Journal de l'économie

Envoyer à un ami
Version imprimable

Sécurisation de la donnée : la dimension universelle de l’actif dématérialisé.





Le 28 Avril 2020, par Bertrand Guezel

La data n’est plus l’apanage des ingénieurs informaticiens. Formule ou procédé de fabrication innovante, numéro de sécurité sociale des employés, coordonnées bancaires des clients et sous-traitants, absolument toutes les informations ont désormais la forme de données.


Des données qu’une entreprise ou administration se doit de protéger, par obligation vis-à-vis d’un régulateur ou tout simplement par respect de la vie privée des personnes concernées.
Et ces données sont menacées par le simple fait qu’elles ont de la valeur.

Comment identifier la menace, comment mitiger le risque, comment résoudre un incident ?
Autant de questions qu’une direction financière doit se poser afin d’intégrer la dimension technique des données créées par son activité.
 
La récente étude d’Euler Hermes en partenariat avec la DFCG le soulignait : 1 entreprise sur 4 a subi au moins une forme de fraude en 2018 et 8 sur 10 craignent une accentuation du risque de fraude et de cybercriminalité cette année.
 
C’est que malgré les efforts des concepteurs d’équipements et logiciels tous plus ingénieux les uns que les autres pour protéger nos réseaux, nos postes de travail, nos serveurs ou nos applications, des utilisateurs malicieux continuent de chercher et exploiter la moindre faille dans nos systèmes d’information et de télécommunication.
Le constat est sans appel : les investissements en cybersécurité augmentent chaque année et les attaques se multiplient.
 
Si la fraude ou l‘attaque cyber peuvent prendre de multiples formes, l’impact sur la vie de l’entreprise est loin d’être neutre.
L’exploitation d’une brèche par des utilisateurs malicieux va dépendre de leurs motivations : revente de données à un concurrent, menace de bloquer votre système d’information en cas de non-versement d’une rançon, dévoiler publiquement les données financières ou secrets de fabrication de votre entreprise pour influer un cours de bourse ou favoriser un concurrent.
L’exposition de l’entité ciblée pèse également sur le choix du type d’attaque.
 
Instiller une dose de bon sens permet de réduire considérablement les risques 
 
Et les conséquences peuvent être d’autant plus lourdes que, parfois, l’attaque est sourde : les criminels utilisent une faille et l’exploitent silencieusement afin d’extraire ce qu’ils recherchent sans laisser à l’entreprise ciblée l’occasion de leur barrer la route.

En outre cela peut faire naître un sentiment de méfiance entre collègues, équipes ou partenaires vis-à-vis de l’utilisation qu’un(e)tel(le) pourrait faire des données que nous échangeons avec elle/lui ; la question se pose au sujet de la manière dont notre interlocuteur gère la sécurité des données que nous échangeons avec lui.

Fait-il moins bien, aussi bien ou mieux que moi ?
Et, contrairement à ce qu’on pourrait croire, qui peut le plus ne fait pas forcément mieux.
Si la logique veut qu’une entreprise se dote tout naturellement d’outils aux noms aussi barbares que pare-feu, anti-virus, anti-DDoS, ou autres clés de chiffrement, instiller une dose de bon sens permet de réduire considérablement les risques.
 
Mais quand nous parlons « données », de quoi parle-t-on exactement ?
Une entité de type administration ou entreprise récolte, produit ou échange des données qu’elle doit ensuite stocker pour faciliter le traitement régulier de certaines tâches (facturation, gestion des paies) ou retrouver des informations au cours de la vie d’un produit ou d’un service (service après-vente effectué auprès d’un client).
Pour résumer, voici les grands groupes de données que nous pouvons identifier :
  • données comptables et financières : facturation clients, facturation fournisseurs, état de la trésorerie, état des dettes, etc. ;
  • données commerciales : identification des clients, des prospects, des partenaires avec leur organigramme de décision, les adresses de sièges et de filiales, la quantité et la valeur des produits et service concernés par la relation qui lie votre entité à la leur ;
  • données RH : de nombreuses données personnelles liées aux effectifs employés (adresses, numéro de sécurité sociale, date et lieu de naissance, vie familiale, données bancaires, etc.) ;
  • données techniques liées à l’activité : fiche produit, fiche service, procédures et procédés propres à l’entité, données permettant l’identification de clients.
S’ajoutent à cela les sous-groupes ainsi que les identifiants et mots de passe générés à la fois pour les accès internes ainsi que les accès externes à ces informations.
 
Qu’advient-il de votre activité si des acteurs malveillants pénétraient votre système de communication et d’information ?
Depuis plusieurs années, les directions financières (ainsi que les assureurs) ont intégré à la gestion du risque lié à la composante « data » sans pouvoir toujours identifier la source exacte du risque.
On le répète, les facteurs sont multiples : l’éventail s’étire du pirate distant de 5.000 km au collaborateur distrait en passant par l’officine commanditée par un concurrent ou l’employé frustré quittant son service avec la base de clients sur sa clé USB.
 
On n’applique pas le même remède à un rhume des foins qu’à la grippe
 
Une fois les risques identifiés, comment les adresser ?
En effet, on n’applique pas le même remède à un rhume des foins qu’à la grippe.
Bon nombre de professionnels de la sécurité informatique vont parler d’hygiène en abordant les solutions possibles.
Des règles de mots de passe imposant de ne pas figurer dans le top 50 annuel des mots de passe (non, 12345 n’est ni un mot de passe original ni sécurisé) à la séparation des privilèges d’accès aux silos d’informations interne (un technicien n’a pas à avoir accès aux données comptable, tout comme un sous-traitant n’a pas à avoir connaissance de la base clients), les solutions ne manquent pas et les éditeurs et équipementiers savent se montrer très créatifs.
 
La gestion du risque va donc devoir équilibrer les méthodes d’anticipation mélangeant bon sens et technologie et les méthodes de réaction visant la continuité de l’activité d’un service, d’une entité, d’un groupe.
 
 Un casse-tête inextricable
 
Le problème est que, si une entreprise du CAC 40 ou SBF 120 a les moyens de se doter d’un directeur technique et d’un responsable de la sécurité, tous par une équipe de techniciens, la chose est plus compliquée pour une PME.
Reste que les données d’une PME peuvent avoir tout autant de valeur que sa consœur du CAC : soit parce qu’elle est sous-traitante de cette dernière, soit par elle concurrence les plus gros avec un procédé ultra-compétitif, une formule qui révolutionne son marché ou, pire, que certains de ses employés ont accès à des sites qui sont en fait la cible finale du pirate.

Et c’est toute la complexité de la gestion du risque data : l’entité doit non-seulement sécuriser ses données ainsi que la manière dont on y accède mais également tenter d’identifier les causes directes ou indirectes qui ferait de l’entité une cible. Un casse-tête d’autant plus inextricable que l’erreur humaine de l’employé étourdi ou le pirate ont toujours un coup d’avance.

« Nous sommes condamnés à prévoir puis corriger. » 
Sombre constat, en matière de sécurisation des données, nous sommes condamnés à prévoir puis corriger.
Prévoir en mettant en place les outils filtrant les accès, en rédigeant les procédures responsabilisant les intervenants à tous les niveaux, en préparant les plans de reprise et de continuité d’activité, en séparant les informations afin de limiter l’ampleur des dégâts lors de l’exploitation d’une brèche.
Corriger en réagissant dès qu’une utilisation suspecte du réseau ou du système d’information déclenche un seuil d’alerte, en communiquant avec ses équipes lors d’un incident de type piratage ou fuite de données, en modifiant les procédures et les niveaux de filtre inefficaces.
 
L’heure n’est plus au « on ne savait pas »
 
Qu’on ne s’y trompe pas : la donnée est un actif dématérialisé qui a une valeur parce qu’il y a un marché.
Et plus une donnée a de valeur, plus elle sera recherchée et donc plus les moyens mis en œuvre pour l’obtenir seront importants.
De fait, si l’heure n’est plus au « on ne savait pas » mais bien à la manière dont rendre inopérante une action visant l’intégrité d’un système d’information, chaque organisation doit prendre conscience qu’elle sera victime d’une attaque.
Mais comment rendre inefficace un risque de fuite de données sans savoir si cette fuite sera causée par un utilisateur interne qui a certaines clés du système ou externe qui pénètrera coûte que coûte votre environnement ?
Et si la solution était tout simplement de rendre inutilisable la donnée dès lors qu’elle est séparée de son environnement habituel d’exploitation ?
 
Résoudre une partie du casse-tête, maintenant que l’on sait quel mal soigner, requiert que collectivisation du bon sens afin d’utiliser efficacement les ressources investies et de limiter l’impact financier d’une fuite : la donnée est universelle, sa protection est l’affaire de tous.

Bertrand Guezel
Managing Director, Decknet.
Entrepreneur dans le domaine des télécoms, des datacentres et de la cybersécurité.
Consultant Technologies pour Paris 2024.
Vice-président de l’International Sport Technology Association
 



Nouveau commentaire :
Twitter

Le JDE promeut la liberté d'expression, dans le respect des personnes et des opinions. La rédaction du JDE se réserve le droit de supprimer, sans préavis, tout commentaire à caractère insultant, diffamatoire, péremptoire, ou commercial.

France | International | Mémoire des familles, généalogie, héraldique | Entreprises | Management | Lifestyle | Blogs de la rédaction | Divers | Native Advertising | Juris | Art & Culture | Prospective | Immobilier, Achats et Ethique des affaires | Intelligence et sécurité économique - "Les carnets de Vauban"



Les entretiens du JDE

Tarek El Kahodi, président de l'ONG LIFE : "L’environnement est un sujet humanitaire quand on parle d’accès à l’eau" (2/2)

Tarek El Kahodi, président de l'ONG LIFE : "Il faut savoir prendre de la hauteur pour être réellement efficace dans des situations d’urgence" (1/2)

Jean-Marie Baron : "Le fils du Gouverneur"

Les irrégularisables

Les régularisables

Aude de Kerros : "L'Art caché enfin dévoilé"

Robert Salmon : « Voyages insolites en contrées spirituelles »

Antoine Arjakovsky : "Pour sortir de la guerre"












Rss
Twitter
Facebook