaaS ou des comportements anormaux.

Parallèlement, établir et maintenir à jour un inventaire complet des plateformes cloud et SaaS utilisées dans l’organisation, avec le niveau d’accès associé à chaque catégorie de personnel, permet de réduire les angles morts. La gestion des droits d’accès à l’infrastructure cloud via des technologies de type CIEM offre une vision globale des permissions accumulées au fil du temps. Les administrateurs peuvent alors révoquer, nettoyer ou ajuster les droits d’un salarié en une seule opération lors de son départ, plutôt que de découvrir tardivement des accès résiduels exploités à mauvais escient.

Supports, téléchargements, ressentiment : le facteur humain sous tension

Au-delà des comptes et droits logiques, le licenciement pose la question des supports physiques et des canaux de transfert. Dans un contexte de télétravail et d’usage massif d’appareils personnels, les données peuvent se retrouver stockées localement sur des ordinateurs privés non chiffrés, sur des smartphones insuffisamment protégés ou transitant par des réseaux Wi-Fi domestiques vulnérables. Chaque copie échappant au contrôle de l’entreprise augmente le risque de fuite accidentelle ou d’exploitation malveillante ultérieure.

La première étape consiste à récupérer l’ensemble des matériels fournis au salarié sortant. Ordinateurs, smartphones, tablettes, mais aussi supports amovibles doivent être restitués, puis analysés si nécessaire. Dans le même temps, les accès réseau autorisés depuis des appareils personnels dans le cadre de politiques BYOD doivent être supprimés. Il s’agit d’éviter qu’un ancien collaborateur puisse encore se connecter depuis un terminal privé resté configuré.

Avant même l’annonce des licenciements, le durcissement temporaire des postes et des flux réduit la fenêtre de tir. Le blocage des ports USB, l’interdiction des envois vers des boîtes mail personnelles et le filtrage des sites de partage de fichiers limitent les téléchargements massifs de données sensibles. La désactivation de l’authentification unique empêche qu’un identifiant central compromis ouvre la porte à une multitude d’applications internes. La réinitialisation des mots de passe des comptes à privilèges, accompagnée d’une interdiction d’accès au compte principal de l’utilisateur, complètent ce verrouillage.

Les risques ne disparaissent toutefois pas au moment où le badge est rendu. Un salarié peut avoir emporté, volontairement ou non, du code qu’il a produit, des fichiers confidentiels, ou des bases clients. La mise à jour des contrôles d’accès physiques, notamment pour empêcher tout retour non autorisé dans les bureaux ou les centres de données, est une mesure complémentaire. Sur le plan logique, les outils de sécurité et les mécanismes d’analyse comportementale doivent continuer à surveiller l’activité liée au compte de l’ex-salarié pendant plusieurs semaines, afin de repérer une exploitation tardive de données déjà copiées.

Des audits rétrospectifs des journaux, des téléchargements et des échanges de courriels à partir de la date de démission permettent de reconstruire les opérations réalisées par la personne. La création et la conservation d’images forensiques de ses équipements professionnels pendant une période déterminée donnent aux enquêteurs la possibilité de revenir sur les faits si un incident est découvert ultérieurement. Cela ne repose pas sur des données nouvelles, mais sur l’exploitation systématique de traces déjà disponibles au sein du système d’information.

Enfin, le facteur psychologique ne doit pas être sous-estimé. Lorsqu’un employé est informé à l’avance de sa date de licenciement, le ressentiment peut se transformer en motivation à nuire, voire en comportement d’agent infiltré. Prévenu à l’avance, il dispose du temps nécessaire pour collecter progressivement des informations, exporter des bases de données ou photographier des documents. Des licenciements massifs peuvent aussi démoraliser les équipes restantes, générant de la négligence et donc de nouvelles vulnérabilités dans les usages quotidiens du système d’information.

Pour atténuer ces risques, les procédures de départ gagnent à être respectueuses et transparentes, avec des explications claires sur les raisons de la décision, indépendamment de l’ancienneté du salarié. Informer l’équipe des échéances et des projets à assurer, organiser des entretiens de sortie pour recueillir le ressenti, évaluer les risques de sécurité associés et rappeler les obligations de confidentialité, contribuent à réduire les tensions. Le maintien d’un contact minimal, voire l’intégration de l’ex-salarié dans un réseau d’anciens, peut limiter l’envie de monétiser des données internes et favorise une culture où la sécurité de l’information reste une responsabilité partagée, même après le départ.

En intégrant la sécurité à chaque étape du cycle de vie des employés, de l’embauche au licenciement, les organisations transforment un moment traditionnellement fragile en processus maîtrisé. Contrôles d’antécédents, moindre privilège, gestion industrialisée des identités, lutte contre le shadow IT, récupération systématique des supports, durcissement des canaux de téléchargement et prise en compte du facteur humain composent un ensemble cohérent. L’enjeu dépasse la simple conformité : il s’agit de protéger des actifs informationnels qui, comme le montrent les offres visibles sur le darknet, conservent une valeur marchande élevée longtemps après le départ d’un salarié. La vraie question pour les directions cybersécurité et les services de renseignement économique internes est donc claire : leurs procédures de licenciement sont-elles déjà conçues comme un dispositif de défense, ou restent-elles un angle mort exploitable pour les menaces internes et externes ?

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
LinkedIn
GNews
Autres
backdoor, Base de données, Cyber-attaque, Cybersécurité, Entreprise, Piratage, Securite informatique

Fuites massives via Salesforce : l’effet domino des applis tierces

Une série d’attaques de phishing exploitant l’intégration entre Salesforce et l’appli Drift expose de grandes entreprises mondiales à des fuites massives de données clients et à des poursuites judiciaires.

Ces derniers mois, Stellantis, KLM, Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont signalé des violations de données liées à l’usage d’une application tierce connectée à Salesforce. Le gang ShinyHunters est accusé d’avoir détourné des jetons OAuth de la plateforme Drift Salesloft pour siphonner des informations sensibles de bases CRM. Noms, emails et numéros de téléphone ont circulé, exposant clients et employés à un risque élevé de phishing. Plusieurs victimes poursuivent Salesforce en Californie, estimant que l’éditeur n’a pas garanti une protection suffisante. Cette affaire illustre les failles critiques de la cybersécurité dans la chaîne d’approvisionnement logicielle.

Une faille exploitée dans l’écosystème Salesforce

Au printemps, une vague d’attaques a visé l’intégration entre Salesforce, leader mondial du CRM, et Drift Salesloft, une plateforme d’automatisation marketing. Ce connecteur permet aux entreprises de synchroniser conversations clients et données commerciales. Les cybercriminels du groupe ShinyHunters ont exploité les jetons OAuth de Drift, normalement destinés à authentifier des applications, pour interroger les bases Salesforce de leurs cibles. Ils ont ainsi accédé à des objets tels que Cases, Accounts, Users et Opportunities. Ces requêtes leur ont permis de récupérer des informations identifiantes comme adresses mail, numéros de téléphone et identifiants internes.

Selon Google Threat Intelligence Group (GTIG), il ne s’agissait pas d’une faille structurelle de Salesforce mais bien d’un abus des droits accordés par l’appli tierce. Une fois alerté, Salesforce a retiré Drift de son AppExchange et conseillé de désactiver l’intégration. L’entreprise insiste sur le fait que ses clients non-utilisateurs de Drift ne sont pas concernés.

Des multinationales contraintes de notifier des fuites

La liste des victimes reflète l’ampleur du problème. Constructeur automobile, compagnies aériennes, assureurs, groupes de luxe et distributeurs de mode ont été touchés. Stellantis, KLM, Adidas, Qantas, Allianz Life, Louis Vuitton, Dior, Tiffany & Co. et Pandora ont confirmé des incidents. Tous ont dû notifier des clients exposés à la perte de données. Le Service Veille de ZATAZ a d’ailleurs remarqué que le compte Telegram de ceux qui s’annonçaient comme les auteurs de ces infiltrations a été fermé. L’espace affiche un message laconique « fermé pour non respect des règles« .  La justice est-elle passée par là ?

Les informations volées n’ont pas l’ampleur de numéros de cartes bancaires ou de mots de passe, mais elles suffisent à alimenter des campagnes de phishing ciblé. Les cybercriminels peuvent désormais usurper des identités, exploiter des mails professionnels crédibles ou orchestrer des fraudes au président. Cette réutilisation des données accentue le risque de compromission secondaire, souvent plus destructeur que la fuite initiale.

Le gang ShinyHunters, actif depuis plusieurs années, a revendiqué de nombreuses campagnes similaires. Entre mai et août, il aurait lancé des centaines d’attaques contre des organisations connectées à Salesforce par Drift, industrialisant l’usage frauduleux de jetons OAuth.

Procès en Californie et question de responsabilité

Au-delà du volet technique, le scandale devient juridique. Une quinzaine de plaintes ont été déposées en Californie contre Salesforce. Plusieurs cherchent à obtenir le statut de recours collectif. Les plaignants accusent l’éditeur de n’avoir pas pris les mesures suffisantes pour sécuriser l’accès aux données, malgré sa position dominante sur le marché du CRM.

Salesforce réfute ces accusations et insiste sur l’absence de vulnérabilité directe dans sa plateforme. L’entreprise renvoie la responsabilité vers la connexion tierce. Les victimes rétorquent que l’éditeur aurait dû mieux contrôler les applications autorisées sur son marketplace et sécuriser les processus d’intégration.

Cette affaire illustre la zone grise de la cybersécurité en chaîne d’approvisionnement. Lorsqu’un maillon externe est compromis, la responsabilité du fournisseur principal reste floue. Or, pour des entreprises dont la valeur repose sur la confiance client, l’impact réputationnel est immédiat.

Cybersécurité, Entreprise

Plus de la moitié des fuites de données découle de cyberattaques

Plus de la moitié des fuites de données découle de cyberattaques
Dans son dernier rapport d’activité, la CNIL révèle qu’en 2021 près de 6 notifications de fuite de données sur 10 découlaient de cyberattaques, notamment de ransomware, et non plus de mauvaises manipulations informatiques. Une hausse considérable par rapport à 2020. En cause, des fonctions cryptographiques obsolètes rendant les sites internet vulnérables, des moyens encore insuffisants aux regards des enjeux actuels en matière de cybersécurité, ou encore des mots de passe pas assez sécurisés.
Les techniques d’attaques ne cessent d’évoluer et aujourd’hui, si d’après le rapport les secteurs de l’action sociale et de la santé restent les cibles premières des cyberattaquants, la CNIL rappelle que toutes les entreprises peuvent être visées, peu importe le secteur.
Dans ce contexte, Laurent Maréchal, Technology Architect EMEA chez Skyhigh Security commente : « Ces dernières années ont été marquées par la migration des entreprises dans le cloud pour y stocker leurs données et applications métier, motivées par la nécessité d’agilité, d’adaptation, de flexibilité et d’innovation. Le cloud permet en effet d’adapter rapidement les capacités d’infrastructures technologiques aux besoins de l’entreprise.’« 
Néanmoins, de nouveaux risques de sécurité ont émergé avec l’usage de ces nouveaux environnements. En effet, cette migration a été relativement spontanée dans de nombreuses entreprises, et la question de la sécurité informatique n’a pas nécessairement été en tête des priorités. Combiné à l’usage du BYOD (l’utilisation de matériels personnels dans un cadre professionnel) ou du Shadow IT (l’utilisation d’applications non approuvées par un service IT), la surface d’exposition aux cyberattaques a considérablement augmenté. Et cela n’a pas échappé aux cybercriminels, qui tirent profit de la situation.
Les données constituent aujourd’hui une valeur importante pour de nombreuses entreprises, et la protection de l’information est devenue capitale comme peut le montrer le Service Veille ZATAZ.
Il existe aujourd’hui des solutions au niveau technologique qui peuvent améliorer considérablement la sécurité informatique. L’authentification multifactorielle ou l’approche « Zero Trust » selon laquelle la confiance n’est pas automatiquement accordée aux utilisateurs, mais où elle est gagnée en fonction des habitudes de connexion et des comportements, permettent de renforcer la sécurité. Mais pour protéger les données, il ne suffit pas de construire des périmètres et de garantir les accès par des politiques statiques.
« En effet, aujourd’hui, les données sont constamment créées, partagées et déplacées au sein de l’entreprise. Protéger la façon dont les données sont utilisées est un élément essentiel dans la réussite d’un projet Cloud, avec non pas un modèle de fermeture, mais d’ouverture maitrisée. » termine Laurent Maréchal.