Cependant, comment modéliser ces différentes données d’entrée de FAIR ? Comment se font les calculs sur les données ? Existe-t-il des outils pour faciliter leur obtention ou évaluer leur qualité, et quels efforts demandent-ils pour être mis en œuvre ?

Ayants vu précédemment dans quelle mesure la méthode de quantification du risque était digne de confiance dans son déroulement, voyons à présent comment la part inévitable de subjectivité peut être confinée, et quels facilitateurs peuvent aider à obtenir des résultats sûrs.

Le carburant de FAIR : les données

L’analyse du risque proposée par FAIR (selon le document de normalisation édité par l’OpenGroup[3]) est réalisée en quatre temps :

• Dans un premier temps, de façon assez classique, il s’agit de préciser le périmètre du risque en question (Scope the analysis) : l’asset (le bien sujet au risque), le contexte de la menace (agent et scénario), et l’évènement de perte (ou évènement redouté considéré sous l’angle des pertes) ;
• La deuxième étape (Evaluate Loss Event Frequency) consiste à collecter l’ensemble des données fréquentielles liées à l’évènement de perte (et donc intimement lié à l’agent de menace). Ceci consiste à collecter les valeurs de la branche de gauche dans l’arborescence ci-dessous.
• La troisième (Evaluate Loss Magnitude), en évaluant les couts, focalise sur l’asset. Il s’agit alors de chiffrer les différentes pertes primaires (c’est-à-dire les pertes inévitables en cas d’occurrence du risque) et secondaires (ou pertes éventuelles, ne se produisant pas systématiquement en cas d’avènement du risque). Ceci consiste à collecter les valeurs de la branche de droite dans l’arborescence ci-dessous.
• Enfin, la dernière étape (Derive and Articulate Risk) est le fusionnement des données obtenues conformément à l’arborescence FAIR par différents calculs, pour obtenir le résultat sous forme d’outputs exploitables.

Lien entre l’analyse et la taxonomie de FAIR

Sans aller plus dans le détail de la taxonomie, déjà abordé dans l’article présenté précédemment2, nous constatons que l’analyse standard d’un seul risque demande déjà sept données (correspondant aux éléments de la base de l’arborescence) :

1. Contact frequency;
2. Possibility of action;
3. Threat capability;
4. Resistance strength;
5. Primary loss magnitude;
6. Secondary loss magnitude;
7. Secondary loss event frequency.

Il faut ajouter à cela que FAIR invite à décliner les pertes (primaires et secondaires) en six catégories (facilitant ainsi l’estimation précise de ces données de pertes) :

• En pertes de production : liées à l’interruption du service produit par l’asset ;
• En cout de réponse : liées à la réponse à incident ;
• En frais de remplacement : liées au remplacement des constituants endommagés de l’asset ;
• En frais de justice : liées aux amendes et poursuites juridiques ;
• En perte d’avantage compétitif : liées à l’impact sur l’organisation dans son secteur d’activité ;
• En pertes de réputation : liées aux retombées sur l’image publique de l’organisation.

Comment modéliser correctement l’incertitude du risque ?

De plus, il est bon de se poser la question de ce qu’est concrètement une donnée FAIR.

En effet, il est trop réducteur de définir une donnée par une unique valeur chiffrée. Par exemple, si nous considérons l’attaque par rançongiciel : il serait incorrect d’affirmer qu’une occurrence de ce risque couterait exactement 475 k€[4] (illustrée par la courbe bleue sur le graphe 1).

Graphe 1 : Une distribution, un modèle plus réaliste qu’une valeur isolée

En revanche, ajouter de l’incertitude à cette donnée en l’accompagnant d’une borne minimale (qui pourrait être de 1 € dans notre exemple) et d’une borne maximale (de 300 M€ dans l’exemple), tout en gardant la valeur la plus probable énoncée précédemment, permettrait de modéliser beaucoup plus fidèlement la réalité (courbe violette du graphe 1).

Une donnée est alors définie par un minimum, un maximum et une valeur la plus probable (correspondant au pic de la distribution). Nous pouvons de plus noter qu’une telle distribution de probabilité est indépendante du type de valeurs considérées : il peut aussi bien s’agir d’une perte dans une devise quelconque (cf. l’exemple précédent), que d’une occurrence (par exemple, entre 1 fois par an et 1 fois tous les 10 ans, et une valeur plus probable autour d’une fois tous les deux ans), ou bien même d’un ratio (entre 30% et 70 %, plus probablement autour de 45%). Nous pouvons ainsi utiliser ces distributions pour modéliser toutes les données de la taxonomie FAIR.

Un autre avantage de la modélisation de l’incertitude par une distribution est de pouvoir régler finement le degré de confiance dans la valeur la plus probable, via le coefficient d’aplatissement de la courbe. Plus ce dernier sera élevé, plus la confiance dans la donnée sera grande (correspondant à un pic très marqué, cf. la courbe verte sur le graphe 2). En revanche, une donnée peu fiable sera modélisée par une distribution beaucoup plus homogène (cf. la courbe rouge sur le graphe 2).

Graphe 2 : Refléter le niveau de confiance à travers les distributions

Cependant, le fait d’utiliser des distributions plutôt que des valeurs fixes pose problème lorsqu’il s’agit de les combiner entre elles, ce qui sera nécessairement le cas lorsque nous effectuerons les calculs de l’arborescence FAIR. Comme nous pouvons en effet le constater sur le graphe 3 (l’addition de la distribution verte et de la rouge donnant la violette), l’addition de deux lois de distribution ne permet pas d’obtenir une distribution aussi ‘simple’ que les précédentes (elle ne suit plus une loi de probabilité dite log-normale). Cela est également le cas dans le cadre d’une multiplication (dont le résultat est également complexe).

Graphe 3 : addition de deux distributions.

Pour obtenir un résultat mathématiquement cohérent, la théorie des jeux nous donne un moyen simple : les simulations de Monte Carlo. Il s’agit en effet de discrétiser les distributions (la verte et la rouge du graphe 3), en un nombre prédéfini de valeurs aléatoires (appelé nombre de simulations), réparties de façon à correspondre à la distribution concernée. Nous pouvons ensuite combiner les distributions ainsi discrétisées en effectuant les calculs sur des paires de valeurs de chaque distribution. La nouvelle répartition pourra ensuite être approximée, et sera d’autant plus précise que le nombre de simulations sera grand.

Les caisses à outils artisanales pour automatiser FAIR…

Pour effectuer ces calculs permettant d’obtenir une valeur chiffrée du risque, des solutions ont émergé (principalement à partir de la méthode FAIR). Nous aborderons donc ici les avantages et inconvénients de ces outils, qui sont également cités dans l’article précédent1.

L’OpenFAIR Analysis Tool

La première que nous pouvons citer est l’OpenFAIR Analysis Tool[5]. Si cet outil a simplement un but pédagogique, il permet néanmoins de comprendre le fonctionnement de FAIR. Il est ainsi possible d’avoir une première application concrète de la méthode, et d’obtenir des résultats simplement (uniquement dans le cadre d’une analyse d’un risque isolé). Mis sur pied par l’université de San José (Californie) en collaboration avec l’OpenGroup, cet outil utilise une feuille Excel pour obtenir une évaluation du risque à partir d’un nombre prédéterminé de simulations, en respectant scrupuleusement la taxonomie FAIR.

OpenFAIR Risk Analysis Tool : un outil avant tout pédagogique

Très utile pour avoir un premier contact avec la quantification, l’outil reste cependant très limité en termes d’utilisation. Enfin, il faut noter qu’il n’est accessible que sous Excel et avec une licence d’évaluation limitée à 90 jours.

Riskquant

Pour une utilisation à plus grande échelle, le département R&D de Netflix a mis sur pied la solution Riskquant[6]. Il s’agit d’une bibliothèque de programmation Python, s’appuyant notamment sur tensorflow (un module python spécialisé pour le calcul statistique massif). La particularité de Riskquant est de proposer une quantification du risque inspirée de la taxonomie FAIR, mais ayant gardé une grande liberté dans son implémentation. Développée pour faciliter l’utilisation sur des conteneurs, elle permet par conception des évaluations très rapides à partir de fichiers csv.

Riskquant : une approche originale mais manquant de maturité

Cependant, le fait de n’avoir gardé de FAIR qu’une valeur unique de perte et une fréquence unique la rend peu exploitable, notamment dans le cadre d’une organisation qui chercherait à cadrer précisément ses risques. De plus, elle ne fournit à ce jour que peu de résultats exploitables et manque clairement de maturité. Enfin, elle semble à ce jour mise en sommeil depuis le 1^er mai 2020 (date du dernier dépôt sur la page GitHub de la solution).

PyFAIR

Pour finir ce paragraphe sur les solutions pouvant servir de base à une implémentation de FAIR, la bibliothèque PyFAIR est disponible sur le dépôt python officiel (téléchargeable via l’outil pip). Désormais mature, l’outil permet une décomposition du risque suivant la taxonomie FAIR. Il permet également d’alimenter l’arborescence à partir de valeurs intermédiaires, ou de regrouper des données pouvant servir à plusieurs risques (permettant par exemple des regroupements par asset ou menaces). Il est capable de calculer des risques globaux, et fournit des distributions facilement exploitables sous python, mais également des graphiques et des rapports HTML préformattés.

PyFAIR, une bibliothèque complète et efficace en Python

Bien qu’elle reste une boite à outil de programmation, demandant de fait une appétence et du temps pour développer et entretenir une solution en Python, PyFAIR est bien conçue. Elle facilite l’implémentation de FAIR en restant très proche de la taxonomie, et fournit des fonctions facilitant la mise en œuvre comme l’exploitation des résultats. Apte à être exploitée à plusieurs niveaux (i.e. en l’utilisant uniquement pour calculer des résultats à partir d’un paramétrage fin de FAIR et de Monte Carlo, ou bien en exploitant des fonctions de génération de rapports de haut niveau), elle permet d’envisager une utilisation de la quantification techniquement facilitée et à grande échelle.

Des plateformes ‘clé en main’ pour faciliter l’acquisition des données :

Néanmoins, la difficulté principale de FAIR reste, comme nous l’avons vu précédemment, l’obtention de données et leur fiabilité. Pour y faire face efficacement, la solution la plus efficace est de s’appuyer sur une plateforme intégrant une base de données de CTI.

Ces plateformes fournissent les valeurs de risque liées aux menaces (donc très peu dépendantes de l’entreprise). Elles accompagnent de plus le déploiement et la mise en œuvre de la méthode de quantification, notamment en la guidant pour l’obtention de données de pertes adaptées.

RiskLens

La première de ces solutions est la plateforme RiskLens[7]. Cette solution, directement issue de la méthodologie FAIR, a été co-fondée par Jack Jones. Elle sert de support technique au développement de la méthode, en lien avec le FAIR Institute. Ayant une approche technique de la méthode, elle porte son effort sur le respect des standards de l’analyse en général et de la définition du périmètre (première étape de FAIR) en particulier.

RiskLens, l’application de FAIR à la lettre

Néanmoins, il faut noter que d’une part, cette solution demande d’avoir des notions avancées dans la méthode FAIR pour être facilement utilisable. En effet, la plateforme n’apporte pas une véritable aide pour l’obtention des données (qui comme nous l’avons vu, reste la clé de voute de la quantification), partant du principe que la définition du périmètre suffit à définir précisément la donnée, et de ce fait de l’obtenir aisément. D’autre part, il s’agit d’une plateforme américaine, ce qui implique que l’interface (assez peu intuitive) est uniquement disponible dans cette langue, et que les données collectées sont alors assujetties à la réglementation américaine.

CITALID

La seconde plateforme dont nous ferons mention ici est la startup française CITALID, qui a adopté une approche fondamentalement différente. En effet, cette dernière, fondée par deux analystes de l’ANSSI, recherche par conception à lier la CTI à la gestion de risque. Ainsi, utilisant FAIR comme l’outil leur permettant de réaliser ce lien, elle fait effort sur la conception et le maintien d’une base de données disposant de chiffres solides et maintenus à jour pour suivre au plus près la situation cyber géopolitique locale et internationale.

CITALID, une base de données à haute valeur ajoutée

Cette dernière plateforme apporte un vrai accompagnement dans la définition et la collecte des données, permettant ainsi d’identifier précisément où subsiste la part de subjectivité indéniablement liée au risque. Disponible en français et en anglais, elle facilite la gestion du risque cyber en prenant en compte tous les paramètres de l’organisation (localisation, taille, secteur d’activité, niveau de maturité, conformité aux référentiels, etc.) pour fournir des données de contextes adaptées. En outre, et en plus d’une explicitation de chacun des champs de la plateforme, la startup accompagne ses clients dans l’obtention des données qui sont de leur ressort.

FAIR le premier pas…

Quoi qu’il en soit, la difficulté demeurera toujours de réussir la transition de l’estimation qualitative à l’estimation quantitative. Bien que des solutions puissent faciliter cette bascule, l’abandon d’une méthode maitrisée pour une nouvelle méthode reste un défi, malgré tous les bienfaits que cette dernière promet.

S’il fallait insister sur 3 points pour envisager ce changement, ceux-ci pourraient être :

• D’une part, de s’assurer d’avoir la maturité requise. La quantification demande d’avoir une bonne maitrise du niveau de sécurité du SI concerné, et de s’adosser à une méthode de gestion du risque préexistante et rodée. Si la quantification apporte des solutions pour chiffrer un risque, le provisionner ou estimer le ROI d’une mesure, il est cependant inutile (voire contre-productif) de s’engager sur cette voie trop tôt (sous peine au mieux de perdre du temps, au pire de dégrader la gestion de risque existante).
• Ensuite, d’avoir une approche progressive dans le déploiement de la quantification. Dans un SI mature disposant d’une gestion de risque stable, il est préférable d’adopter progressivement la méthode quantitative. Cela permet notamment de prendre confiance dans les estimations produites (éventuellement en le faisant coexister avec la méthode d’estimation qualitative) et d’assimiler la méthodologie, tout en assurant son intégration dans le processus existant de gestion du risque.
• Pour terminer, de s’appuyer sur l’expérience existante dans la collecte des données de risque cyber. La difficulté résidant dans l’obtention de données sûres, il est crucial (pour avoir confiance dans la méthode) de disposer de chiffres sûrs. Il semble alors judicieux de s’appuyer sur une plateforme qui peut fournir des données de qualité, et un appui dans la collecte des données internes. Celle-ci disposera de plus de l’expérience acquise par le déploiement de la méthode sur d’autres clients. La qualité des résultats fournis sera alors l’élément clé dans la confiance que l’organisation aura dans la méthode quantitative.

[1] https://www.riskinsight-wavestone.com/2020/11/estimation-quantifiee-du-risque-1-2-lodyssee-de-la-quantification/

[2] https://www.riskinsight-wavestone.com/2020/06/la-quantification-du-risque-cybersecurite/

[3] https://publications.opengroup.org/c13g

[4] https://www.sophos.com/fr-fr/medialibrary/Gated-Assets/white-papers/sophos-the-state-of-ransomware-2020-wp.pdf

[5] https://blog.opengroup.org/2018/03/29/introducing-the-open-group-open-fair-risk-analysis-tool/

[6] https://netflixtechblog.com/open-sourcing-riskquant-a-library-for-quantifying-risk-6720cc1e4968

[7] https://www.risklens.com/

Cet article Estimation quantifiée du risque (2/2) : Quelles données, quels outils ? est apparu en premier sur RiskInsight.

Pour plus d’informations, retrouvez la vidéo de présentation du concours.

Pour la quatrième édition du concours, la data et l’IA viennent s’ajouter à la cybersécurité !

Alors que les précédentes éditions du concours récompensaient uniquement des startups spécialisées dans le domaine de la cybersécurité, l’édition 2020 a élargi son spectre pour accueillir de nouveaux sujets, que sont l’intelligence artificielle et la data, qui demeurent des composantes clés au sein de l’écosystème cyber.

L’ensemble des sociétés participantes, d’origine française ou européenne, ont su partager toute la richesse de leurs diverses expertises. On peut ainsi dresser le top 5 des sujets traités par les participants cette année :

• Lutte contre la fraude
• Protection de l’identité numérique
• Développement de l’intelligence artificielle pour les affaires
• Protection de l’intégrité des données
• Détection des incidents et vulnérabilités

Un jury d’envergure, des analyses et des messages forts !

Cette cérémonie avait bien évidemment pour but de récompenser les grands gagnants de l’édition 2020, mais pas seulement. C’était également l’opportunité, pour l’ensemble des membres du jury et des personnalités présentes, de partager leurs analyses quant à l’écosystème startups actuel.

Cette année, le jury était composé de Claire Calmejane (Directrice de l’Innovation du Groupe – Société Générale), Christophe Leblanc (Directeur des Ressources et de la Transformation Numérique du Groupe – Société Générale), Pascal Imbert (Président Directeur Général – Wavestone), Reza Maghsoudnia (Directeur Développement Stratégique – Wavestone), Guillaume Poupard (Directeur Général – ANSSI), Jamal Attif (Professeur à Dauphine-PSL, responsable de l’équipe MILES) et d’un collège d’experts (Thierry Olivier, Christina Poirson, Julien Molez, Gérôme Billois, Ghislain de Pierrefeu et Severine Hassler).

Enseignements et perspectives de la crise

Bien que cette crise sanitaire ne soit pas encore terminée, elle paraît en tout cas un peu mieux maîtrisée qu’en mars, quand cette maladie nous était encore inconnue. À ce sujet, Pascal Imbert et Christophe Leblanc ont apporté leur analyse de cette crise et de ses impacts.

Selon eux, cette crise a été à la fois révélatrice des fragilités propres à chaque entreprise et des modèles économiques actuels, mais aussi accélératrice de tendance, avec une place plus importante encore prise par le numérique ces derniers mois. Ces éléments rendent les transformations plus profondes et plus rapides. Cela n’est pas sans conséquence pour les entreprises, qui voient leurs transformations s’accélérer, avec la nécessité d’intégrer de nouveaux facteurs, tel qu’un meilleur équilibre entre efficacité et résilience. Tout cela, avec une place majeure de la technologie, qui représente un défi économique, technologique et de souveraineté. L’environnement startups, mis à l’honneur avec ce concours, est, selon Pascal Imbert, un des élément clé devant nous permettre de reprendre la main sur la technologie et ses usages.

Cette crise est donc à la fois un facteur de transformation digitale et stratégique, dont la data et la cybersécurité font partie intégrante, un facteur d’agilité, avec l’accélération du télétravail et l’adaptation des règles de sécurité informatique qui a été nécessaire et un facteur de « stress-test », pour nos modèles économiques et technologiques.

L’intelligence artificielle et la data au service de la crise

Jamal Attif nous l’a tous rappelé d’emblée : « la valeur est dans la donnée ». Cependant, selon lui, l’IA telle qu’on la connait aujourd’hui, n’est pas en mesure de résoudre cette crise. Elle peut aider à la combattre, en utilisant par exemple des algorithmes de fouille de données bibliographiques permettant de comprendre les effets de certains médicaments. Elle peut aussi accélérer et améliorer les diagnostics dans le milieu médical, via la reconnaissance d’images, mais elle ne peut pas prédire ce qui n’a jamais été observé auparavant, telle que cette épidémie, qui s’est développée très rapidement.

L’écosystème des startups a aujourd’hui un vrai impact dans nos modèles économique, mais il paraît important selon lui, pour faire de l’innovation de rupture permettant de répondre à des problématiques d’une telle envergure, de combiner toutes les forces en présence, que ce soient celles du monde de la recherche, des grands groupes ou des startups.

Cybersécurité : évolution de la menace et innovations

Guillaume Poupard constate deux points majeurs concernant le numérique et la cybersécurité aujourd’hui.

Tout d’abord, il soulève le côté positif de la transformation numérique, qui a permis de surmonter le défaut d’activité pendant cette période particulière. Cependant, il faut selon lui rester prudent, notamment face à la croissance particulièrement inquiétante de la cybercriminalité qui cible désormais de grandes entreprises, avec des cas très graves qui se multiplient (50 ransomwares en 2019, contre déjà 130 en 2020, et ce n’est pas terminé). La question de la lutte contre la cybercriminalité est donc un sujet d’importance majeure, d’où l’utilité de refaire des analyses de risques et des audits des systèmes d’information, afin de déceler les éventuels manquements à la cybersécurité durant ces quelques mois. Tout comme Jamal Attif, il rappelle l’importance que des acteurs publics et privés de toutes tailles, avec des motivations différentes, puissent travailler ensemble, afin de renforcer nos défenses en matière de cybersécurité. Il faut selon lui mettre en avant ceux qui innovent, et c’est d’ailleurs l’un des objectifs du campus cyber, qui devrait voir le jour dans les prochaines années, en région parisienne.

L’autre point, c’est de continuer à élever ces sujets au niveau de l’Union Européenne, et même au-delà, en mettant en place des réseaux pour que l’ensemble des parties prenantes puissent travailler ensemble. C’est notamment l’objectif du lancement, par les états membres de l’Union Européenne, du Cyber Crisis Liaison Organisation Network (CyCLONe).

Zoom sur l’écosystème innovation et startups

Reza Maghsoudnia partage l’essence même de l’écosystème startups, qui est de savoir sortir des sentiers battus, de challenger les acteurs établis, et d’innover pour donner plus de valeur aux diverses transformations que nous vivons. La crise augmente encore le besoin d’innovation, d’où l’importance pour Wavestone, de continuer à identifier ces gisements d’innovation, de les soutenir et de les accompagner.

À ce sujet, Wavestone a créé en 2015 un accélérateur de startups (Shake’Up), permettant d’être en permanence en interaction avec plusieurs centaines d’acteurs innovants sur le marché et d’identifier des pépites, afin de les accompagner. À ce jour, plus de 40 startups ont été accompagnées, dont de véritables success stories telles qu’Alsid et Citalid, dans le domaine de la cybersécurité. En ce qui concerne l’écosystème startups Cybersécurité françaises, nous vous proposons d’ailleurs de lire l’analyse de nos experts, suite au radar des startups réalisé par Wavestone.

61 startups participantes, 8 startups retenues et 4 startups récompensées

Isahit, Prix Spécial – Data for good & Ethics

Fondée en 2016, la « Tech for Good » française Isahit propose aux entreprises une plateforme digitale d’impact sourcing, pour le traitement de tâches digitales ne pouvant être prise en charge par une intelligence artificielle.

Retrouvez la vidéo de présentation de la startup Isahit.

CryptoNext, Prix Spécial – Cybersécurité Made in France

Fondée en 2019, CryptoNext a développé une technologie de chiffrement permettant de rendre les données résistantes à la puissance de l’informatique quantique. Son logiciel a vocation à être implémenté dans les offres des grands acteurs de la sécurité informatique.

Retrouvez la vidéo de présentation de la startup CryptoNext.

Inqom, Grand Prix Data & IA

Fondée en 2015, Inqom a construit un logiciel SaaS d’automatisation la production comptable, permettant de générer le bilan en temps réel. Grâce à l’intelligence artificielle, la solution traite et enrichit les données comptables afin de créer une comptabilité centralisée, uniformisée et intelligente.

Retrouvez la vidéo de présentation de la startup Inqom.

Hackuity, Grand Prix Cybersécurité

Fondée en 2018, Hackuity propose une plateforme repensant la manière dont les vulnérabilités informatiques sont gérées dans les entreprises en collectant, normalisant et orchestrant toutes les pratiques d’évaluation de la sécurité, automatisées ou manuelles.

Retrouvez la vidéo de présentation de la startup Hackuity.

Cet article Banking Innovation Awards : ils construisent ensemble la banque du futur !  est apparu en premier sur RiskInsight.

Penser un projet Smart City avec la cybersécurité

Il est fondamental d’intégrer les aspects cybersécurité dès le démarrage d’un projet Smart City. En effet, le réaliser plus tard dans le projet pourra s’avérer plus complexe et couteux, avec le risque de ne pas en traiter / pouvoir traiter tous les risques.

Ceci nécessite de repenser l’organisation du projet vis-à-vis de la donnée et de la gouvernance de la sécurité : les principes de sécurité doivent être définis à l’échelle globale du projet et pris en compte par chacun des sous projets composant la Smart City, en fonction de leurs contraintes. Cela est d’autant plus vrai que les Smart Cities impliquent un grand nombre d’acteurs aux cœurs de métier, aux moyens et à la maturité cybersécurité différents. Une vision globale et partagée est indispensable pour s’assurer que chaque élément traite la donnée avec le niveau de sécurité adéquat.

Il convient ensuite de définir les grands principes d’architecture et d’interopérabilité, selon les contraintes inhérentes à la Smart City, liées à l’Edge Computing et au déploiement d’objets en milieu hostile. La résilience du système doit être au cœur des exigences de sécurité, la chute ou la compromission d’un élément ne devant pas entrainer la chute de la totalité du système.

A cet effet, des standards communs doivent être adoptés, en s’appuyant sur des frameworks spécifiques comme ETSI ou OneM2M. Ces derniers augmentent les chances de maintenir des systèmes interopérables évolutifs. Plus généralement, le NIST ou la norme ISO 27002 sont des référentiels de cybersécurité éprouvés sur lesquels il serait intéressant de s’appuyer.

Le mode de développement doit être agile, en intégrant une vision sur le long terme pour anticiper les nouveaux cas d’usage, et en jalonnant court afin de délivrer rapidement les premiers services. La cybersécurité doit être incluse dans les processus de développement, par la définition d’Evil User Stories, permettant d’identifier et de prendre en compte les risques à chaque évolution des services ou du SI, et par la nomination d’experts cybersécurité dans un rôle de support et de validation.

La définition et le maintien d’un niveau de sécurité satisfaisant passera plus que jamais par l’intégration rigoureuse de la sécurité dans toutes les phases du projet, cela pouvant induire des investissements humain et technologique plus importants mais nécessaires.

Protéger les données critiques et régulées

Etant donnée la propension de la Smart City à collecter et traiter de grandes quantités de données, leur protection passera en premier lieu par l’identification des données et des actifs critiques.

La majorité des services proposés par la Smart City sont à destination des citoyens. Par conséquent, des données identifiantes et ainsi potentiellement sensibles vont être collectées. Par ailleurs, une perte de disponibilité ou d’intégrité de certains services pourront avoir de graves répercussions étant donné que certaines composantes du SI ont une prise directe sur le monde physique. Les Smart Cities n’échappent pas aux réglementations, notamment au Règlement Général sur la Protection des Données (RGPD), mais aussi selon les usages au Référentiel Général de Sécurité (RGS), à la Loi de Programmation Militaire (LPM) ou à la directive européenne Network and Information Security (NIS), dont les exigences en matière de protection des données devront être intégrées dans les programmes.

Des niveaux de classification de la sensibilité de la donnée doivent donc être formalisés afin de permettre la priorisation des actions et la mise en place de cadres de traitement des données critiques adaptés tels que le chiffrement et l’anonymisation.

Le problème de l’accès aux données devra aussi être posé. Les acteurs de la Smart City sont nombreux et il sera nécessaire de segmenter la « vision » qu’ils pourront avoir du SI. Cela passera par une phase préalable de définition des profils d’habilitations, nécessaires au respect du principe de moindre privilège, associée à une revue régulière de leurs affectations afin de s’assurer qu’elles soient toujours légitimes.

Opérer sur des environnements de confiance

Le projet Smart City s’appuiera nécessairement sur différents socles techniques et organisationnels. Si ces socles sont au Système d’Information ce que les fondations sont à une maison, il est aisé de comprendre qu’il sera difficile de bâtir quoi que ce soit si cette base est fragile.

Comme toujours, ces socles techniques doivent être couverts par les mesures fondamentales de la sécurité : mise en place de bulles de confiance, durcissement des systèmes, patch management, sécurisation des comptes à privilèges et de leur usage, etc.

Par ailleurs, un système d’information à la surface d’attaque aussi large que celui de la Smart City devra nécessairement rompre avec le modèle de sécurité traditionnel dit « château-fort », en jouant davantage sur des aspects de cloisonnement et de contrôle d’accès à la donnée elle-même. La conformité des actifs au sein du système d’information devra être évaluée continuellement en s’appuyant sur des référentiels de configuration et de durcissement communs. Les systèmes et applications exposés doivent faire l’objet de contrôles et audits, particulièrement pendant la phase de développement, mais aussi pendant la phase d’exploitation.

Par ailleurs, la continuité et la reprise d’activité devront être au cœur de la stratégie de sécurité. Des plans devront être formalisés, mais aussi testés, incluant à la fois les considérations techniques comme la résilience des différents systèmes, incluant la capacité à restaurer des systèmes indépendamment des autres, mais aussi organisationnelles par la réalisation d’exercices de gestion de crise.

Enfin, la Smart City impliquant un grand nombre d’acteurs, toutes les parties prenantes devraient garantir la mise en œuvre de moyens significatifs dans la protection des systèmes d’information impliqués et se conformer aux exigences de la politique de sécurité du projet. Pour cela, ils devront être engagés contractuellement, à minima par l’inclusion d’exigences de sécurité dans les contrats, mais aussi par la formalisation et la mise en œuvre de plans d’assurance sécurité, notamment pour les prestataires les plus critiques. Des contrôles réguliers pourront être commandités afin de s’assurer du maintien du niveau de sécurité dans le temps et adresser les futurs scénarios de risque.

Détecter, réagir et partager

La Smart City ne peut se passer d’un service de détection et de traitement des incidents de sécurité.

Il conviendra de collecter les traces de l’activité sur les systèmes et rechercher les signaux faibles. Face au nombre important d’évènements à traiter, il sera indispensable de définir les risques dont on souhaite se prémunir et de s’appuyer sur des solutions de corrélation afin de faciliter ces recherches. L’utilisation d’outils d’automatisation permettra d’effectuer un premier tri des faux positifs, facilitant le travail des analystes dans la qualification des alertes de sécurité.

La construction du service de détection et de réaction pourra se faire en s’appuyant sur les référentiels PDIS et PRIS. On pourra au besoin recourir à des fournisseurs externes qualifiés sur ces deux services.

Le recours à des services de Cyber Threat Intelligence apportera un gain important d’efficacité dans la création et l’enrichissement des règles de détection du SOC. En effet, il sera ainsi possible d’adopter une posture de détection proactive en effectuant une veille sur les attaques ayant ciblé des Smart Cities et des modes opératoires utilisés. Ceci présentera également l’avantage d’améliorer l’efficacité du service de réaction par l’économie d’un temps d’investigation précieux.

Enfin, le processus de traitement des incidents de sécurité significatifs et majeurs ne pourra se faire sans la formalisation d’une cellule de gestion de crise, composée d’acteurs aux rôles bien définis et formés à cet exercice. Un point d’attention particulier sera porté sur le dispositif de communication externe, la « gravité » d’une crise dépendant autant de l’événement qui en est à l’origine que de la perception qu’en a le monde extérieur.

En conclusion, et comme nous l’avons vu au travers de ces deux articles, la Smart City est une évolution qui s’impose d’elle-même dans une époque où se mêlent à la fois des enjeux démographiques, écologiques et économiques. Ses promesses sont séduisantes, mais le cadre de mise en œuvre peut susciter certaines craintes.

Comme pour n’importe quelle transformation numérique, la garantie d’un niveau de sécurité en adéquation avec les enjeux du projet passera nécessairement par l’identification des failles et des risques de sécurité qu’elle engendre.

A l’ère des cyberguerres et des cybermenaces, la Smart City devrait être considérée comme un Fournisseur de Service Numérique, au sens de la directive NIS, et être protégée par les mesures de sécurité adaptées à ce statut.

La proposition de services sécurisés, respectueux des données de leurs usagers est une condition sine qua none au succès d’un projet Smart City, dont les bénéfices n’auront d’égal que l’ampleur de l’impact d’une cyberattaque réussie.

Cet article Les enjeux de Cybersécurité autour de la Smart City (2/2) est apparu en premier sur RiskInsight.

« Une ville intelligente et durable est une ville novatrice qui utilise les nouvelles technologies pour améliorer la qualité de vie, l’efficacité des services urbains ainsi que la compétitivité, tout en respectant les besoins des générations actuelles et futures dans les domaines social et environnemental. »,  Institution spécialisée des Nations Unies pour les Technologies de l’Information et de la Communication.

Augmentation de la population urbaine, urgence écologique et transition énergétique, contraintes sur les finances publiques, besoin de réinventer le lien entre le service public et l’usager, augmentation du confort de vie des habitants, etc. : toutes ces problématiques sont autant de défis que la Smart City pourrait contribuer à adresser et qui poussent les collectivités à investir dans cette direction.

Afin de répondre à ces enjeux d’aujourd’hui et de demain, la Smart City va devoir créer une synergie entre différents domaines tels que la gestion intelligente du trafic, le développement de nouveaux modes de transports, l’optimisation de la consommation d’énergie et de la gestion des déchets, la protection des biens et des services, la domotique etc.

Tous ces services pourront être fédérés autour d’un centre de contrôle unique qui assurera une liaison montante et descendante donnant la possibilité de collecter des informations sur l’état des services et/ou d’agir directement sur l’infrastructure.

Une nouvelle cible pour les cyber attaquants

De nombreuses villes en France et dans le monde, se sont emparées du sujet Smart City pour faire face aux défis énoncés précédemment : de grandes métropoles bien sûr, mais également des villes de tailles plus modestes.

En parallèle de ces initiatives, il devient de plus en plus fréquent d’observer des attaques d’origine cyber cibler des villes. A titre d’illustration, en 2019, 22 municipalités américaines ont été victimes de cyberattaques. Les pertes se chiffrent en millions. Le gouverneur de Louisiane est allé jusqu’à décréter l’état d’urgence à la suite d‘attaques contre plusieurs villes de son Etat. Mais ces attaques ne se limitent pas aux Etats-Unis, comme peuvent en témoigner les attaques en France sur les villes de Sarrebourg (Moselle), Sequedin (Nord), Huez (Oisans), La Croix-Valmer (Var) ou encore de Nuits-Saint-Gorges (Côtes-d’Or).

Ainsi, la question est désormais de savoir pourquoi les Smart Cities présentent un nouveau terrain de jeu pour les Cyber Attaques et comment s’en protéger.

La Smart City induit un changement de paradigme

Mener un projet Smart City nécessite de modifier les façons habituelles de procéder par la mise en place d’un système d’information d’un nouveau genre, mêlant de nombreuses problématiques et générant de nouveaux risques en matière de CyberSécurité.

Une architecture complexe

La ville intelligente est en partie caractérisée par la structure nouvelle de son architecture. Son système d’information atypique compile à la fois les contraintes d’un système d’information de gestion, celles d’un système d’information industriel et celles d’un système d’information IoT.

Ainsi, son SI de gestion aura une propension à collecter et traiter un grand nombre de données alors que son SI industriel aura la caractéristique d’être en prise directe sur le monde physique : gestion de l’eau, des feux de circulation, de la signalisation routière variable, de bornes rétractables, de l’éclairage intelligent, pilotage de voitures autonomes, etc. et la conciliation des enjeux de ces deux mondes n’est pas chose facile : là où le monde industriel met traditionnellement l’accent sur la disponibilité, le monde IT se concentrera sur l’intégrité et la confidentialité des informations et des traitements, considérant par ailleurs que la Smart City renforcera la dimension informatique et numérique existante des systèmes industriels.

De plus, il faut considérer la raison d’être d’un système d’information IoT qui est de collecter des données au plus près de leurs sources, par le déploiement d’objets connectés, multiples points d’entrée sur le SI dans des environnements potentiellement hostiles. Par conséquent, ces objets seront exposés unitairement à des attaques physiques contre lesquelles il n’était pas nécessaire ou plus facile auparavant de se prémunir (ex : accès physique à un port série ou USB, remplacement de la mémoire flash, etc.).

Enfin, les systèmes qui composent la Smart City doivent être en capacité d’évoluer rapidement de manière à bénéficier des innovations des acteurs du marché. L’enjeu est de réussir à construire un SI flexible en capacité de pouvoir répondre à des usages encore non identifiés à l’heure actuelle tout en prévoyant des systèmes capables d’être maintenus dans le temps, à l’échelle d’une ville intelligente construite pour des dizaines d’années.

Le paradoxe de l’interopérabilité

Par ailleurs, une démarche Smart City se veut inclusive afin de tirer parti des forces de l’ensemble des acteurs du territoire. Cela induit de gérer des systèmes hétérogènes, mêlant nouvelles et anciennes briques technologiques, et de maitriser l’ouverture de son SI.

La polymorphie des Smart City complexifie la définition de politiques de sécurité globales. Leurs mises en œuvre évoluent parallèlement au développement de nouvelles technologies, rendant obsolètes, ou inapplicables, les politiques de sécurité d’une autre génération. Cette problématique est déjà présente dans le monde industriel depuis des années, où les contraintes opérationnelles font qu’il est parfois impossible de faire évoluer des systèmes devenus vulnérables.

Au-delà de la politique de sécurité, si l’interopérabilité entre des systèmes multigénérationnels permet de développer de nouvelles fonctionnalités créatrices de valeur pour l’usager, elle implique aussi l’utilisation de protocoles disparates pouvant induire des failles de sécurité. Une approche de « sécurité by design » consisterait à identifier le besoin actuel et ses évolutions potentielles, afin d’être capable de proposer un cahier des charges intégrant à la fois les réponses concrètes au besoin fonctionnel mais aussi les clauses de sécurité minimales permettant de déployer le service avec un niveau de confiance satisfaisant. Toutefois, ceci est susceptible de s’opposer au principe d’inclusivité de la Smart City.

L’importance de la donnée

Un enjeu opérationnel et politique

L’information remontée du terrain est d’une importance prégnante parce qu’elle permet de piloter la Smart City : aide aux prises de décisions, communication d’informations aux citoyens, planification d’événements, et évaluation des politiques publiques. Si la donnée en elle-même n’est pas forcément critique, cela n’est plus vrai lorsqu’elle est agrégée dans un ensemble plus large. Des erreurs dans la collecte ou le traitement de la donnée pourront à la fois provoquer des dysfonctionnements opérationnels dans les services ou des choix inadaptées à la conjoncture.

Par ailleurs, la construction de la Smart City est faite par couche. Progressivement, de nouveaux services apparaissent et se développent. Historiquement silotés, la tendance est à la recherche de synergies entre les différents services pour créer toujours plus de valeur ajoutée pour l’usager. Ces interconnexions grandissantes et cette superposition induisent une complexité telle qu’en cas de panne, il existe un risque, si l’on n’y prend pas garde, de voir l’ensemble de l’infrastructure s’écrouler, par propagation de l’erreur, ou parce que chaque service est devenu dépendant des autres.

La sécurité: une demande qui émane des citoyens eux-mêmes

Elabe et Wavestone ont réalisé une enquête qualifiant l’importance de la donnée dans les services publics de demain, et sur les enjeux auxquels devront faire face les parties prenantes de tels projets.

Parmi ces enjeux réside l’utilisation qui est faite de la donnée à caractère personnel de l’usager. Globalement, les citoyens sont favorables à l’idée de la transformation numérique des services publics, et à fortiori à la Smart City en tant que service public, mais restent soucieux de la finalité des traitements de leurs données.

Cependant, une part non négligeable de la population, soit entre 30% et 50% n’est pas favorable à la cession de ses données même si cela pourrait permettre de faire des économies, gagner du temps ou réduire son empreinte carbone. Cela pourrait être dû au fait que 76% de la population interrogée estime que l’administration n’est pas apte aujourd’hui à assurer la sécurité des données qu’elle collecte.

Le succès de la Smart City réside donc aussi dans la capacité des parties prenantes à rassurer les usagers sur l’usage et la protection de leurs données.

Ainsi, nous avons vu que la Smart City induisait un changement de paradigme qui, associé aux fortes attentes du grand public sur la sécurité de ses données, nécessitait d’adapter son approche. En effet, à mesure que la Smart City se développe, l’activité urbaine devient de plus en plus dépendante de ses services, accroissant d’une part ses besoins de sécurité, mais aussi l’intérêt que lui porte les cyber attaquants. Fort de ces constats, l’enjeu sera donc d’identifier quelle démarche mettre en œuvre pour prendre en compte les risques de Cyber Sécurité et, à défaut de les supprimer totalement, les réduire. Nous vous en parlerons dans un second article.

Cet article Les enjeux de Cybersécurité autour de la Smart City (1/2) est apparu en premier sur RiskInsight.

Deux actes médiatisés ces dernières années l’illustrent parmi bien d’autres : la fuite des données d’un parti politique français retrouvées sur le site de son hébergeur, en utilisant un Dork du type « Index of /», ou la découverte, par des services de contre-espionnage, de sites internet servant pour la communication entre une agence étatique et ses informateurs, entraînant la mort de plusieurs dizaines d’entre eux.

Sur Internet, la pêche aux « Dorks » s’exerce via des moteurs de recherche tels que Google et Bing mais également sur des moteurs hors US/EU qui, tout comme les sites d’archivage de pages web, sont susceptibles de conserver des informations retirées des bases d’index des moteurs de recherche classiques.

A titre illustratif, la recherche suivante : « inurl:files intext:nationalité filetype:xls intext:<un prénom ou un nom de famille type> » entrée sur un moteur de recherche largement utilisé, est susceptible de retrouver des fichiers Excel où figurent des informations nominatives mentionnant la nationalité de personnes. Cependant un seul mot bien choisi, par exemple le nom d’une application métier recherché sur Internet ou le mot « salaire » recherché sur l’intranet, peut suffire à pêcher des informations très sensibles.

Les moteurs de recherche internes à certains sites peuvent être également exploités. C’est le cas, par exemple, des sites spécialisés dans la mise en ligne de codes sources (ex : GitHub) ou de morceaux de textes (ex : PasteBin), des sites de forums techniques d’éditeurs de logiciels, ou de sites de CV en ligne contenant des descriptions parfois très précises sur des environnements techniques sensibles.

Le « Dorking » est à la portée du plus grand nombre, grâce aux nombreux tutoriels accessibles sur Internet, aux formulaires de recherches étendues (ex : celui de startpage.com) et surtout aux sites référençant des milliers de Dorks (ex : Google Hacking Database) organisés en fonction de l’usage attendu tel que retrouver des « Fichiers contenant des mots de passe ».

Le Dorking s’effectue plus communément à l’aide de recherches manuelles mais est susceptible d’être industrialisé grâce à des « Dork scanners » comme Zeus-scanner ou à l’aide d’outils PowerShell (PnP-PowerShell) pour les recherches dans Office365.

Pour se prémunir de l’exploitation malveillante du Dorking, les organisations peuvent notamment :

• Être en capacité de détecter les fuites d’informations sensibles sur le SI interne ou sur Internet, en examinant par exemple l’opportunité de recourir sur le SI interne à des produits de type DLP et sur internet à un service de veille des fuites d’informations, qui pourra également surveiller l’internet non-indexé, voire le Dark-Web.
• Mettre en place une classification des données et une gouvernance des partages internes (ex : les Groups Office 365) en commençant par les activités les plus sensibles (ex : groupes métiers sensibles, données clients, RH…).
• Encadrer contractuellement et opérationnellement les missions confiées aux prestataires via un Plan d’Assurance Sécurité et les sensibiliser à la protection et à la non-divulgation des informations auxquelles ils peuvent accéder ; lorsque c’est possible, prévoir un PV de destruction de données.
• Encadrer la communication d’informations sensibles aux partenaires sociaux, aux associations, etc. qui ne disposent pas toujours sur leur SI et sites Internet dédiés, de moyens de protection SSI équivalents à ceux de l’organisation ou de l’entreprise à laquelle ils sont liés.

Les organisations peuvent également prendre des mesures visant à limiter l’impact d’une fuite de données avérée :

• Disposer d’une fiche réflexe pour traiter la fuite, incluant la conduite à tenir vis-à-vis des moteurs de recherche et des sites l’ayant indexée (ex : gestion du référencement Google, etc …)
• Disposer d’un processus de gestion des incidents de sécurité, de data-breach (GDPR), de gestion de crise… incluant la notification potentielle aux autorités et personnes concernées.
• Disposer d’un processus et d’outils de veille sur les réseaux sociaux et media avec des réponses préparées.

Cette prévention peut en outre conduire à recourir à la technique du Dorking à des fins éthiques, tels que des audits de sécurité, ou des activités « Red Team » qui visent à se mettre à la place d’un acteur malveillant pour découvrir – avant lui – les failles et les informations qui permettraient de porter atteinte à l’organisation. Néanmoins, en fonction du contexte, il peut être préférable de bien encadrer en amont la communication des résultats de la mise en œuvre de techniques de Dorking, lesquelles peuvent donner lieu à la découverte d’informations personnelles ou/et sensibles, sur des ressources liées à l’entreprise ou à des acteurs externes.

Cet article Le Dorking ou la pêche aux informations sensibles via les moteurs de recherche est apparu en premier sur RiskInsight.

Avec la diffusion de plus en plus importante des malwares, et depuis les révélations d’Edward Snowden en 2013, la sécurité et la confidentialité des échanges sont devenues des critères pesant lourd dans le choix d’une solution de messagerie instantanée. La multiplication des applications est rythmée par les incidents de sécurité, allant des soupçons de censure de WeChat par le gouvernement Chinois à l’installation de malwares à travers Telegram, ou plus récemment la vulnérabilité critique qui a touché WhatsApp. Ainsi, les applications de messagerie protègent-elles suffisamment les échanges des utilisateurs ? Quelles sont les réponses des éditeurs face aux menaces, criminelles comme étatiques, qui pèsent sur les messages qu’ils transportent ?

Le chiffrement de bout en bout : solution miracle ou simple outil marketing ?

Le chiffrement de bout en bout est souvent la solution mise en avant par les éditeurs pour montrer qu’ils prennent soin de la confidentialité des échanges, notamment en cas de demande d’un gouvernement ou d’un système judiciaire. Sa sécurité repose en effet sur le transport de messages inintelligibles pour l’éditeur, qui ne peut donc pas en révéler le contenu à quiconque, et déchiffrables uniquement par les destinataires.

A l’heure où nous écrivons ces lignes, plusieurs approches ont été adoptées par les éditeurs :

• La majorité applique un chiffrement de bout en bout par défaut, pour les discussions à deux ou en groupe – c’est le cas par exemple de WhatsApp, Viber, Signal, iMessage, Threema, Wire, etc.
• D’autres ne l’appliquent pas par défaut, mais permettent aux utilisateurs de l’activer en accédant à une « conversation secrète» – c’est le cas notamment de Telegram et Facebook Messenger. Il faut noter que dans ce cas, seuls les échanges entre deux personnes peuvent être « secrets », et pas les conversations en groupe.
• Les applications restantes ne proposent simplement pas de chiffrement de bout en bout – comme par exemple WeChat ou Discord. Les messages sont du moins transmis à travers un tunnel chiffré HTTPS, mais leur contenu est traité en clair et est lisible par les serveurs de l’éditeur.

Pour assurer le chiffrement de bout en bout, différents mécanismes sont utilisés par les applications. Aujourd’hui, la plupart des applications s’appuient sur des mécanismes robustes, reposant sur des algorithmes de chiffrement à l’état de l’art (Curve25519, AES256…). Parmi ces mécanismes, on peut noter le protocole open-source Signal, développé par Open Whisper Systems pour son application éponyme, et depuis utilisé par d’autres applications comme WhatsApp ou dans les « conversations secrètes » de Facebook Messenger.

On peut donc considérer que les applications proposant un chiffrement de bout en bout ont une plus-value certaine, tout du moins pour les utilisateurs soucieux de la confidentialité ou du caractère privé de leurs conversations. Face à cela, le bon vieux SMS – qui, rappelons-le, reste vulnérable à une attaque de type man-in-the-middle – fait pâle figure !

Néanmoins, comme nous allons le voir, il ne faut pas s’arrêter au chiffrement de bout en bout qui, seul, pourrait donner un faux sentiment de sécurité aux utilisateurs.

Au-delà du chiffrement de bout en bout : d’autres facteurs pour mieux apprécier la sécurité de ces applications

Mis à part le contenu des discussions, vraisemblablement protégé lorsqu’il est chiffré de bout en bout, les messageries instantanées manipulent un certain nombre de métadonnées : contacts, numéros de téléphone, date et heure d’envoi des messages… Autant de données qui représentent déjà une source importante d’informations sur l’utilisateur, et qui sont souvent collectées par l’éditeur et stockées sur ses serveurs – c’est le cas notamment des applications WhatsApp et iMessage. Certaines applications proposent un niveau de confidentialité supérieur en assurant que seul un minimum d’informations sera collecté – ainsi l’application Signal par exemple collecte uniquement les dates et heures d’inscription et la date de dernière connexion.

Par ailleurs, des fonctionnalités de sécurité supplémentaires permettent d’atteindre un meilleur niveau de confidentialité. Par exemple, certaines applications comme WhatsApp ou Signal permettent de confirmer le chiffrement de bout en bout en scannant un QR-code sur le smartphone du destinataire. D’autres comme Telegram ou Signal offrent la possibilité d’envoyer des messages éphémères, qui s’auto-détruisent au bout de quelques secondes ou minutes, ce qui peut être intéressant pour certains usages mais reste limité (possibilité de capture d’écran voire photo de l’écran).

Pour les communications de groupes, les applications se basent souvent sur un serveur central pour authentifier les utilisateurs et déterminer qui reçoit les messages, comme c’est le cas par exemple pour WhatsApp ou Signal. La compromission de ce serveur peut ainsi permettre à un attaquant d’ajouter un faux membre à un groupe pour accéder aux échanges. Pour contrer cette attaque, la notification lors de l’ajout d’une personne à la discussion est souvent la fonctionnalité choisie, mais des solutions comme celle de la startup française Olvid vont plus loin en faisant le pari d’une authentification sans tiers de confiance basée sur la cryptographie.

Dans un contexte professionnel, mis à part le risque de perte de confidentialité des échanges, il faut également considérer le risque d’indisponibilité de l’application. On peut estimer au premier abord qu’une application grand public telle que WhatsApp, qui possède plus d’1 milliard d’utilisateurs, a un risque d’indisponibilité assez faible. Mais dans le cas d’un besoin fort en disponibilité, l’absence de garantie de services de la part de ces applications pourrait rendre ce risque inacceptable. Il conviendrait alors de se tourner vers une solution professionnelle, plus à même de proposer des garanties de services (SLA) – telle que Threema ou Wire par exemple.

La sécurité de l’application ne suffit pas : d’autres vecteurs d’attaque sont à neutraliser

Nous avons jusqu’ici principalement considéré la sécurité de la communication portée par l’application. Il y a cependant d’autres sources de menace à ne pas oublier, en considérant l’ensemble de la chaîne :

Illustration du fonctionnement d’une application de messagerie instantanée

Il faut notamment garder à l’esprit que les données des conversations sont stockées en local sur les appareils utilisés, qu’il s’agisse de smartphones ou d‘ordinateurs. Un appareil mal protégé permettra donc à un attaquant d’avoir accès à toutes les conversations stockées par l’application sur l’appareil. Pour arriver à ses fins, l’attaquant pourra agir à distance à travers un malware installé sur l’appareil, ou plus directement en le volant.

Par ailleurs, les applications proposent souvent de sauvegarder les données des conversations dans un Cloud (par exemple iCloud ou Google Drive). L’activation de cette sauvegarde implique donc qu’une copie des données est stockée auprès du fournisseur Cloud, ce qui représente un vecteur d’attaque supplémentaire.

Choisir son application de messagerie sécurisée, tout en restant vigilant

Pour choisir parmi les nombreuses applications de messagerie instantanée, il faut donc prendre en compte ses besoins et cas d’usages en même temps que les fonctionnalités proposées. Le chiffrement de bout en bout semble à présent être une garantie incontournable pour une confidentialité correcte. Certaines applications présentent par ailleurs d’autres fonctionnalités permettant d’atteindre un niveau de sécurité supérieur : collecte minimaliste d’informations, confirmation supplémentaire du chiffrement de bout en bout, messages éphémères, etc.

Face au défi d’allier sécurité et simplicité d’utilisation, de nombreuses startups ont vu le jour, avec de nouvelles offres tournées vers les entreprises et organisations. Ainsi, certaines comme Citadel mettent en avant leur ancrage français pour éviter l’ingérence de gouvernements étrangers, tandis que d’autres comme Shadline proposent de répondre à des besoins plus spécifiques tels que la résilience face aux attaques.

Néanmoins, malgré toutes les fonctionnalités de sécurité que peuvent proposer les applications, il suffit d’une seule faille dans le code source pour remettre en question la sécurité de l’appareil : nous l’avons récemment constaté avec la vulnérabilité qui a touché WhatsApp. Il ne faut donc pas baisser sa garde, et veiller à respecter les mesures de sécurité les plus basiques – installer les mises à jour des systèmes et applications lorsqu’elles sont disponibles, sécuriser son appareil (chiffrement du disque, authentification), utiliser un mot de passe robuste, changer de mot de passe régulièrement, etc. – afin de protéger a minima l’appareil utilisé pour communiquer !

Cet article Des applications de messagerie instantanée vraiment sécurisées ? est apparu en premier sur RiskInsight.

Comment l’idée vous est-elle venue ?

Emmanuel Ruiz nous explique que « l’équipe CopSonic [le] suit depuis plus de 15 années dans l’entrepreneuriat […] de traitement du signal audio ». Ayant découvert par hasard, en travaillant sur un effet spécial, qu’il était possible de « transmettre via du son de petites quantités de données », l’équipe structure ensuite le produit sous forme de Software Development Kit (SDK) « afin de sécuriser les échanges de données et de communications en champ proche ».

Quel est le plus grand risque de sécurité pour les banques et pour ses clients selon vous ? Comment répondez-vous à la menace qui pèse sur les banques ?

Emmanuel Ruiz met en avant que « le plus grand risque reste la fraude à l’identité et la validation d’une transaction de paiement à l’insu de la personne concernée. C’est en tout cas le risque que nous cherchons à couvrir avec notre technologie en équipant les utilisateurs d’une banque donnée avec une technologie universelle, sécurisée et facile d’utilisation ». La solution permet notamment de se protéger contre les nouvelles menaces qui se propagent par ultrasons car « il existe depuis 3 ans un virus véhiculé par ondes acoustiques entre appareils électroniques [ainsi que] des attaques sur des assistants vocaux [comme] Dolphin Hack ».

L’enjeu pour les RSSI aujourd’hui est de parvenir à concilier la facilité d’implémentation, la simplicité d’utilisation des solutions de sécurité avec une technologie sécurisée. Comment convaincre un RSSI de la pertinence de votre solution et de la sécurité du produit ? Quels sont les différenciateurs qui vous démarquent sur le marché ?

CopSonic propose une technologie conforme à la Directive PSD2 et au RGPD. L’intérêt pour les banques est de pouvoir exploiter la technologie directement en l’intégrant dans leurs applications “pour [leur] permettre de garder le contrôle sur la transaction de paiement réalisée par l’utilisateur final. Cette technologie est universelle et fonctionne sur tout type de dispositif, sans déploiement matériel nouveau à mettre en œuvre. Elle est donc incomparablement moins chère que les autres.”

Cette technologie inaudible à l’oreille humaine permet cependant de véhiculer des informations de manière sécurisée ; ce moyen de communication étant résilient à toutes les technologies électromagnétiques dans des usages de proximité (de type NFC ou Bluetooth). Le marché de la communication par les ultrasons est à l’aube de son explosion : par exemple Google se positionne déjà sur le paiement par ultrason avec sa solution Google TEZ, lancée depuis septembre 2017 en Inde.

Quelles sont les synergies entre votre innovation et les solutions de sécurité bancaires existantes à l’heure actuelle ?

CopSonic décrit sa technologie comme « avant tout complémentaire aux autres usages, dans un monde transactionnel mobile, web ou en champ proche [mais elle] s’impose en revanche comme la seule valable et compatible avec les assistants vocaux, qui vous demanderont bientôt de valider une transaction de paiement ». La solution de CopSonic offre donc « un service innovant répondant aux besoins des utilisateurs ». Par ailleurs, « sur les sujets de phishing, skimming, eavesdropping, [CopSonic propose] des solutions qui ne requièrent qu’une mise à jour logicielle dans l’infrastructure existante du serveur bancaire jusqu’à l’application mobile en passant par les POS, TPE ou ATM/DAB ».

Ces cas d’usages sont déjà une réalité puisque CopSonic annonce « travailler avec une banque française pour proposer sur des TPE un ‘’QRCode Invisible’’ : le service proposera en parallèle un ultrason pour sécuriser cette transaction via un OTP ultrasonique ». Par rapport à un QRCode classique, l’avantage pour l’utilisateur réside dans le fait qu’il n’aura pas besoin de viser avec la caméra de son smartphone le TPE.

Comment voyez-vous la banque de demain ? Quelles opportunités pour la cybersécurité dans la banque de demain ?

Pour CopSonic, le plus grand changement qui attend la banque de demain est lié à la sécurisation de l’expérience utilisateur : ces derniers sont de plus en plus exigeants sur l’ensemble de la chaine. Depuis la mise en relation jusqu’à l’expérience de paiement, ils attendent de la banque un parcours fluide et sécurisé.

Emmanuel Ruiz détaille ainsi : « Le développement des paiements instantanés (peer-to-peer), des paiements IOT (comment payer une prise de courant qui vous délivre 60 minutes de courant ?) et des nouveaux comportements de consommation (assistants vocaux au domicile, en voiture connectée) vont voir naître autant de nouvelles normes que de nouveaux risques et solutions pour les couvrir au mieux. La banque devra en tout état de cause continuer d’équiper ses utilisateurs de moyens de validation de transactions de paiement en conciliant sécurité et facilité d’utilisation. »

Pour en savoir plus : https://www.copsonic.com/

Cet article L’INTERVIEW DE COPSONIC – LA SECURITE PAR LES ULTRASONS est apparu en premier sur RiskInsight.

Nous avons mené un benchmark afin d’évaluer comment les entreprises ont interagi avec le grand public Pour cela, un panel d’une trentaine d’entreprises dont les services sont régulièrement utilisés par le grand public a été sondé avec les comptes personnels des auteurs.

Toutes les entreprises n’ont pas communiqué sur le RGPD

54% des entreprises du panel ont eu une communication proactive envers leurs clients. Si le grand public a eu l’impression d’être déjà fortement sollicité, il aurait pu recevoir davantage de communication. Parmi ces 54%, la moitié a envoyé un e-mail, l’autre moitié ayant préféré afficher un pop-up ou un message d’avertissement sur leur site web ou application mobile.

Par ailleurs, l’envoi d’e-mail sur le RGPD a certes permis aux entreprises de communiquer rapidement sur le sujet, mais cette communication était souvent générique et aurait pu être adaptée au client (intégration dans le parcours client, personnalisation des communications, etc.)

La mise en place du RGPD n’impose pas de communiquer autour du 25 mai

Les entreprises doivent informer leurs clients des traitements effectués lors de la collecte des données. Pour autant, le règlement n’impose pas de communiquer sur la mise en œuvre du RGPD en tant que telle.

Ainsi, celles qui ont communiqué autour du 25 mai dernier l’ont fait pour diverses raisons :

• Certaines ont effectivement vu dans le RGPD une occasion de renforcer la confiance accordée par leurs clients. Elles leur ont donc envoyé des e-mails marketés pour présenter leur nouvelle charte sur la protection des données.
• D’autres, encouragées par leurs services conformité, ont envoyé un e-mail au contenu juridique pour être certaines d’être conformes, notamment sur l’obligation de transparence.

Par ailleurs, certaines entreprises qui ne respectaient pas correctement le droit à l’information ont profité de cette communication pour se mettre en conformité.

Enfin, dans certains secteurs, l’envoi d’une première communication a déclenché un effet similaire chez les concurrents dans les jours suivants.

La portée même des messages, a parfois été être contre-productive. En, effet le RGPD exige une communication claire et lisible. Or les communications reçues étaient souvent complexes, juridiques et peu accessibles pour le grand public, contrairement à ce qui est imposé par le règlement. Plus ironiquement, certains clients ont découvert l’existence de leurs comptes personnel dans ces entreprises en recevant l’e-mail… auquel ils ont répondu en exerçant leur droit à l’oubli. Enfin, il est fort à parier que peu de clients aient lu l’ensemble des e-mails reçus sur le sujet.

Une communication centrée sur leur nouvelle charte de protection des données à caractère personnel…

94% des entreprises du panel ont soit mis à jour leur charte de protection des données à caractère personnel, soit en ont créé une nouvelle. D’une entreprise à l’autre, les chartes se composent des mêmes parties clés, à l’exception de la partie sécurité des données, présente dans seulement 11% des chartes. Cette partie est pourtant essentielle, puisqu’elle doit présenter les mesures adoptées par l’entreprise pour sécuriser les données de leurs clients.

Le contenu de chaque partie diverge d’une charte à l’autre. Certaines chartes restent très génériques et n’apportent pas de précisions sur les traitements réalisés, les acteurs qui traitent nos données, les tiers à qui elles sont transférées, les durées de conservation des données, les droits exerçables, et les aspects liés à la sécurité. D’autres, plus rares, apportent des réponses complètes aux utilisateurs qui permettent d’éclairer pleinement son choix sur le traitement de ses données. Un grand nombre de ces chartes devra être amélioré par la suite pour être plus précises et répondre au besoin de transparence.

A la lecture de ces documents, a l’instar des e-mails envoyés, il est possible de distinguer des objectifs distincts pour les chartes :

• Les chartes plutôt juridiques et techniques qui permettent aux entreprises de répondre stricto sensu à l’exigence de transparence ;
• Les chartes dont la lecture et la compréhension sont accessibles au grand public. Elles sont par exemple accompagnées de vidéos ou d’un glossaire facilitant leur compréhension. Certaines de ces chartes proposent même plusieurs niveaux de lecture plus ou moins détaillés qui permettent au lecteur de ne creuser que les points qui l’intéressent.

Sur le long terme, il est fort probable que toutes les chartes tendront vers la seconde catégorie et que leur rédaction soit non plus confiée aux services juridiques, mais aux services marketing et commercial.

… et parfois pour renouveler les consentements

20% des entreprises ayant communiqué en ont également profité pour lancer une campagne de renouvellement des consentements. Ceux-ci portaient essentiellement sur de la communication commerciale. La plupart des entreprises ayant déjà adopté les bonnes pratiques de la CNIL sur la collecte des consentements, seules les entreprises pratiquant jusqu’à maintenant l’opt-out ou ne différenciant pas leur propre communication de celle de leurs partenaires ont renouvelé leurs consentements.

À noter que si la majorité des entreprises gère les consentements liés à la communication commerciale, ce n’est généralement pas le cas pour d’autres types de consentements. En effet, les consentements spécifiques aux activités des entreprises, telles que la reconnaissance faciale, la géolocalisation pour les entreprises du secteur des transports, l’accès aux contacts ou appareil photo pour les messageries, sont gérés uniquement par les entreprises du secteur du numérique (GAFA notamment). Quant aux consentements liés aux données dites sensibles, ils n’apparaissent nulle part, même chez les entreprises susceptibles d’en utiliser comme certains sites de rencontres.

Une gestion des consentements en ligne hétérogène

92% des entreprises ont sur leur site un espace dédié aux données à caractère personnel permettant de gérer a minima le consentement sur la communication commerciale. Néanmoins, deux types d’espaces se dégagent : la page de gestion des préférences commerciales et le privacy center.

La page de gestion des préférences commerciales permet à l’utilisateur de gérer des consentements relatifs à la communication commerciale (être contacté pour les nouvelles offres internes ou par des partenaires, recevoir des newsletters). Néanmoins, la gestion de ce type de consentement est souvent proposée depuis longtemps par les entreprises.

20% des entreprises sont allées plus loin et on mis en place un espace en ligne dédié à la gestion des données à caractère personnel de leurs clients sur leur site web. Au sein de cet espace, aussi appelé Privacy Center, les clients peuvent modifier leurs données, exercer directement leurs droits, contacter le DPO, ou gérer finement l’ensemble des consentements. Les GAFAs (notamment Google et Facebook) sont les plus avancés dans ce domaine. Cela leur a permis d’automatiser en grande partie la réponse aux demandes d’exercice de droits et la gestion des consentements. Ils permettent ainsi à leurs utilisateurs de contrôler quasi instantanément les paramètres de protection de leur vie privée.

De manière générale, la mise en place d’un privacy center est une bonne pratique. Chaque Privacy Center devra néanmoins être plus ou moins étoffé en fonction du métier de l’entreprise et des données traitées. Par exemple, le Privacy Center de Google sera nécessairement plus étoffé que celui d’une entreprise de vente de vêtements par exemple.

Une gestion des cookies elle aussi hétérogène

De même que pour les consentements, les entreprises proposent un niveau de gestion des cookies hétérogène. Ainsi, 49% des entreprises n’offrent pas la possibilité de modifier les consentements relatifs aux cookies.

De plus, parmi les entreprises qui offrent la possibilité de modifier les consentements sur les cookies, un quart d’entre elles renvoient vers la gestion des cookies directement au sein du navigateur. Elles se reposent ainsi sur les navigateurs web qui n’offrent souvent pas la possibilité de gérer des consentements selon les exigences requises.

13% des entreprises du panel, essentiellement dans le secteur du numérique offrent finalement aux utilisateurs la possibilité de contrôler les cookies directement depuis l’interface de leur site web. Ce chiffre va très probablement augmenter dans les mois à venir.

À noter que si la CNIL autorise les entreprises à déléguer la gestion des consentements des cookies dans les navigateurs web, il est plus simple de le faire directement dans l’interface des sites du point de vue de l’utilisateur.

Un quart des entreprises ne permettent pas d’exercer les droits par voie électronique…

Nous avons également intégré dans l’enquête des demandes de droit d’accès.

22% des entreprises du panel ne permettent pas l’exercice des droits par voie électronique mais uniquement en courrier papier, même si elles collectent les données par voie électronique. Or la loi Informatique et Liberté, mise à jour par la Loi Lemaire en 2016, impose aux entreprises de permettre à toute personne d’exercer ses droits par voie électronique, si ses données avaient été collectées également par voie électronique. Trois quarts des entreprises interrogées respectent cette loi en offrant la possibilité à l’utilisateur d’exercer ses droits par voie électronique, que ce soit via son privacy center, un formulaire en ligne ou encore par e-mail.

Pour recevoir et qualifier les demandes d’exercice de droits, 50% des entreprises profitent des ressources techniques et humaines de leurs services clients. Les autres ont préféré assigner l’activité à un département dédié.

…et le temps de traitement des demandes est souvent supérieur à 1 mois

La loi Informatique et Libertés imposait un délai de deux mois pour répondre à une demande d’exercice de droit. L’article 12 du RGPD accorde un délai d’un mois à compter de la réception de la demande, ce délai pouvant être allongé de deux mois en fonction de la complexité de la demande.

28% des entreprises ne réagissent pas suite à une demande, c’est-à-dire n’accusent pas réception des demandes ou ne demandent pas une preuve d’identité. Pour les entreprises qui répondent aux demandes : 69% n’envoient pas les données à caractère personnel de l’utilisateur dans un délai de 1 mois à compter de la demande.

Par ailleurs, pour les entreprises du panel, le délai d’un mois ne commence à courir le plus souvent qu’au moment de l’accusé de réception, suite au contrôle d’identité. Pour certaines entreprises, la demande d’une pièce d’identité ou sa vérification peut prendre plusieurs semaines, ce qui implique un délai de traitement de la demande trop long.

Concernant le contrôle d’identité, une seule entreprise du panel n’a pas vérifié l’identité du demandeur.

Parmi celles qui vérifient l’identité du demandeur, 70% le font à l’aide d’une copie d’une pièce d’identité. Ce moyen de vérification de l’identité est donc le plus courant, même s’il est imparfait. En effet, d’un côté cette pratique ne couvre pas totalement le risque d’usurpation d’identité. De l’autre, elle génère parfois des interrogations de la part des demandeurs qui ne comprennent pas pourquoi l’entreprise a besoin d’une pièce d’identité pour répondre à la demande. Il est alors nécessaire de faire preuve de pédagogie sur ce sujet.

Certaines entreprises vérifient l’identité par connexion du demandeur à son espace personnel à l’aide de l’identifiant et du mot de passe, pas appel téléphonique, ou questions d’identification (principalement les GAFA, les entreprises du secteur du numérique et quelques banques).

Enfin concernant l’envoi des données du demandeurs, les moyens sont très variés et il est difficile d’établir dès à présent des grandes tendances. Ainsi, certaines entreprises ont envoyé les données ainsi :

• Capture d’écran du CRM dans une pièce jointe d’un email
• Envoi d’une clé USB chiffrée par courrier
• Envoi des données par courrier en recommandé avec accusé de réception
• Téléchargement d’une archive depuis un serveur sécurisé
• Téléchargement d’une archive chiffrée et transmission du mot de passe par téléphone
• Envoi des données dans un PDF en pièce jointe d’un email

De manière générale, si les données issues des CRM sont bien envoyées, les données produites à partir des informations du client ne sont souvent pas transmises au demandeur. En effet, les réponses ne comportent pas les informations liées aux préférences par exemple ou autres données tirées d’analyses ou d’études des profils.

Le marché n’est pas prêt !

Le marché s’est mis en marche et a déjà adopté un certain nombre de bonnes pratiques, il n’est pas encore prêt. De nombreux éléments tel que les chartes, les privacy centers, la gestion des cookies, le traitement des demandes ont été lancés avec une approche tactique et juridique. Ces éléments devront certainement évoluer dans les prochains mois afin d’intégrer une approche plus centrée sur le client et en rendant les dispositifs réellement opérationnels.

Enfin, cette étude cible la face émergée de l’iceberg : ce qui est visible du client. Cette face, certainement prioritaire n’est pas totalement prête. Quand est-il maintenant de la phase immergée, les processus internes des entreprises ?  Nous reprenons la suite de cette enquête avec ce nouveau prisme. Nous en mettrons les résultats en ligne à la rentrée !

Cet article Au lendemain du RGPD, où en est le marché ? est apparu en premier sur RiskInsight.

L’écosystème dans lequel évolue la donnée est, quant à lui, en constante complexification. En effet, les systèmes d’information, en pleine transformation, s’ouvrent sur l’extérieur et s’interconnectent avec différents services Cloud publics, constituant de nouvelles portes de sortie pour les données de l’entreprise.

Les événements menant à une fuite de données sont nombreux : négligence d’un employé, fraude interne, piratage par un tiers… Les moyens d’exfiltration eux aussi sont multiples : emails, Shadow IT, clés USB, imprimantes… En cas d’incident avéré, les conséquences peuvent être significatives. Les médias n’hésitent pas relayer avec insistance les cas de piratages menant à des fuites de données d’une grande entreprise, ce qui écornera durablement l’image de la marque. Les pertes financières liées sont également importantes, induites par les sanctions prévues des différents régulateurs et faisant suite à la perte de confiance des clients et partenaires.

 Le SI aujourd’hui, un écosystème complexe ouvrant de nombreuses voies à des fuites de données

Le DLP, un chantier rarement considéré mais à la portée de tous

Ce challenge de taille que constitue la lutte contre les fuites de données n’est cependant pas insurmontable. Certaines entreprises, et notamment les banques, ont pris de l’avance sur le sujet vis-à-vis d’autres secteurs d’activité, en déployant des outils prévenant la fuite des données appelés Data Leak Prevention (DLP, ou Data Loss Protection). Ces outils permettent notamment de suivre les données considérées comme sensibles et d’y appliquer des règles visant à contrôler les flux de données conformément aux politiques définies. Ces règles peuvent s’appliquer au niveau du terminal (poste de travail, serveur, etc.), de l’application (Office 365, etc.) ou du réseau (proxy, etc.).

La mise en œuvre de telles solutions nécessite cependant de mener un projet à part entière faisant intervenir à la fois le département de Sécurité de l’Information et les Directions métier. La complexité de cette réalisation sera modulée par trois facteurs principaux :

En effet, les problématiques à traiter et les solutions techniques à implémenter durant le projet dépendront des objectifs fixés par l’entreprise en termes de couverture du risque de fuites de données, ainsi que du niveau actuel des pratiques et méthodes de classification.

Il est par ailleurs impératif, lors de la mise en œuvre des solutions de DLP, de préserver l’expérience des utilisateurs, ces derniers ne devant pas voir leurs activités impactées par les mécanismes de protection. Les objectifs de sécurité devront ainsi nécessairement prendre en compte les besoins métiers, qui peuvent notamment impliquer l’échange d’informations sensibles avec l’extérieur.

Les bons tuyaux pour la réussite d’un projet DLP

Premièrement, la sélection de l’outil de DLP devra se baser sur les objectifs définis au lancement du projet concernant la structure des données à protéger et les canaux d’échange à analyser.

Certaines solutions du marché ont atteint un niveau de maturité avancé permettant de détecter si une donnée est sensible, quels que soient la structure de la donnée et le canal de transmission. La détection de données structurées est plus simple du fait que leur caractérisation est plus simple (par exemple : le nombre de chiffres est défini pour un numéro de sécurité sociale ou de carte de crédit). Concernant les données non structurées (80% des données selon le Gartner), la détection pourra se baser sur l’analyse des métadonnées introduites par la classification.

Par la suite, le cadrage du projet devra définir et formaliser les 4 grands chantiers caractéristiques d’un projet DLP, les clés du succès pour le déploiement de la solution :

La cartographie des données sensibles et la définition des règles de protection associées

Dans le cas où l’entreprise aurait déjà établi une cartographie répertoriant les données et traitements considérés comme sensibles, ainsi que les flux considérés comme légitimes, celle-ci constituera la base sur laquelle le projet DLP s’appuiera pour l’élaboration des politiques de DLP et des règles de protection fines.

Si cette cartographie n’existe pas, le projet DLP ne pourra aboutir sans l’implication forte des métiers sur le sujet. Il s’agira d’identifier avec eux, par Direction et par Activité, les données sensibles et les traitements associés. Cette première réflexion aboutira à la délimitation des traitements et des canaux de stockage et de transmission légitimes, à la fois à l’interne et l’externe de l’entreprise. Ce processus nécessite une collaboration rapprochée avec des contributeurs clés des différentes directions qui pourront lors d’entretiens fournir les informations nécessaires.

L’équipe projet peut alors à ce stade, créer les politiques de DLP associées aux scénarios assimilés à une fuite de données.

Les retours des grands comptes montrent toutefois qu’un facteur clé de la réussite du projet est de savoir choisir ses combats ; il est en effet illusoire de vouloir implémenter – à minima dans un premier temps – l’ensemble des potentielles politiques de DLP. La bonne couverture des données les plus critiques de l’entreprise sera déjà preuve d’un niveau de maturité satisfaisant vis-à-vis de l’état de l’art.

L’identification des contraintes réglementaires et légales s’appliquant aux traitements analysés

Les réglementations concernant les données sensibles, telles que les données à caractère personnel (Loi informatique et liberté, RGPD, etc.) imposent des restrictions particulières sur les traitements autorisés sur ces données. De plus, pour les entreprises évoluant dans un contexte international, des particularités réglementaires locales existent et créent une hétérogénéité quant aux règles à respecter concernant les traitements sur les données.

Pour les aspects de conformité légale, il est important de s’appuyer sur les compétences des départements Légal et Conformité de l’entreprise et des différentes entités internationales, qui pourront valider les analyses et règles de protection appliquées sur les données.

Les principaux points à adresser lors de cette Due diligence réglementaire sont le traitement des données à caractère personnel, la notification des utilisateurs sur les traitements effectués, le lieu de stockage des données analysées et les canaux de transfert utilisés.

La définition du processus de gestion des incidents de fuite de données

La déclinaison opérationnelle des scénarios de DLP précédemment théorisés requiert ensuite de définir les moyens et processus à mettre en œuvre lors de la détection d’une fuite de donnée. Ceux-ci devront bien sûr s’adapter aux processus de gestion des incidents au sein de l’entreprise :

• Qui recevra les alertes liées aux potentielles fuites de données (le SOC dans le cas où il existe, une équipe dédiée liée à une Direction métier, etc.) ?
• Quels moyens mettre en place lors de l’investigation sur le périmètre impacté (ex : dans le cas d’un périmètre sensible, l’enquête doit respecter une certaine confidentialité) ?
• Selon le niveau de criticité, quels niveaux hiérarchique et opérationnel contacter ?

À la différence d’incidents de sécurité techniques, il pourra être pertinent d’intégrer dans le processus des équipes métier ou le responsable sécurité de l’entité concernée afin de définir la criticité d‘une fuite de données et le périmètre impacté. En effet, dans le cas d’une donnée structurée, la criticité peut être évaluée simplement via des grilles de correspondance, mais cette réflexion est d’un tout autre ordre dans le cas de donnée non structurées (ex : email d’un responsable hiérarchique ou document lié à un projet confidentiel).

Un fort sponsorship sera également requis afin que les objectifs et moyens mis en œuvre dans le cadre du DLP soient approuvés par les différentes Directions Métier, le département Ressources Humaines ainsi que les représentants du personnel.

L’implémentation d’un outil adapté aux scénarios définis

En parallèle de la définition de processus de gestion d’incidents, vient la concrétisation du modèle de supervision avec le choix d’un outillage. Outre l’adéquation avec les scénarios de détection définis, l’outil choisi devra respecter un certain nombre de prérequis liés à l’écosystème de l’entreprise et à la Due diligence réglementaire réalisée. Parmi les critères de choix, la solution technique devra notamment :

• S’intégrer avec les outils du SOC (SIEM, etc.) et idéalement avec les autres solutions de sécurité de l’entreprise (proxy, outils de chiffrement / DRM, etc.) ;
• Être adapté à l’environnement métier (plateformes collaboratives, serveurs de fichiers, etc.) ;
• Prendre en compte la diversité du parc informatique et du système d’information dans le cas de déploiement d’agents sur les terminaux.

Par ailleurs, une implémentation efficace d’une stratégie de DLP devra impérativement couvrir l’ensemble des canaux d’échanges et des cas d’usages métiers, afin de ne pas laisser de vannes ouvertes (ex : installer un outil DLP au niveau des serveurs mail et de fichiers tout en laissant les ports USB sans surveillance aucune).

Les 4 piliers du DLP

L’implémentation de la solution ne marque pas la fin du sujet DLP : le processus de Data Leak Prevention devra entrer dans une démarche d’amélioration continue. L’étude des faux positifs et les remontées d’alertes devront aboutir à une revue régulière (à minima tous les 6 mois) afin d’améliorer les scénarios de détection implémentés. Pour cela, il sera intéressant de prévoir dès la genèse du projet cette charge dans les équipes de Run et de commencer avec des scénarios basiques.

Il sera également intéressant d’inscrire les objectifs du projet de Data Leakage Prevention dans un programme plus large traitant de la protection de la donnée, incluant la revue des droits et des habilitations liés aux serveurs de fichiers, l’authentification avec accès conditionnel, l’intégration de la supervision avec le SOC et le chiffrement des fichiers et applicatifs.

Cet article DLP : éviter les fuites, sans colmater les brèches est apparu en premier sur RiskInsight.

La question n’est donc plus de savoir si la donnée peut fuiter (intentionnellement ou non) et être exfiltrée, mais plutôt de savoir comment la sécuriser afin de limiter les impacts en cas de fuite.

Dans ce contexte, les modèles de sécurité doivent s’adapter. Celui du château-fort est largement dépassé, celui de l’aéroport est en passe de l’être. Il devient alors nécessaire d’avoir une protection centrée sur la donnée (ou data-centric). Cette protection doit de plus répondre aux exigences d’expérience utilisateurs des métiers qui rechignent à être impactés dans leurs utilisations quotidiennes.

2 typologies de données distinctes … qui nécessitent une approche différente

Les grands projets de protection de la donnée lancés au sein des grands comptes se sont tous confrontés au même problème : comment connaître le niveau de sensibilité d’une information ? La réponse à cette question est fondamentale car elle est nécessaire pour appliquer un niveau de protection pertinent et éviter les fuites de données.

Il existe aujourd’hui deux typologies de données :

• Les données structurées désignent l’ensemble des informations répondant à un type de format et aisément identifiable en tant que tel : un champ CRM, numéro de sécurité sociale, formulaire Cerfa, adresse mail, ainsi que tout autre donnée pouvant être exprimées sous forme d’expressions régulières (1). Il s’agit communément des informations que l’on retrouve dans les bases de données des applications.
• Les données non structurées, à l’opposé des données non structurées, peuvent prendre n’importe quel type de format (document Office, PDF, image, vidéo, musique, fichier d’une application métier, etc.). Il est à noter qu’une donnée qui au premier abord serait considérée comme structurée (ex : champ téléphone d’un CRM), pourrait ne pas l’être si le respect de la syntaxe n’est implémenté.

Alors qu’il est aisé d’identifier automatiquement une donnée structurée, et d’en décrire la sensibilité selon des grilles prédéfinies ; la problématique est d’un tout autre ordre dans le cas des données non structurées, ces dernières représentant pourtant la plus grande part des données produites quotidiennement par les collaborateurs. Cela se traduit concrètement par l’incapacité des outils de sécurité (ex : Data Loss Prevention ou DLP) à repérer toute fuite ou manipulation suspecte d’informations vitales.

La classification des données non structurées apparaît alors comme la pierre angulaire d’une stratégie de protection de la donnée, via une action manuelle de la part de l’utilisateur final.

Qu’est-ce que la classification ?

Le sujet de la « classification de la donnée » regroupe l’ensemble des processus techniques et organisationnels permettant de catégoriser l’information produite par les collaborateurs d’une organisation. Suivant la catégorisation établie – par niveau de sensibilité (ex : interne, confidentiel, secret, etc.) ou par métiers concernés (ex : RH, R&D, achat, etc.) – la classification permettra de faire rentrer la donnée dans un cadre réglementaire, législatif ou de sécurité.

Historiquement très basiques (case à cocher dans un en-tête ou sur la première page d’un document ou ajout manuel de métadonnées), les solutions de classification se consolident et responsabilisent l’utilisateur en le plaçant au cœur du processus ; lui proposant ainsi une expérience améliorée (interface simple et conseils).

En pratique, les outils de classification offrent des fonctionnalités diverses :

• Pour les nouveaux fichiers, classification à la main de l’utilisateur ou déterminée automatiquement selon des règles prédéfinies (ex : présence de X numéros de sécurité sociales) ;
• Pour les fichiers existants, scan manuel des fichiers présents sur les répertoires locaux ou on-premise selon des règles prédéfinies ;
• Ajout sur le fichier de métadonnées (ou tagging) : ces métadonnées, interprétables par des outils tiers, permettent de donner de visibilité aux outils de supervision, type Data Loss Prevention ;
• Ajout d’éléments de marquage visuels (en tête, pied de page, filigrane) pour sensibiliser les utilisateurs finaux.

Des résultats peu probants à ce jour pour les projets de classification

Bien que les filières RSSI soient sensibles au sujet de la classification et des données et que le sujet soit inscrit au cœur des politiques de la majorité des grandes entreprises – obligation renforcée par les récentes règlementations comme le GDPR ou la LPM qui requièrent de cartographier les données et les usages – peu d’organisations, en dehors des établissement bancaires, ont réussi à mettre en place une stratégie efficace de classification.

Plusieurs raisons peuvent expliquer cette lacune :

• Les utilisateurs finaux n’ont généralement pas la connaissance de la nature des données sensibles ou de leur impact : alors que le niveau de classification le plus élevé (« C4 », « Secret », « Confidentiel », etc.) correspond aux documents susceptibles de mettre en péril une entité voire le Groupe tout entier – ce qui correspond à habituellement 1% des informations –  cette proportion avoisine les 10% dans certaines entités. A l’inverse, il n’est pas rare qu’un utilisateur partage des fichiers contenant des données à caractères personnel sensibles ou des fichiers de mot de passe sans aucun niveau de classification ni aucune protection.
  Ainsi, tout projet de classification des données nécessite un fort accompagnement au changement des utilisateurs finaux avec des messages clairs et des exemples concrets, lui permettant de classifier aisément ses informations. Des rappels récurrents seront également nécessaires pour rappeler les bonnes pratiques. En effet, un utilisateur manipulant au quotidien des données sensibles, pourrait ne plus se rendre compte de l’impact de la divulgation de celles-ci.
• Faute de mettre à disposition de ses utilisateurs des moyens suffisamment ergonomiques, une entreprise ne peut s’attendre à des résultats probants. L’expérience montre en effet que les cases à cocher avec les niveaux de classification dans les pages de garde, les en-têtes ou les pieds de pages ne sont que très peu sélectionnées.
• La classification de l’ensemble des données de l’entreprises est un projet de transformation à part entière, et nécessite un fort engagement des équipes métiers et de la direction si on souhaite la généraliser. Cet engagement doit être d’autant plus important si la stratégie de classification définie impacte les utilisateurs (obligation de classifier les documents, de chiffrer, etc.).

Le retour de la classification sur le devant de la scène

Toutefois, la thématique revient en force au sein des grands comptes, poussée par les programmes de transformation digitale – qui nécessitent de repenser la protection des données – et par les acteurs du marché – qui consolident leurs offres autour du sujet. Certains analystes comme le Gartner, anticipent même le regroupement des solutions de protection de la donnée en une unique solution centrée sur la classification.

Afin d’être un succès, il sera opportun d’allier sensibilisation et ergonomie, afin d’embarquer les utilisateurs finaux dans cette démarche. L’un ne pourra pas aller sans l’autre.

Nous étudierons dans un prochain article comment le marché évolue autour d’acteurs de la sécurité historiques et comment la mise en place d’une stratégie efficace de classification apporte des bases solides pour (re)donner un nouveau souffle à la thématique de la protection des données.  

(1) Une expression régulière, est une chaîne de caractères, répondant à une syntaxe précise. Par exemple, un numéro de téléphone française peut prendre l’un des trois formats suivants : 0123456789, +33123456789 ou 0033123456789.

Cet article La classification, cet incontournable de la protection des données est apparu en premier sur RiskInsight.

Pourquoi le sujet du Records Management nous intéresse-t-il si particulièrement ? Il a grandement gagné en importance ces deux dernières années avec la publication du RGPD (Règlement général sur la protection des données, ou GDPR en anglais). Ce règlement est en réalité une opportunité pour les entreprises de transformer un sujet de conformité en un indéniable atout métier qui doit être traité aux niveaux les plus stratégiques.

Avoir une cartographie des données de l’entreprise, détaillant leurs lieux de stockage, les finalités des traitements associés et les processus auxquels elles sont associées permettra d’améliorer les résultats opérationnels et sera l’une des clés pour améliorer la performance des entreprises.

La première étape de la formalisation du Records Management passe bien évidement la mise en conformité au RGPD. Les actions menées apporteront de la clarté aux métiers sur leurs activités, de l’information sur ce qui doit être protégé au département traitant de la Sécurité, de l’information aux clients sur le traitement de leurs données. Ces derniers n’en seront que plus satisfaits dans un contexte où la transparence et le contrôle de l’information relatif à leurs données sont des facteurs clés de la confiance accordée à l’entreprise et de sa valeur perçue.

Cette cartographie des données sera alors un vecteur pour la réduction des coûts de stockage et de sécurité de l’information. En effet, les informations essentielles et critiques devant être maintenues et protégées seront clairement identifiées et différenciées de celles qui ne le sont pas et ne nécessiteront pas de mécanismes de protection onéreux.

Par où commencer ? Il n’est pas nécessaire de faire appel à une armée d’experts en Records Management pour atteindre les objectifs fixés. Il s’avère que les métiers et leurs employés, ayant acquis un précieux savoir au fil des années sur le fonctionnement de l’entreprise, ses traitements et processus seront les plus grands atouts dans la définition du Records Management.

Trois étapes sont nécessaires pour définir et implémenter une stratégie de Records Management (ou Data Management) pour les entreprises :

1. Créer une politique de Records Management
2. Créer un registre des applications et et des partenaires en usage au sein de l’entreprise (registre pouvant être basé sur le catalogue de services)
3. Implémenter la politique de Records Management sur les applications et services identifiés afin de gagner en efficacité et faire des économies

La politique de Records Management

Chaque métier a des raisons différentes (légales, réglementaires, opérationnelles, etc.) de conserver des archives et ces données. Par exemple, un service client pourrait avoir la nécessité d’enregistrer les conversations téléphoniques à des fins de qualité ou de formation, de la même manière que dans un contexte de transaction financière elle devra enregistrer les conversations téléphoniques de ses employés, pour être en conformité avec la réglementation (MiFID).

La politique de Records  Management devra donc couvrir l’ensemble de ces besoins.

Chaque entité se doit d’être en mesure de préciser les types de données traitées, ainsi que les caractéristiques de son stockage, afin que la politique puisse être construite efficacement suite à des entretiens ciblés avec des responsables métiers expérimentés.

Une fois l’inventaire des différents types d’archivages obtenus, il conviendra de peser les différents impératifs (légaux, réglementaires et opérationnels) pour déterminer la période de rétention adéquate pour chacun des types d’archivages :

• La réglementation impose habituellement une durée minimale (par exemple, l’enregistrement audio des conversations est de 5 ans minimum avec MiFID II) ;
• La législation fixe de son côté une durée de rétention minimale ou maximale (par exemple, la CNIL demande de ne pas conserver les données personnelles plus longtemps que le temps nécessaire au traitement).

La politique de Records Management doit ainsi contenir le type des données archivées, les durées et raisons de rétention.

Le registre des applications et des partenaires

Une fois la politique de Records Management définie, la prochaine étape sera de la décliner sur les différents Systèmes d’Information de l’entreprise. Pour cela, la première brique de cette implémentation sera la construction d’une vue descendante (top-down en anglais) de l’ensemble des applications en service, via une consultation globale des équipes IT, RH, métiers et de sourcing. La revue de ces applications par les équipes Sécurité et de Direction sera alors nécessaire pour deux raisons :

• Vérifier que cette liste est cohérente avec les applications ajoutées dans le radar des équipes Sécurité suite aux demandes des utilisateurs ;
• Donner de la visibilité sur le Shadow IT en usage.

Cette liste finalisée et revue sera alors un ciment solide pour l’implémentation de la politique de Records Management de l’entreprise. L’organisation pourra ainsi tirer parti de la complétude de cette liste pour échanger régulièrement avec les équipes IT, RH, métiers et de sourcing, permettant de réduire le risque de perte de données au travers d’applications ou de partenaires non supervisés.

Il sera par la suite nécessaire de cartographier les systèmes d’information avec les différents types d’archives, leurs impératifs et leurs caractéristiques de rétention afin de pouvoir implémenter la politique de Records Management.

Implémentation de la politique de Records Management

Avoir défini sa politique de Records Management, la cartographie des archives dans le SI n’aura été qu’un exercice de conformité réglementaire si elle n’est pas appliquée par la suite. C’est effectivement l’implémentation de la politique qui apportera toute la valeur ajoutée en termes de performance et d’économies pour l’organisation.

Un exemple parlant est celui des sauvegardes de restauration. Il est possible de définir comme seule finalité pour ces sauvegardes la restauration des données perdues en cas d’incident majeur sur le réseau de l’entreprise. Dans ce cas, il faudra alors décrire dans la politique que la durée de rétention est d’une semaine pour les sauvegardes journalières, pas plus d’un mois pour les sauvegardes hebdomadaires, pas plus d’un an pour les sauvegardes mensuelles, etc. Mettre en place ce type de politique permettra d’économiser énormément d’espace de stockage et apportera de la clarté sur la gestion des sauvegardes aux équipes opérationnelles. Evidemment, il faut en parallèle ségréguer les enregistrements devant rester sauvegardés plus longuement pour des raisons opérationnelles, réglementaires et légales.

Les entreprises n’ayant pas défini de politique de Records Management auront des difficultés à valider les périodes de rétention pour les différents traitements. Elles auront également tendance à définir des périodes de rétention trop longues générant des coûts inutiles et induisant potentiellement un risque légal pour l’entreprise. Pour reprendre l’exemple des sauvegardes de restauration, si ces données sont stockées sans protection (chiffrement par exemple) et volées alors qu’elles n’avaient plus d’intérêt pour leur finalité initiale de restauration, elles seront exploitables par un tiers malveillant et leur divulgation implique divers risques pour l’entreprise.

Une fois l’implémentation de la politique de Records Management lancée, il est recommandé de revoir les diverses stratégies de l’entreprise liées à celle-ci : Sécurité de l’information, juridique, conformité, métier, etc. afin de les aligner et de les compléter grâce à cette nouvelle connaissance sur les données et traitements de l’entreprise. Des bénéfices additionnels pourront en être tirés au-delà du domaine du Records Management : concentration de la sécurité de l’information sur les données sensibles, identification des traitements les plus à risque pour l’entreprise afin de les sécuriser, d’en identifier une alternative moins sensible, voire de les interrompre en cas de fort impact potentiel dû à un manque de conformité.

Les gains que l’entreprise peut espérer d’une stratégie de Records Management claire et formalisée sont maintenant plus évidents : conformité avec les réglementations et lois sur la protection des données, meilleure performance opérationnelle, et actions de sécurité de l’information mieux ciblées. Afin de maximiser ces bénéfices, il est important d’intégrer le juridique, la conformité, la sécurité de l’information et la stratégie métier dans cette initiative : ils créeront les synergies nécessaires à la réussite du projet.

Cet article Comment faire du Records Management un atout pour les entreprises? est apparu en premier sur RiskInsight.

1 – L’IDÉATION

L’émergence des idées est une étape essentielle de prise de recul ayant pour objectif de porter un regard nouveau sur le marché et sur ses propres activités. C’est au travers d’ateliers de créativité que des idées en rupture peuvent émerger. Pour être efficace, cette étape doit être structurée et encadrée : définir les domaines à balayer, identifier les acteurs à réunir par domaine métier, les associer à des acteurs de la DSI et à des spécialistes de la données (Data scientists). L’animation est structurante, elle suit des méthodes éprouvées de dynamisation de la créativité. Cette première phase permet de faire émerger les idées les plus prometteuses pour les confronter à l’incubation. Elle peut être renouvelée périodiquement.

2 – L’INCUBATION

L’incubation a pour objectif de concrétiser rapidement les idées sélectionnées. C’est le moment d’affiner ces idées, de vérifier leur faisabilité, de les mettre en œuvre sur de premiers périmètres à coût maîtrisé et de vérifier leur intérêt. Il s’agit ici de combiner l’approche agile avec le mode projet Test & Learn en privilégiant l’obtention de résultats tangibles sur ces petits périmètres d’expérimentation avant un déploiement à grande échelle. Pour s’assurer de la dynamique d’ensemble et de l’aboutissement des résultats qu’ils soient positifs ou négatifs, la démarche doit suivre un rythme très cadencé et favoriser le collectif. Il faut s’autoriser à réajuster autant que nécessaire l’idée et sa concrétisation jusqu’à être convaincu de leur intérêt et de leur capacité à être industrialisées. L’expérimentation permet de prendre concrètement la mesure de l’impact de ces nouvelles technologies et usages sur les équipes informatiques et métiers. Elle permet aussi de capitaliser sur les erreurs commises, normales à ce stade de maturité dans l’exploitation des données et étant donné le foisonnement des technologies.

Les premières expérimentations et premiers projets doivent privilégier la simplicité. Cette simplicité s’entend d’abord par un nombre limité de directions consommatrices. Le résultat attendu doit également être sans impact direct sur le marché et les clients, pour limiter l’effet d’un éventuel échec. Pour finir, se focaliser en priorité sur une seule dimension de la data permet de minimiser la complexité de l’architecture à mettre en œuvre. Aujourd’hui, dans la pratique, nous constatons que nos clients se focalisent principalement sur la volumétrie du Big data.

L’aspect variété des données est souvent limité en raison d’une plus grande complexité d’intégration. Un bon niveau de maturité est nécessaire pour explorer toutes les dimensions du Big data et faire valoir toutes ses promesses.
Le diagramme de Venn ci-dessous illustre ce constat et décrit une démarche progressive pour complexifier peu à peu les cas d’usage et leur donner de la valeur. En un mot, la stratégie gagnante consiste à définir des petits périmètres et à les conquérir pas à pas.

3 – LA MOBILISATION

La réussite de la démarche repose sur la mobilisation des bonnes personnes au bon moment. L’organisation la plus évidente consiste à mettre en place une équipe cœur, rassemblant et impliquant une large diversité de profils et compétences clés (« sachant » à connaissance métier large, Data scientist, architecte SI, spécialiste des démarches de créativité, juriste…). Cette équipe cœur vient animer plusieurs équipes pluridisciplinaires mises en place sur des durées plus courtes pour participer à l’idéation et à l’incubation sur des thèmes ciblés. L’équipe cœur est là pour dynamiser l’ensemble et capitaliser progressivement, tout en diffusant les nouveaux modes de travail et les nouvelles compétences. Elle fournit les méthodes et les outils.

La compétence clé d’analyse des méga-données doit au départ être centralisée, l’équipe cœur formant ainsi un guichet unique accélé- rant l’émergence et le test des idées. L’équipe cœur aura aussi pour but de préparer la phase suivante, c’est-à-dire l’intégration de la culture de la donnée dans les gènes et dans le fonctionnement courant de l’entreprise. Elle doit identifier les moments clés où les solutions et plates-formes techniques associées doivent être industrialisées. Elle va pour cela aussi mener des actions plus largement visibles comme des concours d’innovation, des actions de communication, la mise en place de démonstrateurs, avec deux objectifs : légitimer et acculturer. Dans le cas présent, la difficulté va être d’obtenir et de maintenir cette mobilisation de ressources clés alors que les bénéfices directs sont au départ incertains. Un sponsorship fort est nécessaire, de même que le recours à des accélérateurs externes pour parvenir rapidement à des résultats tangibles.

4 – LA DÉMULTIPLICATION

Une fois les premiers retours d’expérience obtenus, il est indispensable de transformer très rapidement ces expérimentations en projets pour accompagner la transformation et éviter l’effet soufflet. Pour aller de l’incubation à la démultiplication, un socle est à construire. Ce socle a 3 piliers : les compétences, le Data Management, le système d’information.

Pilier 1 : les compétences

Pour être en mesure de tirer tout le potentiel des technologies et des données à disposition, une filière Data est à construire pour réorienter une part des profils en place et s’assurer d’une parfaite cohérence avec la transformation engagée. Cette réorientation va passer par une étape d’acculturation puis de formation complémentaire.

Pilier 2 : le Data Management

Tirer la valeur des données est réalisable seulement si l’on connaît le sens des données et que celles-ci sont fiables. Nombre de données internes sont détournées de leur usage premier du fait de systèmes d’information trop permissifs, rendant impossible toute analyse fiable. Pour mener à bien cette mise en valeur de la donnée, des principes d’architecture doivent être intégrés aux processus de gestion et d’évolution des systèmes d’information. Par ailleurs, l’application de règles de sécurité, d’accès, de ségrégation et d’anonymisation doivent garantir la confidentialité.

Ces règles et principes sont pilotés à travers une gouvernance du Data Management qui se décline comme suit :

• Sur l’axe métier, il convient de construire un dictionnaire des données, d’identifier de nouvelles sources de données, de veiller au respect de la réglementation, de valoriser et même éventuellement d’identifier les données « monétisables ». La monétisation est encore peu évoquée par les assureurs mais elle pourrait permettre de pérenniser les démarches de Data Management.
• Sur l’axe fonctionnel, des propriétaires de données doivent être investis d’un rôle de garant de la fiabilité des données et de leur cycle de vie.
• Sur l’axe applicatif, un effort doit être consacré à la modélisation des formats canoniques et à la construction des architectures favorisant l’unicité et le partage des données.
• Enfin, sur l’axe technique, il est nécessaire de construire des offres de services adaptées, optimiser la sauvegarde et l’archivage, sans oublier de suivre et anticiper les augmentations de volumes de données.

La mise en place d’un Data Management structuré est un accélérateur indispensable pour gagner en visibilité sur son patrimoine Data. Elle est à faire vivre et à enrichir avec les données externes qui seront jugées utiles mais également avec la mise en commun de l’ensemble des sources, notamment internes. Pour franchir cette étape, la confiance des différentes entités sur l’utilisation des données est requise. Ce sujet peut être un frein dans certaines organisations. Il est à ce titre nécessaire que chacun prenne conscience de l’augmentation de la valeur des données grâce à la mutualisation de celles-ci.

Pilier 3 : le système d’information

En phase d’industrialisation, l’agilité qui était requise en phase d’incubation va se confronter à la roadmap des projets pluri-annuels et aux maintenances des systèmes existants. L’organisation en place va devoir s’adapter aux besoins de réactivité des projets Big data. Cette exigence est déroutante pour une majorité de structures organisées autour des méthodologies de cycle en V où l’anticipation est la règle. De nouveaux process industriels techniques sont donc à adapter voire à inventer.

À titre d’exemple, il est nécessaire d’être en capacité de mettre rapidement en place de nouveaux flux de données entre systèmes, sans pour autant dégrader les exigences de sécurité, ni la capacité à absorber une masse d’activité importante par ailleurs. Le SI doit se doter de plateformes de management de la donnée adaptées aux différents usages. Ces plateformes sont à intégrer dans l’architecture du SI, qui doit elle-même progressivement s’urbaniser, au travers d’une rationalisation des référentiels et des données.

Cet article Big data : comment se lancer ? est apparu en premier sur RiskInsight.

Que se cache-t-il derrière cette notion de « Big data » ? Découvrez-le au travers des articles de nos consultants !

Sources : IBM, McKinsey Global Institute, Forrester, Twitter, Cisco, Gartner, iconfinder

Cet article [Infographie] Le Big data aujourd’hui est apparu en premier sur RiskInsight.

Que peut apporter le SIRH à ma solution IAM ?

Pour remplir ses objectifs, mon IAM doit être en mesure de répondre à des questions simples  en apparence: qui est cet utilisateur, quel est son nom, son prénom, son matricule ? Quelle est sa fonction dans l’entreprise, quel métier exerce-t-il, et par extension, quelles applications devra-t-il utiliser, ou encore quelles listes de diffusion seront adéquates pour lui ? Qui est son supérieur hiérarchique, et peut-être futur valideur pour ses demandes d’habilitations ? Quelle est son organisation de rattachement ?

Obtenir ces réponses est un premier besoin… mais n’est pas le seul ! Ses informations évoluent : un nouveau collaborateur intègre l’entreprise dans une semaine, il faut lui donner le plus rapidement possible ses accès SI pour qu’il puisse travailler ; Mademoiselle Durand, anciennement contrôleuse de gestion, devient responsable de la comptabilité… il faut lui donner ses nouveaux accès, certes, mais également supprimer les droits qui lui sont devenus inutiles, voire qui pourraient devenir « dangereux » par rapport à son nouveau poste (SoD). Monsieur Thomas, lui, quitte définitivement l’entreprise – or il avait accès (et à distance) à une application critique du SI : ses accès doivent être supprimés dès son départ !

Ces éléments et leurs mises à jour sont généralement présents dans le SIRH d’une entreprise, notamment en raison du lien de celui-ci avec la paie, qui a besoin de savoir qui payer (et quand arrêter de payer), qui est responsable des augmentations d’untel ou d’untel, quelle entité sera facturée, etc. Avec de tels enjeux financiers à la clé, un soin particulier est généralement accordé au maintien à jour de ce référentiel… une opportunité pour mon IAM !

Des atouts certains… mais des limites à avoir en tête

Les liens possibles entre SIRH et IAM sont donc bien réels. Mais attention cependant à ne pas oublier un point essentiel : systèmes d’information et ressources humaines sont deux univers différents, portés par des métiers différents, avec des enjeux, des objectifs, des vocabulaires différents.

Comme nous l’avons dit, le référentiel SIRH est souvent lié à la paie, et cette relation permet d’illustrer les limites des liens qui pourront, ou non, être tissés entre mon SIRH et mon outil d’IAM.

Première limite, là où la paie n’a besoin d’avoir dans son périmètre que les personnes qui seront payées par l’entreprise, mon IAM, lui, se doit de connaître tous les utilisateurs de mon SI, qu’ils soient prestataires, intérimaires ou salariés.

La notion de métier ou encore de hiérarchie n’est pas forcément identique dans le SIRH et  pour l’IAM. Pour le SIRH, Mme Mercier est supérieure hiérarchique de Mlle Durand, car c’est elle qui est responsable de ses augmentations… mais au quotidien, c’est M. Simon son manager ! Et c’est bien lui qui sera légitime pour valider les demandes d’habilitations de Mlle Durand. Les priorités ne sont pas non plus toujours les mêmes entre ces deux univers : un nouvel arrivant doit avoir ses accès SI (et donc être créé dans l’IAM) dès son arrivée… en revanche, il y a souvent moins d’urgence à le créer dans le SIRH, car il ne percevra son premier salaire qu’à la fin du mois…

Lorsque qu’il s’agit de parler de mobilité interne, les deux mondes peuvent également avoir quelques différends. Un collaborateur change d’équipe projet, tout en restant rattaché au même département ? Au niveau du SIRH, ce n’est pas une mutation, son métier reste la même. D’un point de vue SI, a contrario, ce changement constitue un petit bouleversement : son responsable opérationnel (et valideur) n’est plus le même, et l’utilisateur n’a plus les mêmes besoins en termes d’applications métiers. À l’inverse, un changement de nom d’organisation pour toute une filiale n’a quasiment aucun impact sur le SI, alors que tous les utilisateurs sont impactés dans le référentiel RH.

Comment s’interfacer avec le SIRH ?

Comme nous l’avons vu, le SIRH est capable de fournir énormément d’informations structurantes pour ma solution d’IAM, mais possède des spécificités à ne surtout pas négliger. Afin de tirer pleinement parti de cette source d’information et réussir un interfaçage propre, efficace et limitant au maximum les malentendus entre ces deux mondes, trois éléments sont nécessaires :

• Dans un premier temps, définir les éléments structurants pour l’activité opérationnelle et qui seront exploités par l’IAM : les organisations de rattachement des utilisateurs, leurs supérieurs hiérarchiques, les dates d’arrivées et de départ, etc.

• Il est ensuite primordial de se doter de l’organisation, des processus et outil d’IAM flexible, capable de s’adapter aux différences évoquées précédemment. La solution IAM doit ainsi permettre la création d‘identités en avance de phase, ou encore la modification manuelle de certains attributs d’identité. Elle doit conserver une certaine marge de manœuvre sur la gestion de ses identités, ne pas avoir une dépendance trop rigide vis-à-vis du SIRH.

• Enfin, une attention particulière doit être portée à la réconciliation entre les identités du SIRH et celles de l’IAM. Qu’un utilisateur soit créé « en avance » dans l’IAM, ou que certains de ses attributs soient modifiés manuellement, le lien avec le SIRH doit être assuré… faute de quoi, gare aux doublons et aux identités fantômes. Définir une clé unique de réconciliation entre les identités est indispensable pour un interfaçage efficace… et pérenne !

Le SI RH peut se révéler d’une aide précieuse pour la gestion du cycle de vie des utilisateurs grâce aux informations dont il dispose sur les personnes et sa connaissance des mobilités et départs. À condition toutefois de bien comprendre les processus RH sous-jacents, leurs particularités par rapport au monde du SI, et de s’y adapter dans une logique de gestion des identités et de contrôle des accès, sujet qui fera l’objet d’un prochain article.

Cet article Interface avec le SIRH : une opportunité pour l’IAM ? est apparu en premier sur RiskInsight.

Pour autant, même une fois cette démarche menée à bout, plusieurs doutes persistent.

Si l’actualité récente a fait éclater l’affaire PRISM , la réalité des accès aux données est pourtant connue depuis de nombreuses années.

 Les risques d’accès aux données sont réels, depuis longtemps

Les quelques années de recul et d’expérience sur le Cloud montrent que les craintes quant à l’accès aux données hébergées à l’étranger sont justifiées.

L’exemple le plus souvent cité est celui du USA PATRIOT Act : sur requête du gouvernement américain et après contrôle par un juge, toute entreprise américaine, ou située sur le sol américain, ainsi que tout citoyen américain (où qu’il soit), se doivent de fournir aux autorités un accès aux données auxquelles ils ont accès. Dans le cas d’une entreprise de droit américain, l’obligation s’étend en dehors du territoire national : si ses infrastructures sont situées en Union Européenne, la loi s’applique.

Le Syntec Numérique a publié un éclairage intéressant sur le sujet en avril 2013. On y précise notamment  qu’un contrôle par un juge peut être réalisé avant la divulgation des données… Ou après, donc trop tard pour l’empêcher.

Cette loi pose donc  en théorie le problème de la confidentialité des données. Dans la réalité, ces craintes se justifient principalement si les données manipulées ont un niveau de sensibilité très élevé : étatiques (administrations, défense, etc.), stratégiques pour l’entreprise dans un environnement à forts enjeux concurrentiels, géopolitiques, etc.

Pour autant, et c’est un aspect moins connu, la majorité des gouvernements mondiaux disposent de prérogatives équivalentes. Le grand cabinet d’avocats Hogan Lovells a publié une étude à ce sujet en 2012, incluant notamment un comparatif des législations de 10 grands pays sur l’accès aux données Cloud : beaucoup (dont la France) disposent de prérogatives similaires, parfois plus larges et moins contrôlées.
Pourquoi alors se focalise-t-on généralement sur le USA Patriot Act ? Principalement car les acteurs majeurs du Cloud sont aujourd’hui américains,  donc soumis à la législation américaine.

Cependant, ne considérer que l’aspect strictement légal est encore trop réducteur : l’entreprise doit également se demander si le pays sur le sol duquel ses  données critiques sont hébergées a des intérêts allant dans le même sens que les siens.

Dans tous les cas, les conseils de juristes spécialisés sont indispensables pour avoir une position précise et adaptée.

 Les fournisseurs français de Cloud computing, solution du problème ?

Sur le papier, stocker ou traiter ses données chez un prestataire de droit français sur le sol français semble la solution idéale…  en théorie seulement.

En effet, de nombreuses fournisseurs français ont des centres de traitement et de stockage dans le monde entier… Même si vos données n’y sont ni stockées ni traitées, ceux-ci pourraient être connectés aux centres situés sur le sol français (et donc permettre d’y donner accès à distance).

Au-delà des données, se pose la question des équipes décentralisées : un Cloud hébergé en France, mais dont les équipes d’administration sont situées aux quatre coins du monde (par exemple pour fournir un support 24/7) doit également faire l’objet d’attentions.

Une fois encore, tous ces risques sont à relativiser : ils ne concernent que les données réellement sensibles.

Entre protections juridiques et solutions techniques, la bonne parade reste encore à trouver

Un moyen de se protéger des divulgations indésirables pourrait consister en l’ajout de clauses contractuelles interdisant à son fournisseur de le faire. Malheureusement, ce dernier risque de ne tenir aucun compte desdites clauses lorsqu’une demande officielle de son gouvernement lui parviendra. Pire, dans le cas des lois américaines, il peut lui être interdit d’avertir le propriétaire des données que celles-ci ont été transmises (il s’agit du principe de gag order).

Dans certains cas, il est possible de prendre certaines précautions très spécifiques. Nous conseillons parfois à nos clients de demander l’isolation de leurs données  dans le datacenter du fournisseur, dans une salle sous alarme dont seule l’entreprise détient la clé. Là encore, cela n’empêchera pas un accès aux données, mais permettra au moins à l’entreprise d’en avoir connaissance.

Une véritable solution pourrait provenir de la technologie : un chiffrement adéquat des données permettrait de s’assurer que même en cas d’accès aux données, celles-ci sont correctement protégées. Cela nécessite des technologies de chiffrement de confiance (par exemple en France, qualifiées par l’ANSSI), afin que les données soient sécurisées sur tout leur parcours : pendant leur transmission sur le réseau, au moment de leur utilisation, et lorsqu’elles sont stockées dans le Cloud.

À ce titre, le chiffrement dit « homomorphique » constitue une perspective d’avenir intéressante…

Cet article Cloud et sécurité : mythes et réalité (partie 2) est apparu en premier sur RiskInsight.

Big data : un intérêt qui ne faiblit pas

Depuis 2012, l’intérêt pour le Big data ne cesse de croître (cf. courbe google trends). Pourtant, faute de disposer d’une définition tangible, la pertinence des usages de cette expression reste, aujourd’hui encore, sujette à interprétation.

Prenons un échantillon de définitions produites par les voix les plus influentes du domaine IT (Gartner, Forrester, IBM etc.). Derrière le Big data, une multitude de sujets : il peut s’agir, selon les analystes,  1) des données  (d’un genre caractéristique), 2) d’un phénomène ou encore 3) d’un ensemble de techniques ou technologies. Il en ressort cependant un champ lexical qui fait assez largement consensus et s’est imposé sur la plupart des slidewares (avec aussi des contradicteurs).

« Petite » analyse lexicale du « Big » data

3 V. Volume, Variété, Vélocité. Vision du Gartner de 2001 : chacune de ces caractéristiques constituent un défi pour les entreprises qui souhaitent les exploiter ; leur combinaison accentue d’autant la difficulté que représente le traitement des données. Le Big data n’est pas que l’explosion des volumes. C’est aussi la richesse des formats et le temps réel. Ce qui pose question et qui est rarement explicité, c’est la mesure de chacune de ces trois dimensions. Le volume se mesure-t-il en téra- ou en pétabytes ? Où se situent les niveaux d’acceptabilité qui permettent de déterminer qu’une situation ou un cas d’usage relève du Big data ? Le Big data d’aujourd’hui sera-t-il celui de demain ? Car avec la croissance des données et les avancées technologiques, le curseur ne cessera sans doute pas de se déplacer…

4V = 3V+Valeur. Certains ont noté un glissement de l’acception Big data de 3 à 4 V : des caractéristiques de nature technique à celle de « valeur ». Que peut-on tirer des données ? C’est en fait la question essentielle : celle de « l’opportunité à saisir » ou du « besoin à combler ». Une autre question apparaît avec les fournisseurs de données : quel est le prix des données ?

Technologie accessible. Il n’y a pas de définition technologique du Big data au sens où aucune technologie n’est liée de manière exclusive et catégorique au concept. Tout comme les web services n’étaient pas la SOA, le Big data n’est pas Hadoop*, même si Hadoop est la valeur sure d’un marché en plein essor et encore peu lisible. Certes, l’envolée du Big data doit beaucoup à l’« accessibilité »  d’Hadoop et du noSQL. Mais le coût et le ROI de ces solutions sont-ils à la hauteur des promesses ?

Acquisition, visualisation etc. Le Big data n’est pas que stockage et analyse de données. Il faut  développer son gisement pour trouver la bonne information. L’information produite doit être comprise, retenue, travaillée et des techniques d’analyse visuelle sont aujourd’hui mises en avant.  Enfin, pour les questions de fiabilité et de sécurité, des évidences en gestion des données, des solutions se positionnent.

Décision. Le Big data bouscule le décisionnel. Les cas d’usage Big data sont quasiment exclusivement analytiques. Les technologies dont nous parlions ne sont d’ailleurs pas construites pour supporter des processus transactionnels qui restent en périphérie de la « révolution » à la source des données.

Un Big data à ma sauce

Le Big data est une véritable problématique, soit littéralement un faisceau de questions. Si l’exercice de définition va se poursuivre, il serait salvateur de l’évacuer rapidement. Mieux vaut se concentrer sur les défis techniques et organisationnels du traitement des données et la recherche de nouveaux leviers de performance.

Forrester propose pour ce faire une approche pragmatique « Calculer son « Big Data score », qui vise à s’auto-évaluer sur sa capacité à stocker, traiter, requêter ses données selon chacune des 3 dimensions. Big data ne veut pas dire la même chose pour Google et pour moi. Il faut revenir à des enjeux réalistes : ai-je exploré les opportunités d’utilisation des données « à ma disposition » ? Suis-je capable de « passer à l’échelle » efficacement (délai, coût) si une opportunité se présente ?
Et, à quelle échelle : *10, *100, *1000 ? Que font mes concurrents ?

Alors : in or out ?

*Hadoop comme nombre de bases de données noSQL est distribué en open source. Le déploiement d’Hadoop n’exige pas d’infrastructure réseau et/ou serveurs haut de gamme.

Cet article Big data : tour d’horizon 2013 ! est apparu en premier sur RiskInsight.

Un apport des DLP complémentaire à la lutte contre l’intrusion et au contrôle d’accès

Une fuite d’information peut provenir de trois sources différentes. L’attaquant externe est souvent celui qui vient à l’esprit en premier. Cependant, l’expérience montre que ce sont les utilisateurs internes, autorisés ou non, qui font fuir le plus d’information.

Suivant la position de celui qui fait fuir l’information, trois grandes étapes peuvent être enchaînées : intrusion, accès à l’information, diffusion de l’information – dont la nécessité dépend des accès initiaux de l’acteur à l’origine de la fuite d’information. À chacune de ces étapes, des solutions de sécurité permettant de réduire le risque existent.

Il convient d’agir à toutes les étapes d’une fuite d’information en s’appuyant sur des mesures allant de la sécurité physique aux solutions de Digital Right Management (DRM), en passant par le chiffrement de flux, le cloisonnement, ou encore la gestion des accès et des habilitations…

Si de telles mesures sont déjà mises en œuvre, les outils de DLP permettent alors essentiellement de se prémunir contre des erreurs ou malveillances d’utilisateurs ayant un accès légitime à l’information. En ce sens, ils permettent d’apporter une protection au plus proche de la donnée.

Des solutions fonctionnellement matures

Les mécanismes de contrôle des DLP sont mis en œuvre à travers des règles ou politiques centralisées permettant d’analyser les traitements faits sur la donnée quelle que soit sa nature ou son support.

Grâce à des agents déployés sur le réseau et/ou sur les postes de travail, le DLP va pouvoir empêcher la copie d’un fichier sur un périphérique externe, l’envoi d’un document sensible par email, l’impression d’un document ou encore la publication d’une information confidentielle sur les réseaux sociaux.

Après analyse et filtrage des données par la solution DLP, différentes mesures de prévention peuvent être prises, avec un impact plus ou moins élevé pour l’utilisateur : alertes, demande de justification, blocage…

Enfin, il convient de noter que les acteurs du marché mettent de plus en plus l’accent sur le contexte d’utilisation de la donnée. Certains éditeurs proposent ainsi des fonctionnalités de gouvernance au sein de leur solution de DLP permettant par exemple de savoir exactement où se trouvent les données sensibles et qui y a accès.

Le marché des DLP est donc de plus en plus mature : la couverture fonctionnelle proposée est élevée et évolutive, la gestion de l’impact sur les collaborateurs de plus en plus souple. Néanmoins, les retours d’expérience restent limités par rapport à ce que l’on pourrait attendre.

La raison de ce paradoxe vient du fait que les métiers sont trop souvent insuffisamment impliqués dans les projets de DLP, alors même que ces projets n’ont que peu de chance d’aboutir sans eux, en particulier vu le volet RH nécessairement associé.

Adopter une approche par les résultats pour mobiliser les métiers

Il est illusoire de vouloir protéger toutes ses données dans tous les cas d’usage imaginables. Une approche purement technique visant un périmètre exhaustif n’a que peu de chance de convaincre, particulièrement dans la conjoncture économique actuelle.

Une approche par les résultats mêlant ciblage précis, démarche outillée, accompagnement et visibilité est donc à favoriser dès la sélection de la solution. Une fois les objectifs atteints sur un périmètre prioritaire, on peut envisager de l’élargir.

La première étape, primordiale, est donc la définition du périmètre prioritaire de données à protéger et des cas d’usage fonctionnels à traiter. Identifier les dix données les plus critiques, s’appuyer sur des situations fonctionnelles avérées, commencer par un nombre limités de supports pour réduire les aléas techniques sont autant de facteurs clés de succès.

La définition des processus de surveillance (politiques d’interaction avec les utilisateurs, processus en cas d’alerte…) ne doit également pas être négligée. Sur ce volet, et dès le début du projet, il est important de mobiliser les fonctions RH de l’entreprise pour valider le mode de mise en œuvre de la démarche DLP (alerte, blocage, journalisation…), construire les processus de gouvernance associés et au final envisager un passage devant les instances représentatives du personnel.

Lorsque le cadrage global du périmètre fonctionnel est effectivement achevé, la phase de sélection de la solution peut être entamée. Une démarche outillée impliquant la réalisation d’une maquette est indispensable pour s’assurer de l’adéquation de la solution aux cas d’usages fonctionnels identifiés et évaluer les résultats envisageables.

En cas de résultats satisfaisants, un déploiement progressif est à envisager avec un leitmotiv : la sensibilisation des utilisateurs.

Enfin, en mode récurrent, l’intégration à un SOC (Security Operation Center) peut permettre de bénéficier de la maturité de la gestion opérationnelle de la sécurité pour optimiser la surveillance d’une part et l’accompagnement et la visibilité fournis aux métiers d’autre part.

Cet article Le paradoxe des projets de Data Leak Prevention (DLP) : une problématique clé, des solutions matures… mais une mise en œuvre qui fait encore peur est apparu en premier sur RiskInsight.

Quelles sont caractéristiques du Big data ?

Comme son nom l’indique, le Big data définit une catégorie de données. Elle est souvent résumée par les 3 « V » :

• Volume : une quantité de données importante liée à la multiplication des données du client. Les données à manipuler sont de l’ordre de la dizaine de tera octets ;
• Variété : différents types de données  provenant de diverses sources (internes SI, externes comme les réseaux sociaux… Ces données vont du plus structuré (relationnel) au non structuré (fichiers, vidéo…) ;
• Vélocité : une fréquence rapide à laquelle les données doivent être traitées et partagées, liée à la volonté de tendre vers un SI « temps réel ».

 Comment savoir si l’on manipule des données Big data ?

C’est simple, c’est souvent lorsque l’une des couches du SI devient un facteur limitant lors du traitement de gros volume de données, que l’on comprend qu’il s’agit de Big data.

La couche stockage est l’un des premiers facteurs limitant et les problématiques associées sont les suivantes :

• Performance : l’augmentation du volume à traiter entraîne une diminution des performances ;
• Linéarité : l’outillage n’étant pas adapté aux gros volumes de données, le modèle de scalabilité n’est pas linéaire, l’ajout de stockage ne permettant pas d’améliorer les performances ;
• Dynamisme : l’allocation d’espace est fixe avec une faible réactivité pour en ajouter ou en retirer.

Les solutions du marché reposent sur des implémentations propriétaires.

Les solutions Big data reposent sur un stockage basé sur le modèle de fichier distribué : des nœuds de stockage sont répartis physiquement sur le réseau mais vus par les applications comme un seul volume de stockage logique.

Ce modèle répond justement aux enjeux suivants, auparavant problématiques :

• Performance : les données sont réparties sur plusieurs nœuds de stockage (stripping HADOOP HDFS) et ceux-ci se distribuent intelligemment la donnée afin de diminuer le trafic réseau (les données semblables sur un même nœud) et faciliter des traitements distribués (HADOOP map reduce)
• Linéarité : le modèle distribué permet d’ajouter des nœuds de stockage sans limite et permet de retrouver une scalabilité linéaire ;
• Dynamisme : l’ajout et la suppression de nœud de calcul peuvent se faire simplement et apportent une résilience (via la réplication automatique des données). Si un nœud de stockage tombe, le service est assuré sans arrêt et sans perte de données. On s’approche d’une perte de données « RPO » et d’un temps de reprise « RTO » nulle.

Les solutions du marché (IBM, EMC, etc.) répondent aux 3 « v » du Big data mais chacune suit son propre modèle d’implémentation du stockage distribué : Cluster File System, Parallel File System…. Chaque solution n’a donc pas les mêmes performances ou, capacité d’évolutivité suivant le besoin.

 La qualification des données est la clé du stockage

C’est pour cela que lors de la mise en œuvre de ces types de solutions, une étude sur le stockage est nécessaire.  Quelles sont mes données ? Quelle est la volumétrie (max, écart-type, moyenne) ? Quelle est leur croissance ? Quels types de traitements sont effectués ? Doivent-elles être centralisées ? Quel est le ratio de lecture / écriture ? …

Toutes ces réponses permettront de catégoriser les données, un entrant primordial à la qualification de la solution cible et à son optimisation. Ainsi l’optimisation des  services de stockage Big data permettent à l’entreprise de maîtriser la variabilité et les performances. L’indexation devient plus facile, la taille des caches est optimisée et le stripping (fait de couper le fichier en plusieurs morceaux) est facilité afin de garantir un accès plus rapide à la donnée.

La mise en place d’une technologie stockage distribué est idéale dans les configurations de type grille de calcul : les nœuds de calcul échangent un grand nombre de données entre eux. À  la place d’une configuration en étoile où tous les nœuds s’échangent directement des fichiers, chaque nœud utilise un même volume logique hébergé sur une infrastructure Big data. Les gains sont doubles : directement sur les temps de lecture / écriture des données partagées et la charge réseau (bien que plus concentrée sur un segment) et indirectement sur les temps de calculs de la grille. Les nœuds de la grille de calcul étant déchargés de leur fonction de distribution de fichiers vers les autres nœuds, les ressources sont exploitées au maximum par le calcul applicatif. L’applicatif est donc plus performant pour le business.

Les solutions de stockage Big data commencent à être adoptées par les entreprises, qui les utilisent sur leurs périmètres stratégiques pour en tirer des gains de performance là où les solutions standards étaient limitantes. L’intégration de ces solutions reste l’étape clé : l’étude des données est nécessaire pour choisir la bonne implémentation Big data, faciliter sa configuration et ainsi profiter pleinement des  bénéfices annoncés.

Cet article Big data : comment intégrer les technologies de stockage ? est apparu en premier sur RiskInsight.

La sécurité, une question négligée après la phase de contractualisation

Les limites posées par le SaaS sont aujourd’hui bien connues : difficultés d’adaptation du service aux besoins de l’entreprise, absence de possibilités d’audit, questions réglementaires, etc.

Pourtant, de plus en plus de services cloud sont adoptés, sans que la sécurité ne soit nécessairement un frein. Pour cela, une démarche classique d’analyse de risque est menée en évaluant les contraintes légales / réglementaires,  les mécanismes de protection des données, la gestion de la sécurité par le fournisseur, ou encore les conditions de réversibilité de la donnée.

Cette démarche est de plus en plus maîtrisée : de nombreux retours d’expérience et un outillage qui se professionnalise* amènent à faire des choix éclairés, en toute connaissance de cause des risques encourus, et donc parfois acceptés.

Malheureusement, la démarche sécurité s’arrête souvent là : à partir du moment où le sujet a été traité lors de la contractualisation, on considère qu’un bon niveau est assuré, puisque l’on a exigé du prestataire de s’en occuper !

Le maintien de la sécurité dans le temps est un enjeu régulièrement oublié, alors même qu’il est en partie du ressort de l’entreprise, et pas seulement à la charge du fournisseur.

Des sujets à inscrire dans la durée

Pour s’assurer que la solution cloud est déployée avec le bon niveau de sécurité, et maintenir celui-ci dans le temps, quatre grands thèmes sont à aborder en priorité. S’il s’agit de bonnes pratiques habituelles sur un SI d’entreprise, il faut aujourd’hui les adapter, voire les renforcer pour le SaaS.

•  La gouvernance : les services SaaS doivent être intégrés aux procédures de sécurité et des processus liés au service fourni. Il peut par ailleurs être utile de mener des actions de sensibilisation dans certaines situations.

• L’administration fonctionnelle du service est bien du ressort de l’entreprise : le fournisseur n’est pas en mesure de faire les choix fonctionnels à votre place (et ce n’est souvent pas ce qu’on lui demande) ! Pour l’aspect sécurité plus encore, c’est à l’entreprise de définir  et mettre en œuvre les fonctionnalités avancées disponibles, de restreindre les services au minimum requis par l’utilisateur, de former ses administrateurs… Ces aspects sont souvent les plus négligés, comme nous le constatons lors des audits que nous réalisons.
• Des contrôles réguliers peuvent et doivent aussi être mis en œuvre sur les parties auditables des services. Il s’agit en particulier de vérifier que les paramètres de sécurité sont inchangés, d’exploiter les logs sécurité, et de revoir les habilitations. S’il le permet, enfin, ne pas hésiter à auditer son fournisseur (visites de site, voire tests d’intrusion).
• Il reste enfin à traiter le sujet de l’IAM, enjeu transverse du Cloud, souvent peu ou mal maîtrisé de par sa complexité. Même si cette voie est souvent suivie, il faut pourtant éviter de recréer un compte dans le Cloud pour chaque utilisateur. Pour « synchroniser » les identités de l’entreprise dans le Cloud, il faut également éviter la multiplication des connecteurs  (et notamment ne pas en redévelopper un par fournisseur), sous peine de créer une situation ingérable. Deux approches sont aujourd’hui à prioriser : soit l’utilisation d’un outil de fédération d’identités interne (qui réalise la connexion avec la majorité des fournisseurs de SaaS), soit l’externalisation de l’IAM… dans le Cloud (!) en « Identity as a Service »

Le RSSI, garant de la cohérence des projets

Dans le cas du SaaS, le rôle des responsables sécurité de l’information est double.

D’une part, il s’agit d’accompagner les projets, en leur apportant des solutions transverses : un certain nombre de points peuvent être mutualisés en amont. C’est tout particulièrement le cas des sujets tels que l’IAM, qui doivent faire l’objet d’une approche unifiée et cohérente –  et surtout pas projet par projet.  C’est également le cas des questions légales qui doivent faire l’objet d’une réflexion globale amont.

D’autre part, la SSI demeure la garante du niveau de sécurité dans le temps : la Gestion Opérationnelle de la sécurité devra faire l’effort de partir à la conquête des nuages !

* On peut citer notamment le guide publié par l’ANSSI et la « Cloud Control Matrix » maintenue par la Cloud Security Alliance

Cet article SaaS et sécurité : entreprises, ne mettez pas vos responsabilités dans les nuages ! est apparu en premier sur RiskInsight.

 Quelle est la nature des annonces récentes dans le domaine du Big Data et de la sécurité ?

 Le buzzword « big data » a fait son entrée en force cette semaine dans le monde de la sécurité de l’information. Deux acteurs majeurs ont pris position sur le marché. D’un côté, RSA a annoncé son outil « Analytics ». Son objectif : détecter les fameux « signaux faibles » dans le volume des journaux de sécurité générés dans le système d’information. De l’autre, Cisco annonce le rachat de la société « Cognitive Security », une start-up tchèque spécialisée dans l’analyse analytique des mêmes journaux. Cisco envisage un rapprochement effectif au 3^ème trimestre de cette année et l’inclusion des technologies dans ces services cloud de sécurité.

Est-ce que cela représente une avancée significative pour la sécurité ? 

Dans un sens oui, l’adoption de ces technologies par de grands acteurs valide l’intérêt des méthodes statistiques afin de détecter des attaques ciblées. Nous savons qu’il y a une attente forte sur ce point. Les statistiques le montrent clairement, aujourd’hui il faut en moyenne 412 jours pour détecter une attaque ciblée. Plus frappant encore,cette détection provient dans 94% des cas  de tiers externes à l’entreprise (Rapport Mandiant 2012) tandis que les premières exfiltrations de données ont lieu 24h après le début de l’attaque ! Il y a donc clairement un problème à résoudre. D’ailleurs nous disposons de retours d’expérience positifs avec des outils existants déjà sur le marché. Je pense en particulier à la solution de la société française PicViz. Elle est déjà en place dans plusieurs sociétés où elle a permis des avancées significatives.

Comment une entreprise peut-elle tirer parti de ces innovations ?

Ces outils n’ont rien de magique, les acheter et les déployer ne résoudra pas tout. Ils vont requérir d’une part d’être alimentés par des données – les journaux de sécurité – et d’autre part de disposer de compétences pour analyser les résultats. Et ces deux points sont aujourd’hui des points faibles dans beaucoup d’entreprises ! En premier lieu, il faut augmenter le volume de journaux générés à tous les niveaux du SI pour pouvoir « nourrir » correctement l’outil. L’avantage, c’est que ces solutions, contrairement au SIEM (Security Information and Event Management) historique, font de l’analyse sans chercher des scénarios particuliers qu’il faut définir au préalable. Ils sont donc plus efficaces pour détecter les attaques ciblées.

Parallèlement, les équipes dédiées à l’analyse de ces journaux doivent être renforcées (en effectifs et en formations) afin d’être en mesure de comprendre les analyses et d’y réagir de manière appropriée. Notre expérience le montre, nous n’échappons pas aux faux positifs… L’externalisation d’une partie de l’équipe en charge  de  surveiller les SI est  une solution possible. De récents appels d’offres que nous avons conduits ont montré que les acteurs du marché se sont multipliés et qu’ils proposent de nouvelles solutions aux problèmes rencontrés au quotidien par les entreprises dans le domaine de la sécurité.

Cet article Outillage sécurité : la ruée vers le Big Data est en cours est apparu en premier sur RiskInsight.

Mais comment utiliser au mieux cet investissement sans se contenter de prendre le train en marche ? Voici quelques idées à considérer :

Cherchez à répondre à un problème métier en particulier plutôt que d’implémenter simplement un système de Big Data

Le battage publicitaire autour du Big Data promet de révéler des relations cachées parmi vos données existantes – des modèles qui attendent juste d’être découverts. Bien que les outils de Big Data soient puissants, ils ne correspondent qu’à certains types de problématiques et les relations qu’ils dévoilent peuvent n’avoir aucune signification pour le métier. Il est préférable de chercher à répondre à un problème métier afin de concentrer vos efforts initiaux et de montrer une pertinence tangible pour le métier. À la réflexion, vous vous apercevrez peut-être même que les systèmes actuels sont capables de fournir les données dont vous avez besoin.

Comprenez où les outils de Big Data excellent et où les solutions BI existantes restent meilleures

Permettre aux utilisateurs d’analyser des données propres et structurées de manière interactive et en temps réel reste du domaine de la BI – et de récentes implémentations peuvent elles-aussi être largement dimensionnées. Les outils de Big Data ont toutefois un rôle à jouer car ils permettent d’analyser des informations non structurées ou changeant fréquemment, ou de détecter des modèles parmi de grandes quantités de données d’origines variées. Mais tous les métiers n’ont pas ces exigences.

Assurez-vous d’avoir les compétences et l’organisation appropriées

Une bonne équipe  rassemble compréhension du métier, compétences d’analyse des données et connaissance de la plate-forme. Rassembler ces trois compétences au sein d’une même équipe est une excellente façon d’atteindre une bonne compréhension technique, ce qui vous permettra de poser des questions métier pertinentes et d’interpréter correctement les données (et, très important, de ne pas arriver aux mauvaises conclusions), et de soutenir et faire évoluer la solution au fur et à mesure que vous gagnez de l’expérience.

Réfléchissez deux fois avant de conserver toutes les données uniquement car « cela pourrait être utile un jour »

Beaucoup de solutions Big Data vantent leur utilisation de disques bon marché qui vous permettent de conserver vos données facilement accessibles en ligne, sans vous soucier de jeter les informations qui pourraient être utiles un jour. Bien que cela semble attractif, il y a tout de même un coût sous-jacent à cette accumulation. Assurez-vous de pouvoir justifier le stockage des données en fonction de votre stratégie Big Data.

Pensez plus large que Hadoop

 Hadoop (le populaire logiciel open source d’Apache pour une informatique fiable, évolutive et distribuée) est certes une plate-forme puissante, mais ce n’est pas une panacée et il faut généralement un certain nombre d’outils environnants pour créer une solution de Big Data utilisable. D’autres systèmes similaires existent et peuvent mieux correspondre à votre besoin. Au moins au début, une analyse de données et une plate-forme de visualisation plus simples sont peut-être plus appropriées pour vous aider à développer votre approche du Big Data.

En résumé – le Big Data est de plus en plus utilisé et des raisons convaincantes poussent à penser que les DSI d’entreprises autres que des géants de l’internet devraient commencer à regarder ces solutions. Mais avec un peu de réflexion en amont, vous pourrez vous lancer en ayant une vision plutôt qu’à partir d’une pulsion.

Article traduit de l’anglais. Lire l’article original sur le site de DMW group

Cet article Big Data : se lancer sur une vision, et pas sur une pulsion est apparu en premier sur RiskInsight.

LGA (Lise Gasnier) : C’est le big buzz de 2011 qui ne manquera pas de faire du bruit cette année encore! Il désigne les ensembles de données aux volumétrie et complexité telles qu’il faut repenser les moyens de leur gestion. Le volume de ces données se mesure désormais en pétaoctets (10¹⁵ octets). Et, par complexité, nous entendons une ou plusieurs caractéristiques parmi lesquelles :

• croissance rapide et soutenue,
• formats hétérogènes,
• peu ou pas de structuration (comme par exemple pour les images, vidéos, pages web et emails),
• des sources variées.

Les Big data sont par exemple des :

• données transactionnelles (commandes, paiements etc.).
• logs,
• clickstreams,
• événements géolocalisés,
• contenus de réseaux sociaux,
• données comportementales,
• relevés de compteurs intelligents,
• appels au service client.

Par extension, le terme désigne, au-delà des données, les moyens humains ou technologiques extraordinaires mis en œuvre pour les traiter.

MMI (Mathieu Millet) : L’ensemble de la chaîne de traitement technique de ces données se voit remaniée : capture, stockage, analyse et transformation en informations pertinentes et enfin, restitution.

Processus métiers et finalité des traitements n’ont rien de nouveau (pilotage opérationnel, aide à la décision, analyse clientèle et comportementale, optimisation de processus…). Par contre, le volume, la nature et le rythme d’acquisition en données, décrit par Lise, tout comme la volonté d’accélérer ces traitements provoquent un vrai changement de paradigmes technologiques et organisationnels.

Ainsi, certaines pratiques ne sont plus envisageables comme la recopie intégrale de données entre différentes applications susceptibles d’utiliser ces données. Également, de nouvelles pratiques sont à employer afin de tirer parti de l’écosystème Big Data ; par exemple : mettre en œuvre une plus grande coopération/interaction entre les solutions d’analyse et l’entrepôt de stockage afin de bénéficier des performances (I/O mais également CPU) de ce dernier.

LGA : La problématique de gestion des gros volumes de données ne date pas d’hier. Depuis bientôt dix ans, elle est même centrale aux métiers de la recherche scientifique, de la finance et de l’indexation web. Mais, la conjoncture actuelle en a fait un sujet de tout premier plan :

• La production de données augmente drastiquement, par l’action des individus tout autant que celles des organisations. Ainsi, les analystes d’IDC relèvent que le volume du contenu numérique mondial a atteint 2.7 zettaoctets (soit 2.7*10²¹ octets), avec une augmentation de 48% en 2011. Ils estiment par ailleurs, qu’en 2012, 90% de l’information sera sans structure (voir le rapport complet gratuitement à cet endroit : http://www.idc.com/getdoc.jsp?containerId=231720).
• Des solutions techniques ont émergé, dont certaines libres, comme la plus emblématique : Hadoop et son écosystème (que nous évoquerons plus en détail dans un prochain article). Elles rendent possible et accessible la refonte technologique nécessaire, évoquée par Mathieu.

Les entreprises réfléchissent donc aujourd’hui, tous secteurs confondus, à tirer un avantage concurrentiel de leurs gisements de données ou de ceux publics (web, open data). Des premiers “business cases” (optimisation du marketing numérique, détection et prévention des fraudes, analyse des réseaux sociaux et des relations…) démontrent déjà que de nouveaux indicateurs, de nouveaux leviers de  valeurs  sont à portée de main. Mais, les questions demeurent nombreuses : il faut définir précisément les besoins et cadrer les transformations stratégiques, organisationnelles, techniques et légales de ce “passage à l’échelle”. D’où le buzz, qu’alimentent par ailleurs les acteurs du paysage technologique!

Lire aussi les articles :

Quel est le paysage du Big Data

Comment faire face à l’émergence du phénomène Big Data

Cet article Qu’est-ce que le Big Data ? est apparu en premier sur RiskInsight.

La direction générale doit être informée de cette évaluation de l’exposition. En parallèle, il s’agit également d’identifier les données les plus sensibles de l’entreprise. Sans viser une classification exhaustive de l’ensemble des informations, il est important de bien identifier les données les plus sensibles et/ou les plus exposées, mais aussi qui elles peuvent intéresser, que ce soit des personnes malveillantes internes ou externes pour les protéger de la manière la plus efficace possible. Ces éléments permettent à l’organisation d’évaluer le risque d’être visée par une attaque opportuniste ou ciblée. Ils permettent de mieux organiser les plans d’actions de protection.

Lutter contre les attaques opportunistes : retour aux fondamentaux

Les attaques opportunistes sont souvent simples. Elles utilisent des vulnérabilités évidentes dans le SI et visent les systèmes exposés publiquement. Il est facile de s’en protéger en investissant les moyens nécessaires pour mettre en place, concrètement, les bonnes pratiques de sécurité. Trois thèmes ressortent particulièrement :

• La sécurité applicative : les vulnérabilités web sont le vecteur principal d’attaque (injection SQL, mots de passe simples et stockés en clair, etc.). Il est crucial de rapidement renforcer la sécurité applicative en agissant en amont sur les développeurs et les métiers, et en aval sur les audits avant mise en production.

• Le maintien à jour de l’infrastructure : même si des efforts ont été réalisés, la gestion des correctifs, le durcissement des systèmes (y compris des comptes administrateurs) et l’utilisation de zone d’isolation (DMZ) ne sont encore parfois mis en oeuvre que partiellement.

• La mise en place de contrôles réguliers : que ce soit par l’intermédiaire d’audits, de tests d’intrusion ou par la mise en place de systèmes de détection d’intrusion ou de gestion des traces, des contrôles réguliers sont essentiels pour garantir le niveau de sécurité dans le temps.

Ces mesures matures et largement maîtrisées permettent aujourd’hui de lutter efficacement contre les attaques opportunistes. Aujourd’hui, elles sont efficaces car le système d’information repose sur un modèle de protection périmétrique, distinguant le réseau interne des réseaux externes, plus exposés. Dans le futur, ce modèle disparaîtra irrémédiablement et les applications internes seront de plus en plus exposées.

Nous détaillons dans le focus « 2015 : une révolution pour la sécurité ? », comment adapter sa stratégie pour répondre à ces évolutions et mettre en place une sécurité centrée sur les données en profondeur dans le SI.

Lutter contre les attaques opportunistes est possible en utilisant les moyens de sécurisation existant, mais comment réagir face aux attaques ciblées ? (Tribune n°3)

Cet article Comment réagir aux attaques ? Évaluer son exposition et adopter une stratégie de protection des données en fonction de leur sensibilité est apparu en premier sur RiskInsight.

Le parc de l’entreprise devient de fait hétérogène, accueillant ces nouveaux terminaux au sein de la flotte de terminaux déployés historiquement. Face à cette situation, le DSI et le RSSI doivent se positionner sur la manière de les y intégrer.

Ces mouvements n’ont bien sûr pas échappé au marché des éditeurs, qui voit une branche de son arbre – la mobilité – bourgeonner, ou plus précisément refleurir.

Ainsi, les fournisseurs de chaque segment tentent de ramener la gestion des « nouveaux terminaux communicants » dans leur escarcelle :

• Les fournisseurs de solutions de mobilité avancent l’argument du « spécifique » : à terminaux particuliers, besoins particuliers. Il faut les administrer avec des produits dédiés, qui prennent en compte les spécificités de chaque type d’OS mobile ; nous retrouvons dans cette catégorie des sociétés telles que RIM, Ibelem, MobileIron, Good Technology ou encore Sybase.
• Les éditeurs historiques de solutions de protection pour les postes de travail (antivirus notamment) mettent en avant leur expertise en termes de sécurité, et la nécessité de ne pas laisser déployer une flotte de terminaux non-maîtrisés qui abaisseraient le niveau de protection global ; citons par exemple McAfee et Sophos.
• Ceux qui proposent des solutions de gestion de parc considèrent, eux, que les smartphones et tablettes ne sont finalement que des « endpoints » comme les autres, et méritent d’être globalement gérés depuis les mêmes consoles que les postes de travail. Microsoft, Symantec ou encore LanDesk ont opté pour cette position.

Ces différents points de vue, qui s’adaptent tour à tour selon le contexte et l’historique d’une DSI, prennent clairement aujourd’hui le chemin vers la convergence qui n’est toutefois pas stabilisée : il est clair que les terminaux communicants doivent s’intégrer à un système de gestion unifié.

Deux exemples paraissent assez représentatifs de la tendance, tant les produits sont déjà implantés en entreprise : Microsoft, d’abord, qui a annoncé il y a peu la prise en charge des plates-formes iOS et Android dans la prochaine version de son outil leader de gestion de parc, SCCM.

RIM, ensuite, qui se prépare à prendre en charge la gestion de ces mêmes plates-formes – en plus de ses incontournables BlackBerry – à travers son serveur BES.

Du point de vue de la DSI, le choix de s’engager dans une optique plutôt qu’une autre peut aujourd’hui réellement poser question : une flotte d’iPad doit-elle être gérée depuis la même console d’administration que les postes de travail, que l’antivirus, ou que les BlackBerry ?

La stabilisation et la convergence des différentes offres donnera sans doute de la lisibilité au marché, et par là-même de la visibilité à la maîtrise du parc, de sa sécurité et de ses coûts !

Cet article Gestion des parcs de smartphones et tablettes : vers une convergence du marché? est apparu en premier sur RiskInsight.

De nombreux incidents ont rythmé l’année. Deux cas ressortent particulièrement : Stuxnet, premier virus ciblant spécifiquement des équipements industriels, Wikileaks et la fuite de données gigantesque qui a touché les Etats-Unis. 2010 a également été une année où de nouveaux usages se sont développés! La virtualisation, qui est maintenant définitivement entrée dans les datacenters, le cloud computing, qui fait ses premières preuves ou encore les smartphones et autres tablettes avec des premiers déploiements métiers mais également des premiers usages innovants d’utilisation d’équipements personnels.

Une nouvelle approche pour de nouveaux enjeux

L’ensemble de ces évènements a aussi montré la limite des approches sécurité classiques. Celles-ci sont basées avant tout sur une protection de l’infrastructure du SI. Nous ajoutons des mécanismes de sécurité sur les différentes briques que sont le poste de travail, le réseau d’entreprise, l’accès Internet, voir le datacenter. Mais cette approche ne permet plus de répondre aux nouveaux enjeux ! En effet l’information est de moins en moins traitée sur les infrastructures de l’organisation. Elle est de plus en plus partagée, avec des partenaires et des clients, accédées depuis des équipements mobiles voir personnels, parfois encore traitées sur des systèmes aux contours plus ou moins connus comme dans le cadre du cloud computing.
Une nouvelle stratégie de réponse doit être envisagée face à ces évolutions, une stratégie qui devra être basé sur un principe simple : protéger au plus près les informations les plus sensibles. En effet pour être efficace et pérenne la sécurité doit se rapprocher de l’information, voir être portée par l’information elle-même, pour pouvoir être mieux partagée tout en étant toujours sécurisée.

Quelles en sont les conséquences ?

Ceci nécessite de planifier des chantiers ambitieux, lié par exemple à la classification des informations les plus sensibles, à la mise en place de mécanismes de protections des données (chiffrement, DRM, DLP…) ou encore à l’inclusion des mesures de sécurité dans les applications (chiffrement, scellement, authentification, processus projet…). Bien entendu les fondamentaux de la gestion des identités jouent un rôle essentiel et devront être encore renforcés pour y ajouter la gestion des partenaires et des clients. Mais il faudra aussi faire évoluer les habitudes, en ayant un focus particulier sur les équipes en charge des applications au cœur de cette nouvelle problématique de protection.L’objectif de 2011 est de faire évoluer nos principes pour aller de la protection de l’infrastructure à une vraie protection des données. Voici une année qui s’annonce donc riche en projets et en challenge !

Cet article 2010 – 2011 : protéger les infrastructures ou protéger les données ? est apparu en premier sur RiskInsight.