De l’importance de protéger [toutes] les données de son organisation

En réponse à l’article de Claire Spohr paru le 9 juin 2016 sur
http://www.frenchweb.fr/10-chiffres-qui-montrent-que-les-entreprises-ne-protegent-pas-suffisamment-leurs-donnees/246299

Je suis étonné et reste très dubitatif devant les résultats du sondage GEMALTO auprès des Responsables de l’IT. Ce sondage assez limité, en périmètre et en profondeur, donne l’impression que l’on découvre un non sujet ! Et je pèse mes mots. Une vision plus large de 1000 personne par pays et par secteur aurait permis de faire des comparaisons pour accentuer le travail sur les secteurs prioritaires en fonction du risque réel ou perçu.

Or, ces questions liées à la sécurité des Systèmes d’Information (SI ou IT en anglais) se posent depuis le début des années 90, date de l’ouverture des réseaux étendus en dehors des murs de l’entreprise et les réponses obtenues ont de quoi nous inquiéter sur les rôles, les objectifs et les compétences des acteurs en charges des SI.

Mais reprenons certains points de ces réponses dans le détail pour mieux les comprendre. Dans le cadre de cette étude :

69% des responsables IT (R-IT interrogés dans le cadre de l’étude) doutent de la capacité de leur organisation à protéger leurs données en cas d’intrusion dans son périmètre de sécurité,

Qu’ils s’appellent DSI, RSSI ou toute autre appellation en relation avec le système d’information, ces acteurs sont les premiers à avoir la responsabilité de l’utilisation qui est faite des données de l’organisme. La personne morale (l’organisation) n’a aucun moyen de gérer, sinon au travers des humains qui la compose, leur système d’information. C’est donc à ces acteurs de prendre le sujet à bras le corps.

Au travers de ces réponses, vous donnez l’impression qu’il y a un point de vue extérieur à l’activité du SI comme si il y avait d’un côté ceux qui mettent à disposition les données, les outils, les points d’accès et de l’autre ceux qui sécurisent ces éléments.

66% des R-IT estiment que des utilisateurs non autorisés ont accès à leur réseau. Ils sont 16% à déclarer que ces utilisateurs ont même accès à l’intégralité de leurs données,

Depuis ce développement de l’informatique en réseau, on sait que 60% des attaques viennent des collaborateurs internes. Non pas par malveillance (une minorité), mais le plus souvent par simple curiosité, ils explorent les répertoires sur le serveur central. A partir du moment où ils ne sont pas empêché de regarder, pourquoi voulez-vous qu’ils ne regardent pas, sachant que celui qui détient l’information est celui qui est le plus à même de traiter les sujets. C’est comme cela que les « Affaires » sortent. Un collaborateur, plus curieux que les autres, découvre des éléments compromettant et les diffuse sur internet ou aux autorités.

Mais qui sont ces utilisateurs non autorisés dont parle l’étude ? Des internes, des externes, des visiteurs occasionnels qui au travers d’une connexion, qu’elle soit wifi ou filaire, se connectent au réseau local, au WAN (réseau multi-sites) ou à un PC mis à disposition lors d’une banale conférence ? Toutes ces questions semblent bien loin des préoccupations de la majorité des responsables de SI.

Or, il n’est rien de plus simple que de penser la hiérarchie d’un serveur, d’un PC, pour donner des droits (techniques – lecture/écriture) à des utilisateurs quelque soit leur statut. Cette question est encore plus délicate lorsque les utilisateurs apportent leurs propres terminaux (BYOD bring your own device) qui sont de véritables passoires au service des grands acteurs du digital.

10% des R- IT déclarent qu’en tant que clients, ils ne confieraient pas leurs données personnelles à l’organisation pour laquelle ils travaillent,

Ils sont cadres en charge de la sécurisation du système d’information et n’ont pas confiance dans ce qu’ils préconisent ou font ? Changez d’entreprise ou de métier. Et en même temps, ces mêmes cadres ferment les yeux sur la spoliation de leurs données personnelles par les acteurs « très à la mode » du monde merveilleux du digital.

82% des répondants citent des solutions de sécurisation des données ou des solutions de sécurisation du réseau. Ils ne sont que 66% à mentionner des contrôles d’identité et des contrôles d’accès.

Vous voulez une bonne nouvelle ? La sécurisation ne se trouve pas dans les solutions techniques de protection des données ou des réseaux à proprement parler.

Ces solutions sont un des éléments sur lesquels repose une stratégie de sécurisation de l’activité. Notez que 80% des entreprises disparaissent dans les 2 ans après une perte de leurs données. J’ai toujours été choqué par ces entreprises qui travaillent sur des sujets sensibles, ouvrir leurs locaux à tous les visiteurs sans la moindre surveillance correcte pour ne pas dire efficace. Encore une fois, les solutions techniques ne sont pas en mesure d’avoir des comportements autonomes.

Combien de personnels regardent le lundi matin les logs (traces de l’activité) des firewalls du week-end ? Très peu, trop peu, quasiment aucun en réalité. De toutes les façons, c’est trop tard disent-ils, le mal est fait. L’intrus a probablement déposé en quelques instants une solution de call back qui fait que votre SI l’appelle et ainsi échappe aux solutions de protection que vous avez en toute bonne foie mises en place. Ce n’est pas une bonne raison pour ne pas prendre le temps nécessaire à l’analyse de ces logs.

27% ont déclaré avoir eu une faille de sécurité dans les 12 derniers mois et 92% des entreprises qui ont connu une faille de sécurité dans les cinq dernières années déclarent avoir constaté des conséquences commerciales,

Combien sont-ils à ne pas avoir détecté une intrusion dans leur SI ? C’est cela la bonne question.

Il y a quelques années, j’étais en charge de la zone Sud-Est pour un opérateur gestionnaire de réseau et hébergeur de SI. Après une erreur d’adresse IP, nous nous sommes rendus compte que les clients d’un célèbre VPN n’était pas correctement sécurisé et que n’importe lequel des clients de ce méga intranet pouvait regarder le contenu des réseaux des autres clients. Croire que l’on est protégé, ne protège pas.

Ils sont cadres en charge de la sécurisation et ne donnent pas l’impression de savoir quoi faire et comment mettre en place une stratégie opérationnelle qui convienne. Nous en revenons au « Stratégic Level » nécessaire pour comprendre et faire les bons choix.

78% des R-IT déclarent qu’ils ont dû changer leur stratégie de sécurité en 2016, en raison d’une faille de sécurité,

Mettre en place une stratégie de sécurisation, c’est comme déléguer une responsabilité, cela implique de vérifier l’adéquation des actions prises avec les résultats attendus. Trop souvent, je constate que les entreprises disposent d’une connaissance limitée sur les tenants et les aboutissants de la sécurisation des systèmes d’informations, des serveurs de données et de l’utilisation des applications (surtout celles que l’on appelle communément des app).

Ce qui est grave pour les grandes entreprises devient catastrophique pour les ETI et PME. Les serveurs sont au mieux stockés dans une petite salle inadéquat et les sauvegarde sont réalisées à l’emporte pièce sans vérification régulière des capacités de résilience de l’entreprise. Nous ne parlons pas ici de compétences techniques mais de bon sens. Mais peut-être avez-vous déjà trop de travail à faire fonctionner correctement Microsoft Exchange ou Lotus Notes ?

Si tel est le cas, je vous invite à déplacer vos serveurs chez des hébergeurs professionnels qui assureront la gestion technique de ce derniers et vous soulageront de cette complexité. Mais n’oubliez pas que toutes les solutions ont leurs propres contraintes, leurs avantages et leurs inconvénients. Au final ce qui compte c’est la disponibilité, la pérennité et la sécurité de votre activité (même si vous êtes fonctionnaire ou/et que vous pensez être très loin de ces préoccupations qui vous semblent très techniques).