Figure 1 : L’exemple d’une fuite de données personnelles dans ChatGPT (décembre 2023)

Des scandales de ce type révèlent une réalité plus profonde : l’architecture même des grands modèles de langage (LLMs ) comme ChatGPT-4  ou Gemini de Google est, par nature, sujette aux fuites de données. Ces fuites peuvent concerner des informations personnelles identifiables (PII) ou des données confidentielles d’entreprise.

Si les techniques employées par les attaquants continueront d’évoluer en réponse aux défenses renforcées des géants technologiques, les vecteurs sous-jacents, eux, restent inchangés.

Aujourd’hui, trois vecteurs principaux permettent aux PII (informations personnelles identifiables) ou aux données sensibles d’être exposées à ce type d’attaques :

• L’utilisation de contenus web accessibles au public dans les jeux de données d’entraînement
• Le réentraînement continu des modèles à partir des requêtes et conversations des utilisateurs
• L’introduction de fonctionnalités de mémoire persistante dans les chatbots

Fuites de données de pré-entraînement des LLM 

La plupart des modèles disponibles aujourd’hui sont fondés sur des architecturesfuite transformers, en particulier les GPT (Generative Pre-Trained Transformers). Le terme pré-entraîné dans GPT fait référence à la phase initiale d’entraînement, durant laquelle le modèle est exposé à un corpus massif et diversifié de données, sans lien direct avec son application finale. Cette étape permet au modèle d’apprendre des bases essentielles comme la grammaire, le vocabulaire et des faits généraux.

Lorsque les premiers GPT ont été lancés, les entreprises communiquaient de manière transparente sur la provenance des données d’entraînement. Mais aujourd’hui, les plus grands modèles disponibles sur le web s’appuient sur des jeux de données devenus trop vastes et trop variés, souvent gardés confidentiels.

Une source majeure des données utilisées pour le pré-entraînement des GPT provient des forums en ligne tels que Reddit (pour les modèles de Google), Stack Overflow, et d’autres plateformes sociales. Cela représente un risque important, car ces forums contiennent souvent des informations personnelles identifiables (PII). Bien que les entreprises affirment filtrer ces données sensibles durant l’entraînement, de nombreux exemples ont montré que les LLM peuvent malgré tout divulguer des données personnelles issues de leur corpus d’entraînement, notamment lorsqu’ils sont soumis à des techniques de prompt engineering* ou de jailbreaking* .  Ce risque ne fera que croître, à mesure que les entreprises accélèreront la collecte de données par web scraping pour entrainer des modèles toujours plus grands et plus sophistiqués.

Les fuites connues de ce type sont pour la plupart découvertes par des chercheurs, qui conçoivent des méthodes toujours plus créatives pour contourner les défenses des chatbots. L’exemple mentionné plus tôt en est une illustration: en demandant au chatbot de répéter indéfiniment un mot, celui-ci « oublie » sa tâche initiale et adopte un comportement connu sous le nom de mémorisation. Dans cet état, le chatbot régurgite des données issues de son ensemble d’entraînement. Bien que cette attaque ait été corrigée, de nouvelles techniques de prompt continuent d’émerger pour modifier le comportement des chatbots.

Réexploitation des saisies utilisateur pour le réentraînement

Le réentraînement à partir des saisies utilisateur est le processus qui consiste à améliorer en continu le LLM en l’entraînant sur les entrées fournies par les utilisateurs. Cela peut se faire de plusieurs manières. La plus répandue étant le RLHF (Reinforcement Learning from Human Feedback), ou apprentissage par renforcement à partir de retours humains.

Figure 2:  Le bouton de retour utilisé pour le RHLF 

Cette méthode repose sur la collecte de retours utilisateurs concernant les réponses générées par le LLM. De nombreux utilisateurs de LLM ont probablement vu les boutons « Pouce en haut » ou « Pouce en bas » dans ChatGPT ou d’autres plateformes de LLM. Ces boutons permettent de collecter les avis des utilisateurs qui seront utilisés pour réentraîner le modèle.  Si l’utilisateur indique que la réponse est positive, la plateforme prend le couple entrée utilisateur / sortie du modèle et encourage le modèle à reproduire ce comportement. De même, si l’utilisateur indique que la performance du modèle est insatisfaisante, ce couple entrée utilisateur / sortie du modèle sera utilisé pour décourager le modèle de reproduire ce comportement.

Cependant, le réentraînement continu peut également avoir lieu sans aucune interaction utilisateur. Les modèles peuvent parfois utiliser les entrées des utilisateurs et les sorties des modèles pour se réentraîner de manière aléatoire. Le manque de transparence de la part des fournisseurs et développeurs de modèles rend difficile la détermination exacte du processus. Toutefois, de nombreux utilisateurs sur internet ont rapporté que les modèles acquéraient de nouvelles connaissances à travers le réentraînement à partir des discussions d’autres utilisateurs, remontant jusqu’en 2022. Par exemple, le GPT 3.5 d’OpenAI ne devrait pas être capable de connaître des informations après septembre 2021 (date du contenu le plus récent utilisé pour son entrainement). Pourtant, en lui demandant des informations récentes, telles que la nouvelle position d’Elon Musk en tant que PDG de Twitter (maintenant X), vous obtiendrez une réponse différente.

Essentiellement, cela signifie pour les utilisateurs finaux que leurs discussions ne sont absolument pas confidentielles, et toute information donnée au LLM via des documents internes, des comptes rendus de réunions ou des lignes de code de développement  pourrait apparaître dans les discussions d’autres utilisateurs, entraînant ainsi des fuites. Cela pose des risques importants pour la confidentialité, non seulement pour les individus, mais aussi pour les entreprises. Un exemple notable s’est produit en avril 2023, lorsque Samsung a interdit l’utilisation de ChatGPT et d’autres chatbots similaires après qu’un groupe d’employés avait  utilisé l’outil pour ecrire des lignes de code et pour résumer des notes de réunion. Bien que Samsung ne dispose d’aucune preuve concrète que les données aient été utilisées par OpenAI, le risque a été jugé trop élevé pour permettre aux employés de continuer à utiliser l’outil. Il s’agit d’un exemple classique de Shadow AI*,  où l’utilisation non autorisée des outils d’IA pourrait entrainer une fuite d’informations confidentielles ou propriétaires. 

De nombreuses entreprises à l’échelle mondiale attendent des régulations plus strictes sur l’IA et les données avant d’utiliser les LLM à des fins commerciales. Certaines industries, comme le conseil, commencent à s’ouvrir, mais de manière encore très progressive.  D’autres entreprises, en revanche, renforcent  leur contrôle sur l’utilisation interne des LLM pour éviter les fuites de données confidentielles et d’informations sur leurs clients.

Mémoire persistante

Bien que les deux risques précédents soient connus  depuis quelques années, une nouvelle menace est apparue avec l’introduction d’une fonctionnalité par ChatGPT en septembre 2024. Cette fonctionnalité permet au modèle de conserver une mémoire à long terme des conversations utilisateurs. L’idée est de réduire la redondance en permettant au chatbot de se souvenir des préférences de l’utilisateur, du contexte et des interactions précédentes, améliorant ainsi la pertinence et la personnalisation des réponses.

Cependant, cette commodité comporte un risque de sécurité important. Contrairement aux failles précédentes, où les informations divulguées étaient plus ou moins aléatoires, la mémoire persistante introduit un ciblage du compte . Désormais, les attaquants pourraient potentiellement exploiter cette mémoire pour extraire des détails spécifiques de l’historique d’un utilisateur particulier, augmentant ainsi considérablement les risques.

Le chercheur en sécurité Johannes Rehberger a démontré comment cette vulnérabilité pourrait être exploitée via une technique appelée empoisonnement de contexte (context poisoning). Dans sa démonstration, il a créé un site avec une image malveillante contenant des instructions. Une fois que le chatbot ciblé consulte l’URL, sa mémoire persistante est « empoisonnée ». Le chatbot peut ainsi être manipulé et des informations sensibles de l’historique de conversation de la victime peuvent être extraites et transmises à une URL externe.

Cette attaque est particulièrement dangereuse car elle combine persistance et discrétion. Une fois implantée  dans le chatbot, elle reste active indéfiniment, exfiltrant continuellement les données de l’utilisateur jusqu’à ce que la mémoire soit nettoyée. En même temps, elle est suffisamment subtile pour passer inaperçue, nécessitant une analyse minutieuse  de la mémoire pour être détectée.

Confidentialité des données des LLM et stratégies de mitigation

Les développeurs de LLM rendent souvent difficile la désactivation du réentraînement, car cela profite au développement de leurs modèles. Si vos informations personnelles sont déjà publiques, elles ont probablement été récupérées par des processus de scraping et utilisées pour le pré-entraînement d’un LLM. De plus, si vous avez donné un document confidentiel à ChatGPT ou à un autre LLM dans votre prompt (sans avoir désactivé manuellement le réentraînement), il a potentiellement déjà été utilisé pour le réentraînement.

Actuellement, il n’existe pas de technique fiable permettant à un individu de demander la suppression de ses données une fois qu’elles ont été utilisées pour l’entraînement d’un modèle. Il existe un domaine de recherche émergent appelé Machine Unlearning qui tente de répondre à ce défi.  Ce domaine se concentre sur le développement de méthodes permettant de supprimer sélectivement l’influence de données spécifiques d’un modèle entraîné, effaçant ainsi ces données de la mémoire du modèle. Ce domaine évolue rapidement, notamment en réponse aux réglementations RGPD qui imposent le droit à l’effacement. Pour cette raison, il est important de minimiser ces risques à l’avenir en contrôlant les données que les individus et les organisations diffusent sur internet et les informations que les employés ajoutent dans leurs prompts.

Il est essentiel pour de nombreuses opérations commerciales que la confidentialité des données soit maintenue. Cependant, l’augmentation de la productivité que les LLM apportent au   travail des employés ne peut être ignorée. Pour cette raison, nous avons élaboré un cadre en trois étapes pour garantir que les organisations puissent exploiter la puissance des LLM sans perdre le contrôle de leurs données.

Choisir le modèle, l’environnement et la configuration les plus optimaux

Assurez-vous que l’environnement et le modèle que vous utilisez sont bien sécurisés. Vérifiez la période de rétention des données du modèle et la politique du fournisseur concernant le réentraînement sur les conversations des utilisateurs. Assurez-vous que l’option « Suppression automatique » est activée et que « Historique des discussions » est désactivé.

Chez Wavestone, nous avons développé un outil qui compare les 3 modèles propriétaires et open-source principaux en termes de tarification, période de rétention des données, garde-fous et confidentialité pour aider les organisations dans leur parcours en IA.

Sensibiliser les employés aux bonnes pratiques lors de l’utilisation des LLM

Assurez-vous que vos employés comprennent le danger de fournir des informations confidentielles  aux LLM et ce qu’ils peuvent faire pour minimiser l’ajout  d’informations confidentielles ou personnelles dans le corpus de données de pré-entraînement et de réentraînement du LLM.

Mettre en place une politique interne solide sur l’IA

Pour anticiper les challenges à venir, les entreprises devraient mettre en place une politique interne robuste sur l’IA qui spécifie :

• Quelles informations peuvent et ne peuvent pas être partagées avec les LLM en interne
• La surveillance du comportement de l’IA
• La limitation de leur présence en ligne
• L’anonymisation des données  
• Limiter l’utilisation aux outils d’IA sécurisés

En suivant ces étapes, les organisations peuvent minimiser les risques numériques auxquels elles sont confrontées en utilisant les derniers outils GenAI tout en bénéficiant des augmentations de productivité qu’ils apportent.

Perspectives… 

Les vulnérabilités en matière de confidentialité des données mentionnées dans cet article affectent des individus comme vous et moi. Leurs origines résident dans l’appétit insatiable des développeurs de LLM pour les données.  Cet appétit pour les données assure des produits finis de meilleure qualité, mais au prix de la confidentialité des données et de l’autonomie.
De nouvelles réglementations et technologies ont été mises en place pour lutter contre ce problème, comme le règlement européen sur l’IA (EU AI Act) et la liste des 10 meilleures pratiques LLM d’OWASP. Cependant, se fier uniquement à une gouvernance responsable ne suffit pas. Les individus et les organisations doivent activement reconnaître le rôle critique que jouent les informations personnellement identifiables dans le paysage numérique actuel et prendre des mesures proactives pour les protéger. Cela est d’autant plus important à mesure que nous avançons vers des systèmes d’IA plus agentiques, qui interagissent de manière autonome avec plusieurs services tiers. Ces systèmes traiteront non seulement une quantité croissante de données personnelles et sensibles, mais ces données seront également transmises et manipulées par de nombreux services différents, compliquant ainsi la surveillance et le contrôle. 

Références 

[1] D. Goodin, “OpenAI says mysterious chat histories resulted from account takeover,” Ars Technica, https://arstechnica.com/security/2024/01/ars-reader-reports-chatgpt-is-sending-him-conversations-from-unrelated-ai-users/ (accessed Jul. 13, 2024).  

[2] M. Nasr et al., “Extracting Training Data from ChatGPT,” not-just-memorization , Nov. 28, 2023. Available: https://not-just-memorization.github.io/extracting-training-data-from-chatgpt.html  

[3] “What Is Confidential Computing? Defined and Explained,” Fortinet. Available: https://www.fortinet.com/resources/cyberglossary/confidential-computing#:~:text=Confidential%20computing%20refers%20to%20cloud  

[4] S. Wilson, “OWASP Top 10 for Large Language Model Applications | OWASP Foundation,” owasp.org, Oct. 18, 2023. Available: https://owasp.org/www-project-top-10-for-large-language-model-applications/  

[5] “Explaining the Einstein Trust Layer,” Salesforce. Available: https://www.salesforce.com/news/stories/video/explaining-the-einstein-gpt-trust-layer/  

[6] “Hacker plants false memories in ChatGPT to steal user data in perpetuity” Ars Technica , 24 sept. 2024 Available: https://arstechnica.com/security/2024/09/false-memories-planted-in-chatgpt-give-hacker-persistent-exfiltration-channel/ 

[7] “Why we’re teaching LLMs to forget things” IBM, 07 Oct 2024 Available: https://research.ibm.com/blog/llm-unlearning 

Cet article Fuite de données : comment les chatbots d’IA peuvent faire fuiter vos informations est apparu en premier sur RiskInsight.

Cette réflexion doit permettre de couvrir les risques principaux que sont la fuite de données et l’accès aux données par des administrateurs, Microsoft et des personnes ou des applications tierces.

Un nouveau modèle de gouvernance imposé par Microsoft

Office 365 est une solution de communication et de collaboration SaaS. En tant que telle, la plateforme est en constante évolution, contrairement aux solutions historiques dites « on-premise » : de nouvelles fonctionnalités ou paramétrages apparaissent, sont modifiés tandis que d’autres disparaissent ; on peut citer la disparition annoncée de Skype en 2021 ou la fin du support de l’authentification legacy pour Exchange Online en 2020. Le rythme de cette livraison continue, « continuous delivery » en anglais, est imposée par Microsoft sans contrôle possible, ce qui nécessite un tout nouveau modèle de gouvernance.

L’intégration des changements ne peut plus se faire en mode projet, mais doit suivre un processus établi. Dans ce modèle, les équipes workplace et sécurité doivent travailler main dans la main et être représentées dans l’ensemble des comités projets et d’architecture, et ce dès la conception des cas d’usages de la plateforme. Ces équipes également auront pour responsabilité commune de veiller à la bonne santé et à la conformité réglementaire de la plateforme.

L’équipe sécurité ainsi voit son périmètre évoluer : elle n’a plus la main sur les outils de sécurité et peut, voire doit, avoir un rôle de business enabler afin d’accompagner la migration vers le Cloud en proposant de nouveaux usages (ex : ouverture d’un service maîtrisé d’échange de fichiers à l’externe). Une organisation adéquate doit être mise en place ; on pourrait même envisager d’avoir un Security officer dédiée à la plateforme au plus près des métiers, ayant pour rôle de conseiller les projets, de suivre la configuration de la plateforme, d’assurer le suivi des alertes de sécurité, etc.

Un autre sujet à traiter concerne la délégation de l’administration. Il n’est pas envisageable d’avoir près de 20 Administrateurs Généraux pour un tenant O365, même si cela n’est pas une situation si rare. La mise en place d’une solution de délégation d’administration des comptes utilisateurs et des objets doit être envisagée, via la mise en place d’une interface ou d’un connecteur basé sur PowerShell ou Graph API. Ce traitement devra permettre de gérer l’ensemble de objets tout en tenant compte des logiques métiers. Autour de cette nouvelle gouvernance, doivent s’articuler les piliers de la sécurité ci-dessous :

• La gestion des identités ;
• La maîtrise des services et des usages ;
• Le contrôle du bon respect des politiques de l’entreprise.

La gestion des identités au cœur du sujet

Dans une solution conçue pour permettre une collaboration interne ou externe, avec une utilisation ATAWAD (Any Time, Any Where, Any Device), la gestion de l’identité et donc des authentifications est le cœur de la gestion plateforme.  Comme pour tout projet, la phase de définition de qui peut accéder à quoi, quand et où est fondamentale.

Sur Office 365, on retrouve trois types d’utilisateurs ayant chacun des niveaux de privilèges différents : les administrateurs, les utilisateurs internes et les invités (externes invités à collaborer sur un fichier ou au sein d’un Groupe O365 ou d’un site SharePoint).

Pour chacun de ces types de comptes, l’implémentation des mesures de sécurité définies va être pleine de défis. Outre l’incontournable authentification multi-facteur, mise en valeur par la fuite de données ayant touché Deloitte en 2017 se posent notamment les problématiques essentielles de la maîtrise des accès des administrateurs (rôles personnalisés ou prédéfinis, accès permanent ou ponctuel etc.) et du cycle de vie des utilisateurs invités (rien n’étant clairement défini par défaut). La question du coût des licences Azure AD Premium ou d’un outil tiers va être élément majeur de la discussion.

À noter également, Office 365 permet à des applications externes, de communiquer avec ses APIs. L’application externe peut alors agir au nom d’un utilisateur avec ses droits propres ou d’un administrateur avec des privilèges plus élevés. Ces applications peuvent provenir de différents magasins d’applications (comme AppSource ou AAD) ou être développées localement. La gestion des permissions accordées à ces applications doit faire preuve d’un point d’attention pour les entreprises. En effet, à travers les APIs, il est très facile d’imaginer une fuite de données massives en cas de dupe d’un utilisateur (ex : cas d’une application requérant des permissions non nécessaires, comme celui de l’accès aux mails).

Une maîtrise des services et des usages indispensable mais délaissée

Une fois les accès à Office 365 sous contrôle, le sujet suivant est de maîtriser l’usage qui en est fait. Il n’est pas rare d’observer que des services, non priorisés lors de la migration vers le Cloud (Power BI, Teams, Flow, accès aux API etc.) sont laissés accessibles avec leur configuration par défaut. Les deux raisons avancées sont généralement de favoriser l’adoption et le manque de temps à consacrer à ces services non prioritaires. En plus du paramétrage du service, il est également indispensable de définir des règles précises autour des usages afin de clarifier qui peut faire quoi et quand (ex : gestion des habilitations SharePoint, création des Groupes). L’idéal étant bien sûr de mettre en place des mesures techniques (paramétrages généraux ou configuration via PowerShell) cohérentes avec la politique définie.

L’absence de sécurisation de ces services laisse toutefois là porte ouverte à de potentielle fuites de données : transfert automatique vers l’extérieur, exposition sur Internet ou encore perte de contrôle la donnée. Comme écrit plus haut, la gouvernance doit prendre en compte la sécurité dès la conception des futurs usages. Les services doivent être analysés et testés sur des populations réduites. En effet, il sera toujours plus facile d’ouvrir une fonctionnalité, que de restreindre un usage déjà bien répandu. Dans le deuxième cas, il sera nécessaire de faire une analyse d’impact, de bricoler une solution de contournement et de sensibiliser largement les utilisateurs. Des actions qui peuvent nécessiter un investissement important et qui pourraient être évitées.

Le suivi des services ne doit pas s’arrêter à la fin de l’adoption des utilisateurs. Les équipes sécurité et workplace auront ainsi la charge de faire un suivi des évolutions d’Office 365 (programme Evergreen, mise en place d’une veille, suivi des blogs Microsoft, …) afin d’évaluer les nouvelles opportunités et menaces.

Le contrôle du bon respect des politiques de l’entreprise

Le dernier pilier, et pas le moindre, consiste en l’implémentation des politiques de sécurité de l’entreprise. Cela passe notamment par la mise en place d’outils de sécurité : protection de l’information, anti-malware, supervision et alerting.

Concernant la sécurité d’Office 365, on peut différencier 3 niveaux de maturité aujourd’hui. Les moyens mis en place vont être conditionnés par les expertises disponibles (les ressources étant limitées sur le marché) et le budget (dépendant notamment de la stratégie de l’entreprise de gestion des licences Microsoft) :

• Niveau 1 – Maîtrise des identités, des services et utilisation du Centre de Sécurité et de Conformité : l’entreprise met en place les solutions de sécurité natives du Security Center et du Compliance Center (incluant notamment Office DLP, Exchange Online Protection, eDiscovery) accessibles avec des licences basiques ;
• Niveau 2 – Développement d’ « outils maisons »: l’entreprise crée un ensemble de scripts simples ou tableaux de bords, en s’appuyant sur Graph API, Security Graph API et PowerShell, pour mettre en place des contrôles et des mesures de sécurité adaptés à son contexte (ex : gestion du cycle de vie des utilisateurs invités) ;
• Niveau 3 –Utilisation d’outils de sécurité avancée : l’entreprise met en place des solutions additionnelles pour renforcer le niveau de sécurité : outils permettant de lutter contre les fuites de données, d’analyser les malwares sur les mails, de revoir les droits, de détecter comportements anormaux ou encore de durcir l’utilisation de la plateforme en fonction du contexte.

La maîtrise des services Office 365, de leurs usages et des fonctionnalités natives de sécurité est indispensable, et doit précéder toute réflexion concernant l’ajout d’un outil de sécurité supplémentaire, qui ne couvrirait pas les failles existantes et ne ferait qu’ajouter de la complexité.

Exemple de contrôles de notre méthodologie d’Audit Office 365

Office 365 est un cas intéressant de l’ouverture des applications métiers sur Internet via le Cloud. Cette évolution requière d’adapter le modèle de sécurité historique de l’entreprise, en tendant vers le modèle de la compagnie aérienne avec l’adoption du Cloud.

La sécurisation d’Office 365 ne doit toutefois pas omettre celle des briques on-premise nécessaires au fonctionnement de la plateforme le cas échéant, comme c’est le cas généralement pour l’authentification qui est portée par l’ADFS.

Cet article Un Office 365 sécurisé, une perle rare ? est apparu en premier sur RiskInsight.

Deux actes médiatisés ces dernières années l’illustrent parmi bien d’autres : la fuite des données d’un parti politique français retrouvées sur le site de son hébergeur, en utilisant un Dork du type « Index of /», ou la découverte, par des services de contre-espionnage, de sites internet servant pour la communication entre une agence étatique et ses informateurs, entraînant la mort de plusieurs dizaines d’entre eux.

Sur Internet, la pêche aux « Dorks » s’exerce via des moteurs de recherche tels que Google et Bing mais également sur des moteurs hors US/EU qui, tout comme les sites d’archivage de pages web, sont susceptibles de conserver des informations retirées des bases d’index des moteurs de recherche classiques.

A titre illustratif, la recherche suivante : « inurl:files intext:nationalité filetype:xls intext:<un prénom ou un nom de famille type> » entrée sur un moteur de recherche largement utilisé, est susceptible de retrouver des fichiers Excel où figurent des informations nominatives mentionnant la nationalité de personnes. Cependant un seul mot bien choisi, par exemple le nom d’une application métier recherché sur Internet ou le mot « salaire » recherché sur l’intranet, peut suffire à pêcher des informations très sensibles.

Les moteurs de recherche internes à certains sites peuvent être également exploités. C’est le cas, par exemple, des sites spécialisés dans la mise en ligne de codes sources (ex : GitHub) ou de morceaux de textes (ex : PasteBin), des sites de forums techniques d’éditeurs de logiciels, ou de sites de CV en ligne contenant des descriptions parfois très précises sur des environnements techniques sensibles.

Le « Dorking » est à la portée du plus grand nombre, grâce aux nombreux tutoriels accessibles sur Internet, aux formulaires de recherches étendues (ex : celui de startpage.com) et surtout aux sites référençant des milliers de Dorks (ex : Google Hacking Database) organisés en fonction de l’usage attendu tel que retrouver des « Fichiers contenant des mots de passe ».

Le Dorking s’effectue plus communément à l’aide de recherches manuelles mais est susceptible d’être industrialisé grâce à des « Dork scanners » comme Zeus-scanner ou à l’aide d’outils PowerShell (PnP-PowerShell) pour les recherches dans Office365.

Pour se prémunir de l’exploitation malveillante du Dorking, les organisations peuvent notamment :

• Être en capacité de détecter les fuites d’informations sensibles sur le SI interne ou sur Internet, en examinant par exemple l’opportunité de recourir sur le SI interne à des produits de type DLP et sur internet à un service de veille des fuites d’informations, qui pourra également surveiller l’internet non-indexé, voire le Dark-Web.
• Mettre en place une classification des données et une gouvernance des partages internes (ex : les Groups Office 365) en commençant par les activités les plus sensibles (ex : groupes métiers sensibles, données clients, RH…).
• Encadrer contractuellement et opérationnellement les missions confiées aux prestataires via un Plan d’Assurance Sécurité et les sensibiliser à la protection et à la non-divulgation des informations auxquelles ils peuvent accéder ; lorsque c’est possible, prévoir un PV de destruction de données.
• Encadrer la communication d’informations sensibles aux partenaires sociaux, aux associations, etc. qui ne disposent pas toujours sur leur SI et sites Internet dédiés, de moyens de protection SSI équivalents à ceux de l’organisation ou de l’entreprise à laquelle ils sont liés.

Les organisations peuvent également prendre des mesures visant à limiter l’impact d’une fuite de données avérée :

• Disposer d’une fiche réflexe pour traiter la fuite, incluant la conduite à tenir vis-à-vis des moteurs de recherche et des sites l’ayant indexée (ex : gestion du référencement Google, etc …)
• Disposer d’un processus de gestion des incidents de sécurité, de data-breach (GDPR), de gestion de crise… incluant la notification potentielle aux autorités et personnes concernées.
• Disposer d’un processus et d’outils de veille sur les réseaux sociaux et media avec des réponses préparées.

Cette prévention peut en outre conduire à recourir à la technique du Dorking à des fins éthiques, tels que des audits de sécurité, ou des activités « Red Team » qui visent à se mettre à la place d’un acteur malveillant pour découvrir – avant lui – les failles et les informations qui permettraient de porter atteinte à l’organisation. Néanmoins, en fonction du contexte, il peut être préférable de bien encadrer en amont la communication des résultats de la mise en œuvre de techniques de Dorking, lesquelles peuvent donner lieu à la découverte d’informations personnelles ou/et sensibles, sur des ressources liées à l’entreprise ou à des acteurs externes.

Cet article Le Dorking ou la pêche aux informations sensibles via les moteurs de recherche est apparu en premier sur RiskInsight.

Le projet de loi, créé à la base pour modifier un projet de loi de 1986, le «Stored Communication Act», permet aux États-Unis de forcer les fournisseurs de services américains  à transmettre les données de leurs clients stockées à l’étranger de manière beaucoup plus rapide. Il faut en moyenne dix mois pour obtenir les données, une durée improductive pour les enquêtes menées par les États-Unis. Le projet de loi vise à permettre aux autorités américaines (du shérif à la CIA) à accéder à des données hébergées par des entreprises américaines sans passage devant un juge. Les grandes entreprises technologiques, qui ont soutenu le projet de loi devant le Sénat, pourront s’opposer à une demande si :

• Le client ou l’abonné n’est pas américain ou ne réside pas aux États-Unis (section 3.2.b.h.2.i), et
• Le transfert obligerait le fournisseur à enfreindre les réglementations du pays hébergeant les données (section 3.2.b.h.2.ii)

Cette demande sera alors portée devant un tribunal américain qui pourra alors casser ou non la demande de transfert de données. Sa décision sera basée, entre autres, sur la validité des informations apportées, de l’intérêt de la requête pour les Etats-Unis et de l’envergure et les chances d’application de la violation de loi dans le pays étranger. Le caractère public du recours n’est pas précisé, en particulier la capacité des entreprises à communiquer sur ces contestations. Aujourd’hui, il nous parait probable que les grands acteurs américains utilisent ce recours pour garder la confiance de leurs clients.

Afin d’éviter d’enfreindre les réglementations des pays concernés, les États-Unis pourront passer des accords bilatéraux avec ces États, qui, en échange de leur bonne volonté, pourront accéder aux données sur le territoire américain.

Aux États-Unis, le CLOUD Act reste contesté pour les risques hérités par les potentiels accords avec les pays étrangers. Le fait que le pouvoir exécutif soit à même de mettre en place les accords mutuels inquiète la population américaine, qui craint que des puissances étrangères se servent du Cloud Act pour aller fouiller dans leurs données sans garde-fou.

Quelles conséquences pour les clients européens ?

Alors que les géants de la technologie (Facebook, Google, Microsoft, Apple) ont soutenu le projet de loi (les autorités américaines s’abstenant de les approcher pour un accès backdoor et fournissant un cadre clair pour exercer le transfert de données), ces réglementations peuvent être inquiétantes pour la privacy des clients des entreprises ciblés. Cette loi pourrait laisser les clients sans droit de regard, ni information sur l’accès à leurs données par les autorités américaines.

Cependant, les clients européens dont les données sont traitées en Europe pourraient être bientôt protégés par le Règlement Général sur la Protection des Données (RGPD). Les articles 45 et 48 du règlement qui entrera bientôt en vigueur définissent un ensemble de règles claires pour permettre le transfert vers des pays tiers. Selon Frank Jennings (avocat de renom sur les sujets cloud), l’European Data Protection Board, en charge de l’implémentation du RGPD, sera en charge de décider si les saisies dans le cadre du CLOUD Act constituent une mesure nécessaire à la sauvegarde de la sécurité nationale américaine, ou si la demande ne respecte pas la nouvelle réglementation.  Cela pourrait obliger les États-Unis à négocier avec l’UE ou ses États membres les conditions de tels transferts, et donc à protéger leurs citoyens contre les transferts illégitimes. Les clients américains resteraient toutefois sous la portée du CLOUD Act.

Des négociations doivent commencer entre la Commission européenne et les Etats-Unis. Les dirigeants de l’UE ont déjà critiqué le projet de loi américain pour son adoption précipitée, ce qui risque de compliquer les négociations. Entre-temps, une centaine d’organisations de la société civile ont pressé le Conseil de l’Europe à rendre publiques les négociations prévues lors de la « Convention sur la cybercriminalité » (ou « Convention de Budapest »).

Les lois de confidentialité, un atout pour les entreprises ?

Alors que le RGPD a pu préoccuper une bonne partie des entreprises sur le changement que cela impliquerait pour leurs systèmes d’information et que la directive « E-Privacy » se prépare, il pourrait être intéressant de voir le rapport à la réglementation évoluer dans le monde des affaires. Les lois de «data privacy » pourraient, dans un futur proche ou lointain, être considérées comme une aide à la protection de leurs données et au maintien de la confiance des clients.

Dans un monde où les questions de confidentialité des données deviennent de plus en plus importantes (Cambridge Analytica, Google Home Mini), les protections sur les données des clients peuvent être un argument décisif lors du choix entre des offres compétitives. Le positionnement des fournisseurs américains sur les questions de Privacy et de protection des données est attendu impatiemment.

Que faire aujourd’hui ?

Pour conclure, les nouvelles réglementations sur la privacy restent assez ambiguës et peuvent même se heurter sur certains points. La principale conclusion reste que les Européens devraient être mieux protégés par le RGPD face au CLOUD Act, si les fournisseurs américains dénoncent les requêtes abusives et que les tribunaux en charge de valider la demande jouent leurs rôles. Les clients non européens, quant à eux, ne seraient pas plus protégés en hébergeant leurs données en Europe.

En attendant l’entrée en vigueur de nouvelles lois traitant de la confidentialité et les éventuelles saisies des données, vous pouvez prendre des mesures pour protéger vos données personnelles et commerciales contre les écoutes d’outre-mer et autres menaces potentielles :

1. Clarifier avec votre fournisseur dans quelles conditions il pourrait être amené à donner accès à vos données, sans oublier de prendre en compte les traités d’assistance judiciaire mutuelle (Mutual Legal Assistance Treaties).
2. Définir ou revoir votre stratégie d’hébergement suivant le type de données, la nationalité du fournisseur et la location de l’hébergement
3. Privilégier l’hébergement de données dans des datacenters européens ou dans des pays disposant de règles bien établies en matière de confidentialité des données.
4. Choisir un fournisseur français ou européen permet d’éviter les risques du CLOUD Act. En contractualisant qu’il n’utilise pas de sous-traitants américains (directement ou indirectement) !

Cet article CLOUD Act : vos données sont-elles mieux protégées ? est apparu en premier sur RiskInsight.

L’écosystème dans lequel évolue la donnée est, quant à lui, en constante complexification. En effet, les systèmes d’information, en pleine transformation, s’ouvrent sur l’extérieur et s’interconnectent avec différents services Cloud publics, constituant de nouvelles portes de sortie pour les données de l’entreprise.

Les événements menant à une fuite de données sont nombreux : négligence d’un employé, fraude interne, piratage par un tiers… Les moyens d’exfiltration eux aussi sont multiples : emails, Shadow IT, clés USB, imprimantes… En cas d’incident avéré, les conséquences peuvent être significatives. Les médias n’hésitent pas relayer avec insistance les cas de piratages menant à des fuites de données d’une grande entreprise, ce qui écornera durablement l’image de la marque. Les pertes financières liées sont également importantes, induites par les sanctions prévues des différents régulateurs et faisant suite à la perte de confiance des clients et partenaires.

 Le SI aujourd’hui, un écosystème complexe ouvrant de nombreuses voies à des fuites de données

Le DLP, un chantier rarement considéré mais à la portée de tous

Ce challenge de taille que constitue la lutte contre les fuites de données n’est cependant pas insurmontable. Certaines entreprises, et notamment les banques, ont pris de l’avance sur le sujet vis-à-vis d’autres secteurs d’activité, en déployant des outils prévenant la fuite des données appelés Data Leak Prevention (DLP, ou Data Loss Protection). Ces outils permettent notamment de suivre les données considérées comme sensibles et d’y appliquer des règles visant à contrôler les flux de données conformément aux politiques définies. Ces règles peuvent s’appliquer au niveau du terminal (poste de travail, serveur, etc.), de l’application (Office 365, etc.) ou du réseau (proxy, etc.).

La mise en œuvre de telles solutions nécessite cependant de mener un projet à part entière faisant intervenir à la fois le département de Sécurité de l’Information et les Directions métier. La complexité de cette réalisation sera modulée par trois facteurs principaux :

En effet, les problématiques à traiter et les solutions techniques à implémenter durant le projet dépendront des objectifs fixés par l’entreprise en termes de couverture du risque de fuites de données, ainsi que du niveau actuel des pratiques et méthodes de classification.

Il est par ailleurs impératif, lors de la mise en œuvre des solutions de DLP, de préserver l’expérience des utilisateurs, ces derniers ne devant pas voir leurs activités impactées par les mécanismes de protection. Les objectifs de sécurité devront ainsi nécessairement prendre en compte les besoins métiers, qui peuvent notamment impliquer l’échange d’informations sensibles avec l’extérieur.

Les bons tuyaux pour la réussite d’un projet DLP

Premièrement, la sélection de l’outil de DLP devra se baser sur les objectifs définis au lancement du projet concernant la structure des données à protéger et les canaux d’échange à analyser.

Certaines solutions du marché ont atteint un niveau de maturité avancé permettant de détecter si une donnée est sensible, quels que soient la structure de la donnée et le canal de transmission. La détection de données structurées est plus simple du fait que leur caractérisation est plus simple (par exemple : le nombre de chiffres est défini pour un numéro de sécurité sociale ou de carte de crédit). Concernant les données non structurées (80% des données selon le Gartner), la détection pourra se baser sur l’analyse des métadonnées introduites par la classification.

Par la suite, le cadrage du projet devra définir et formaliser les 4 grands chantiers caractéristiques d’un projet DLP, les clés du succès pour le déploiement de la solution :

La cartographie des données sensibles et la définition des règles de protection associées

Dans le cas où l’entreprise aurait déjà établi une cartographie répertoriant les données et traitements considérés comme sensibles, ainsi que les flux considérés comme légitimes, celle-ci constituera la base sur laquelle le projet DLP s’appuiera pour l’élaboration des politiques de DLP et des règles de protection fines.

Si cette cartographie n’existe pas, le projet DLP ne pourra aboutir sans l’implication forte des métiers sur le sujet. Il s’agira d’identifier avec eux, par Direction et par Activité, les données sensibles et les traitements associés. Cette première réflexion aboutira à la délimitation des traitements et des canaux de stockage et de transmission légitimes, à la fois à l’interne et l’externe de l’entreprise. Ce processus nécessite une collaboration rapprochée avec des contributeurs clés des différentes directions qui pourront lors d’entretiens fournir les informations nécessaires.

L’équipe projet peut alors à ce stade, créer les politiques de DLP associées aux scénarios assimilés à une fuite de données.

Les retours des grands comptes montrent toutefois qu’un facteur clé de la réussite du projet est de savoir choisir ses combats ; il est en effet illusoire de vouloir implémenter – à minima dans un premier temps – l’ensemble des potentielles politiques de DLP. La bonne couverture des données les plus critiques de l’entreprise sera déjà preuve d’un niveau de maturité satisfaisant vis-à-vis de l’état de l’art.

L’identification des contraintes réglementaires et légales s’appliquant aux traitements analysés

Les réglementations concernant les données sensibles, telles que les données à caractère personnel (Loi informatique et liberté, RGPD, etc.) imposent des restrictions particulières sur les traitements autorisés sur ces données. De plus, pour les entreprises évoluant dans un contexte international, des particularités réglementaires locales existent et créent une hétérogénéité quant aux règles à respecter concernant les traitements sur les données.

Pour les aspects de conformité légale, il est important de s’appuyer sur les compétences des départements Légal et Conformité de l’entreprise et des différentes entités internationales, qui pourront valider les analyses et règles de protection appliquées sur les données.

Les principaux points à adresser lors de cette Due diligence réglementaire sont le traitement des données à caractère personnel, la notification des utilisateurs sur les traitements effectués, le lieu de stockage des données analysées et les canaux de transfert utilisés.

La définition du processus de gestion des incidents de fuite de données

La déclinaison opérationnelle des scénarios de DLP précédemment théorisés requiert ensuite de définir les moyens et processus à mettre en œuvre lors de la détection d’une fuite de donnée. Ceux-ci devront bien sûr s’adapter aux processus de gestion des incidents au sein de l’entreprise :

• Qui recevra les alertes liées aux potentielles fuites de données (le SOC dans le cas où il existe, une équipe dédiée liée à une Direction métier, etc.) ?
• Quels moyens mettre en place lors de l’investigation sur le périmètre impacté (ex : dans le cas d’un périmètre sensible, l’enquête doit respecter une certaine confidentialité) ?
• Selon le niveau de criticité, quels niveaux hiérarchique et opérationnel contacter ?

À la différence d’incidents de sécurité techniques, il pourra être pertinent d’intégrer dans le processus des équipes métier ou le responsable sécurité de l’entité concernée afin de définir la criticité d‘une fuite de données et le périmètre impacté. En effet, dans le cas d’une donnée structurée, la criticité peut être évaluée simplement via des grilles de correspondance, mais cette réflexion est d’un tout autre ordre dans le cas de donnée non structurées (ex : email d’un responsable hiérarchique ou document lié à un projet confidentiel).

Un fort sponsorship sera également requis afin que les objectifs et moyens mis en œuvre dans le cadre du DLP soient approuvés par les différentes Directions Métier, le département Ressources Humaines ainsi que les représentants du personnel.

L’implémentation d’un outil adapté aux scénarios définis

En parallèle de la définition de processus de gestion d’incidents, vient la concrétisation du modèle de supervision avec le choix d’un outillage. Outre l’adéquation avec les scénarios de détection définis, l’outil choisi devra respecter un certain nombre de prérequis liés à l’écosystème de l’entreprise et à la Due diligence réglementaire réalisée. Parmi les critères de choix, la solution technique devra notamment :

• S’intégrer avec les outils du SOC (SIEM, etc.) et idéalement avec les autres solutions de sécurité de l’entreprise (proxy, outils de chiffrement / DRM, etc.) ;
• Être adapté à l’environnement métier (plateformes collaboratives, serveurs de fichiers, etc.) ;
• Prendre en compte la diversité du parc informatique et du système d’information dans le cas de déploiement d’agents sur les terminaux.

Par ailleurs, une implémentation efficace d’une stratégie de DLP devra impérativement couvrir l’ensemble des canaux d’échanges et des cas d’usages métiers, afin de ne pas laisser de vannes ouvertes (ex : installer un outil DLP au niveau des serveurs mail et de fichiers tout en laissant les ports USB sans surveillance aucune).

Les 4 piliers du DLP

L’implémentation de la solution ne marque pas la fin du sujet DLP : le processus de Data Leak Prevention devra entrer dans une démarche d’amélioration continue. L’étude des faux positifs et les remontées d’alertes devront aboutir à une revue régulière (à minima tous les 6 mois) afin d’améliorer les scénarios de détection implémentés. Pour cela, il sera intéressant de prévoir dès la genèse du projet cette charge dans les équipes de Run et de commencer avec des scénarios basiques.

Il sera également intéressant d’inscrire les objectifs du projet de Data Leakage Prevention dans un programme plus large traitant de la protection de la donnée, incluant la revue des droits et des habilitations liés aux serveurs de fichiers, l’authentification avec accès conditionnel, l’intégration de la supervision avec le SOC et le chiffrement des fichiers et applicatifs.

Cet article DLP : éviter les fuites, sans colmater les brèches est apparu en premier sur RiskInsight.

La question n’est donc plus de savoir si la donnée peut fuiter (intentionnellement ou non) et être exfiltrée, mais plutôt de savoir comment la sécuriser afin de limiter les impacts en cas de fuite.

Dans ce contexte, les modèles de sécurité doivent s’adapter. Celui du château-fort est largement dépassé, celui de l’aéroport est en passe de l’être. Il devient alors nécessaire d’avoir une protection centrée sur la donnée (ou data-centric). Cette protection doit de plus répondre aux exigences d’expérience utilisateurs des métiers qui rechignent à être impactés dans leurs utilisations quotidiennes.

2 typologies de données distinctes … qui nécessitent une approche différente

Les grands projets de protection de la donnée lancés au sein des grands comptes se sont tous confrontés au même problème : comment connaître le niveau de sensibilité d’une information ? La réponse à cette question est fondamentale car elle est nécessaire pour appliquer un niveau de protection pertinent et éviter les fuites de données.

Il existe aujourd’hui deux typologies de données :

• Les données structurées désignent l’ensemble des informations répondant à un type de format et aisément identifiable en tant que tel : un champ CRM, numéro de sécurité sociale, formulaire Cerfa, adresse mail, ainsi que tout autre donnée pouvant être exprimées sous forme d’expressions régulières (1). Il s’agit communément des informations que l’on retrouve dans les bases de données des applications.
• Les données non structurées, à l’opposé des données non structurées, peuvent prendre n’importe quel type de format (document Office, PDF, image, vidéo, musique, fichier d’une application métier, etc.). Il est à noter qu’une donnée qui au premier abord serait considérée comme structurée (ex : champ téléphone d’un CRM), pourrait ne pas l’être si le respect de la syntaxe n’est implémenté.

Alors qu’il est aisé d’identifier automatiquement une donnée structurée, et d’en décrire la sensibilité selon des grilles prédéfinies ; la problématique est d’un tout autre ordre dans le cas des données non structurées, ces dernières représentant pourtant la plus grande part des données produites quotidiennement par les collaborateurs. Cela se traduit concrètement par l’incapacité des outils de sécurité (ex : Data Loss Prevention ou DLP) à repérer toute fuite ou manipulation suspecte d’informations vitales.

La classification des données non structurées apparaît alors comme la pierre angulaire d’une stratégie de protection de la donnée, via une action manuelle de la part de l’utilisateur final.

Qu’est-ce que la classification ?

Le sujet de la « classification de la donnée » regroupe l’ensemble des processus techniques et organisationnels permettant de catégoriser l’information produite par les collaborateurs d’une organisation. Suivant la catégorisation établie – par niveau de sensibilité (ex : interne, confidentiel, secret, etc.) ou par métiers concernés (ex : RH, R&D, achat, etc.) – la classification permettra de faire rentrer la donnée dans un cadre réglementaire, législatif ou de sécurité.

Historiquement très basiques (case à cocher dans un en-tête ou sur la première page d’un document ou ajout manuel de métadonnées), les solutions de classification se consolident et responsabilisent l’utilisateur en le plaçant au cœur du processus ; lui proposant ainsi une expérience améliorée (interface simple et conseils).

En pratique, les outils de classification offrent des fonctionnalités diverses :

• Pour les nouveaux fichiers, classification à la main de l’utilisateur ou déterminée automatiquement selon des règles prédéfinies (ex : présence de X numéros de sécurité sociales) ;
• Pour les fichiers existants, scan manuel des fichiers présents sur les répertoires locaux ou on-premise selon des règles prédéfinies ;
• Ajout sur le fichier de métadonnées (ou tagging) : ces métadonnées, interprétables par des outils tiers, permettent de donner de visibilité aux outils de supervision, type Data Loss Prevention ;
• Ajout d’éléments de marquage visuels (en tête, pied de page, filigrane) pour sensibiliser les utilisateurs finaux.

Des résultats peu probants à ce jour pour les projets de classification

Bien que les filières RSSI soient sensibles au sujet de la classification et des données et que le sujet soit inscrit au cœur des politiques de la majorité des grandes entreprises – obligation renforcée par les récentes règlementations comme le GDPR ou la LPM qui requièrent de cartographier les données et les usages – peu d’organisations, en dehors des établissement bancaires, ont réussi à mettre en place une stratégie efficace de classification.

Plusieurs raisons peuvent expliquer cette lacune :

• Les utilisateurs finaux n’ont généralement pas la connaissance de la nature des données sensibles ou de leur impact : alors que le niveau de classification le plus élevé (« C4 », « Secret », « Confidentiel », etc.) correspond aux documents susceptibles de mettre en péril une entité voire le Groupe tout entier – ce qui correspond à habituellement 1% des informations –  cette proportion avoisine les 10% dans certaines entités. A l’inverse, il n’est pas rare qu’un utilisateur partage des fichiers contenant des données à caractères personnel sensibles ou des fichiers de mot de passe sans aucun niveau de classification ni aucune protection.
  Ainsi, tout projet de classification des données nécessite un fort accompagnement au changement des utilisateurs finaux avec des messages clairs et des exemples concrets, lui permettant de classifier aisément ses informations. Des rappels récurrents seront également nécessaires pour rappeler les bonnes pratiques. En effet, un utilisateur manipulant au quotidien des données sensibles, pourrait ne plus se rendre compte de l’impact de la divulgation de celles-ci.
• Faute de mettre à disposition de ses utilisateurs des moyens suffisamment ergonomiques, une entreprise ne peut s’attendre à des résultats probants. L’expérience montre en effet que les cases à cocher avec les niveaux de classification dans les pages de garde, les en-têtes ou les pieds de pages ne sont que très peu sélectionnées.
• La classification de l’ensemble des données de l’entreprises est un projet de transformation à part entière, et nécessite un fort engagement des équipes métiers et de la direction si on souhaite la généraliser. Cet engagement doit être d’autant plus important si la stratégie de classification définie impacte les utilisateurs (obligation de classifier les documents, de chiffrer, etc.).

Le retour de la classification sur le devant de la scène

Toutefois, la thématique revient en force au sein des grands comptes, poussée par les programmes de transformation digitale – qui nécessitent de repenser la protection des données – et par les acteurs du marché – qui consolident leurs offres autour du sujet. Certains analystes comme le Gartner, anticipent même le regroupement des solutions de protection de la donnée en une unique solution centrée sur la classification.

Afin d’être un succès, il sera opportun d’allier sensibilisation et ergonomie, afin d’embarquer les utilisateurs finaux dans cette démarche. L’un ne pourra pas aller sans l’autre.

Nous étudierons dans un prochain article comment le marché évolue autour d’acteurs de la sécurité historiques et comment la mise en place d’une stratégie efficace de classification apporte des bases solides pour (re)donner un nouveau souffle à la thématique de la protection des données.  

(1) Une expression régulière, est une chaîne de caractères, répondant à une syntaxe précise. Par exemple, un numéro de téléphone française peut prendre l’un des trois formats suivants : 0123456789, +33123456789 ou 0033123456789.

Cet article La classification, cet incontournable de la protection des données est apparu en premier sur RiskInsight.

Pour éviter ces attaques aux conséquences onéreuses, les entreprises se concentrent bien évidemment sur la sécurisation de leurs infrastructures informatiques critiques, mais les cyber-attaques ne visent pas uniquement les vulnérabilités des réseaux, data centers et postes de travail. Les utilisateurs qu’ils soient internes ou externes à l’organisation sont une cible de choix pour les attaquants, qui usurpent l’identité de l’organisation ciblée afin de réaliser leur méfait.

La présence digitale d’une entreprise : un nouveau facteur de risque

Ces dernières années, la transformation digitale des entreprises s’est caractérisée, entre autres, par un développement exponentiel de la communication externe via le numérique ; les canaux de communication se sont multipliés et renforcés en tant que vecteurs privilégiés d’échange et d’interaction, révolutionnant la relation client et les échanges avec les partenaires. Pour être toujours plus proches près de ces derniers, les entreprises ont favorisé l’utilisation de la communication digitale via :

• Les emails
• La messagerie instantanée
• Les sites web institutionnels et applications web
• Les applications mobiles
• Les réseaux sociaux

Ces médias sont la vitrine de l’entreprise, ils lui permettent de se dépeindre, d’exposer et faire rayonner son image de marque, via les messages, les éléments de langage et l’impact graphique qui lui sont propres. Ils sont la personnification de l’entreprise et renvoient donc directement à sa valeur perçue. De plus, la digitalisation a permis de substituer en grande partie la relation physique par les services numériques, accessibles à toute heure, n’importe où dans le monde et via lesquels l’entreprise donne accès à sa communauté ainsi qu’à ses services et produits, permettant de dynamiser les interactions avec les utilisateurs, toujours plus simples, rapides et personnalisées.

Cette présence digitale accrue ayant permis aux entreprises de développer leur communication ainsi que l’accessibilité à leurs services, les canaux digitaux représentent donc directement l’entreprise et sont l’étendard de son image de marque. Mais il y a bien un revers à cette médaille : cette omniprésence digitale augmente la possibilité pour les attaquants d’usurper l’identité de la société à des fins malveillantes.

La dégradation de l’image de marque : dommage collatéral des cyberattaques

Lors d’une cyberattaque utilisant l’usurpation de l’identité de l’entreprise comme vecteur, les intentions des attaquants peuvent être diverses :

Certaines attaques ont pour objectif direct la décrédibilisation d’une entreprise, mettant ainsi en exergue une certaine incompétence de l’entreprise ou la supériorité d’un groupe malveillant qui souhaite imposer son idéologie antagoniste :

Sur les dernières années, ont eu lieu des cas de défacement de sites internet où le contenu des pages s’est retrouvé modifié pour transmettre de fausses informations et moquer les entreprises afin de nuire à leur image. En 2015, Lenovo en a fait les frais quand le groupe de hackers activistes Lizard Squad s’en est pris à son site web, en redirigeant les visiteurs vers des photos des protagonistes de l’attaque. Il est aussi possible pour les attaquants de publier de fausses informations sur un réseau social après le vol des identifiants du Community Manager. Un des faits marquants de 2017 a été la prise en main du compte Tweeter du ministère de la culture par un plaisantin distillant de nombreux tweets injurieux. Pour les entreprises victimes de ces attaques, les conséquences financières sont à prévoir : suite à ces évènements et annonces, les répercussions sur les ventes et le cours de la bourse sont toujours accompagnées d’un lourd impact sur l’image de marque.

Dans d’autres cas, l’identité de l’entreprise est cette fois détournée par les attaquants cherchant à dérober de l’argent. Dans ce cas, les attaquants se font passer pour l’entreprise afin de réaliser des fraudes visant directement les utilisateurs avec pour but de les duper :

Les arnaques au président sont en augmentation constante et permettent aux attaquants de détourner des sommes d’argent importantes en trompant les employés des directions financières qui pensent devoir exécuter un virement urgent pour un directeur ou membre du COMEX. En France, le préjudice total de cette fraude est estimé à plus de 400 millions d’euros par an.

Les employés des entreprises sont également la cible des campagnes de phishing, qui permettent de déclencher une charge virale contenue dans une pièce jointe ou un lien d’un e-mail paraissant familier. Le but peut être de déployer un cryptolocker pour demander une rançon, ou d’avoir une porte d’entrée sur le système d’information de l’organisation.

Les entreprises sont aussi touchées indirectement quand les campagnes de phishing utilisent leur nom de domaine pour envoyer de faux emails aux clients et leur demandent une mise à jour de leurs informations bancaires ou autres données personnelles pouvant avoir de la valeur.

La grande nouveauté pour la récupération de données client est l’utilisation de fausses apps mobiles imitant une application légitime par son logo et son interface mais agissant comme un logiciel espion (spyware) une fois installée sur le smartphone de l’utilisateur. Ainsi, une fausse application Whatsapp intégrant un malware a été téléchargée plus d’1 millions de fois sur le Google Play store au mois d’octobre 2017.

Dans un monde numérique où la confiance des clients, de plus en plus sensibles aux sujets cyber, se perd facilement, protéger son image et sa marque est donc devenu un enjeu majeur pour les entreprises, au même titre que la protection de ses infrastructures informatiques et ses données. Mais quelles sont les bonnes pratiques à mettre en place pour limiter ces risques d’usurpation ?

Des solutions dédiées et une veille organisée pour mieux se protéger

La protection de l’image de marque d’une entreprise passe ainsi nécessairement par la protection des canaux de communication digitaux. Dépendant de la typologie du canal, différentes actions peuvent être entreprises :

• L’organisation de veille sur les noms de sites web, d’adresses email et de comptes de réseaux sociaux similaires à celui de l’entreprise est une pratique conseillée par l’ANSSI pour lutter contre l’usurpation de la marque, de même que la surveillance des « Dark App store » mettant à disposition des utilisateurs des versions piratées et potentiellement malveillantes d’applications mobiles de l’entreprise.
• La réalisation régulière d’audits et l’utilisation de scanners de vulnérabilité sur les sites institutionnels et les applications mobiles permet l’identification des vulnérabilités qui seraient des points d’entrées lors d’une cyberattaque. Les mesures de correction nécessaires peuvent alors être mises en œuvre pour sécuriser ces médias notamment contre le défacement.
• L’implémentation d’authentification multi-facteurs pour les comptes des administrateurs des services email et des réseaux sociaux permet de réduire le risque d’usurpation de session par le simple vol d’identifiants. Le risque d’une publication ou du partage de contenus malveillants se retrouve ainsi limité, de même que le vol de données sensibles accessibles via les boîtes mails, comme ce fut le cas en 2017 pour le cabinet Deloitte. En effet, plus de 5 millions d’emails contenant des échanges sensibles avec leurs clients ont été dérobés, suite au vol des identifiants d’un de des administrateurs du cabinet
• L’activation de protection comme SPF, DKIM ou DMARC permet d’empêcher l’usurpation des adresses emails de l’entreprise. En effet, ces protocoles permettent de protéger les noms de domaine de l’entreprise en déclarant les adresses IP légitimes pour l’envoi d’emails et en implémentant des mécanismes de signature des emails pour les certifier. Ces protocoles garantissent qu’on ne puisse pas utiliser le nom de domaine de l’entreprise depuis un serveur non déclaré.

L’exposition de l’identité des entreprises ayant été favorisée par la digitalisation, les attaquants et cyber activistes en profitent donc pour attaquer les entreprises et leur écosystème en se faisant passer pour celles-ci. Dans l’ensemble de ces attaques et fraudes, l’attaquant arrive par des moyens plus ou moins complexes à usurper l’identité de l’entreprise pour l’attaquer et à la fragiliser. Une dégradation de l’image de marque d’une entreprise auprès de ses clients mais également du grand public, peut provoquer des pertes financières se chiffrant millions d’euros, auxquels s’ajoutent les pertes faramineuses qu’une attaque paralysant le SI de l’entreprise engendre.

Le sujet de la protection de l’identité digitale des entreprises, quelle que soit sa forme, doit donc être adressé afin qu’elles se prémunissent des fréquentes et coûteuses usurpations dont elles sont victimes.

Cet article Protection de l’identité de l’entreprise, nouveau challenge de la digitalisation est apparu en premier sur RiskInsight.

Au milieu de l’été : une nouvelle proposition de loi sur le secret des affaires en France

La date n’a pas été choisie au hasard. Alors que les discussions actuelles au Parlement Européen autour du projet de règlement sur le traitement des données personnelles rentrent dans leur phase finale, et que l’application de la Loi de Programmation Militaire est attendue très prochainement avec les publications des décrets sectoriels, la France souhaite légiférer sur la protection des données entreprises. Ce manque avait déjà été mis en avant dans le rapport du groupe interministériel sur la cybercriminalité à travers la recommandation n°18 qui préconisait la création d’incriminations particulières pour le secret des affaires.

La résurrection tardive de ce projet de loi, plus ambitieux que son prédécesseur, montre bien à quel point il est compliqué de légiférer sur ce sujet épineux. La France poursuit donc sa volonté de construction d’un cadre législatif complet et spécifique pour tous les enjeux cyber stratégiques.

Vers une règlementation plus protectrice et plus sévère pour les intérêts économiques essentiels du pays

Par rapport au projet de loi dit Carayon cette nouvelle proposition comporte très peu de nouveautés. Nous pouvons citer par exemple que la tentative de violation du secret des affaires est punie au même titre que le délit, qu’un alourdissement des sanctions a été ajouté quand la violation du secret des affaires concernent les intérêts économiques essentiels de la nation (7 ans contre 3 ans d’emprisonnement et 750 k€ contre 350 k€ d’amende précédemment). Ont été également ajoutées des mesures législatives afin de contrer les procédures de type « discovery » obligeant les entreprises françaises à dépendre de tribunaux étrangers et donc de devoir communiquer leurs secrets d’affaire.

Cependant les obligations précises pour les entreprises ne sont pas encore définies. A l’heure actuelle l’information protégée doit seulement faire  « l’objet de mesures de protection raisonnables, compte tenu de sa valeur économique et des circonstances, pour en conserver le caractère non public. ». Ces éléments seront précisés ultérieurement.

Quelle réalité et quel avenir pour cette proposition de loi ?

L’initiative de cette proposition ne venant pas du gouvernement lui-même (c’est donc bien une proposition et non un projet de loi), ce texte devrait suivre un processus parlementaire plus long.

Des travaux parlementaires afin de cibler les obligations pour les entreprises sont en cours. Son étude par l’Assemblée Nationale avant le Sénat n’est pas prévue avant novembre 2014. Cependant, comme le souligne le texte de la proposition, une directive européenne est aussi en cours de discussion au parlement européen. Cette directive, déposée le 28 novembre 2013, pourrait rendre obligatoire une législation nationale sur ce sujet. L’enjeu est donc ici d’anticiper l’adoption de cette directive en mettant en place en amont un cadre juridique clair à l’échelle française.

Le futur impact pour les RSSI reste difficile à estimer, l’identification des informations sensibles au sein des entreprises risque d’être complexe. Cependant la reprise des négociations autour de la protection des données entreprises reste une bonne nouvelle, et ne demande qu’à être confirmée dans la suite des discussions parlementaires !

Cet article Le « secret des affaires » de retour dans le débat public, encore un essai sans suite ou réelle prise de conscience ? est apparu en premier sur RiskInsight.

Un apport des DLP complémentaire à la lutte contre l’intrusion et au contrôle d’accès

Une fuite d’information peut provenir de trois sources différentes. L’attaquant externe est souvent celui qui vient à l’esprit en premier. Cependant, l’expérience montre que ce sont les utilisateurs internes, autorisés ou non, qui font fuir le plus d’information.

Suivant la position de celui qui fait fuir l’information, trois grandes étapes peuvent être enchaînées : intrusion, accès à l’information, diffusion de l’information – dont la nécessité dépend des accès initiaux de l’acteur à l’origine de la fuite d’information. À chacune de ces étapes, des solutions de sécurité permettant de réduire le risque existent.

Il convient d’agir à toutes les étapes d’une fuite d’information en s’appuyant sur des mesures allant de la sécurité physique aux solutions de Digital Right Management (DRM), en passant par le chiffrement de flux, le cloisonnement, ou encore la gestion des accès et des habilitations…

Si de telles mesures sont déjà mises en œuvre, les outils de DLP permettent alors essentiellement de se prémunir contre des erreurs ou malveillances d’utilisateurs ayant un accès légitime à l’information. En ce sens, ils permettent d’apporter une protection au plus proche de la donnée.

Des solutions fonctionnellement matures

Les mécanismes de contrôle des DLP sont mis en œuvre à travers des règles ou politiques centralisées permettant d’analyser les traitements faits sur la donnée quelle que soit sa nature ou son support.

Grâce à des agents déployés sur le réseau et/ou sur les postes de travail, le DLP va pouvoir empêcher la copie d’un fichier sur un périphérique externe, l’envoi d’un document sensible par email, l’impression d’un document ou encore la publication d’une information confidentielle sur les réseaux sociaux.

Après analyse et filtrage des données par la solution DLP, différentes mesures de prévention peuvent être prises, avec un impact plus ou moins élevé pour l’utilisateur : alertes, demande de justification, blocage…

Enfin, il convient de noter que les acteurs du marché mettent de plus en plus l’accent sur le contexte d’utilisation de la donnée. Certains éditeurs proposent ainsi des fonctionnalités de gouvernance au sein de leur solution de DLP permettant par exemple de savoir exactement où se trouvent les données sensibles et qui y a accès.

Le marché des DLP est donc de plus en plus mature : la couverture fonctionnelle proposée est élevée et évolutive, la gestion de l’impact sur les collaborateurs de plus en plus souple. Néanmoins, les retours d’expérience restent limités par rapport à ce que l’on pourrait attendre.

La raison de ce paradoxe vient du fait que les métiers sont trop souvent insuffisamment impliqués dans les projets de DLP, alors même que ces projets n’ont que peu de chance d’aboutir sans eux, en particulier vu le volet RH nécessairement associé.

Adopter une approche par les résultats pour mobiliser les métiers

Il est illusoire de vouloir protéger toutes ses données dans tous les cas d’usage imaginables. Une approche purement technique visant un périmètre exhaustif n’a que peu de chance de convaincre, particulièrement dans la conjoncture économique actuelle.

Une approche par les résultats mêlant ciblage précis, démarche outillée, accompagnement et visibilité est donc à favoriser dès la sélection de la solution. Une fois les objectifs atteints sur un périmètre prioritaire, on peut envisager de l’élargir.

La première étape, primordiale, est donc la définition du périmètre prioritaire de données à protéger et des cas d’usage fonctionnels à traiter. Identifier les dix données les plus critiques, s’appuyer sur des situations fonctionnelles avérées, commencer par un nombre limités de supports pour réduire les aléas techniques sont autant de facteurs clés de succès.

La définition des processus de surveillance (politiques d’interaction avec les utilisateurs, processus en cas d’alerte…) ne doit également pas être négligée. Sur ce volet, et dès le début du projet, il est important de mobiliser les fonctions RH de l’entreprise pour valider le mode de mise en œuvre de la démarche DLP (alerte, blocage, journalisation…), construire les processus de gouvernance associés et au final envisager un passage devant les instances représentatives du personnel.

Lorsque le cadrage global du périmètre fonctionnel est effectivement achevé, la phase de sélection de la solution peut être entamée. Une démarche outillée impliquant la réalisation d’une maquette est indispensable pour s’assurer de l’adéquation de la solution aux cas d’usages fonctionnels identifiés et évaluer les résultats envisageables.

En cas de résultats satisfaisants, un déploiement progressif est à envisager avec un leitmotiv : la sensibilisation des utilisateurs.

Enfin, en mode récurrent, l’intégration à un SOC (Security Operation Center) peut permettre de bénéficier de la maturité de la gestion opérationnelle de la sécurité pour optimiser la surveillance d’une part et l’accompagnement et la visibilité fournis aux métiers d’autre part.

Cet article Le paradoxe des projets de Data Leak Prevention (DLP) : une problématique clé, des solutions matures… mais une mise en œuvre qui fait encore peur est apparu en premier sur RiskInsight.

 Un nouveau délit : la divulgation d’informations protégées par le secret des affaires

Inspiré du COHEN Act des États-Unis mais aussi d’autres textes européens, ce texte défini la notion « d’informations protégées relevant du secret des affaires d’une entreprise » (Art 325-1) et introduit le délit de divulgation de ces informations (Art 325-2).

Ces informations sont « quel que soit leur support, les procédés, objets, documents, données ou fichiers de nature commerciale, industrielle, financière, scientifique, technique ou stratégique ne présentant pas un caractère public dont la divulgation non autorisée serait de nature à compromettre gravement les intérêts de cette entreprise en portant atteinte à son potentiel scientifique et technique, à ses positions stratégiques, à ses intérêts commerciaux ou financiers ou à sa capacité concurrentielle »Art. 325-1 .

Cette large définition permet de couvrir les différents incidents rencontrés ces dernières années.

Jusqu’ici, en cas de fuites, les responsabilités pouvaient être recherchées pour vol, abus de confiance ou encore violation de propriétés intellectuelles.  Mais il était difficile de faire reconnaître des délits « virtuels » touchant des données immatérielles non reconnues par le code pénal.

Les exemples de jurisprudence sont rares, comme le jugement de juin 2010 du tribunal correctionnel de Clermont-Ferrand. L’ex-employé de Michelin souhaitant vendre des données à la concurrence a été condamné d’abus de confiance, mais sa peine est toute relative : 2 ans de prison avec sursis et 5000 euros d’amendes.

Les peines prévues dans ce nouveau texte sont largement plus dissuasives : 3 ans de prison et 375 000 € d’amendes. Seul regret, la tentative de fuite d’information n’est pas réprimandée. Il est important de préciser que les données identifiées ne seront pas protégées en cas d’investigations de la justice ou encore d’autorité de contrôle comme la CNIL. D’autre part, les journalistes sont également exclus du champ de la loi en cas de recel. Pour finir, les mesures de sécurité devront faire l’objet d’une information des instances représentatives du personnel.

Mais quels vont être les impacts dans les entreprises et comment le RSSI doit-il aborder ce sujet ?

Des impacts non négligeables

Le dispositif qui sera prochainement adopté va nécessiter un travail important dans les grandes organisations. En effet pour que la loi s’applique, les données doivent faire « l’objet de mesures de protection spécifiques destinées à informer de leur caractère confidentiel et à garantir celui-ci » (Art 325-1).

Le texte précise que les mesures seront précisées par décret en conseil d’état. Les premières discussions font état du marquage de l’ensemble des documents, de l’établissement de listes de personnes autorisées à prendre connaissance des informations, d’un stockage des documents papier dans des coffres ou des locaux sécurisés ou encore la mise en place de dispositifs de chiffrement et de codes d’accès.

Des pratiques minimums mais déjà complexes à déployer à large échelle. En effet, même si les données les plus sensibles sont souvent connues instinctivement, il peut être ardu de les identifier dans l’entreprise et à fortiori de les protéger dans son système d’information. Il s’agit d’un travail souvent méticuleux pour bien embrasser l’ensemble des données et tous les cas d’usage associés.

 Une réflexion à entamer dès aujourd’hui

 Il est évident que tout ne devra pas être classifié « secret des affaires » dans une entreprise.  Un bon réglage du « curseur » sera cependant ardu à trouver. Il faudra osciller entre « trop classifier », et donc augmenter les coûts, ou « ne pas assez classifier », et donc prendre de risques de fuites. L’implication des métiers et de la direction sera, encore une fois essentielle, et les efforts des années précédentes dans la réalisation d’analyse de risques s’avèreront très utiles.

Même si de nombreuses étapes législatives restent à franchir, réjouissons-nous cependant de l’avancée que représente ce texte, qui va d’une part aider à la sensibilisation du management et d’autre part apporter enfin une réponse juridique aux nombreux incidents rencontrés ces dernières années !

Cet article Le « secret des affaires » arrive dans notre cadre réglementaire ! Quel impact pour les entreprises ? est apparu en premier sur RiskInsight.

Mais de l’autre coté, les réseaux sociaux implémentent des mécanismes innovants de protection et de partage de l’information, précurseurs du futur de la protection des données. Même si ces innovations sont moins évidentes de prime abord, elles sont concrètes et en place dès aujourd’hui.

Prenons l’exemple du partage d’information entre des applications. Aujourd’hui, dans le monde de l’entreprise, chaque application échange des flux avec d’autres sans mettre en place (ou alors très rarement) des mécanismes d’authentification et d’autorisation. A contrario, les plateformes tels que Twitter permettent des gérer des droits d’accès applicatifs de manière simple et  efficace. L’utilisateur, avec son compte Twitter, peut autoriser des applications tierces à réaliser plus ou moins d’actions sur ses données. Lire les messages, ajouter des utilisateurs, écrire des messages, il est possible de gérer toutes ces opérations de manière transparente et claire avec un tableau de bord qui résume les droits accordés. Ces autorisations peuvent aussi être limitées dans le temps comme le propose LinkedIn.

Innovation complémentaire, la simplification et le renforcement de l’authentification de l’utilisateur. De plus en plus d’applications web permettent de s’authentifier en utilisant le compte Twitter ou Facebook de l’utilisateur. Voilà un moyen simple de limiter le nombre de comptes et de mots de passe dans la lignée des WebSSO mis en place dans l’entreprise. Certains vont même jusqu’à mettre en place gratuitement une authentification forte (Google par exemple) ou des mécanismes de ré-authentification pour les opérations les plus sensibles. Ces mêmes applications vont générer des alertes en cas de comportements suspicieux (utilisation depuis un autre pays, à des heures non cohérentes). Ces mécanismes avancés, au combien difficile à exiger en entreprise, sont implémentés aujourd’hui dans des applications grand public protégeant parfois de simples photos de vacances !

Autre exemple, la gestion des droits d’accès utilisateurs. L’utilisation de Google Docs montre comment l’utilisateur peut décider d’accorder des accès de manière simple (lecture, modification) à des utilisateurs qu’il connaît. Couplé avec une traçabilité et un suivi des modifications dans le temps implémentées nativement, ces fonctionnalités sont à des années lumières de ce que permettent aujourd’hui le partage de fichiers par messagerie, ou encore pire sur des clés USB. Google+ et sa gestion de « cercles » de contacts amène également une vue simple et compréhensible par l’utilisateur de la gestion des droits d’accès.

Bien entendu, ces mécanismes ne fonctionnent aujourd’hui que dans un monde « connecté » et dans l’écosystème d’un fournisseur (Google, Twitter, LinkedIn…). Bien entendu les grands acteurs du web ont des ressources importantes et des équipes expérimentées pour gérer leurs écosystèmes. Mais les entreprises pourraient à minima s’inspirer de ces innovations, voire même dans certains cas s’appuyer sur elles ! Nul besoin de recréer des comptes utilisateurs sur un site de recrutement externe, l’utilisation du compte Twitter ou Facebook peuvent être une alternative permettant de simplifier l’accès pour les candidats. Ceci peut également être vrai dans des campagnes de promotion B2C ou dans l’accès à certains espaces clients.

Il va donc être intéressant de suivre toutes les innovations apportées par ces réseaux sociaux dans la protection des données et d’estimer, en analysant les risques, comment ceux-ci peuvent être transposés ou utilisés dans les systèmes d’information des grandes entreprises !

Cet article Protection des données : les réseaux sociaux montrent la bonne direction est apparu en premier sur RiskInsight.

La direction générale doit être informée de cette évaluation de l’exposition. En parallèle, il s’agit également d’identifier les données les plus sensibles de l’entreprise. Sans viser une classification exhaustive de l’ensemble des informations, il est important de bien identifier les données les plus sensibles et/ou les plus exposées, mais aussi qui elles peuvent intéresser, que ce soit des personnes malveillantes internes ou externes pour les protéger de la manière la plus efficace possible. Ces éléments permettent à l’organisation d’évaluer le risque d’être visée par une attaque opportuniste ou ciblée. Ils permettent de mieux organiser les plans d’actions de protection.

Lutter contre les attaques opportunistes : retour aux fondamentaux

Les attaques opportunistes sont souvent simples. Elles utilisent des vulnérabilités évidentes dans le SI et visent les systèmes exposés publiquement. Il est facile de s’en protéger en investissant les moyens nécessaires pour mettre en place, concrètement, les bonnes pratiques de sécurité. Trois thèmes ressortent particulièrement :

• La sécurité applicative : les vulnérabilités web sont le vecteur principal d’attaque (injection SQL, mots de passe simples et stockés en clair, etc.). Il est crucial de rapidement renforcer la sécurité applicative en agissant en amont sur les développeurs et les métiers, et en aval sur les audits avant mise en production.

• Le maintien à jour de l’infrastructure : même si des efforts ont été réalisés, la gestion des correctifs, le durcissement des systèmes (y compris des comptes administrateurs) et l’utilisation de zone d’isolation (DMZ) ne sont encore parfois mis en oeuvre que partiellement.

• La mise en place de contrôles réguliers : que ce soit par l’intermédiaire d’audits, de tests d’intrusion ou par la mise en place de systèmes de détection d’intrusion ou de gestion des traces, des contrôles réguliers sont essentiels pour garantir le niveau de sécurité dans le temps.

Ces mesures matures et largement maîtrisées permettent aujourd’hui de lutter efficacement contre les attaques opportunistes. Aujourd’hui, elles sont efficaces car le système d’information repose sur un modèle de protection périmétrique, distinguant le réseau interne des réseaux externes, plus exposés. Dans le futur, ce modèle disparaîtra irrémédiablement et les applications internes seront de plus en plus exposées.

Nous détaillons dans le focus « 2015 : une révolution pour la sécurité ? », comment adapter sa stratégie pour répondre à ces évolutions et mettre en place une sécurité centrée sur les données en profondeur dans le SI.

Lutter contre les attaques opportunistes est possible en utilisant les moyens de sécurisation existant, mais comment réagir face aux attaques ciblées ? (Tribune n°3)

Cet article Comment réagir aux attaques ? Évaluer son exposition et adopter une stratégie de protection des données en fonction de leur sensibilité est apparu en premier sur RiskInsight.

Viviane Reding, juillet 2011

Été 2011 : alors que la presse bruissait des déboires sécuritaires de Sony, Sega ou autres FBI, la profession de foi de la commissaire européenne en charge de la justice est passée relativement inaperçue mais elle présage un réel changement dans les pratiques des entreprises quant à leur gestion des atteintes à la sécurité des données.

Ce changement est une réalité dès aujourd’hui pour les fournisseurs d’accès et les opérateurs télécoms depuis l’adoption du Paquet Télécom et sa déclinaison attendue en droit français.

L’obligation de notification bicéphale du Paquet Télécom : sécurité et données à caractère personnel

Noël 2009 : la Commission Européenne dépose au pied du sapin des législateurs nationaux un volumineux paquet d’exigences. Composé de deux directives, ce Paquet Télécom vient mettre à jour et modifier le précédent paquet de 2002, essentiellement retranscrit dans le droit français via le Code des Postes et des Communications Électroniques (CPCE). Parmi les nouveautés, figure la médiatique obligation de sécurité à travers notamment deux obligations de notification, s’appliquant respectivement à la sécurité des réseaux et à la protection des données à caractère personnel.

Sans doute frémissant encore de la cyberattaque ayant paralysé l’Estonie en 2007, le législateur européen fait en effet de la sécurité des réseaux de communication une obligation inconditionnelle du métier de fournisseur de réseau. Celui-ci est alors tenu de mettre en place un niveau de sécurité adapté au risque existant et de se soumettre à des audits indépendants. A ceci s’ajoute un strict devoir de transparence en la matière vis-à-vis de l’autorité concernée. Ainsi, tout incident de sécurité ayant un impact significatif sur le fonctionnement des réseaux et systèmes devra être porté à sa connaissance, le public n’étant informé que s’il est jugé d’utilité publique de le faire.  Cette obligation est très certainement une première étape vers la création d’un standard de sécurisation européen des réseaux.

La seconde obligation de notification vise quant à elle à inciter les fournisseurs et opérateurs à une vigilance accrue en matière de protection des données. Elle impose ainsi de notifier sans retard indu l’autorité compétente de toute violation de données à caractère personnel, c’est-à-dire de toute violation entrainant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé aux données. Les impacts ne sont pas nuls. Ils deviennent même considérables lorsque l’on ajoute que les abonnés ou personnes concernées doivent également être informées dès lors que cette violation peut avoir un impact sur eux

Quid des opérateurs et FAI français ?

En France, une loi votée en mars 2011 autorise le gouvernement à transcrire ce Paquet Télécom dans le droit national via une ordonnance, ce qui devait intervenir avant fin septembre. C’est chose faite depuis hier, l’ARCEP ayant publié sur son site l’Ordonnance le transcrivant en droit français (cf. encadré en fin d’article).

Ainsi, si les modalités doivent encore en être précisées, les notifications de violation de traitement à caractère personnel devront être effectuées auprès de la CNIL, qui appréciera les efforts déployés par les opérateurs et FAI en réponse aux incidents. Elle pourra également les mettre en demeure d’informer leurs abonnés, et sanctionner les entreprises en cas de manquement.

D’ici là les acteurs concernés doivent sans attendre s’assurer que leur gestion de la sécurité leur permet :

• D’assurer un niveau adapté aux risques, y compris sur les périmètres sous-traités à des tiers.
• De détecter et de répondre rapidement aux incidents de sécurité.
• De répondre aux sollicitations de l’autorité compétente et d’être à même de lui démontrer du niveau de sécurité mis en place.
• De gérer une communication de crise efficace et adaptée aux violations de données.

Par ailleurs, il semble dès à présent que les fuites de données chiffrées, et donc rendue inutilisables directement,  n’auront pas à être notifiées aux abonnés. L’inventaire et la cartographie des données à caractère personnel sur le SI des opérateurs apparaissent donc être des chantiers indispensables, en tant que vecteurs de maitrise et donc de sécurité mais également comme première étape d’un programme plus vaste de protection. Celui-ci incluant notamment le chiffrement, mais pas uniquement, la Commission mentionnant très clairement l’utilisation des bonnes pratiques et normes internationalement reconnues et met en avant des principes proches de la norme ISO 27001.

Après les télécoms : à qui le tour ?

2012 ? Et ce qui est vrai pour les opérateurs et FAI le sera sans doute très prochainement également pour les autres secteurs, comme l’attestent les déclarations de la commissaire européenne en charge de la justice. Chez nos voisins américains, allemands, irlandais ou néerlandais notamment, les législations ont fleuri ces dernières années afin d’instaurer une telle transparence.

Le législateur européen n’est pas en reste. Il qui indique dans la longue introduction aux exigences du Paquet Télécom : L’intérêt des utilisateurs à être informés ne se limite pas, à l’évidence, au secteur des communications électroniques, et il convient dès lors d’introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs

Le sens de l’histoire est ainsi bien à la notification systématique de tout incident de sécurité. Le projet de loi dit Informatique et Libertés (LIL) 3, déjà adopté au Sénat, en France, le confirme.

Que dit l’ordonnance du 25/08/2011?

L’ARCEP publie aujourd’hui sur son site l’Ordonnance transcrivant le paquet Télécom en droit français. S’il est confirmé que les atteintes aux données à caractère personnel devront bien être notifiées à la CNIL, sous peine de 5 ans d’emprisonnement et de 300 000€ d’amende, la notification des failles portant sur la sécurité et l’intégrité des réseaux n’est quant à elle pas directement mentionnée.  En revanche, l’obligation pour les opérateurs de se soumettre la sécurité de leurs installations, services et réseaux à des contrôles imposés par l’État est à présent reprise dans l’article 6 du Code des Postes et Communications Électronique (CPCE). Un décret en Conseil d’État viendra en préciser les modalités d’application.

Cet article Notification des atteintes à la sécurité des données : étape 1, les opérateurs télécoms est apparu en premier sur RiskInsight.

De nombreux incidents ont rythmé l’année. Deux cas ressortent particulièrement : Stuxnet, premier virus ciblant spécifiquement des équipements industriels, Wikileaks et la fuite de données gigantesque qui a touché les Etats-Unis. 2010 a également été une année où de nouveaux usages se sont développés! La virtualisation, qui est maintenant définitivement entrée dans les datacenters, le cloud computing, qui fait ses premières preuves ou encore les smartphones et autres tablettes avec des premiers déploiements métiers mais également des premiers usages innovants d’utilisation d’équipements personnels.

Une nouvelle approche pour de nouveaux enjeux

L’ensemble de ces évènements a aussi montré la limite des approches sécurité classiques. Celles-ci sont basées avant tout sur une protection de l’infrastructure du SI. Nous ajoutons des mécanismes de sécurité sur les différentes briques que sont le poste de travail, le réseau d’entreprise, l’accès Internet, voir le datacenter. Mais cette approche ne permet plus de répondre aux nouveaux enjeux ! En effet l’information est de moins en moins traitée sur les infrastructures de l’organisation. Elle est de plus en plus partagée, avec des partenaires et des clients, accédées depuis des équipements mobiles voir personnels, parfois encore traitées sur des systèmes aux contours plus ou moins connus comme dans le cadre du cloud computing.
Une nouvelle stratégie de réponse doit être envisagée face à ces évolutions, une stratégie qui devra être basé sur un principe simple : protéger au plus près les informations les plus sensibles. En effet pour être efficace et pérenne la sécurité doit se rapprocher de l’information, voir être portée par l’information elle-même, pour pouvoir être mieux partagée tout en étant toujours sécurisée.

Quelles en sont les conséquences ?

Ceci nécessite de planifier des chantiers ambitieux, lié par exemple à la classification des informations les plus sensibles, à la mise en place de mécanismes de protections des données (chiffrement, DRM, DLP…) ou encore à l’inclusion des mesures de sécurité dans les applications (chiffrement, scellement, authentification, processus projet…). Bien entendu les fondamentaux de la gestion des identités jouent un rôle essentiel et devront être encore renforcés pour y ajouter la gestion des partenaires et des clients. Mais il faudra aussi faire évoluer les habitudes, en ayant un focus particulier sur les équipes en charge des applications au cœur de cette nouvelle problématique de protection.L’objectif de 2011 est de faire évoluer nos principes pour aller de la protection de l’infrastructure à une vraie protection des données. Voici une année qui s’annonce donc riche en projets et en challenge !

Cet article 2010 – 2011 : protéger les infrastructures ou protéger les données ? est apparu en premier sur RiskInsight.