Top 5 des erreurs humaines qui conduisent à des violations de données

09 décembre 2020

romson-preechawit-Vy2cHqm0mCs-unsplash2

Les acteurs malveillants peuvent identifier et tirer parti des vulnérabilités de sécurité en quelques heures. Les vulnérabilités de sécurité sont une partie importante de ce problème, mais ne racontent pas toute l'histoire. Le plus souvent, les victimes elles-mêmes jouent un rôle dans la fuite de leurs informations personnelles et financières, en raison d'une erreur humaine de leur part.

Bien qu'évitable, les erreurs humaines sont difficiles à prévoir, car ils peuvent être causés à la fois par des développeurs expérimentés et juniors, des employés et des consultants externes. Ils sont le résultat de la pression pour livrer à temps et habitude de résoudre les problèmes rapidement, pensant qu'une solution plus sûre et permanente viendra plus tard. Maintes et maintes fois, l'expérience a montré que les gens ne reviennent jamais pour sécuriser la solution temporaire qu'ils ont mise en place.

Sur la base de notre expérience au fil des ans, nous avons dressé une liste de Top 5 des erreurs humaines qui génèrent des violations de données. Celles-ci sont suffisamment courantes pour s'être produites dans votre entreprise et sont susceptibles de se reproduire à l'avenir. Après tout, jusqu'à 60 % de toutes les données les violations se produisent à cause d'une erreur humaine.

1. Dépôts de code source

Fuites de mots de passe et de clés API sur les référentiels de code source sont des erreurs courantes. Malheureusement, ils sont parmi les plus dommageables que vos employés peuvent faire. Un mot de passe ou une clé d'accès d'entreprise peut être révoqué, mais jusqu'à ce qu'il le soit, il permet à un acteur malveillant de se faire passer pour votre entreprise et d'accéder à toutes ses données. À moins qu'une routine stricte ne soit mise en place et appliquée, il est facile d'écrire dans le code le mot de passe de votre infrastructure, puis de valider ce code dans un référentiel de code open source. Beaucoup de ces secrets techniques restent en ligne pendant des mois, et peut même être récupéré à partir de l'historique des commits. Détecter les secrets techniques divulgués peut être difficile, mais cela devient plus facile avec le développement de nouveaux algorithmes d'entropie et d'apprentissage automatique.

2. Ouvrez les bases de données

La plupart des bases de données n'ont pas besoin d'être accessibles directement depuis Internet. Leur accès est contrôlé par des informations d'identification, des clés de sécurité et même l'origine de l'utilisateur. Les droits d'accès sont extrêmement puissants, mais aussi difficile à configurer. Certaines bases de données telles que MongoDB sont créées avec des paramètres ouverts qui ont permis d'accéder à des données privées, même lorsque les développeurs pensaient que leur base de données était sécurisée. Les bases de données font cibles extrêmement précieuses car ils contiennent souvent des noms d'utilisateur et des mots de passe. Avec l'augmentation de la puissance de calcul, les mots de passe mal cryptés sont des proies faciles pour les acteurs malveillants.

3. Mauvaises politiques de mot de passe

Devoir se souvenir les mots de passe longs et complexes ne sont pas dans la nature humaine. Lorsqu'on est obligé de changer régulièrement de mot de passe, la tâche de mémoriser les mots de passe devient encore plus compliquée. Les gestionnaires de mots de passe ont aidé les utilisateurs à choisir un mot de passe unique et complexe pour chaque site Web qu'ils visitent, mais ceux-ci sont encore trop rarement adoptés. Les acteurs malveillants profitent des mots de passe faibles, où qu'ils soient utilisés et divulgués. Le compte que vous enregistrez sur une application de formation par exemple peut être divulgué. Ce mot de passe, si identique à votre lieu de travail, pourrait entraîner la compromission de votre réseau d'entreprise. La réutilisation de mots de passe, en particulier ceux qui sont faciles à déchiffrer lorsqu'ils sont cryptés, est une erreur humaine importante qui peut être facilement corrigée avec un gestionnaire de mots de passe.

4. Liens de phishing

L'une des techniques les plus anciennes utilisées par les acteurs malveillants pour voler des informations d'identification et des informations personnelles consiste à convaincre les employés de cliquer sur faux e-mails et SMS. Le phishing reste un problème de sécurité permanent, même si la plupart des employés s'y sont familiarisés. En effet, les e-mails de phishing ont augmentation de la sophistication et de la sensibilisation Autour du même moment. Ce type d'erreur humaine est extrêmement efficace car les e-mails de phishing n'ont qu'à fonctionner une seule fois pour laisser entrer un acteur malveillant. Des milliers d'employés peuvent reconnaître l'e-mail de phishing, mais un seul maillon faible suffit à détruire tout un réseau.

5. Gestion des droits déficiente

Nous avons récemment discuté de la changement soudain du service gratuit pour Docker Hub. Cela a poussé les développeurs à modifier rapidement leur routine et à passer à une nouvelle infrastructure qu'ils ne comprenaient pas parfaitement. C'est l'un des nombreux exemples qui montrent comment les problèmes de gestion des droits peuvent créer des violations de données massives. Chaque service a sa propre convention de nommage, tandis que les tests d'intrusion pour s'assurer que l'accès est sécurisé sont à la fois coûteux et chronophages. Le passage à un nouveau fournisseur de services cloud est mûr pour les erreurs dans la gestion des droits, en particulier lorsqu'il est combiné avec les erreurs humaines ci-dessus.

Comment réduire l'impact des erreurs humaines ?

Plus votre entreprise grandit, plus les risques d'erreurs humaines se produisent dans votre organisation. La pression pour livrer les projets dans les délais et dans les limites du budget ouvre également la porte aux erreurs humaines.

La meilleure stratégie est d'avoir des processus internes clairs que tout le monde, des indépendants aux permanents, doit suivre à tout moment. Formations et rappels réguliers concernant ces processus peut grandement contribuer à prévenir les erreurs humaines. En cas d'échec, un système efficace inspection des dépôts de code source et de la clandestinité criminelle peut signaler, souvent en quelques minutes, lorsqu'une erreur humaine a entraîné une violation de données. Cette notification en temps réel réduit considérablement les coûts d'investigation et de remédiation.

C'est le plus grand cauchemar d'une entreprise de découvrir qu'une erreur humaine a permis à des acteurs malveillants d'errer sur leurs réseaux pendant des mois, voire des années. Il est difficile de mener une analyse médico-légale sur une longue période pour bien comprendre l'étendue d'une violation de données. Il y a une grande différence entre la poursuite des opérations commerciales et la fermeture pendant des jours ou des semaines pendant que l'enquête est en cours.


Testez gratuitement notre plateforme de détection de fuites de données techniques

Partager l'article

Publications connexes

Tout voir
04.28.2026

Infographie : L'économie des kits de phishing

En savoir plus
04.22.2026

Vous n'aurez ni votre billet ni votre argent : Au cœur de l'opération de fraude aux billets de la Coupe du Monde 2026

En savoir plus
04.22.2026

Une infrastructure massive de fraude aux consommateurs cible les supporters avant le coup d'envoi de la Coupe du monde.

En savoir plus