Le vol de données en entreprise est un risque toujours présent sur le système d’information, comme en attestent les différents évènements qui sont sortis dans la presse ces dernières années. Nous allons nous concentrer sur les fuites de données personnelles, étant entendu que les données commerciales et plus confidentielles sont concernées par les mêmes types de menaces.
Les fuites d’information concernant les données personnelles, comme identifiants et mots de passe utilisateurs sur des services d’emails ou des réseaux sociaux sont assez fréquents, et font souvent l’objet de la Une de l’actualité. Par exemple, en mai 2016, un pirate dérobe les données personnelles des utilisateurs : 360 millions de comptes du réseau Myspace sont affectés (adresses emails et mots de passe), 167 millions de comptes du réseau LinkedIn également (emails, mots de passe).
En septembre 2016 : Yahoo reconnait avoir été la cible d’une attaque APT lors de l’année 2014 qui a permis aux attaquants de dérober les informations de 500 millions de comptes personnel. Sans parler de fuites sur la campagne présidentielle américaine, et la fuite des mails d’Hillary Clinton, qui a donné lieu à de nombreuses controverses.
Enfin les sites webs, twitters, réseaux sociaux, tous moyens de communication « légitimes » peuvent permettre la publication ou l’accès non autorisé à des informations, soit par maladresse (non intentionnel) soit par malveillance (espionnage industriel).
BEAUCOUP DE POINTS D’ENTRÉE DANS LE SI POUR UN ATTAQUANT
Par exemple le web scraping est une technique qui consiste à scanner les sites webs avec des robots (aussi dénommés « crawlers ») qui vont extraire de l’information à partir des données figurant dans les pages. Ainsi des données non destinées à être publiées se retrouvent détectées par ces robots. En avril 2015, le réseau social Twitter par exemple, a mis en ligne par erreur ses comptes trimestriels sur son site web, en avance de quelques heures. Ces 45 secondes ont suffi à un web crawler de l’entreprise Selerity à détecter l’information et à la publier immédiatement… via Twitter. Cette publication involontaire des résultats a fait chuter la valeur en bourse de 8 milliards de dollars en quelques heures à peine.
La mobilité avec la généralisation de l’utilisation de VPN SSL, d’accès web HTTP/SSL, ou encore l’accès en mobilité aux emails d’entreprise, sont autant de points d’entrées sur le SI de l’entreprise pour un attaquant. Le déploiement des services Cloud et l’augmentation drastique de l’offre de services dans ce domaine est une autre préoccupation des RSSI. Selon Symantec 37% des employés partagent des données via des services comme Dropbox ou Google Docs sans en demander l’autorisation.
Enfin la mobilité salariale et les mouvements de ressources humaines dans l’entreprise sont un autre facteur de risque sur les données : 50% des employés qui changent d’entreprise transportent des données de leur précédent employeur. Les termes du contrat, les clauses anti concurrences doivent être clairement définies. Mais plus que les arguments juridiques, c’est le background socio-professionnel des employés qui doit être particulièrement scruté avant un recrutement pour un poste stratégique.
Globalement, les attaques sur les données peuvent avoir pour origine des individus, des entreprises ou des États. Ces dernières années on parle beaucoup des attaques « APT » ou « Advanced Persistent Threat » qui sont des attaques ciblées et silencieuses sur un système d’information, qui va permettre à un attaquant de devenir « résident » pendant plusieurs mois ou années, le but étant d’optimiser l’extraction d’information. Le gouvernement russe avec les attaques APT 28 est un des spécialistes du genre. Dans le cadre des APT l’attaquant va utiliser et combiner différentes techniques : le social engineering, ou ingénierie sociale, consiste à enquêter sur le personnel de l’entreprise par des coups de fil ou visites anonymes et subtiles, tout en dissimulant son identité et l’objet réel de la requête. Les moyens numériques seront ensuite mis en oeuvre, par exemple le scan de port, le repérage des infrastructures et datacenters, et la détection de vulnérabilités ou de failles dans le système d’information.
L’attaque contre RSA en 2011 est le premier exemple d’une attaque APT. Cette attaque a permis par rebond aux attaquants de pénétrer les systèmes de Lockheed Martin.
L’EXTRACTION DE DONNÉES, UN SUJET LUI AUSSI SENSIBLE
L’extraction de ces données est un autre sujet puisque le système d’information possède des équipements en coupure réseau. L’accès à un dossier particulier ou bien sa communication par email vont être s automatiquement « loggés » sur le système d’information. Pour éviter cela on peut procéder au fractionnement de l’information, à son chiffrement, ou à son encapsulation (dissimulation) dans du trafic légitime. On parle dans ce cas des techniques d’extraction de données ou « Advanced Evasion Techniques » (AET). Des méthodes classiques comme l’encapsulation dans le trafic DNS, HTTP, SMTP, ou le tunnelling HTTPS restent très pratiquées. En effet les ports 80 (HTTP) et 25 (SMTP) sont les plus accessibles pour la fuite d’information. La destination des informations est aussi un élément d’identification potentielle des attaquants et doit être dissimulé. Par exemple par l’utilisation du réseau TOR, ou a minima par la superposition de proxies qui vont dissimuler l’origine géographique.
On peut aussi citer l’attaque avec des exploits « zero-day », des malwares avancés qui vont utiliser le polymorphisme et le chiffrement pour rester indétectables, enfin des techniques avancées pour l’extraction ou la fuite d’informations : tunnelling VPN (chiffrement) pour échapper aux systèmes de DLP, ou encore encapsulation dans du trafic DNS ou HTTP, en clair, pour passer inaperçu. On les appelle « TEA » Techniques d’Évasion Avancées », ou encore « Advanced Evasion Techniques » (AET).
DES SOLUTIONS ÉPROUVÉES PAR LE MARCHÉ
Parmi les solutions du marché sur la protection des données, Symantec Data Loss Prevention est une solution logicielle qui permet de découvrir, monitorer et protéger les données du système d’information à travers les endpoints (stations de travail), les réseaux, et les systèmes de sauvegarde externes ou internes. En plus de prendre des mesures de protection préventives, il faut également penser aux mesures de blocage d’une information litigieuse.
Symantec DLP Protection permet d’empêcher un email d’être envoyé, ou de le router à travers une passerelle sécurisée. Il permet aussi de mettre en quarantaine un fichier ou un dossier qui contient des informations sensibles. Symantec propose un service de Data Loss Prevention venant d’une solution qui a été rachetée en 2006/2007. Cette solution permet le watermarking (tatouage numérique) des documents confidentiels, la définition de politiques de sécurité et d’alertes spécifiques pour analyser le trafic, et l’analyse du trafic sortant notamment le trafic internet et les emails des employés. D’après Symantec cette solution n’est pas suffisante en soi pour protéger les documents mais doit s’additionner à d’autres mesures technologiques et humaines, par exemple le déploiement d’une solution de « endpoint security » pour protéger les postes de travai l, le déploiement d ’une solution d’IAM (Identity Access Management) pour l’authentification forte des utilisateurs, la centralisation des politiques de sécurité pour avoir une vision globale à tout moment du SI et, enfin, l’implémentation du chiffrement pour protéger les documents sensibles.
En 2016, Symantec a réalisé le tour de force de proposer une solution de Data Loss Prevention « Cloud-based », en fournissant à ses clients le matériel, le support et les services pour permettre à chacun de sous-traiter la protection de ses données sensibles. Même si cela peut sembler un contre-sens au premier abord, il faut rappeler l’extrême interdépendance des services numériques entre les entreprises. Ainsi on voit fréquemment de grandes entreprises déléguer entièrement auprès de fournisseurs étrangers, américains ou européens, la gestion de leurs courriers électroniques. La notion de responsabilité des informations sensibles, personnelles ou d’entreprises, va alors s’étendre auprès du partenaire numérique.
D’autres sociétés proposent plusieurs solutions de protection des données : IRMA (détection de malwares), Epona (protection des données par obfuscation), Ivy, Synaktiv…
En conclusion, on ne règlera pas le problème de la fuite des données, qui est aussi pérenne que l’espionnage, avec une simple politique de mise en place d’outils du marché, aussi sophistiqués soient-ils. Il faut, bien plus que cela, une sensibilisation, une culture de la valeur de la donnée et une sensibilisation du patrimoine informationnel qui arrive peu à peu dans les entreprises.
L’analyse de Thierry Autret, délégué général du Cesin
Délégué Général du CESIN depuis 2016, Thierry Autret a été pendant 15 ans RSSI du GIE Cartes bancaires. Il est membre du CESIN depuis l’origine et partage une vision commune de la protection de données.
Mag-Securs : Au niveau des informations dites confidentielles, avez-vous constaté des incidents, comment y avez-vous réagi en entreprise ?
Thierry Autret : la problématique du vol de données est extrêmement compliquée. Au sens premier du terme. Le législateur considère que le vol, en première interprétation, est constitué d’une chose matérielle. Or en informatique, en traitement de l’information, le vol d’une donnée immatérielle va être plus complexe à identifier et la fuite de données va être difficile à caractériser. Les données seront, par exemple, toujours présentes sur les serveurs.
Quels sont les arguments juridiques à faire valoir dans ce type de vols de données immatérielles ?
T. A. : La loi de 2014 du 13 novembre contre le terrorisme a modifié l’article 323-3 du code pénal. C’est une modification de la loi Godfrain : on a ajouté la notion d’extraction de données. On peut donc poursuivre quelqu’un qui a extrait des données. On peut dire que la notion de vol de donnée, appelé extraction, existe dans le code pénal depuis 2014.
Comment détecter une telle fuite d’information ?
T. A. : Il faut surveiller les logs grâce aux systèmes SIEM. Pour ceux qui ont les moyens, avoir un SOC qui permet d’avoir une surveillance active et une réaction en temps réel. Dans un SOC on a un ensemble de critères, qui vont permettre, en les recoupant, de déceler qu’un évènement s’est produit.
ANALYSER LES FAUX POSITIFS
Quelles sont les solutions du marché que vous pourriez citer pour éviter les fuites de données ? On pense à Splunk, ou ArcSight, qui sont des solutions très connues en termes de SIEM.
T. A. : En tant que délégué général du CESIN c’est difficile de citer des marques. L’objectif du CESIN est d’avoir des conversations techniques mais non pas commerciales. Je ne vais pas vous dire « Splunk est mieux que Arcsight ». Il faut voir surtout la logique de ces outils, qui est que la complexité est d’analyser les faux positifs, avoir les bonnes données à analyser. Avoir accès aux logs ; analyseurs, firewalls, et automatiser l’analyse de ces logs, gagner un maximum de temps en éliminant les faux positifs pour finalement ne garder pour analyse « humaine » que les évènements intéressants qui sont potentiellement des alertes de sécurité.
Existe-t-il des cas dans votre industrie ou on a pu détecter et empêcher une attaque en temps réel ? La réaction en temps réel doit être très compliquée.
T. A. : C’est justement l’objectif de certains critères comme identifier du trafic anormal. La nuit par exemple il y a très peu de trafic réseau. Une activité sera tout de suite plus détectable. Un gros fichier qui sort la nuit peut facilement déclencher une alerte de sécurité.
Auriez-vous un exemple d’intrusion qui a été détecté, une anecdote à citer ?
T. A : c’est une chose difficile, la fuite de données n’apparaît pas en premier dans les préoccupations des RSSI. Le vol ou la fuite de données n’apparaît qu’en 5ème position dans le baromètre Opinion Way de 2016, en termes d’attaque subies.
La problématique du vol de données est extrêmement complexe car la notion de vol est liée aux données matérielles. Pour la fuite d’informations donc de données immatérielles, la caractérisation du vol est complexe à identifier. Il y a une problématique de traces, de preuves. C’est un sujet différent de la destruction de données.
Une fois les données extraites, l’attaque peut rester silencieuse. On peut détecter cette extraction avec un SIEM, un SOC qui permet de détecter les intrusions. On trouve Splunk, Arcsight, par exemple. La complexité est d’analyser les faux positifs.
Du secret des affaires
Le point de vue d’Olivier de Maison Rouge, avocat en intelligence économique, membre fondateur de la Fédération européenne des experts en cybersécurité à destination des PME et ETI (FEECS), spécialisé en protection des données des entreprises, notamment PME et ETI.
Comment définir le secret des affaires ? Il y a la directive européenne de protection du secret des affaires, et du savoir-faire du 8 juin 2016. Plusieurs tentatives françaises sur le sujet n’avaient pas abouti, chacun des états membres n’ayant pas de législation harmonisée voire pas de législation sur le sujet. Cela existait en France dans le code de commerce, dans le code des télécommunications. Il y avait une absence de définition du secret des affaires. Cette définition protège les données relatives au secret des affaires, appelées « information économiques non divulguées ». Cette notion existe depuis le 8 juin 2016 (directive européenne). C’est la prochaine majorité électorale qui aura pour charge de transposer cette directive.
Cela va permettre aux entreprises de protéger leur patrimoine informationnel.
Cette directive sera intégrée au droit français, mais elle ne prévoit pas de volet pénal. Elle envisage des procédures judiciaires spécifiques, proches disons de la saisie –contrefaçon, pour pouvoir agir devant les tribunaux. Elle prévoit également des mesures d’interdiction d’importation, de fabrication, de produits fabriqués à partir du secret des affaires. L’idée étant de protéger la R&D et l’innovation. La protection du secret des affaires est en matière civile. Libre aux états membres de prévoir un volet pénal. Ce que vise la directive c’est l’obtention illicite, la divulgation ou l’utilisation illicite du secret d’affaires.
Existe également la directive européenne de protection du secret des affaires du 8 juin 2015. C’est la première définition commune du secret des affaires. Définition dans le code de commerce et le code des télécommunications entre autres.
Elle permet aux entreprises de protéger leur patrimoine informationnel. C’est une approche générale qui définit le secret des affaires qui permet de préserver la confidentialité devant les tribunaux avec un mécanisme d’indemnisation renforce au civil et qui prévoit des mesures d’importation et exportation. L’idée est de protéger la R&D et l’innovation. Ce que juge la directive c’est l’obtention illicite, la divulgation ou l’utilisation déloyale des secrets d’affaires. Elle propose des dommages et intérêts au civil, avec un volet pénal éventuellement avec la transposition des états membres.
En matière juridique nationale il y a une avancée jurisprudentielle depuis 5 années mais pas de textes spécifiques, en matière pénale, pour protéger la violation du secret d’affaires. Ces vols sont désormais sanctionnés, mais sans texte spécifique. On attend la transposition de la directive.
Enfin 3ème point : les données sont stockées sur des supports informatiques. Il y a donc une convergence avec les règles de cybersécurité. Aujourd’hui il faut prendre en compte la directive 2013-40 relative aux attaques contre les systèmes d’information, la directive du 27 avril 2016 (et non pas 6 juillet) qui conduit au RGPD, la directive du 8 juin 2016 sur le secret d’affaires et la directive NIS du 6 juillet 2016 qui vise à assurer un niveau élevé commun de sécurité des réseaux et systèmes d’information dans l’Union européenne.
Tout cela forme un ensemble juridique cohérent avec des obligations fortes pour les entreprises mais aussi un niveau de protection pour l’innovation et le secret des affaires. La cybersécurité est certes à la mode, mais c’est aussi l’affaire de tous. Aujourd’hui on est en mesure d’assurer un haut niveau de protection. On n’est plus seulement dans le domaine de la défense, mais tous les secteurs d’activité sont touchés. Par exemple les messageries sont l’objet d’attaques. Il y a aussi les aspects de champ de bataille de l’information avec le phénomène des « fake news ».
Comme exemple d’affaires on peut citer la DCNS (fuites de données). Cette affaire ne met pas en cause le secret de la défense nationale. On est dans une forme d’espionnage industriel, qui vise à disqualifier l’adversaire. Par ailleurs, l’affaire Rose (qui a donné lieu à une jurisprudence) et l’affaire Michelin, traitent de cas de divulgation de secrets de fabrication révélés par un ancien salarié, qui cherche à en tirer profit en revendant à un concurrent. Dans les deux cas, il y a eu condamnations pour détournement de fichiers ou vol de fichiers.
La Loi Godfrain de 1988 (atteinte au traitement automatisé de données) ajoute au délit l’extraction de données. Cela date de 2014, et porte sur la modification de l’article 323-3 en 2014. En matière de secret des affaires il y a très peu de textes en droit français, il serait intéressant d’envisager un volet pénal.
[Commenter ce dossier...]