Aspects légaux et préconisations

Philippe Eyries, Président du Conseil d´Administration de NEXThink S.A, nous propose dans cet article sa vision de la gestion des risques.

IMG/jpg/photo_Philippe_Eyries.jpg


Le nombre des utilisateurs connectés - employés, partenaires, fournisseurs et clients - est
croissant et les politiques de sécurité sont élaborées sous la pression des réglementations
pour réduire l´impact des risques relatifs à l´accroissement des échanges.

Ces mesures ont abouti à une sécurisation du périmètre alliée à une meilleure gestion de
l´identification des utilisateurs. Mais la question de l´impact du facteur humain sur les
meilleures pratiques reste posée.
De nombreux facteurs peuvent imposer d´autres priorités telles que la productivité, l´agilité ou
objectifs personnels au détriment des meilleures politiques de sécurité.

La perception du risque par les utilisateurs pourrait décliner sur le fondement de ces autres
priorités.


Pour l´utilisateur, la perception du risque est dépendante d´expériences vécues ou rapportées.

Cette perception peut graduellement décliner avec la réduction des incidents visibles dus
aussi bien à l´évolution des menaces qu´à l´amélioration des pratiques de sécurité. Avec la
nouvelle nature des menaces désormais moins orientées vers l´ “exploit” (défacement de
sites, DDoS) et plus vers la discrétion (rootkits, spyware, malware, robots, botnets), la
perception du risque peut décliner très rapidement.
En conséquence, le couple homme-machine redevient plus vulnérable, générant des incidents
sérieux et un nouveau cycle redémarre.
Le besoin: contrôle de l´interaction entre les utilisateurs et la technologie

La sécurité des systèmes d´information devrait reposer sur une politique gestion des risques
prenant plus en compte le facteur humain et ne se basant pas exclusivement sur des solutions
technologiques. La façon dont l´utilisateur, dûment identifié, utilise les moyens mis à sa
disposition représente un facteur de risque résiduel élevé, les problèmes d´infrastructure ayant
été réglés dans la plupart des entreprises.
La prise en compte du facteur humain est probablement devenu l´objectif majeur dans
l´élaboration et le contrôle des politiques de sécurité.

Il est par conséquent impératif d´imaginer de nouvelles méthodologies, d´élaborer de
nouvelles procédures de contrôle pour éviter que le comportement des utilisateurs et des
applications soit considéré comme ingérable.

En outre, et compte tenu de l´évolution des menaces, il devient impératif de réduire le temps
de réaction aux incidents, la gestion des (trop) nombreux « logs » actuels étant par nature
antinomique avec la réactivité imposée par les lois, la jurisprudence et les règlementations.
Comment en effet démontrer que la sécurité a fait l´objet d´un « comportement précis du bon
professionnel de sa catégorie » (selon les termes de la Cour de Cassation en France) lors
d´un litige mettant en cause une entreprise au travers du comportement délictueux ou simplement erratique d´un de ses employés. Les magistrats tiendront compte des diligences
et des moyens mis en oeuvre pour prévenir de tels incidents pour exonérer l´entreprise de sa
responsabilité.

Mais si l´entreprise peut engager sa responsabilité du fait du comportement des salariés, elle
peut aussi et en contrepartie exercer un pouvoir de contrôle sous certaines conditions. Ce
pouvoir de contrôle est étroitement encadré par les textes de loi, la jurisprudence et bien
évidemment la CNIL (en France).

Il convient de distinguer deux types de solutions de contrôle :
? Contrôle des fichiers personnels du salarié circulant sur le réseau (analyse des
messages par recherche de mot clés)
? Contrôle des accès aux ressources communes de l´entreprise (applications et
services auxquels accède le salarié ou du moins son poste de travail en cas
d´usurpation d´identité ou de divulgation de ses paramètres d´identification)

Les principes de transparence, de discussion collective, de proportionnalité s´appliquent en
priorité selon la jurisprudence actuelle aux contrôles des fichiers personnels.


? Principe de transparence : information préalable des salariés (article L121-8 du code du Travail) sur la mise en oeuvre d´outils de contrôle « Aucune information concernant un salarié ne peut être collectée par un dispositif qui n´est pas été porté préalablement à la connaissance du salarié ». A noter qu´en cas d´analyse des messages par mots clés, la CNIL estime qu´il n´est pas nécessaire de communiquer
la liste des mots clés au salarié, mais de l´informer de l´existence d´un tel dispositif.
? Principe de discussion collective (art L432-2 du Code du Travail) « Le comité
d´entreprise est informé et consulté préalablement à tout projet important
d´introduction de nouvelles technologies, lorsque celle-ci sont susceptibles d´avoir
des conséquences sur la formation et les conditions de travail du personnel »
? Principe de proportionnalité (article L120-8 du Code du Travail) « L´entreprise doit
fournir une justification précise lorsqu´il souhaite accéder à des fichiers
personnels »sur laquelle est fondée en partie d´ailleurs la nécessaire déclaration des
outils de contrôle à la CNIL (Cour de Cassation, Chambre sociale, 6 Avril 2004 « les
preuves issues d´un système de contrôle non déclaré préalablement à la CNIL n´est
pas recevable devant les tribunaux »)

Faut-il néanmoins s´affranchir du strict respect de ces principes pour la mise en oeuvre
d´outils de contrôle d´accès aux ressources communes ? La Cour d´Appel de Paris (17
Décembre 2001) rappelait que « la préoccupation de la sécurité des réseaux justifiait que
les administrateurs de systèmes et réseaux fassent usage de leur position et des possibilités
techniques dont ils disposaient pour mener les investigations et prendre les mesures que la
sécurité imposait. Par contre la divulgation du contenu des messages ne relevait pas de cet
objectif ».

Le respect des trois principes fondamentaux, en permettant d´associer étroitement les
salariés à la gestion des risques, contribue au succès de la protection du patrimoine
informationnel de l´entreprise.

Associer les salariés à la gestion des risques, c´est bien évidemment les informer au
préalable, dans le cadre de programmes adaptés.

Les solutions existantes : Force et faiblesse des programmes d´information des
salariés


Les programmes d´information ont très certainement un impact bénéfique sur le niveau de
perception du risque, l´entreprise ne pouvant accepter de voir sa sécurité évoluer en fonction
du cycle décrit ci-dessus.

Les séances de formation, les publications, séminaires font désormais partie de l´arsenal
utilisé par les entreprises pour rafraîchir la perception du risque des salariés et de leurs
responsables encore plus mobiles et donc encore probablement plus à risque.

Mais encore faut-il que la formation des salariés soit être adaptée à leur comportement au
sein de l´entreprise. Les salariés n´ont pas un comportement uniforme ou des responsabilités
identiques, et il peut être par conséquent contreproductif de les soumettre à une formation
uniforme.

La formation ne saurait donc être qu´une succession de réunion d´information aussi
pertinentes soient-elles, mais devrait au contraire être basée sur une méthodologie où
l´analyse des risques se conjuguerait étroitement avec l´analyse comportementale des
utilisateurs et des applications dans les réseaux d´entreprise.

La gestion des risques par la prise en compte du facteur humain

L´implication des salariés et des responsables dans la phase d´analyse et de classification des
risques est un facteur de réussite de toute bonne politique de sécurité. Or force est de
constater que leur niveau d´implication diminue au fil des réunions de travail compte tenu de
l´aspect a priori théorique de cette démarche préalable.
La corrélation entre l´analyse des risques et le comportement des utilisateurs et des
applications (qui utilise quelles applications et comment ?) permettrait une participation des
salariés plus active en amont, et contribuerait à la prévention.

Associés à une méthodologie, les produits d´analyse comportementale permettent de :
- ? découvrir la totalité des applications qui circulent au niveau du poste de travail et
des serveurs
- ? comprendre l´usage des applications par les utilisateurs et donc d´analyser :
L´impact des problèmes potentiels liés à l´usage des applications
L´impact des anomalies dans la matrice de trafic (validation de la politique de
gestion des accès)
La perception des risques par les utilisateurs, respect de la Charte d´utilisation
et préconisations pour amélioration des programmes d´information
- ? analyser très rapidement le comportement anormal ou atypique des applications
et des utilisateurs et donc de valider :
L´alignement de la politique de sécurité
L´analyse des risques par l´usage réel des applications
La configuration des équipements de sécurité
La réactivité aux anomalies d´usage des applications et aux incidents

La concertation avec tous les acteurs conjuguée à l´utilisation des outils d´analyse,
comportementale permettraient de faire admettre plus facilement la mise en oeuvre de
moyens de contrôle.
Que vaudrait une formation universitaire sans contrôle des connaissances sanctionné par un
diplôme ? De même à quoi bon mobiliser l´énergie des salariés et des responsables de la
sécurité, si cette formation n´était validée par aucun contrôle ?
D´un autre côté comment faire accepter le mot même de contrôle ou pire de surveillance par
les salariés sans dialogue ?

La mise en oeuvre d´un plan de formation aligné sur la connaissance des applications et du
comportement des utilisateurs fait partie de l´arsenal de bonne gestion des risques.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 145199
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI

Réduire