jeudi 17 octobre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.



Les projets de DLP ne font pas beaucoup parler d’eux. Leur caractère confidentiel cache souvent une grande difficulté à aborder le sujet au sein des entreprises. Mag-Securs propose une démarche structurée autour de ces différents thèmes ou étapes  :

  • Prendre en compte les comportements humains et leurs évolutions ;
  • Intégrer les projets de DLP à la politique de sécurité des entreprises ;
  • De pas hésiter à intégrer la notion de politique de sanctions ;
  • Comprendre les enjeux des architectures d’une solution de DLP ;
  • Observer les offres du marché pour choisir et monter le projet.

Le sujet est complexe. Une réflexion préalable au lancement des projets DLP est donc nécessaire.

DLP : comprendre les comportements et penser la politique de sécurité

Pour mettre en œuvre une solution de DLP, la pire erreur serait de n’avoir qu’une approche technique. La fuite d’information doit en effet être analysée en termes de déviance comportementale. De plus en plus les salariés ou les citoyens se permettent de publier n’importe quoi et pensent bénéficier d’une forte légitimité. Les RSSI doivent donc intégrer des comportements de plus en plus rebelles et adapter en conséquence leur politique de sécurité.

Les RSSI doivent aussi être capables de définir des politiques de sanctions avec les ressources humaines et les publier au sein de l’entreprise. L’outil ne sert à rien s’il n’est pas possible de savoir à quoi il sera employé. d’entreprises sont claires Aujourd’hui, peu sur ce sujet

Le concept de DLP (data lost prevention ou data leak prevention) revient à la mode. Il bénéficie indirectement de la publicité faite par la proposition de loi déposé par les sénateurs Mme Anne-Marie Escoffier (RDSE - Aveyron) et M. Yves Détraigne (UC - Marne) et adoptée par le sénat le 23 mars dernier (www.senat.fr/leg/tas09-081.pdf ). L’article 7 de cette proposition stipule que « Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement ou l’accès non autorisés ou illicites ». De nombreux éditeurs de logiciels DLP en concluent que leurs logiciels sont donc devenus obligatoires. Certains éditeurs de scanners de sécurité affirment de surplus que leurs produits deviennent également obligatoires et de mauvais commentateurs ajoutent que la publication des failles de sécurité va être obligatoire faisant un amalgame entre failles de sécurité et perte ou altération de données.

Au-delà des propos marketing discutables, le concept du DLP soulève de nombreuses questions, tant au sujet du comportement des individus que de la mise en œuvre organisationnelle et technique des solutions. Si la protection des données personnelles recueille une forte adhésion de la population, la protection des données confidentielles défense ou industrielles est remise en cause par certains groupes de pression.

 

Un droit moral à tout publier ?

La fuite de documents confidentiels prend de nouvelles proportions avec les divulgations de documents militaires américains concernant la guerre en Irak et en Afghanistan sur le site WikiLeaks. Des fuites d’information militaires avaient déjà eu lieu en 1971 avec des dossiers secrets du Pentagone sur la guerre au Vietnam. Son auteur, Daniel Ellsberg, voulait alors aider l’opinion publique américaine à comprendre comment cette guerre était menée. Le fondateur de WikiLeaks, Julian Assange, reprend les mêmes arguments. La situation n’est cependant pas la même en 2010 qu’en 1971. Internet a été inventé et modifie considérablement les possibilités de diffusion de documents classifiés. WikiLeaks n’est d’ailleurs pas le seul média concerné par ces éditions. Facebook, Twitter participent au mouvement et donnent un effet de résonnance colossale aux pages personnelles des sites web des années 90. En mars dernier, un raid israélien prévu en Cisjordanie avait du être annulé au dernier moment car un soldat avait divulgué tous les détails de l’opération sur Facebook…

Le phénomène nouveau est surtout celui du développement d’un sentiment de « bon droit » et de totale impunité par les auteurs des divulgations. Le parlement islandais a d’ailleurs voté en juin dernier à l’unanimité l’Icelandic Modern Media Initiative (Immi) pour que les journalistes, ou bloggeurs, du monde entier puissent protéger leurs sources et être eux-mêmes protégés contre toute forme de procès et action de justice cherchant à entraver la liberté de parole. Le projet de loi a d’ailleurs été préparé avec l’aide de Julian Assange, patron de WikiLeaks. La Franco-Norvégienne Eva Joly, députée européenne écologiste, ancienne juge d’instruction à Paris et potentielle candidate à l’élection présidentielle française de 2012 a également soutenu vivement l’initiative. La nouvelle loi islandaise devrait donc permettre l’édition sur des sites hébergés en Islande de tout document et autorise les autorités islandaises à « ne pas observer les décisions de justice étrangères qui violeraient la protection islandaise de la liberté d’expression ». De plus, l’auteur attaqué pourra porter une « contre-plainte » contre « toute tentative visant enfreindre sa liberté d’expression en Islande ». L’Islande, membre de l’Espace Economique Européen (EEE : Europe des 30), mais non de l’Union Européenne tout comme la Norvège et le Lichtenstein (UE : Europe des 27), compte ainsi devenir un « paradis de la transparence » dans lequel tout peut-être publié, même les documents confidentiels émanant des autres pays.

Développement du besoin de transparence et d’une « légitimité » à tout publier

La crise financière de 2008 avait déjà remis au goût du jour le besoin de transparence dans les affaires financières. Mais la faillite des subprimes et l’affaire Madoff ne faisait en fait que remettre en lumière le manque de transparence des faillites d’Enroll et de Wordcom près de 10 ans auparavant. Le sujet était par ailleurs déjà traité en 1992 lorsque l’AICPA publiait le référentiel de certification SAS 70. Force est de constater que toutes ces bonnes intentions n’ont pas empêchées les crises financières suivantes. Le nouvel accord Bâle III de ce mois de septembre sur le niveau des fonds propres des banques ne fait souligner la possibilité de nouvelles crises financières majeures. Là encore, ces principes avaient été mis à jour des les années 80 sous la direction de Peter Cooke, directeur de la Banque d’Angleterre, initiateur de la création du comité de Bâle, et concepteur du ratio Cooke de solvabilité bancaire.

 Il s’ensuit un sentiment confus d’échec et une demande de transparence accrue. S’ajoute à cela le développement des médias d’échanges et de diffusion par Internet. Cela engendre la revendication d’une « légitimité » à tout publier. Les jeunes auront désormais de moins de réticences à « balancer » de l’information dans la nature. Les différents épisodes médiatiques de l’affaire Woerth - Bettancourt au cours de l’été et le travail fait par le groupe Médiapart en sont une illustration. L’interactivité des sites Web actuels et la participation des lecteurs à la constitution d’un contenu amplifient le phénomène.

Pages: 1 de 4 Page suivante
Autres Dossiers Protection des données