vendredi 20 septembre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Repenser en profondeur le principe des protections

La protection des systèmes d’information ne peut plus se concevoir comme on le faisait encore il y a dix ans. En conclusion au Forum International sur la Cybercriminalité en avril dernier (FIC 2010), le général d’armée Wattin Augouard appelait à une réflexion globale pour redéfinir les stratégies de défense qui n’ont pas beaucoup évolué depuis les travaux de l’officier et théoricien Carl Von Clausewitz (1780-1831), auteur du traité « De la guerre ». Ces travaux ne prennent en effet pas en compte l’état d’esprit de certaines populations actuelles et leurs possibles comportements. De multiples sites web proposent aujourd’hui de faciliter tous types de publication. www.oboulo.com propose ainsi de rémunérer avec quelques euros les publications de différents travaux en fonction du nombre de lectures payantes réalisées. D’où viennent ces travaux ? Peuvent-ils comprendre des documents classifiés ? Que risquent les auteurs si le travail a été réalisé « au boulot » ? Le risque de divulgation indésirable est très clair, mais n’est pas le seul. Il est aussi possible de craindre la publication d’informations erronées destinée à nuire à l’entreprise. Diffusées à grande échelle et reprises par le « buzz » de l’Internet comme étant véridiques, le système d’information peut devenir inutilisable…Dans les pires scénarios, on peut craindre des mouvements d’’inspiration anarchiste comme une ou plusieurs entreprises. Tel est le contexte actuel dans lequel les RSSI doivent travailler sur la protection des informations de l’entreprise.

Faut-il alors penser que l’on peut mettre en œuvre une gestion des informations complètement ouverte et assurer une totale transparence sur tout ? Le professeur de bioéthique à l’université de Princeton aux Etats-Unis, Peter Singer, y répond dans le cadre de la publication des documents militaires classifiés sur le site WikiLeaks. « Il est utopique de chercher une transparence totale de la part des gouvernements. Il est des cas où l’on doit agir en secret pour le bien public. » Les services secrets ont encore quelque utilité : c’est évident ! Il en est de même pour les informations industrielles, les brevets, travaux de recherche, et pour de très nombreuses informations financières.

Le panorama juridique de la protection des données est complexe. Lors de l’atelier sur la protection des données sensibles lors du FIC 2010 (www.fic2010.fr/pdf/2010/A8_donnees_sensibles.pdf), le gendarme enquêteur N’Tech de la section de recherche de Lille précisait que « Le vol de données n’existe pas en France, puisque la notion de vol ne porte pas sur des biens immatériels. Et d’ailleurs, les données volées se trouvent souvent toujours présentes dan le système d’information de l’entreprise … Néanmoins, le vol de données est raccroché à la législation française par le biais des infractions (par exemple l’utilisation de données donne lieu à un abus de confiance) ». Cette subtilité juridique doit donc être prise en compte dans l’organisation d’un système de protection contre la fuite de données…

Les cas extrêmes : protéger l’entreprise … de la justice

La protection des informations de l’entreprise ne s’arrête pas là, loin s’en faut. L’entreprise peut aussi se trouver dans une situation délicate et devoir cacher certaines informations. Il y a une dizaine d’année, lorsque la juge Eva Joly instruisait l’affaire Elf, le célèbre avocat Maître Jacques Vergès s’esclaffait au cours d’une conférence donnée lors d’un déjeuner avec un grand cabinet de conseil parisien : « où étaient rangées les informations ultra sensibles de la société Elf ? Dans le coffre de l’entreprise pour être protégées des voleurs ! Mais pas d’une perquisition de la justice qui elle allait faire ouvrir le coffre par l’entreprise elle-même ! » « Si je devais être perquisitionné », poursuivait-il, « je laisserais les clés de mon bureau à ma secrétaire et j’irais prendre un café au bistrot d’en face … Il n’y a aucun document ultra sensible dans mon bureau ! ».

La protection de telles informations très sensibles a depuis été prise en compte par certaines entreprises, qui préfèrent toutefois, naturellement, conserver la plus grande discrétion sur ce sujet. On peut cependant relever des consignes stipulant que le système d’information d’une entreprise ne doit en aucun cas conserver les emails antérieurs à une certaine date …

Les solutions « produits » DLP

Le discours dominant des éditeurs de logiciels de sécurité consiste à mettre en avant les systèmes de DLP : « data lost prevention ». Le DLP est très souvent un filtre de contrôle de sortie des documents du système d’information de l’entreprise. Celui-ci présente naturellement quelque intérêt, mais il est vain de prendre d’entrée de jeu le problème sous le seul angle de la solution produit. Il convient tout d’abord de se rappeler que la plupart des produits de sécurité finissent toujours par être cassés. Ceci sera vrai aussi pour le DLP …

Dès 1933 une équipe de mathématiciens polonais de l’Ecole de Varsovie avait cassé le code de chiffrement allemand de la machine Enigma. 5 semaines avant le début de la guerre en 1939, ils transmettaient le fruit de leur travaux aux britanniques et aux français. Le travail s’est ensuite poursuivi à Bletchley Park, au nord ouest de Londres sous la direction d’Alan Turing avec tout d’abord une équipe de 7.000 personnes, puis au plus fort de la guerre de 12.000 personnes. L’essentiel des messages allemands, puis japonais étaient ainsi déchiffré par les anglais… sans que jamais les nazis ne doutent un instant de l’inviolabilité de leur système de sécurité.

D’autres solutions « produit » existent, dont certains ne visent qu’à exploiter des moyens de cyber-surveillance des salariés : caméras, micros, badges divers, etc. Attention toutefois à ne pas faire n’importe quoi ! On se souvient de l’histoire des micros installés dans les locaux de la rédaction du Canard Enchaîné en décembre 1973 lorsque Raymond Marcellin était Ministre de l’Intérieur : effet contreproductif total ! Ce même Ministre de l’Intérieur avait de même initié le projet Safari d’interconnexion des différents fichiers de l’Etat pour mieux lutter contre la fraude : scandale qui conduit ensuite à la création de la CNIL avec la loi dite « informatique et libertés » du 6 janvier 1978 ! Voir l’article http://www.magsecurs.com/News/tabid/62/articleType/ArticleView/articleId/23700/De-Safari-a-Edvige-35-annees-dune-Histoire-oubliee-malgre-la-creation-de-la-CNIL.aspx.

Toutes ces solutions doivent être examinées avec les contraintes imposées par la CNIL. Il est utile dans ce cas que l’entreprise ait nommé un Correspondant Informatique et Libertés : CIL.

Pour la protection des documents sensibles, il est aussi d’usage de procéder à un « taguage individualisé » des documents. Le tag identifie le destinataire. En cas par exemple de publication indésirable du document sur un site Internet, l’entreprise pourra poser quelques questions au dépositaire du document…

La politique de sécurité, la formation et la politique de sanction

Comme tout projet de sécurité, la mise en œuvre d’une solution de DLP doit partir de l’élaboration d’une politique de sécurité adaptée. Une partie des questions à se poser sont assez classiques :

  • Quel est le contexte de ce projet de DLP ?
  • Quelle est l’origine de la menace ? Qui sont les adversaires redoutés ?
  • Quels sont les scénarios redoutés ?
  • Quels sont les moyens de protection déjà existant ?

Il suit des questions que l’on retrouve dans la plupart des projets de lutte contre la fraude ou le « vol de données » :

  • Qui décide de quoi ? Comment est défini le processus de classification des informations et des documents ?
  • Qui exploite les informations et les documents ?
  • Comment est contrôlée cette exploitation ?
  • Comment assure-t-on la séparation des tâches de Décisions, d’Opération ou d’exploitation et de Contrôle communément désigné par le triptyque DOC ?

Il reste ensuite à organiser tout un travail classique de communication, sensibilisation et formation pour l’ensemble des personnes parties prenantes. L’objectif est d’obtenir l’adhésion de ces personnes au projet et de mieux mesurer les risques de « rébellion » de certains acteurs.

Le travail ne saurait toutefois s’arrêter à ce stade. Il est en effet nécessaire que l’entreprise élabore également une politique de sanction en cas de non-respect de la politique de sécurité. Cette tâche est souvent délaissée : la DRH et le RSSI s’en renvoyant la responsabilité … Il existe pourtant de très importants travaux sur ce sujet.

Au siècle des lumières, de nombreux philosophes se sont penchés sur les principes d’une politique de sanction. Pour Cesare Beccaria, philosophe né en 1738 à Milan, le plus important est la certitude de la peine et non sa sévérité. Mieux vaut pouvoir sanctionner tous les écarts sans exception que d’attraper une fois de temps en temps un malheureux coupable et de le pendre haut et court sur la place publique. La certitude de l'application de la peine est en effet très dissuasive. Des études récentes, comme celle des Professeurs C.-N. Robert et J. Kellerhals, enseignants de droit pénal et sociologie dans les Facultés genevoises, confirment cette position.t

Samuel Romilly, jurisconsulte du 18° siècle, le disait également : «  le principal facteur de dissuasion du criminel réside non pas dans la cruauté de la peine, mais dans la certitude de la condamnation. La première a pour seul effet de diminuer la seconde et par conséquent, elle est vaine ».

D’autres philosophes du 18° siècle, tel que le révérend britannique William Paley affirmait au contraire de son côté que « l’incertitude de la peine doit être compensée par sa sévérité ».

Un véritable projet de DLP doit prendre parti entre ces deux approches :

  • Arrêter tout écart à tout prix ;
  • S’en prendre aux cas les plus criants.

Les éditeurs de logiciels, prudents, développent un discours marketing autour de la seconde solution. Cela ne saurait constituer la politique d’une entreprise sans que celle-ci ne se soit interrogée sur le sujet. Les moyens techniques mis en œuvre doivent ensuite permettre de satisfaire les objectifs des politiques de sécurité et de sanction.

Interrogés sur les expériences clients, les éditeurs de logiciels se réfugient systématiquement derrière le besoin de confidentialité de leurs clients pour ne donner aucun témoignage et ne jamais aborder la question de la certitude de la peine pour les coupables … C’est là un élément majeur de risque d’échec pour les projets DLP. Les coupables prendront le risque de commettre un délit étant convaincus d’échapper aux contrôles.

Il reste alors à sélectionner les individus et à les éduquer pour adopter des comportements protégeant les données de l’entreprise. Il n’est besoin d’aucun logiciel pour cela, mais d’un bon management et d’un peu de chance : le sens de l’histoire va de plus en plus vers une revendication de totale liberté de publication comme nous l’expliquions au début de ce dossier.

Existe-t-il in fine une vraie bonne solution ?

Autres Dossiers Protection des données