« J’effaçais la musique d’un CD musical et je créais un dossier compressé contenant les documents ». C’est tout simplement de cette manière que le soldat Bradley Manning a copié et transmis à Wikileaks des milliers de documents de l’armée américaine en Irak. Une fuite qui serait peut être passée inaperçue pendant quelques temps. Le soldat américain a été identifié par la dénonciation d’un hacker avec qui il était en contact. Si les entreprises ne sont pas sous les feux de l’actualité, et préfèrent généralement garder le silence sur leurs aventures similaires, elles vivent les mêmes défaillances.
Par Jérôme ROBERT, Directeur Marketing D’Arkoon
Insécurité informatique : un marché de plusieurs centaines de milliards de dollars
Car en dépit de législations contraignantes, la grande majorité des entreprises ayant subi des cyber-attaques préfèrent complètement occulter le sinistre et passer l’affaire sous silence. Un mutisme somme toute logique : les entreprises touchées évitent toute publicité mettant à jour les failles de leurs systèmes d’information. Les coûts induits par les cyber-attaques restent donc très difficiles à mesurer. La plupart des études publiées depuis 2 ans tendent tout de même à montrer un coût global de la cybercriminalité de l’ordre de plusieurs centaines de milliards de dollars par an. Un montant affolant.
Outre la perte concurrentielle et la dégradation d’image liées au vol de données subi, il est alors indispensable de modifier son système d’information, attribuer de nouveaux droits aux utilisateurs, enquêter sur ces derniers, régénérer des clés, reconstruire des données, etc. Ce qui peut s’illustrer dans le monde physique : « Perdre la clé de son domicile impose de changer toutes les serrures ».
Un tiers des problèmes d’origine interne
Dans les entreprises, la sécurisation du système d’information est déjà en place. Mais si pare-feu, antivirus et autres modules anti-intrusion protègent des attaques extérieures, la sécurisation est rarement pensée dans sa globalité. Pour efficaces et ergonomiques qu’ils soient, tous ces systèmes négligent la menace principale à ce jour : la menace interne, en d’autres mots le comportement de collaborateurs indélicats voir malveillants.
Les différentes études sur le sujet confirment ce type de danger. Si se protéger des pirates demeure indispensable, le poids de la menace interne est encore plus lourd. Selon un rapport du Clusif*, les entreprises interrogées signalent que 37% des incidents de sécurité informatique concernent un vol ou une perte de matériel. Contre 8% pour les intrusions sur les systèmes d’information. Des chiffres précis sont impossibles à obtenir. Un recensement exhaustif des problèmes de sécurité informatiques n’existe pas dans les entreprises et pour cause ! Elles ne sont pas forcément au courant de toutes leurs failles. Le Clusif, qui réalise une étude biannuelle sur ce sujet, estime globalement qu’un tiers des problèmes ont une origine interne à l’entreprise, un tiers découle d’attaques externes, le reste ayant des origines inconnues.
Facteur aggravant, la dernière génération est plus apte à manipuler la trousse à outils d’un ‘pirate’. « De jeunes salariés n’hésitent pas à espionner les courriels et fichiers de leur direction quand des rumeurs sur la vente de l’entreprise courent« , atteste un consultant spécialisé dans les audits de sécurité. Une attitude qui n’est bien sûr pas limitée aux jeunes générations mais témoigne d’une maturité plus grande de ces dernières vis à vis de l’informatique.
On constate que finalement, les employés d’une entreprise constituent le plus souvent la menace le plus importante en matière de fuite d’informations pour celle-ci. Il est donc important que firmes mettent en place des moyens plus stricts afin de contrôler, et donc de réduire, les risque de vols d’information au sein même de la société. Il s’agit d’une mesure qui agit en faveur des employés et des clients, mais qui favorise également une meilleure productivité et une réputation plus positive.
Le danger interne est d’autant plus difficile à contrôler qu’il n’implique pas forcément de la malveillance. Emporter un fichier pour continuer à travailler de chez soi sur son PC familial pas sécurisé n’est à priori pas répréhensible, mais peut déboucher sur la perte de données ou leur corruption par un virus. Dans un registre plus malveillant, des salariés peuvent à la veille de leur licenciement accéder au serveur et emporter des données confidentielles.
Quelles solutions ?
Dans un monde où le travail en équipe est un facteur clé de succès, où l’information a vocation à être partagée, comment se protéger de ces dangers ? Si le chiffrement des données paraît être une réponse naturelle à ces problèmes, beaucoup de solutions se concentrent malheureusement sur la problématique du vol de données externe (vol de PC, vol de cléfs USB, etc.).
Partant de ce constat, nous pouvons essayer, dans les quelques paragraphes suivants, de définir les contours de la solution idéale, capable de prendre spécifiquement en charge ce risque interne.
D’abord, les données concernées par cette menace sont rarement stockées dans des bases de données et applications logicielles métiers. L’expérience montre que les vols ou les pertes portent beaucoup plus souvent sur des courriels et des fichiers, qu’ils soient bureautiques ou dans des formats spéciaux. Or les informations de cette nature résident essentiellement sur les postes de travail, les serveurs de messagerie, les serveurs de fichier, et bien sûr dans des outils de travail collaboratifs. Une bonne solution doit donc être capable de gérer tous ces environnements, et tous les types de fichiers.
Ensuite, il est important de réaliser que la sécurité d’une donnée doit être gérée par son détenteur : le chef de projet R&D, le directeur financier, etc. Ces personnes sont les seules à même d’appréhender la criticité de leurs informations. Mais pour que ce fonctionnement soit possible, il est absolument indispensable que la solution choisie soit ergonomique et intelligible pour des utilisateurs peu versés dans la sécurité et dans l’informatique.
Comme ces qualités – ergonomie et simplicité – restent rares, beaucoup d’entreprises préfèrent néanmoins confier la sécurisation des données à des personnels du département informatique. Dans ce cas, il faut au moins s’assurer que la solution choisie permette de séparer clairement les pouvoirs entre ‘administrateur du système’ et ‘administrateur de la sécurité’. Cette bonne pratique élimine de facto les options de sécurisation intégrées dans les plateformes de collaboration et les systèmes d’exploitation, qui ne permettent quasiment jamais de séparer ces rôles.
Pour finir, on notera qu’au moins un des deux points précédents doit être mis en œuvre pour qu’une externalisation des systèmes d’information soit possible. Dans le cas contraire, aucune donnée ne saurait être considérée comme confidentielle. L’externalisation du SI revient en effet à externaliser la menace interne…
* Rapport du Clusif (Club de la Sécurité de l’Information Français)
Menaces Informatiques et Pratiques de Sécurité en France – Edition 2010
