Sécurité de l’information : risques et nouvelles technologies
Agefi Luxembourg
January 2011
Force est de constater, ces dernières années, que l’accès à l’information continue de bouleverser le monde des affaires. Les frontières traditionnelles de l’entreprise s’estompent en brouillant les lignes de séparation entre entreprise, maisons partenaires, clients voire concurrents.
Au cours de ces dernières années, nous avons constaté une augmentation significative de l'utilisation de prestataires de services externes et l'adoption de nouvelles technologies comme la « virtualisation (1) », le « cloud computing (2) » et les réseaux sociaux. De même, les avancées technologiques ont permis d’avoir recours à une main-d’œuvre de plus en plus mobile et interconnectée.
Ces changements associés aux nouvelles technologies, à l’interconnexion et à la disparition des frontières engendrent l’apparition de nouveaux risques. A titre d’illustration, 60 % des professionnels de la sécurité interrogés dans le cadre de l’enquête Ernst & Young (3) sur la sécurité de l’information en 2010 ont perçu une augmentation du niveau de risque auquel ils doivent faire face afin de protéger les informations/actifs critiques de leur entreprise.
Maîtriser la nébuleuse du « cloud computing » et de la « virtualisation »
Les services de « cloud computing » s’imposent chaque jour davantage. Si l’on se réfère de nouveau à l’enquête Ernst & Young sur la sécurité de l’information 23 % des professionnels interrogés les utilisent déjà et ils sont 15 % de plus à envisager d’en faire autant dans l’année à venir.
De même, la « virtualisation » est aujourd’hui monnaie courante: plus de 76% des répondants ont indiqué avoir mis en place ce type de technologie.
L’attrait pour ce monde « virtuel », « réparti », « partagé », « sous-traité » est séduisant. Les raisons en sont nombreuses et toutes aussi légitimes : rationalisation d’infrastructure, consolidation de serveurs, réduction des consommations énergétiques, technologies plus rapides, transfert de coûts et de responsabilités…
En revanche, l’adoption et la mise en œuvre de ce type d’environnement ont souvent été plus rapides que la prise en compte des risques et problématiques de sécurité qui y sont associés.
Une des premières difficultés dans ce monde « virtuel » est la perte partielle ou totale de visibilité quant à la localisation et à la gestion des données, ainsi qu’aux méthodes et procédures d’accès à ces informations.
L’entreprise doit également faire face à des problématiques réglementaires/juridiques. Comment faire appliquer la loi, la réglementation locale ou tout simplement les bonnes pratiques en matière de sécurité et de protection des données dans ce monde « virtuel » ?
Comment définir et ajuster les initiatives en matière de conformité réglementaire et de responsabilités entre l’entreprise et l’ensemble des parties prenantes intervenant dans ce type d’environnement : maison-mère, filiales, partenaires, fournisseurs, clients… ?
Enfin, comment garantir la continuité des activités et du dispositif de contrôle dans ce contexte de forte dépendance vis-à-vis d’environnements techniques partagés au sein d’un même Groupe ou avec d’autres tiers ? Qui est finalement en charge de protéger les actifs/données de l’entreprise ? Comment arbitrer entre des exigences et des stratégies pouvant être différentes entre les parties prenantes ?
Contrats de services, audits internes, audits externes, contrôles qualité, certifications sont autant de mesures qui doivent être repensées et adaptées pour ce type d’environnement.
Dans tous les cas la crainte est réelle. Invités à indiquer si une certification externe des fournisseurs de services de « cloud computing » ou de « virtualisation » contribuerait à augmenter leur confiance, ils sont 85 % des professionnels interrogés à répondre positivement. Parmi les répondants, 43 % considèrent que la certification doit respecter des normes définies notamment en matière de sécurité de l’information et de contrôle interne et 22 % estiment que l’organisme de certification doit être agréé.
Se prémunir contre la « fuite de données » (“Data leakage”)
La notion de « fuite de données » correspond à la transmission non autorisée de données (ou d’informations) de l'intérieur d'une organisation à une destination externe ou à un destinataire.
Chaque jour, chaque nuit de l’année, des quantités d’information sont utilisées, manipulées et distribuées à l’intérieur comme à l’extérieur de l’entreprise. Les vecteurs de communication de ces informations sont multiples et de toutes formes : conversation, messages électroniques (professionnel ou personnel), rapport, memo interne, tableaux de bord, transactions, procédures, contrats, alertes ou messages système automatiques….
Bien que l’utilisateur puisse ne pas en être conscient, dans de nombreux cas un sous-ensemble significatif de ces informations peut être catégorisé comme "sensible" ou "propriétaire". Elles doivent ainsi être protégées d’un accès non autorisé ou respecter une diffusion restreinte.
Cette problématique de « fuite de données » a engendré un ensemble de nouveaux dispositifs de sécurité (Data Leakage Prevention) permettant à l’entreprise de mieux contrôler et protéger ses actifs/informations sensibles.
Ces mesures de prévention sont souvent la combinaison d'outils et de processus permettant l'identification, le contrôle et la protection des informations sensibles selon un ensemble de règles et de politiques propres à une organisation ou un secteur d’activité. En se concentrant dans un premier temps sur la localisation, la classification et le suivi des informations, ce type de dispositif peut déjà permettre à une entreprise de mesurer son exposition à ce type de risque et de prendre les premières mesures de protection.
L’enquête Ernst & Young montre également que cette tendance générale est très réelle sur le marché luxembourgeois. Beaucoup d'organisations reconnaissent devoir agir face à ce risque de « fuite de données » et pour 50 % d’entre elles, des projets de mise en œuvre de technologies de prévention sont prévus à court terme. Ceci correspond à plus de 7% d’augmentation par rapport à l’année dernière, plaçant ainsi la prévention de la « fuite de données » au sommet des priorités des organisations en matière de sécurité.
Une mise en œuvre efficace de ce type de dispositif exige une approche structurée, une préparation appropriée et un processus continu de mise à jour et de maintenance. Les entreprises sont souvent peu conscientes de tous les types d'informations qu'elles possèdent et de leur localisation. Une phase préalable d’identification et de classification des types de données sensibles et des flux entre les systèmes et les utilisateurs est fortement recommandée. De même, il est important de définir précisément ce que l’entreprise souhaite protéger et pour quelles raisons elle doit le faire :
- Nature et type d'informations (confidentiel, propriété intellectuelle, données clients, rapports financier, rapports de santé ….)
- Menaces internes (Erreur ou malveillance)
- Fuite de données interne intentionnelle ou involontaire
- Menace externes
- Exigences Métiers et/ou clients
- Contraintes réglementaires ou contractuelles
- …
A titre d’exemple, l’enquête révèle que dans le cadre de la prévention de « fuite de données », 45 % des professionnels interrogés ont indiqué que leurs organisations limitent ou interdisent l'utilisation du courrier électronique pour des données sensibles.
D’autres vecteurs de communication reviennent également fréquemment comme étant à l’origine de fuite de données:
- Partage de données par internet
- Blogs
- Pages Web non sécurisées
- Support amovible de stockage (clefs USB, disques durs externes, CD/DVD,…)
- Appareils photo (Caméras)
- Wifi, Bluetooth
La mise en œuvre de nouvelles technologies pousse l’entreprise à faire face à de nouveaux risques et à réfléchir à de nouveaux moyens de protéger ses actifs et informations sensibles. Par ailleurs, la mise en œuvre de dispositifs de prévention de fuite de données doit s’inscrire dans la stratégie de l’entreprise et répondre aux exigences « Métiers » en termes d’utilisation et de protection de l’information.
(1) “Cloud computing”: Le Cloud computing est un concept de déportation sur des serveurs distants des traitements informatiques traditionnellement localisés sur les serveurs d’une entreprise ou un poste utilisateur. Les traductions les plus couramment rencontrées en français sont « informatique dans le nuage », « informatique en nuage », « informatique dématérialisée ». Ce concept permet notamment l'utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier, et liés par un réseau, tel Internet.
(2) “Virtualisation”: La virtualisation consiste à faire fonctionner sur un seul ordinateur plusieurs systèmes d’exploitation comme s’ils fonctionnaient sur des ordinateurs distincts. On appelle serveur privé virtuel ou encore environnement virtuel ce type d’ordinateurs.
(3) Ernst & Young 2010 – Global Information Security Survey
