Fuite ou destruction de données, l’actualité de ce début d’année
regorge d’exemples. Quel type d’entreprise est concerné ? Comment limiter
ou rendre impossible la fuite de données sensibles ? Quels risques
présente le phénomène « shadow IT » ? Jérôme LEBEGUE,
responsable du pôle Conseil, nous fait
partager conseils et retours d’expérience.
Dans le cadre de l'affaire "Panama
Paper " quel regard portez-vous sur ce type de fuite ?
Vu l'état actuel de la sécurité des systèmes d'information de beaucoup de
sociétés, ces fuites risquent de devenir de plus en plus fréquentes. Dans cette
affaire en effet, les mesures de protection n'étaient clairement pas en
adéquation avec la sensibilité des données à protéger et cela est encore bien
trop souvent le cas dans la plupart des entreprises.
Techniquement, combien d'entreprises
estimez-vous en dessous du seuil de sécurité minimal en France face à ce type
de cyber-risques ? Pourquoi ?
Il n'existe pas de seuil minimal de sécurité universel, la sécurité étant un
élément qui doit être aligné avec le business de l'entreprise. En effet, le
niveau de sécurité nécessaire pour une entreprise du BTP qui échange
uniquement des devis par mail n'est pas le même que celui d'une société
traitant des données sensibles. Si le niveau de maturité des entreprises de
secteurs clés est en progrès, celui des autres entreprises est plutôt faible et
celui-ci est encore trop souvent hélas poussé par des exigences réglementaires
que par le souhait d'aligner sécurité informatique et business.
Les raisons
sont multiples, issues de nombreuses années à utiliser l'outil informatique
sans contrainte ou avec des contraintes faibles. Pour l'aspect utilisateur, il
est "amusant" de constater que souvent les personnes ont des
comportements plus à risque dans leur travail que dans leur vie privée. Ils ne
partageront par exemple jamais le mot de passe de leur compte Facebook mais
donnerons sans problème celui de l'application de comptabilité à Simon du
support informatique qui vient de les appeler (Simon qui ne travaille peut être
pas au support voire pas du tout dans l'entreprise).
Pour l'aspect
technique, la sécurité est encore trop souvent vue comme un centre de coût,
sacrifiable pour tenir les délais projet.
L’utilisation
d’outils perfectibles alliée à des pratiques "à risque" a pour
conséquence le niveau de sécurité défaillant que nous constatons au quotidien.
Quels conseils en tant qu'expert
préconisez-vous pour limiter voire rendre impossible les fuites de données
"sensibles" en entreprise dans le cadre de SI ouverts (Devices
mobiles, connexion remote, réseaux sociaux...) ?
Empêcher les
fuites de données sensibles relève de l'impossible ou presque. En effet, pour
que les données soient utiles, elles doivent être utilisées, ce qui sous-entend
que quelqu'un y a accès. Les fuites de données sont d’ailleurs autant issues de
piratage (l'exemple Ashley Madison) que de fuite organisée en interne (cas
Snowden).
Si l'on
souhaite limiter la fuite de données sensibles, il faut les identifier puis appliquer
des mesures de sécurité adaptées. En entreprise, nous constatons que ce travail
est rarement fait sur l'ensemble des données de l'entreprise. Pourtant, et de
façon naturelle, la comptabilité et la paye sont des domaines où le principe du
besoin d'en connaitre est bien appliqué ... Pourquoi dans ce cas ne pas
l'étendre aux données du bureau d'étude qui est autant voire plus stratégique
dans la survie de l'entreprise que le salaire de son personnel ?
Quand on souhaite s'attaquer à cette problématique, il est important de prendre
en considération les deux aspects de la sécurité : technique et organisationnel.
Sur le plan organisationnel, il faut que les utilisateurs soient sensibilisés à
l'importance des données et à leur caractère confidentiel. Les réseaux sociaux
sont un vecteur important de fuite d'informations, souvent par méconnaissance
des usagers de la confidentialité des informations qu'ils manipulent. Sur le
plan technique, l'application de règles d'hygiène informatique de base et de
bonnes pratiques permet de limiter les risques d'une attaque opportuniste ;
le guide d'hygiène informatique de l'ANSSI me semble être une bonne base pour
débuter.
Le phénomène "shadow IT"
risque-t-il d'amplifier ce type de cyber-menaces / data Breach ? (usage de
Dropbox par les users par exemple sans autorisation des IT Managers)
Les fuites type "Panama Papers" ne sont pas issus du Shadow IT. Je
dirais même que l'infrastructure de Drop Box est sûrement plus sécurisée que celle
de beaucoup de sociétés. Par contre la perte de maîtrise de l'information lors
de l'utilisation du Shadow IT est réelle, en particulier dans la gestion des
départs du personnel comme nous le constatons souvent chez nos clients. Quand
les services sont souscrits hors du contrôle des services compétents, nous
constatons que le suivi des droits d'accès est proche de zéro. Il n'est pas
rare par exemple de se rendre compte qu'un collaborateur parti depuis des mois
dispose encore d'accès à des partages type Drop Box.
Pourquoi en 2016, au-delà des "vieilles"
solutions DLP ne dispose-t-on pas d'outils capables d'identifier, classer et
tracer les données sensibles durant tout leur cycle de vie ?
Parce que ce travail est difficile et que le problème ne peut pas être adressé
uniquement par la technique. Le passage au numérique, où la duplication d'une
donnée est instantanée et gratuite, complexifie la traçabilité des
informations. La multitude de format des informations augmente également la
difficulté de cette tâche. Si celle-ci n'est pas impossible, une inadéquation
des outils actuels et du mode de fonctionnement de nos sociétés rendent la mise
en place de ces éléments complexe.
*******************************************
Plus d'informations sur ce thème ?
Contactez-nous par téléphone au 02 99 23 15 79 ou par mail : contact@amossys.fr.
Amossys - Conseil et expertise en sécurité des technologies de l'information
