L’énigme de la conformité au règlement GDPR : où commencer ? (avis d’expert)

Pour Hervé Dhelin (Efficient IP), la mise en oeuvre, en mai 2018, du Règlement général sur la protection des données (ou GDPR) rend plus pressante la nécessité pour les entreprises de protéger chaque partie de leurs réseaux IP.

Le 25 mai 2018, synonyme de catastrophe mondiale ? Peut-être. Tout dépend si les entreprises sont prêtes à gérer les conséquences possibles du Règlement général sur la protection des données (General data protection regulation ou GDPR, en anglais).

En cas de non-conformité

Le Règlement général sur la protection des données impose un ensemble de règles à respecter si vous détenez des données sur des citoyens européens. Dans le nouveau monde des données d’aujourd’hui, il faut se prémunir des pertes de données et violations de réseau ; phénomènes qui sont devenus incontrôlables ces dernières années.

Avec une réglementation limitée, les entreprises victimes d’exfiltrations peuvent s’en sortir avec des excuses, la chute du cours de leur action et éventuellement la démission d’un ou deux de leurs dirigeants. Mais cela est sur le point de changer car des pénalités conséquentes s’annoncent au loin. Les vols de données n’auront pas seulement des effets importants pour les entités dont les données ont été volées ; avec le GDPR, elles engendreront des conséquences fortes sur les entreprises victimes : des pénalités comprises entre 2% et 4% du chiffre d’affaires mondial, ainsi que des sanctions pouvant contraindre les entreprises à totalement cesser le traitement des données des utilisateurs.

Le GDPR comporte des zones grises et nul ne sait quelles seront les conséquences. Une récente étude [américaine] menée par PWC rapportait que les CIO (DSI) prétendent allouer des millions de dollars de budget pour se conformer au GDPR. Comment savent-ils qu’ils placent leurs budgets au bon endroit ? Par où doivent-ils commencer ?

Comment s’en prémunir ?

Il est important que les organisations aient mis en place de solides politiques de sécurité passant par l’amélioration de la sécurité du réseau et de la protection des données. L’attaque souvent négligée est l’exfiltration de données via DNS (Domain Name System, ou système de noms de domaine).

L’exfiltration par le DNS fait souvent suite à une attaque sophistiquée. Tandis que la plupart des systèmes de sécurité bloquent les mécanismes évidents de transfert de données (ex. FTP), le protocole DNS restent souvent non sécurisé. Cela offre aux attaquants une échappatoire – où les connexions aux serveurs ne sont pas bloquées.

Il existe deux façons d’extraire des données sur votre réseau à l’aide du DNS :

Mettre en place des blocs de données codées dans des requêtes DNS. Le tunneling, qui exfiltre des données dans le tunnel de DNS vers un serveur de noms complice. Ainsi, les assaillants détiennent un canal de commande et de contrôle pour leurs outils et crée un moyen rapide d’extraire des données ; une attaque connue et permettant par exemple d’exfiltrer 18 000 numéros de cartes de crédit par minute au serveur d’un attaquant.

Les cybercriminels utilisent le DNS pour l’exfiltration de données, car les outils de sécurité traditionnels sont capables de verrouiller les routes les plus faciles du réseau via des protocoles plus communs tels que HTTP ou FTP. Par conséquent, les attaquants doivent désormais explorer, expérimenter et tirer parti d’autres protocoles. Il est également facile de cacher des données exfiltrées dans le cadre normal d’une requête DNS.

Toutes les applications d’aujourd’hui sont basées sur IP et utilisent les services DNS pour opérer. La plupart des serveurs DNS sont donc constamment occupés. Ensuite, vient se greffer un problème supplémentaire avec le BYOD et le Wi-Fi public. Le volume total de trafic fait qu’il est difficile de l’analyser et de détecter les requêtes utilisées pour l’exfiltration, surtout lorsqu’elles peuvent être espacées au fil du temps.

Et protéger vos réseaux

Tout d’abord, en inspectant votre trafic. Les techniques traditionnelles de surveillance risquent de bloquer le trafic légitime. En intégrant des outils de sécurité dans vos serveurs DNS pour voir ce qu’il se passe à l’intérieur de ceux-ci, vous avez une meilleure vue d’ensemble et une granularité fine pour analyser chaque transactions. Une fois que vous avez identifié un trafic malveillant, vous pouvez commencer à contrer l’attaque en bloquant les domaines ou requêtes malveillants, en réduisant les risques de faux positifs.

Préserver la sécurité DNS est la première étape pour se conformer au GDPR, car il ne s’agit pas seulement d’éviter les infractions. Il faut également signaler tout vol de données le plus rapidement possible et sous 72 heures. Le mieux étant, bien sûr, de ne pas avoir à signaler un vol de données.

Nous sommes dans un monde où les données sont utiles aux entreprises – et aux attaquants. Or, le GDPR impose aux entreprises d’optimiser leur sécurité et prévoit des pénalités importantes en cas de défaillance. Cela implique beaucoup plus que de protéger vos bases de données. Il faut également protéger chaque partie de vos réseaux IP.

Par Hervé Dhelin, directeur marketing chez Efficient IP, fournisseur de solutions DDI (DNS-DHCP, IPAM) et gestion de réseau.

Lire également :

Une nécessaire sensibilisation au RGPD/GDPR (avis d’expert)

Generali et Ineo parient sur la cyber-assurance pour PME

TAGS ASSOCIÉS