mercredi 26 septembre 2018    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges
Jacques Cheminat / lundi 12 mars 2018 / Catégories: Dossiers

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.

La représentation en nuage de points du sujet des droits d’accès et des comptes à privilèges se révèle particulièrement dense. PAM (Privileged Access Management), gouvernance des accès, proxy, serveur de rebond, SSH, RDP, bastion, rotation et coffre-fort des mots de passe, discovery, collecte de logs, chiffrement de bout en bout, sont une liste non exhaustive des termes utilisés. Le sujet est porteur comme le prédit Gartner en estimant qu’en 2020, plus de 40% des PME et grands comptes vont déployer des solutions de PAM pour répondre aux problèmes de sécurité du Cloud.

Pour autant, si ce marché est complexe en se déclinant comme un sous-ensemble de la gestion des identités (IAM), il a évolué avec le temps. Dans une première phase, il se développe autour de la protection des mots de passe des comptes administrateurs et de la technique du coffre-fort, tout en ayant les yeux vers le Cloud. Puis le marché se tourne vers la gestion des accès à travers la technologie du bastion, sorte de boîte noire capable d’enregistrer les sessions, de détecter les comportements anormaux et de s’adapter aux nouvelles exigences comme l’automatisation, l’IA et l’IoT. Enfin, les comptes à privilèges ciblent maintenant les métiers en créant des datarooms, des zones de confiance, dédiées à la direction, les RH ou la finance au sein de l’entreprise.

 

L’ÈRE DU COFFRE-FORT DES MOTS DE PASSE ADMIN

Ce marché est relativement jeune et les anciens réflexes ont encore la vie dure. Selon, une étude menée par Dimensional Resarch pour One Identity, 38% des responsables français utilisent un tableur et 18% gardent les mots de passe des comptes à privilèges sur version papier. La prise de conscience de ces problématiques d’accès a été tardive, se souvient Sébastien Faivre, CTO de Brainwave, spécialiste français de la gouvernance des accès, « elles ont émergé il y a une dizaine d’années, avec les interrogations sur les mots de passe des systèmes Root, le plus haut niveau de privilèges au sein de la DSI et donc un accès à l’ensemble de l’infrastructure de l’organisation ». Ces comptes cristallisent 3 types de menaces : la malveillance interne (un administrateur système mécontent ou un utilisateur un peu trop curieux) ; la malveillance externe (attaque ciblée sur les administrateurs systèmes ou malwares visant les systèmes à privilèges) et l’accident (mauvaise configuration ou erreur de mise à jour).

En 2015, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié une note de « recommandations relatives à l’administration sécurisée des systèmes d’information ». Elle donne des éléments utiles d’aide à la conception d’architectures sécurisées tout en mettant à la disposition des administrateurs les moyens techniques et organisationnels nécessaires à la réalisation de leurs missions. Les comptes à privilèges y sont abordés.

Bunkeriser les mots de passe

Face à un problème technique, la réponse a été aussi technique avec la création des coffres-forts de mots de passe. Plusieurs acteurs sont présents sur ce marché toujours très dynamique. Le principe général repose sur la centralisation en un seul point, sur site ou dans le Cloud, de la gestion des mots de passe pour les comptes à privilèges. Concrètement, la solution analyse l’ensemble de l’environnement IT pour recenser les comptes à privilèges. « En général, un agent se charge de scanner les annuaires de l’entreprise comme Active Directory sur site ou sur le Cloud Azure, mais aussi des services comme Okta ou G Suite de Google » explique Thibault Behaghel, spécialiste produit EMEA chez LastPass. « Il y a beaucoup de demandes autour des offres Cloud et notre offre permet d’appliquer 70 règles de sécurité », précise le dirigeant. L’agent analyse aussi les clés SSH publiques et privées (OpenSSH, Putty, Tectia, Windows, Linux, etc.). L’administrateur IT peut ensuite décider quels comptes associés aux clés doivent intégrer le coffre-fort. La sécurité des mots de passe s’effectue à travers des algorithmes de chiffrement AES 256 ou RSA 2048. En fonction du degré de sensibilité du compte, l’authentification peut être simple couplant identifiant et mot de passe ou bien forte en intégrant des token, de la biométrie, des serveurs Radius, Google Authenticator ou SAML (Security Assertion Markup Language).

Rotation et révocation des mots de passe

Puis, petit à petit, le coffre-fort a évolué avec des fonctionnalités de rotation et de révocation de mots de passe. Dans le premier cas, le coffre-fort est capable de générer de manière aléatoire des éléments d’authentification. Une fonctionnalité rassurante pour minimiser la menace interne, mais elle facilite également la sécurisation de projets en équipes ayant accès à des données sensibles. Dans un environnement DevOps où plusieurs métiers travaillent à la création et à la production d’applications, il est nécessaire d’accéder et de manipuler des données sensibles comme les bases de données. Affecter des éléments d’authentification pour une durée limitée est donc nécessaire. De même, cette fonctionnalité est utile pour les partenaires et les prestataires qui ont besoin d’accéder à des programmes sensibles.

La révocation des mots de passe sur les comptes à privilèges est essentielle. L’actualité est riche d’affaires mettant en cause d’anciens salariés ayant gardé leurs accès à des applications critiques. Ils peuvent ainsi voler des données, les transmettre à des concurrents ou les vendre sur le marché noir. « Il est donc important de pouvoir supprimer l’ensemble des accès quand un administrateur s’en va. Il faut donc vérifier ses identifiants, connaître les couples (mots de passe, identifiant) de ses accès et les révoquer », poursuit Valérie Husson, channel Sales Mananger France & North Africa de Thycotic, nouvel acteur du PAM, arrivé récemment en France. Une tâche automatisable pour laquelle la direction des ressources humaines peut supprimer les accès dès le départ d’un collaborateur depuis un simple bouton.

 

LE BASTION : LA VIGIE ATTENTIVE ET PRÉDICTIVE

Renforcer la gestion des identités des comptes à privilèges (PIM, pour Privileged Identity Management) sur certains éléments du SI est important, mais les responsables IT réclamaient des solutions de traçabilité des sessions des comptes à haut pouvoir.

Le surveillant en chef des sessions à privilèges

D’où l’idée du PAM et plus particulièrement du concept de bastion. « Le bastion s’apparente à la vidéosurveillance dans un appartement », résume Julien Cassignol, ingénieur avant-vente et responsable de l’activité France pour Balabit. Si la partie coffre-fort s’inquiète des identités et intègre le PAM, le bastion s’intéresse aux couches les plus basses de l’IT, « Nous analysons les flux basés sur différents protocoles : RDP (Remote Desktop Protocol), Telnet, Citrix, VNC et SSH » explique Serge Adda, CTO de Wallix, le champion français du bastion. Dans certains cas, des demandes d’analyses de protocoles spécifiques sont réclamées comme dans le cadre des systèmes industriels et les automates SCADA en particulier. « Certains protocoles sont plus complexes que d’autres, comme par exemple les demandes SQL, il y a autant de parfums que les glaces chez Berthillon », constate avec humour Julien Cassignol.

Sur le plan technique, les PAM du marché s'appuient sur des serveurs proxy et des serveurs de rebond pour scruter les flux des tâches. Concrètement, une connexion par rebond consiste à passer par une machine intermédiaire lors d’une connexion entre deux machines, PC ou serveurs, via les protocoles cités précédemment. Cette technique sécurise l’accès aux applications en déléguant l’injection des mots de passe au serveur proxy pour masquer les identifiants.

Mais ces serveurs savent aussi enregistrer les flux. Ils sont capables de rejouer une session en vidéo au format MPEG4 compressé. « 1 h de vidéo correspond à une taille de 20 Mo », assure Valérie Husson de Thycotic en mettant en avant l’offre Secret Server. Elle ajoute : « l’enregistrement se fait en direct et a un intérêt historique pour savoir ce que l’administrateur a fait ou a essayé de supprimer ».

 

Les yeux doux au DevOps et à l’IA

Forts de la traçabilité en vidéo, les bastions récoltent dans le même temps beaucoup de métadonnées. Une mine d’informations à valoriser via des solutions analytiques et de machine learning. Ces efforts aboutissent à l’émergence de solutions d’UBA (User Behavior Analytics), l’analyse comportementale des utilisateurs. « Nous allons maintenant vers l’expérience utilisateur. A travers cette vidéosurveillance, nous collectons énormément d’informations sur ce qui se passe et s’est passé », précise Serge Adda de Wallix.

Pour Balabit, le machine learning permet d’apprendre et de connaître le comportement des détenteurs d’accès aux comptes sensibles. Julien Cassignol le reconnaît, « le machine learning apprend les habitudes de comportement des administrateurs, il est ainsi capable de déterminer les moindres différences comme la façon de frapper sur un clavier, la répétition de commandes peu ou pas utilisées ». Du côté de Wallix, la partie analytique facilite la création de scénarii, « les gens ont des comportements récurrents et répétitifs sur les applicatifs, si une attitude ne correspond pas, il peut y avoir une alerte ».

Car l’objectif de cette analyse comportementale est double, à la fois pour la prévention et dans le cadre d’une enquête. Les bastions sont paramétrés pour lancer des alertes en cas de comportement anormal, voire bloquer immédiatement le compte, si le risque est important. La priorité est le Cloud et l’accompagnement du DevOps. CyberArk est clairement dans cette voie. « Aujourd’hui, les comptes à privilèges ne sont plus nécessairement le fait des humains, mais des robots comme les solutions d’orchestration ou les générateurs de scripts », explique Jean-Christophe Vitu, Pre-Sales Director West & South Europe de CyberArk. Et l’histoire pourrait bien lui donner raison, le vol de données d’Uber est à l’origine un accès à des identifiants AWS codés en dur dans un référentiel privé sur GitHub. Le spécialiste du PAM a donc sorti une offre dédiée, Conjur, pour cibler cette population et cette méthode de travail nécessitant rapidité et agilité.

 

GOUVERNANCE DES ACCÈS ET DATAROOM, AU-DELÀ DU BASTION

Si les deux éléments centraux dans le droit d’accès et la gestion des comptes à privilèges sont le coffre-fort et le bastion, il ne faut pas oublier des solutions complémentaires : la gouvernance des accès et les datarooms. La gouvernance des données s’interroge sur le cycle de vie de la donnée, alors que la notion de dataroom étend la notion de zone de confiance et d’habilitation, réservée à l’IT en général et en particulier aux sysadmins, aux dirigeants et aux responsables métiers (RH, marketing ou finances).

La gouvernance des accès, une tour de contrôle pour les PAM

« Les outils de PAM configurent le coffre-fort de mots de passe et les droits d’accès, mais ils n’englobent pas le cycle de vie des accès. Il faut croiser les logs des PAM avec d’autres bases de données comme celles des RH par exemple », confie Sébastien Faivre de Brainwave. Le concept de gouvernance des accès emprunte à la gestion des risques sur le SI et à l’audit. Il donne à un ensemble d’acteurs légitimes la possibilité de suivre l’évolution des identités et des accès des utilisateurs au sein du SI et d’en contrôler la conformité et de répondre aux questions « qui a le droit à quoi, comment et pourquoi. Le contrôle a posteriori, la réconciliation des comptes », poursuit le dirigeant.

Pour mener à bien cet audit, il est nécessaire de réaliser une cartographie. « Nous extrayons des données du SI de manière très granulaire, allant du référentiel RH, l’accès des partenaires, les bases de données, les annuaires (Active Directory, LDAP). Au final, nous dressons un inventaire des droits d’accès », explique Arnaud Fléchard, CTO de Kleverware, également spécialiste français de la gouvernance des accès. Il ajoute, « ce travail donne une vue des droits à pouvoir ou sensibles et facilite la ségrégation des tâches afin d’assurer une véritable séparation des tâches ». Les offres d’IAG (Identity and Access Governance) sont des tours de contrôle et s’imposent en complément de solutions de PAM ou d’IAM.

 

Les Dataroom blindent les données à privilèges

Les comptes à privilèges ne sont plus l’apanage des seuls administrateurs. Le Cloud, la mobilité et même les médias sociaux rebattent les cartes de la gestion d’accès. La direction d’une entreprise, les directeurs financiers, ressources humaines disposent d’accès spécifiques à des ressources sensibles. Mais la protection ne doit pas porter uniquement sur les accès, mais aussi sur le contenu. D’où la création des datarooms, des espaces sécurisés autorisant le partage de documents sensibles. Une offre qui s’adresse spécifiquement aux comités exécutifs des entreprises, manipulant des informations stratégiques (budget, fusions-acquisitions, plan de recrutement ou de licenciement, etc.). La sécurité est assurée depuis le poste de travail « avec une connexion TLS 1.2 entre les serveurs, le passage d’un antivirus sur l’objet transféré plus un chiffrement en AES 256 spécifique et un enregistrement sur disque », assure Alexis Boissinot, responsable de Brainloop France. Pas d’inquiétudes de voir la DSI disposer d’un accès privilégié aux documents, « les gens de l’IT et de la sécurité gèrent l’accès à la porte d’entrée des datarooms, mais pas aux contenus », soutient le dirigeant. Les services en mode SaaS comme Office 365 ou Salesforce sont gérés via des API, « avec un simple glisser-déposer » des objets dans la dataroom.

Les acteurs du marché des droits d’accès et comptes à privilèges

IAM (Identity Access Management) Ilex, Gemalto, GlobalSign, Okta, IBM, AWS, Google 
Coffre-fort de mots de passe Lastpass, Dashlane, Keepass
PIM (Privileged Identity Management) IBM, CyberArk, Balabit, Centrify, CA Technologies
PAM (Privileged Access Management) Wallix, CyberArk, Balabit, Thycotic, CA Technologies, Bomgar
Gouvernance des accès Brainwave, Kleverware, One Identity, Sailpoint
Dataroom Brainloop, Drooms, OOdrive, Intralinks

 

Dossier publié sur le site mag-securs.com avec le concours de Kleverware.


Infos partenaire

Kleverware, éditeur français, est un précurseur depuis 2005 dans le domaine du contrôle des identités et des accès. Avec ses innovations brevetées et la reconnaissance du marché par l’obtention de labels (France Cybersecurity, Bpifrance Excellence…), Kleverware prouve la robustesse de ses solutions, qui sont utilisées par des grands noms depuis des années pour auditer des centaines de milliers de droits tous les jours.

Les solutions de Kleverware sont flexibles et efficientes, que ce soit pour :

  • Les opérationnels de la sécurité, pour savoir rapidement quels sont les droits qui sont réellement donnés aux collaborateurs (cartographie exhaustive) au regard de leur fonction (SOD).
  • Les correspondants Métier, pour leur simplifier les revues de droits et leur offrir un gain de temps sur des taches qui ne sont pas obligatoirement bien comprises (ROI).
  • Vos auditeurs (CAC, Contrôle Interne) à qui vous démontrez que non seulement vous répondez aux préconisations, mais auxquels vous donnerez le reporting idoine.

Les solutions de Kleverware :

Kleverware IAG « Quick Start »

Cette solution ne nécessite pas d’infrastructure, un poste ou une VM suffit. Simple d’installation, elle est efficiente pour l’analyse et le contrôle, cela même pour des milliers d’identités grâce à sa technologie brevetée. Kleverware IAG « Quick Start » vous donne très rapidement des premiers indicateurs (SoD, Comptes dormants, orphelins…) pour une bonne gouvernance de vos identités et de leurs accès. Vous pouvez l’utiliser pour une cartographie exhaustive des droits, établir des tableaux de bord, vérifier que votre PSSI est respectée…

Kleverware IAG « Enterprise »

En complément de tous les avantages la version stand alone, vous bénéficiez d’une solution faite pour vos collaborateurs en charge de la revue des droits et ce au plus près des métiers. Avec ses interfaces intuitives pour les différents rôles (Managers de campagnes, approbateurs…), Kleverware IAG « Enterprise » simplifie grandement le travail qui leur est demandé. Vos collaborateurs vous remercieront d’avoir évolué vers une solution robuste, flexible et reconnue par des entreprises depuis plusieurs années.

 

Print
48048

x

Le vol de données en entreprise est un risque toujours présent sur le système d’information, comme en attestent les différents évènements qui sont sortis dans la presse ces dernières années. Nous allons nous concentrer sur les fuites de données personnelles, étant entendu que les données commerciales et plus confidentielles sont concernées par les mêmes types de menaces.

Les fuites d’information concernant les données personnelles, comme identifiants et mots de passe utilisateurs sur des services d’emails ou des réseaux sociaux sont assez fréquents, et font souvent l’objet de la Une de l’actualité. Par exemple, en mai 2016, un pirate dérobe les données personnelles des utilisateurs : 360 millions de comptes du réseau Myspace sont affectés (adresses emails et mots de passe), 167 millions de comptes du réseau LinkedIn également (emails, mots de passe).

En septembre 2016 : Yahoo reconnait avoir été la cible d’une attaque APT lors de l’année 2014 qui a permis aux attaquants de dérober les informations de 500 millions de comptes personnel. Sans parler de fuites sur la campagne présidentielle américaine, et la fuite des mails d’Hillary Clinton, qui a donné lieu à de nombreuses controverses.

Enfin les sites webs, twitters, réseaux sociaux, tous moyens de communication « légitimes » peuvent permettre la publication ou l’accès non autorisé à des informations, soit par maladresse (non intentionnel) soit par malveillance (espionnage industriel).

BEAUCOUP DE POINTS D’ENTRÉE DANS LE SI POUR UN ATTAQUANT

Par exemple le web scraping est une technique qui consiste à scanner les sites webs avec des robots (aussi dénommés « crawlers ») qui vont extraire de l’information à partir des données figurant dans les pages. Ainsi des données non destinées à être publiées se retrouvent détectées par ces robots. En avril 2015, le réseau social Twitter par exemple, a mis en ligne par erreur ses comptes trimestriels sur son site web, en avance de quelques heures. Ces 45 secondes ont suffi à un web crawler de l’entreprise Selerity à détecter l’information et à la publier immédiatement… via Twitter. Cette publication involontaire des résultats a fait chuter la valeur en bourse de 8 milliards de dollars en quelques heures à peine.

La mobilité avec la généralisation de l’utilisation de VPN SSL, d’accès web HTTP/SSL, ou encore l’accès en mobilité aux emails d’entreprise, sont autant de points d’entrées sur le SI de l’entreprise pour un attaquant. Le déploiement des services Cloud et l’augmentation drastique de l’offre de services dans ce domaine est une autre préoccupation des RSSI. Selon Symantec 37% des employés partagent des données via des services comme Dropbox ou Google Docs sans en demander l’autorisation.

Enfin la mobilité salariale et les mouvements de ressources humaines dans l’entreprise sont un autre facteur de risque sur les données : 50% des employés qui changent d’entreprise transportent des données de leur précédent employeur. Les termes du contrat, les clauses anti concurrences doivent être clairement définies. Mais plus que les arguments juridiques, c’est le background socio-professionnel des employés qui doit être particulièrement scruté avant un recrutement pour un poste stratégique.

Globalement, les attaques sur les données peuvent avoir pour origine des individus, des entreprises ou des États. Ces dernières années on parle beaucoup des attaques « APT » ou « Advanced Persistent Threat » qui sont des attaques ciblées et silencieuses sur un système d’information, qui va permettre à un attaquant de devenir « résident » pendant plusieurs mois ou années, le but étant d’optimiser l’extraction d’information. Le gouvernement russe avec les attaques APT 28 est un des spécialistes du genre. Dans le cadre des APT l’attaquant va utiliser et combiner différentes techniques : le social engineering, ou ingénierie sociale, consiste à enquêter sur le personnel de l’entreprise par des coups de fil ou visites anonymes et subtiles, tout en dissimulant son identité et l’objet réel de la requête. Les moyens numériques seront ensuite mis en oeuvre, par exemple le scan de port, le repérage des infrastructures et datacenters, et la détection de vulnérabilités ou de failles dans le système d’information.

L’attaque contre RSA en 2011 est le premier exemple d’une attaque APT. Cette attaque a permis par rebond aux attaquants de pénétrer les systèmes de Lockheed Martin.

L’EXTRACTION DE DONNÉES, UN SUJET LUI AUSSI SENSIBLE

L’extraction de ces données est un autre sujet puisque le système d’information possède des équipements en coupure réseau. L’accès à un dossier particulier ou bien sa communication par email vont être s automatiquement « loggés » sur le système d’information. Pour éviter cela on peut procéder au fractionnement de l’information, à son chiffrement, ou à son encapsulation (dissimulation) dans du trafic légitime. On parle dans ce cas des techniques d’extraction de données ou « Advanced Evasion Techniques » (AET). Des méthodes classiques comme l’encapsulation dans le trafic DNS, HTTP, SMTP, ou le tunnelling HTTPS restent très pratiquées. En effet les ports 80 (HTTP) et 25 (SMTP) sont les plus accessibles pour la fuite d’information. La destination des informations est aussi un élément d’identification potentielle des attaquants et doit être dissimulé. Par exemple par l’utilisation du réseau TOR, ou a minima par la superposition de proxies qui vont dissimuler l’origine géographique.

On peut aussi citer l’attaque avec des exploits « zero-day », des malwares avancés qui vont utiliser le polymorphisme et le chiffrement pour rester indétectables, enfin des techniques avancées pour l’extraction ou la fuite d’informations : tunnelling VPN (chiffrement) pour échapper aux systèmes de DLP, ou encore encapsulation dans du trafic DNS ou HTTP, en clair, pour passer inaperçu. On les appelle « TEA » Techniques d’Évasion Avancées », ou encore « Advanced Evasion Techniques » (AET).

DES SOLUTIONS ÉPROUVÉES PAR LE MARCHÉ

Parmi les solutions du marché sur la protection des données, Symantec Data Loss Prevention est une solution logicielle qui permet de découvrir, monitorer et protéger les données du système d’information à travers les endpoints (stations de travail), les réseaux, et les systèmes de sauvegarde externes ou internes. En plus de prendre des mesures de protection préventives, il faut également penser aux mesures de blocage d’une information litigieuse.

Symantec DLP Protection permet d’empêcher un email d’être envoyé, ou de le router à travers une passerelle sécurisée. Il permet aussi de mettre en quarantaine un fichier ou un dossier qui contient des informations sensibles. Symantec propose un service de Data Loss Prevention venant d’une solution qui a été rachetée en 2006/2007. Cette solution permet le watermarking (tatouage numérique) des documents confidentiels, la définition de politiques de sécurité et d’alertes spécifiques pour analyser le trafic, et l’analyse du trafic sortant notamment le trafic internet et les emails des employés. D’après Symantec cette solution n’est pas suffisante en soi pour protéger les documents mais doit s’additionner à d’autres mesures technologiques et humaines, par exemple le déploiement d’une solution de « endpoint security » pour protéger les postes de travai l, le déploiement d ’une solution d’IAM (Identity Access Management) pour l’authentification forte des utilisateurs, la centralisation des politiques de sécurité pour avoir une vision globale à tout moment du SI et, enfin, l’implémentation du chiffrement pour protéger les documents sensibles.

En 2016, Symantec a réalisé le tour de force de proposer une solution de Data Loss Prevention « Cloud-based », en fournissant à ses clients le matériel, le support et les services pour permettre à chacun de sous-traiter la protection de ses données sensibles. Même si cela peut sembler un contre-sens au premier abord, il faut rappeler l’extrême interdépendance des services numériques entre les entreprises. Ainsi on voit fréquemment de grandes entreprises déléguer entièrement auprès de fournisseurs étrangers, américains ou européens, la gestion de leurs courriers électroniques. La notion de responsabilité des informations sensibles, personnelles ou d’entreprises, va alors s’étendre auprès du partenaire numérique.

D’autres sociétés proposent plusieurs solutions de protection des données : IRMA (détection de malwares), Epona (protection des données par obfuscation), Ivy, Synaktiv…

En conclusion, on ne règlera pas le problème de la fuite des données, qui est aussi pérenne que l’espionnage, avec une simple politique de mise en place d’outils du marché, aussi sophistiqués soient-ils. Il faut, bien plus que cela, une sensibilisation, une culture de la valeur de la donnée et une sensibilisation du patrimoine informationnel qui arrive peu à peu dans les entreprises.


L’analyse de Thierry Autret, délégué général du Cesin

Délégué Général du CESIN depuis 2016, Thierry Autret a été pendant 15 ans RSSI du GIE Cartes bancaires. Il est membre du CESIN depuis l’origine et partage une vision commune de la protection de données.

Mag-Securs : Au niveau des informations dites confidentielles, avez-vous constaté des incidents, comment y avez-vous réagi en entreprise ?

Thierry Autret : la problématique du vol de données est extrêmement compliquée. Au sens premier du terme. Le législateur considère que le vol, en première interprétation, est constitué d’une chose matérielle. Or en informatique, en traitement de l’information, le vol d’une donnée immatérielle va être plus complexe à identifier et la fuite de données va être difficile à caractériser. Les données seront, par exemple, toujours présentes sur les serveurs.

Quels sont les arguments juridiques à faire valoir dans ce type de vols de données immatérielles ?

T. A. : La loi de 2014 du 13 novembre contre le terrorisme a modifié l’article 323-3 du code pénal. C’est une modification de la loi Godfrain : on a ajouté la notion d’extraction de données. On peut donc poursuivre quelqu’un qui a extrait des données. On peut dire que la notion de vol de donnée, appelé extraction, existe dans le code pénal depuis 2014.

Comment détecter une telle fuite d’information ?

T. A. : Il faut surveiller les logs grâce aux systèmes SIEM. Pour ceux qui ont les moyens, avoir un SOC qui permet d’avoir une surveillance active et une réaction en temps réel. Dans un SOC on a un ensemble de critères, qui vont permettre, en les recoupant, de déceler qu’un évènement s’est produit.

ANALYSER LES FAUX POSITIFS

Quelles sont les solutions du marché que vous pourriez citer pour éviter les fuites de données ? On pense à Splunk, ou ArcSight, qui sont des solutions très connues en termes de SIEM.

T. A. : En tant que délégué général du CESIN c’est difficile de citer des marques. L’objectif du CESIN est d’avoir des conversations techniques mais non pas commerciales. Je ne vais pas vous dire « Splunk est mieux que Arcsight ». Il faut voir surtout la logique de ces outils, qui est que la complexité est d’analyser les faux positifs, avoir les bonnes données à analyser. Avoir accès aux logs ; analyseurs, firewalls, et automatiser l’analyse de ces logs, gagner un maximum de temps en éliminant les faux positifs pour finalement ne garder pour analyse « humaine » que les évènements intéressants qui sont potentiellement des alertes de sécurité.

Existe-t-il des cas dans votre industrie ou on a pu détecter et empêcher une attaque en temps réel ? La réaction en temps réel doit être très compliquée.

T. A. : C’est justement l’objectif de certains critères comme identifier du trafic anormal. La nuit par exemple il y a très peu de trafic réseau. Une activité sera tout de suite plus détectable. Un gros fichier qui sort la nuit peut facilement déclencher une alerte de sécurité.

Auriez-vous un exemple d’intrusion qui a été détecté, une anecdote à citer ?

T. A : c’est une chose difficile, la fuite de données n’apparaît pas en premier dans les préoccupations des RSSI. Le vol ou la fuite de données n’apparaît qu’en 5ème position dans le baromètre Opinion Way de 2016, en termes d’attaque subies.

La problématique du vol de données est extrêmement complexe car la notion de vol est liée aux données matérielles. Pour la fuite d’informations donc de données immatérielles, la caractérisation du vol est complexe à identifier. Il y a une problématique de traces, de preuves. C’est un sujet différent de la destruction de données.

Une fois les données extraites, l’attaque peut rester silencieuse. On peut détecter cette extraction avec un SIEM, un SOC qui permet de détecter les intrusions. On trouve Splunk, Arcsight, par exemple. La complexité est d’analyser les faux positifs.


Du secret des affaires

Le point de vue d’Olivier de Maison Rouge, avocat en intelligence économique, membre fondateur de la Fédération européenne des experts en cybersécurité à destination des PME et ETI (FEECS), spécialisé en protection des données des entreprises, notamment PME et ETI.

Comment définir le secret des affaires ? Il y a la directive européenne de protection du secret des affaires, et du savoir-faire du 8 juin 2016. Plusieurs tentatives françaises sur le sujet n’avaient pas abouti, chacun des états membres n’ayant pas de législation harmonisée voire pas de législation sur le sujet. Cela existait en France dans le code de commerce, dans le code des télécommunications. Il y avait une absence de définition du secret des affaires. Cette définition protège les données relatives au secret des affaires, appelées « information économiques non divulguées ». Cette notion existe depuis le 8 juin 2016 (directive européenne). C’est la prochaine majorité électorale qui aura pour charge de transposer cette directive.

Cela va permettre aux entreprises de protéger leur patrimoine informationnel.

Cette directive sera intégrée au droit français, mais elle ne prévoit pas de volet pénal. Elle envisage des procédures judiciaires spécifiques, proches disons de la saisie –contrefaçon, pour pouvoir agir devant les tribunaux. Elle prévoit également des mesures d’interdiction d’importation, de fabrication, de produits fabriqués à partir du secret des affaires. L’idée étant de protéger la R&D et l’innovation. La protection du secret des affaires est en matière civile. Libre aux états membres de prévoir un volet pénal. Ce que vise la directive c’est l’obtention illicite, la divulgation ou l’utilisation illicite du secret d’affaires.

Existe également la directive européenne de protection du secret des affaires du 8 juin 2015. C’est la première définition commune du secret des affaires. Définition dans le code de commerce et le code des télécommunications entre autres.

Elle permet aux entreprises de protéger leur patrimoine informationnel. C’est une approche générale qui définit le secret des affaires qui permet de préserver la confidentialité devant les tribunaux avec un mécanisme d’indemnisation renforce au civil et qui prévoit des mesures d’importation et exportation. L’idée est de protéger la R&D et l’innovation. Ce que juge la directive c’est l’obtention illicite, la divulgation ou l’utilisation déloyale des secrets d’affaires. Elle propose des dommages et intérêts au civil, avec un volet pénal éventuellement avec la transposition des états membres.

En matière juridique nationale il y a une avancée jurisprudentielle depuis 5 années mais pas de textes spécifiques, en matière pénale, pour protéger la violation du secret d’affaires. Ces vols sont désormais sanctionnés, mais sans texte spécifique. On attend la transposition de la directive.

Enfin 3ème point : les données sont stockées sur des supports informatiques. Il y a donc une convergence avec les règles de cybersécurité. Aujourd’hui il faut prendre en compte la directive 2013-40 relative aux attaques contre les systèmes d’information, la directive du 27 avril 2016 (et non pas 6 juillet) qui conduit au RGPD, la directive du 8 juin 2016 sur le secret d’affaires et la directive NIS du 6 juillet 2016 qui vise à assurer un niveau élevé commun de sécurité des réseaux et systèmes d’information dans l’Union européenne.

Tout cela forme un ensemble juridique cohérent avec des obligations fortes pour les entreprises mais aussi un niveau de protection pour l’innovation et le secret des affaires. La cybersécurité est certes à la mode, mais c’est aussi l’affaire de tous. Aujourd’hui on est en mesure d’assurer un haut niveau de protection. On n’est plus seulement dans le domaine de la défense, mais tous les secteurs d’activité sont touchés. Par exemple les messageries sont l’objet d’attaques. Il y a aussi les aspects de champ de bataille de l’information avec le phénomène des « fake news ».

Comme exemple d’affaires on peut citer la DCNS (fuites de données). Cette affaire ne met pas en cause le secret de la défense nationale. On est dans une forme d’espionnage industriel, qui vise à disqualifier l’adversaire. Par ailleurs, l’affaire Rose (qui a donné lieu à une jurisprudence) et l’affaire Michelin, traitent de cas de divulgation de secrets de fabrication révélés par un ancien salarié, qui cherche à en tirer profit en revendant à un concurrent. Dans les deux cas, il y a eu condamnations pour détournement de fichiers ou vol de fichiers.

La Loi Godfrain de 1988 (atteinte au traitement automatisé de données) ajoute au délit l’extraction de données. Cela date de 2014, et porte sur la modification de l’article 323-3 en 2014. En matière de secret des affaires il y a très peu de textes en droit français, il serait intéressant d’envisager un volet pénal.