Compte rendu de la conférence CINOV-IT du 8 juin 2017 – La sécurité des données de l’entreprise à l’ère du Cloud Computing et des objets connectés
Par T.Benoit, G.M. Kamche, C.Combe Génération Conseil
Quand l’intervenant de la DGSI a pris la parole en nous demandant de ne pas filmer ou photographier son intervention, ça faisait un peu James Bond mais on a écouté tout de même attentivement…
Chacun d’entre nous pense qu’il est prudent avec ses données mais en quelques secondes, il en savait plus sur nous que nous l’aurions cru. Il avait tout simplement mis son téléphone en point d’accès partagé et nombre d’entre nous s’y étaient connectés. A partir de là, il avait nos IP mais également pour certains, tout l’historique de géolocalisation plus d’autres infos tout aussi personnelles. Ainsi un participant a vu exposer qu’il avait été dans un hôtel au Luxembourg, qu’il avait sans doute de la famille à Orléans, l’adresse de sa société etc… Puis l’intervenant a décrit les différentes méthodes pour craquer et voler des données à partir des habitudes de vie de chacun et ce que peut en faire une personne malveillante. Ça donne froid dans le dos.
En clair, si la partie technique est importante, les processus internes à l’entreprise et les bonnes pratiques en matière de sécurité des données le sont tout autant.
C’est bien d’avoir des données cryptées, anti-virus, VPN, mais si on ne verrouille pas sa session en allant aux toilettes tout ceci ne sert à rien et l’erreur humaine est la première cause de fuite d’informations dans une entreprise.
Un autre speaker nous a montré des photos qu’il avait prises dans les transports en commun de personnes lisant des documents barrés d’un beau CONFIDENTIEL mais parfaitement lisibles…
Les autres intervenants n’ont fait que confirmer ce constat. La donnée est importante et la sécurité de la donnée est primordiale.
Qu’en retenir
- Vecteurs principaux de fuite de données
- Les personnes qui ont un rôle « Admin ». Lorsqu’un hacker souhaite voler de l’information ou atteindre une entreprise par tous les moyens, il va avant tout vérifier quelles sont les personnes qui ont un rôle « Admin » et diriger ses attaques vers cette personne.
- Les processus qui ont de la valeur pour une entreprise. Ce sont les processus clés d’une entreprise qu’un Hacker va viser en premier.
2. Méthode d’approche pour vérifier l’efficacité d’une entreprise pour sécuriser ses données :
- Vérifier si des normes/règles métiers existent au sein de l’entreprise
- Définir les processus critiques qui ont de la valeur pour l’entreprise
- Analyser si le recoupement de données est possible dans une entreprise (2 données non critiques séparément peuvent le devenir en les recoupant)
- Lister si des moyens techniques de défense ont été mis en place par l’entreprise
3. Les aspects juridiques sont primordiaux dans la sécurité des données :
Actuellement, l’Union Européenne met en place un cadre juridique concernant la sécurité des données au sein des entreprises pour responsabiliser les acteurs et pouvoir pénaliser les entreprises n’ayant pas mis tout en œuvre pour éviter la fuite d’informations critiques.
En mai 2018, la France mettra en application le Règlement Général sur la Protection des Données (RGPD) pour « renforcer les exigences sur la sécurité et les activités de traitement des données personnelles ».
La RGPD est issue de la directive Network and Information Security (NIS) adoptée en mai 2016 par l’Union Européenne qui vise à :
- Renforcer les capacités nationales de cybersécurité
- Etablir un cadre de coopération volontaire entre Etats membres de l’UE
- Renforcer par chaque Etat la cybersécurité « d’opérateurs de services essentiels »
- Instaurer des règles européennes communes en matière de cybersécurité des prestataires de services numériques
Pour compléter la RGPD, la directive E-privacy adoptée en 2017 couvre le périmètre des communications entre entreprises et celles ne contenant pas de données personnelles notamment sur la gestion des métadonnées qui doivent désormais être « anonymisées » systématiquement. La CNIL surveille tout particulièrement cette obligation d’anonymisation des données chez certaines entreprises comme les prestataires informatiques.
Quand on va vers le cloud, quelles sont les questions à (se) poser ?
- Quelles questions poser à son fournisseur concernant la sécurité des données ?
- Des serveurs dédiés sont-ils consacrés au stockage des données ? Y-a-t-il une segmentation entre les données de nos clients et les autres données ?
- Qui aura la capacité de consulter ces données ?
- Comment nous assurez-vous l’identification des données dans le cas où un client souhaiterait sortir du Cloud ?
- Pouvez-vous géolocaliser les serveurs où sont stockées les données de nos clients ? (L’Union Européenne tend à obliger les prestataires informatiques à donner la géolocalisation des serveurs)
2. Quels documents/clauses doit-on faire signer à ses clients/fournisseurs pour disposer de garanties juridiques ?
Des « plans d’assurance sécurité » existent pour se couvrir mutuellement et s’assurer que tout est mis en œuvre pour renforcer la sécurité des données. Par ailleurs, il est conseillé de faire appel à un juriste spécialisé dans le cas d’un hébergement des données hors Union Européenne.
Il est également recommandé de vérifier si le client dispose d’une charte de protection des données pour limiter les risques en interne et garantir que le client lui-même met tout en œuvre pour protéger ses données.
Génération Conseil est partenaire d’Adaptive Insights, le leader mondial du pilotage de la performance dans le cloud (cloud CPM)
Notre approche sur ces questions de sécurité est :
- L’identification des processus critiques et des acteurs clés pour favoriser la mise en œuvre des moyens pour sécuriser les données échangées avec Adaptive Insights
- La conformité (via un Plan d’Assurance Sécurité) avec les meilleures pratiques en vigueur
- Une vigilance et une veille active sur les normes de sécurité en vigueur et les nouvelles normes à paraître dans un contexte en constante évolution