De l’importance de protéger [toutes] les données de son organisation

En réponse à l’article de Claire Spohr paru le 9 juin 2016 sur
http://www.frenchweb.fr/10-chiffres-qui-montrent-que-les-entreprises-ne-protegent-pas-suffisamment-leurs-donnees/246299

Je suis étonné et reste très dubitatif devant les résultats du sondage GEMALTO auprès des Responsables de l’IT. Ce sondage assez limité, en périmètre et en profondeur, donne l’impression que l’on découvre un non sujet ! Et je pèse mes mots. Une vision plus large de 1000 personne par pays et par secteur aurait permis de faire des comparaisons pour accentuer le travail sur les secteurs prioritaires en fonction du risque réel ou perçu.

Or, ces questions liées à la sécurité des Systèmes d’Information (SI ou IT en anglais) se posent depuis le début des années 90, date de l’ouverture des réseaux étendus en dehors des murs de l’entreprise et les réponses obtenues ont de quoi nous inquiéter sur les rôles, les objectifs et les compétences des acteurs en charges des SI.

Mais reprenons certains points de ces réponses dans le détail pour mieux les comprendre. Dans le cadre de cette étude :

69% des responsables IT (R-IT interrogés dans le cadre de l’étude) doutent de la capacité de leur organisation à protéger leurs données en cas d’intrusion dans son périmètre de sécurité,

Qu’ils s’appellent DSI, RSSI ou toute autre appellation en relation avec le système d’information, ces acteurs sont les premiers à avoir la responsabilité de l’utilisation qui est faite des données de l’organisme. La personne morale (l’organisation) n’a aucun moyen de gérer, sinon au travers des humains qui la compose, leur système d’information. C’est donc à ces acteurs de prendre le sujet à bras le corps.

Au travers de ces réponses, vous donnez l’impression qu’il y a un point de vue extérieur à l’activité du SI comme si il y avait d’un côté ceux qui mettent à disposition les données, les outils, les points d’accès et de l’autre ceux qui sécurisent ces éléments.

66% des R-IT estiment que des utilisateurs non autorisés ont accès à leur réseau. Ils sont 16% à déclarer que ces utilisateurs ont même accès à l’intégralité de leurs données,

Depuis ce développement de l’informatique en réseau, on sait que 60% des attaques viennent des collaborateurs internes. Non pas par malveillance (une minorité), mais le plus souvent par simple curiosité, ils explorent les répertoires sur le serveur central. A partir du moment où ils ne sont pas empêché de regarder, pourquoi voulez-vous qu’ils ne regardent pas, sachant que celui qui détient l’information est celui qui est le plus à même de traiter les sujets. C’est comme cela que les « Affaires » sortent. Un collaborateur, plus curieux que les autres, découvre des éléments compromettant et les diffuse sur internet ou aux autorités.

Mais qui sont ces utilisateurs non autorisés dont parle l’étude ? Des internes, des externes, des visiteurs occasionnels qui au travers d’une connexion, qu’elle soit wifi ou filaire, se connectent au réseau local, au WAN (réseau multi-sites) ou à un PC mis à disposition lors d’une banale conférence ? Toutes ces questions semblent bien loin des préoccupations de la majorité des responsables de SI.

Or, il n’est rien de plus simple que de penser la hiérarchie d’un serveur, d’un PC, pour donner des droits (techniques – lecture/écriture) à des utilisateurs quelque soit leur statut. Cette question est encore plus délicate lorsque les utilisateurs apportent leurs propres terminaux (BYOD bring your own device) qui sont de véritables passoires au service des grands acteurs du digital.

10% des R- IT déclarent qu’en tant que clients, ils ne confieraient pas leurs données personnelles à l’organisation pour laquelle ils travaillent,

Ils sont cadres en charge de la sécurisation du système d’information et n’ont pas confiance dans ce qu’ils préconisent ou font ? Changez d’entreprise ou de métier. Et en même temps, ces mêmes cadres ferment les yeux sur la spoliation de leurs données personnelles par les acteurs « très à la mode » du monde merveilleux du digital.

82% des répondants citent des solutions de sécurisation des données ou des solutions de sécurisation du réseau. Ils ne sont que 66% à mentionner des contrôles d’identité et des contrôles d’accès.

Vous voulez une bonne nouvelle ? La sécurisation ne se trouve pas dans les solutions techniques de protection des données ou des réseaux à proprement parler.

Ces solutions sont un des éléments sur lesquels repose une stratégie de sécurisation de l’activité. Notez que 80% des entreprises disparaissent dans les 2 ans après une perte de leurs données. J’ai toujours été choqué par ces entreprises qui travaillent sur des sujets sensibles, ouvrir leurs locaux à tous les visiteurs sans la moindre surveillance correcte pour ne pas dire efficace. Encore une fois, les solutions techniques ne sont pas en mesure d’avoir des comportements autonomes.

Combien de personnels regardent le lundi matin les logs (traces de l’activité) des firewalls du week-end ? Très peu, trop peu, quasiment aucun en réalité. De toutes les façons, c’est trop tard disent-ils, le mal est fait. L’intrus a probablement déposé en quelques instants une solution de call back qui fait que votre SI l’appelle et ainsi échappe aux solutions de protection que vous avez en toute bonne foie mises en place. Ce n’est pas une bonne raison pour ne pas prendre le temps nécessaire à l’analyse de ces logs.

27% ont déclaré avoir eu une faille de sécurité dans les 12 derniers mois et 92% des entreprises qui ont connu une faille de sécurité dans les cinq dernières années déclarent avoir constaté des conséquences commerciales,

Combien sont-ils à ne pas avoir détecté une intrusion dans leur SI ? C’est cela la bonne question.

Il y a quelques années, j’étais en charge de la zone Sud-Est pour un opérateur gestionnaire de réseau et hébergeur de SI. Après une erreur d’adresse IP, nous nous sommes rendus compte que les clients d’un célèbre VPN n’était pas correctement sécurisé et que n’importe lequel des clients de ce méga intranet pouvait regarder le contenu des réseaux des autres clients. Croire que l’on est protégé, ne protège pas.

Ils sont cadres en charge de la sécurisation et ne donnent pas l’impression de savoir quoi faire et comment mettre en place une stratégie opérationnelle qui convienne. Nous en revenons au « Stratégic Level » nécessaire pour comprendre et faire les bons choix.

78% des R-IT déclarent qu’ils ont dû changer leur stratégie de sécurité en 2016, en raison d’une faille de sécurité,

Mettre en place une stratégie de sécurisation, c’est comme déléguer une responsabilité, cela implique de vérifier l’adéquation des actions prises avec les résultats attendus. Trop souvent, je constate que les entreprises disposent d’une connaissance limitée sur les tenants et les aboutissants de la sécurisation des systèmes d’informations, des serveurs de données et de l’utilisation des applications (surtout celles que l’on appelle communément des app).

Ce qui est grave pour les grandes entreprises devient catastrophique pour les ETI et PME. Les serveurs sont au mieux stockés dans une petite salle inadéquat et les sauvegarde sont réalisées à l’emporte pièce sans vérification régulière des capacités de résilience de l’entreprise. Nous ne parlons pas ici de compétences techniques mais de bon sens. Mais peut-être avez-vous déjà trop de travail à faire fonctionner correctement Microsoft Exchange ou Lotus Notes ?

Si tel est le cas, je vous invite à déplacer vos serveurs chez des hébergeurs professionnels qui assureront la gestion technique de ce derniers et vous soulageront de cette complexité. Mais n’oubliez pas que toutes les solutions ont leurs propres contraintes, leurs avantages et leurs inconvénients. Au final ce qui compte c’est la disponibilité, la pérennité et la sécurité de votre activité (même si vous êtes fonctionnaire ou/et que vous pensez être très loin de ces préoccupations qui vous semblent très techniques).

Question toujours d’actualité : Quel sécurité voulez-vous ?

En juillet dernier, déjà, j’attirai l’attention des internautes sur cette question. Lire le précédent post.

Aujourd’hui à la suite d’un nouvel article dans ZDNET sur vie privé et sécurité, le sujet revient. Mais n’est-il pas déjà trop tard ? Cette question n’est pas nouvelle. De tous temps les malfrats, comme les agents de l’état, ont essayé de pénétrer nos systèmes et d’utiliser les données enregistrées. Piller nos secrets personnels et professionnels puis les utiliser pour abuser de notre crédulité. En cela rien de nouveau sous le soleil – dormez tranquille brave gens.

Ce qui a changé en 15 ans ? L’arrivée massive de solutions sur internet pour se mettre en avant, oublier l’humilité et déverser des milliards de tonnes d’égocentrisme malsain.

Ce qui a changé sur les 5 dernières années ? L’arrivé de solution technologiques qui permettent de lire toutes nos traces et autres messages privés qui permettent de compiler, d’associer et de produire des tendances de vos comportements. Ajoutons à cela la volonté de l’état d’utiliser vos données enregistrées sur les réseaux sociaux pour mieux gérer sa propre influence. Au vue du volume gargantuesque que les gens postent sur le Net, je n’ai aucun doute sur leur volonté et des moyens mis en oeuvre afin d’aller au bout de la chose.

C’est exactement les mêmes stratégies et les technologies que celles des entreprises commerciales qui accèdent à nos logs et autres messages « du fond du cœur ».

Ce qui a également changé, c’est l’ampleur et la complexification des réseaux mafieux. L’utilisation qu’ils font des solutions techniques (beaucoup plus que les organismes honnêtes), notamment des réseaux cachés, du peer-to-peer et du masquage de transaction est tout juste remarquable. Sous le terme réseaux mafieux, j’englobe également les « Fous de Dieu » qui sont dangereux par leur dépendance à la religion et qui organisent leur activité avec ces mêmes solutions.

Internet est devenu le terreau fertile des organisations internationales comme des petites frappes et de ceux qui se prennent pour de futurs voyous en herbe quittant ainsi leur cols blancs.

Donc on [la population] voudrait pouvoir surveiller ces malfrats, tout en conservant l’anonymat lorsque l’on poste des injures, que l’on regarde des films pornos (suivant les zones géographiques) ou que l’on espionne son patron ? Ce ne sont là que quelques exemples mais l’actualité récente nous montre que la gestion de ces comptes en banque à distance fait également partie de ces pratiques qui peuvent être illicites.

Malheureusement, les systèmes sont un peu binaires. C’est tout ou rien

D’un côté, vous acceptez que les acteurs de l’internet captent l’intégralité de vos données (en tout cas, vous ne vous êtes pas exprimez suffisamment sur ce point pour que des mesures radicales [lois, règlements] soient prises et maintenant nous sommes envahie par des messages sans intérêt) y compris celles que vous pensez « cachées » mais vous ne voulez pas que les acteurs de la sécurité publique (y compris l’état dans son rôle régalien) accèdent en tout autonomie à vos contenus ?

Qu’avez-vous donc à cacher à l’état de si important pour que vous vous battiez comme cela ? Vos petites arnaques ? Vos détournements de fonds, vos comptes cachés à l’étranger ou, plus simplement, vos perversions ?

Nous pouvons aisément comprendre cela car nous vous avons habitué à être, par moment, tranquilles chez vous. C’est le concept de « maison magique » dans nos jeux d’écoliers. Alors ne faites pas dans la demie mesure et protégez-vous, de tous, en limitant votre présence sur le Net car l’état quoi qu’il arrive mettra les moyens pour vous surprendre et malheureusement, nous [la société] avons besoin de cela pour notre propre sécurité.

Quel sécurité voulez-vous ?

Nous sommes à un tournant très symbolique. Quelle sécurité voulons-nous et quel empiètement « potentiel » sur notre vie privée allons-nous accepter ?

Une fois que le texte sera passé, il sera difficile de revenir en arrière. C’est pourquoi, il faut accompagner sa rédaction, et dés maintenant, en fixer des limites raisonnables qui assurent aux citoyens la liberté à laquelle ils aspirent sans pour autant perdre les moyens d’actions qui permettront aux forces de l’ordre de maintenir, d’accroitre ses moyens de détection, de prévention et finalement de protection de la population.

Il est également temps de positionner des limites qui permettront aux services d’assurer la surveillance nécessaire tout en préservant les libertés individuelles. Il ne m’appartient pas de déterminer quels sont ces motifs légitimes. Ils sont fluctuants en fonction de la maturité de la société et de l’évolution de celle-ci. Nous le savons tous, la première de ses motivations est la politique avec son bras armé l’influence[1], la seconde est évidemment la religion. Même si, nous le savons, la grande majorité des mouvements offensifs sont avant tout guidés par le pouvoir. Ils se servent du cultuel comme légitimation de leur action, prétextes bienvenus puisqu’ils permettent de cristalliser les consciences et de fédérer la population autour de fausses « vraies » idées.

Comme pour tout écosystème intensément éclaté, et la guerre que nous menons l’est sans aucun doute, avec des individus et des représentants très éparpillés à peine reliés entre eux, deux méthodes s’offrent à nous :

  • La première consiste à ratisser large et à espérer qu’une information déterminante soit identifiée. Je ne vous cache pas que cette méthode est pour le moins très aléatoire. Bien plus que la pêche aux poissons qui ont le mérite de se déplacer en bans. Il existe d’ores-et-déjà des moyens pour mettre en œuvre cette méthode, la systématiser et organiser une collecte qui sera, à n’en pas douter, très coûteuse en hommes, mais il est difficile de faire autrement. Souvent, la mise en place de cette méthode se réalise après un incident de haute intensité car elle nécessite des budgets importants.

Une autre solution est possible. Si l’on applique les principes de la dématérialisation des actions et de la gestion décentralisée des données, il est envisageable de mettre en œuvre une autre stratégie. Faire faire le travail aux extrémités de la capillarité du système et dégager des ressources qui réalisent des tâches de fourmis nécéssite des personnels en trop grand nombre.

  • Il faut mettre en œuvre un système qui permette à chaque individu (chaque citoyen doit pouvoir devenir acteur) d’identifier à son niveau des indices qui seront remontés, compilés et enfin mis en regard pour déterminer des schémas de comportement qui identifient des situations « à risque ». Ce sont ces dernières qu’il faudra ensuite classer et contrôler de manière plus rigoureuse et finalement mettre sous cloche pour en identifier chaque mouvement. Cette façon de faire a le mérite de ne pas mettre tous les individus sous la loupe et de cristalliser toutes les peurs viscérales de la population.

Nous devons procéder à une réaffectation des ressources financières pour assumer des rôles régaliens et limiter les dépenses qui nous privent de moyens efficaces et actifs immédiatement. Il faut, par ailleurs, pouvoir remettre en cause ces solutions très vite car nous ne sommes plus au temps de la ligne Maginot, qui déjà en son temps, s’est révélée inefficace pour faire face à une invasion de l’ennemi identifié.

Notre action doit pouvoir évoluer à grande vitesse car nous serons toujours moins rapides à contrer nos adversaires. Gardons à l’esprit qu’il y a plus d’intelligence à l’extérieur des services qu’à l’intérieur, comme pour toute organisation. Ce n’est pas faire injure à nos collaborateurs, qui individuellement sont très bons, que de dire cela.
C’est faire un constat qui nous rend humble face à la tâche à accomplir.

 

[1] L’influence agit également sur le terrain de la consommation, des loisirs et de l’occupation des esprits pour un meilleur maintien de la population dans l’état qui convient le mieux. Cette question devra être traitée avec la même approche sur les limites acceptables. Car dans ce contexte international, nous nous laissons espionner sans aucune limite par les acteurs du secteur digital et leurs clients, les annonceurs.

Mais il parait que « nous le valons bien » !