mardi 17 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Protection des données : seuls les paranoïaques...

Protection des données : seuls les paranoïaques...

Pierre Martin , 01 DSI

vendredi 26 août 2005, sélectionné par Spyworld

logo

Entre les tentatives d’intrusion et les failles de l’organisation autorisant la malveillance, le temps est la vraie menace.

L’information n’ayant de valeur que si elle circule, le réseau de l’entreprise s’est déporté vers l’extérieur. Les collaborateurs disposent de portables, d’assistants personnels Wi-Fi, de smartphones. Collaborateurs et partenaires travaillent sans papier. Les clients sont encouragés à exploiter les ressources du système d’information mises à leur disposition via Internet. Aujourd’hui, le réseau est, sinon complètement, du moins largement ouvert. Et si la plupart des usages se révèlent normaux et conformes, 1 % ou 2 % d’entre eux concentrent, comme d’habitude, 95 % des risques.

Dans cette optique, la DSI doit considérer qu’il ne s’agit plus de protéger le réseau, mais les ordinateurs qui y sont - ou pourraient y être - connectés, aux deux bouts de la chaîne. « En poussant le raisonnement à l’extrême, Internet est devenu le réseau local de l’entreprise, estime Henri Pidault, DSI de Mazars, société d’audit, d’expertise et de services. On ne peut plus s’appuyer sur l’infrastructure pour sécuriser et protéger les données. Il faut travailler sur les postes et les serveurs. »

Des informations convoitées

Les informations de l’entreprise constituent sa richesse, son fonds de commerce. Elles constituent un objet de convoitise pour ses concurrents, quels qu’ils soient. Si cette affirmation met mal à l’aise, parce qu’elle est inversement applicable à chacun, elle n’en est pas moins vraie. « Comme dans toute société d’assurance, nos données possèdent une valeur commerciale, confirme Isabelle Benigot, DSI de la mutuelle d’épargne et de retraite Carac. Notre système n’offre donc pas de possibilité de téléchargement des données. »

Aucun secteur n’est épargné, même si certains domaines d’activités sont plus exposés que d’autres. « Lors de projets en coopération, nous devons veiller à la protection de notre patrimoine intellectuel encapsulé dans les systèmes d’information utilisés, renchérit François-Xavier Tual, DSI de la Direction des constructions navales (DCN). Dans le cadre de nos activités pour la Marine nationale, nous utilisons ou produisons des informations qui touchent à la sécurité défense et dont la protection est régie par une politique de sécurité spécifique. »

Protéger aussi les données personnelles de l’entreprise

Le besoin de protection ne concerne pas que les informations monnayables. Il s’applique également aux données plus personnelles liées à l’entreprise, en tant que personne morale, ou à ses clients, personnes physiques. « Nous avons toujours manipulé des informations confidentielles - bilans, comptabilités, fiches de paie... Avec le partage d’informations sur le réseau, il est plus aisé de détourner une information numérique que d’entrer dans un bureau pour s’emparer d’un document » , alerte Henri Pidault. L’ère de l’information électronique et la numérisation à outrance ont non seulement augmenté le volume de données convoitées, mais aussi facilité leur accès et leur transport. Dans sa tâche de protection, le DSI est donc confronté à un double défi, et peut voir sa responsabilité directement engagée de par les délégations ou les termes de son contrat de travail. Comme le précise Isabelle Benigot : « Ma responsabilité personnelle est indiquée sur ma fiche de poste, pas encore dans les délégations. Ce qui m’inquiète quand même un peu et m’oblige à communiquer et à contrôler plus que je ne le ferais sinon. »

L’étendue du périmètre à prendre en compte rend très délicate la protection des données. Surtout, les menaces évoluent sans cesse. Non seulement les voleurs gardent toujours un temps d’avance sur les gendarmes, mais il est extrêmement difficile de passer d’une position défensive à une attitude de protection active. « Nous travaillons sur le contrôle global des flux ou des comportements. Et recherchons les événements inhabituels, non justifiés, tels que les tentatives de connexion ou les téléchargements massifs sur les baies Netapps », expose Henri Pidault.

Un chantier à traiter dans la perspective du long terme

La DSI doit donc définir un plan de sécurisation, qu’elle appliquera avec prudence, dans un esprit cartésien. Et en se ménageant une grande liberté d’adaptation. « Nous avons défini les grandes classes de services autorisés, en accord avec les enseignants et selon les termes de la charte informatique, et notre prestataire NextiraOne nous a apporté ses compétences métier », relate Saavas Panayiotou, chef du service informatique du rectorat de Poitiers, avant de détailler : « Aujourd’hui, nous commençons à travailler sur les applications de type MSN ou Skype, dont l’usage sur le réseau pédagogique est relativement récent. »

S’il requiert une révision et un aménagement constants, le chantier sécurité et protection doit aussi être traité dans une perspective de long terme. Ainsi que François-Xavier Tual le rapporte : « Nous nous situons dans une logique de progression constante et d’adaptation aux nouveaux besoins métier. Pour ne pas succomber au syndrome du détournement permanent de l’information, nous appliquons une logique de construction pas à pas des nouvelles règles de sécurité. »

Protéger les données, sécuriser les accès ou sensibiliser les personnels sont des actions certes indispensables, mais utiles uniquement si l’entreprise a prévu un plan B pour continuer son activité en cas de sinistre majeur sur le site d’exploitation. Isabelle Benigot témoigne à ce sujet : « Nous avons signé un contrat de sauvegarde avec une société située en province. Deux fois par an, nous procédons à des tests de redémarrage de tout notre système d’information. L’ensemble des serveurs est remonté en moins de quarante-huit heures avec les données de la veille. Au pire, ce site distant peut accueillir 20 collaborateurs pour continuer l’exploitation en mode dégradé. »

La malveillance interne, un risque récurrent

Blinder les points d’accès aux systèmes d’information ne suffit pas. La vérification des droits et l’authentification des utilisateurs ne protègent pas contre les atteintes portées de l’intérieur. « Avec les virus, les key loggers (enregistreurs de touches, NDLR) et autres logiciels espions, le besoin de protection des données s’est étendu aussi vers l’intérieur de l’entreprise et concerne chaque machine, précise Henri Pidault. Pour l’anecdote, j’ai vraiment prix conscience de ce risque il y a cinq ans lorsque j’ai vu le film " Wargame ". » De fait, la puissance des langages de scripts inclus dans les pages Web et la dextérité de certains programmeurs ont fait des accès à Internet une voie royale pour les chevaux de Troie. Et la simple consultation d’une page Web par un collaborateur de l’entreprise peut fournir l’occasion attendue par un pirate pour pénétrer le système d’information. Ce à quoi Saavas Panayiotou rétorque : « Toutes les connexions vers Internet sont dirigées vers un serveur proxy qui filtre les accès et bloque certains services. Et le rectorat a conclu un accord de licence académique avec un éditeur d’antivirus qui est valable aussi pour les enseignants à titre personnel. »

Se protéger contre l’installation de logiciels indésirables téléchargeables ne préserve pas d’une malveillance interne due à un collaborateur indélicat, ou des imprudences d’un stagiaire peu au fait des problématiques de sécurité et de protection des informations. « Dans notre activité, liée depuis l’origine à la Défense nationale, nous avons hérité d’une très forte culture de la confidentialité et de la sécurité. Nos collaborateurs concernés sont habilités et les termes de leur contrat de travail sont explicites et contraignants », souligne François-Xavier Tual. Qui relativise aussitôt : « Mais cela n’est pas suffisant. Nous réalisons régulièrement des audits internes et sommes aussi soumis à ceux réalisés par la DPSD et le Celar. »

Sensibiliser tous les collaborateurs

Le téléchargement d’un programme malveillant susceptible de créer un point d’entrée dans le système d’information représente une menace externe qui peut être traitée par la mise en place d’un pare-feu mis à jour régulièrement. Mais les applications installées légitimement dans l’entreprise présentent aussi un risque élevé. Il suffit de considérer les nombreuses failles de sécurité dénoncées tous les jours par les sites et la presse spécialisée pour réaliser qu’il est tout à fait possible de prendre le contrôle d’une application, et donc d’un serveur. « Nos collaborateurs sont sensibilisés à maintes reprises aux problèmes de protection des données et nous leur demandons de changer régulièrement de mot de passe, note Henri Pidault. Mais cela se révèle également générateur d’insécurité. Ils peuvent le noter pour ne pas l’oublier, créer un format lié à la date ou utiliser un système de compteur. Nous réfléchissons à un système de cartes à puce pour traiter cet aspect. »

Malgré les chartes informatiques, malgré une communication spécifique et sensibilisatrice, la DSI doit lutter contre les habitudes, voire la mauvaise volonté. Saavas Panayiotou vient illustrer ces divergences d’intérêts : « Nous avons parfois de petits problèmes avec les enseignants, qui souhaiteraient plus de liberté et de services. Nous disposons de procédures spécifiques, mais jugées trop longues ou contraignantes. Et il peut être tentant pour un élève d’aller consulter son carnet de notes, voire de le modifier, même s’il ne s’agit pas d’un risque avéré. »

Des préoccupations à faire partager

Par ailleurs, bien que les accès depuis l’extérieur soient surveillés, que les flux en transit soient analysés et que les personnels soient informés et alertés quant aux risques, il n’en reste pas moins que ces mesures ne sont valables et efficaces qu’à un instant donné. Les technologies progressent, la ronde des pirates continue de tourner et la DSI doit sans trève remettre en question les systèmes de protection installés et s’interroger sur leur efficacité. « La plus grande difficulté est de posséder un annuaire à jour et de savoir, dans un environnement collaboratif, qui a le droit d’accéder à quoi, analyse Henri Pidault. Ce mouvement continuel oblige à déléguer une partie de la sécurité au niveau des opérationnels. »

La sécurité du système d’information - avec son objectif corollaire de protection des informations -, tout en demeurant fondamentalement dans le champ de la DSI, s’étend donc vers les autres départements. « La DSI est épaulée dans ses actions de communication par la DRH et les partenaires sociaux, rapporte Isabelle Benigot. Mais ce sont surtout la direction générale, les juristes et les personnels confrontés à des problèmes de successions qui se montrent le plus réceptifs à nos conseils. »

Internet et le réseau de l’entreprise étant liés et maillés, les notions de sécurité et de protection doivent s’appuyer sur de multiples systèmes et processus qui tiennent compte de l’extérieur. Un principe que défend François-Xavier Tual : « L’extension du système d’information hors des frontières de l’entreprise ne provoque pas de rupture, mais s’inscrit plutôt dans une continuité qui nous conduit à enrichir la politique et les procédures par des règles adaptées. Le fait que des utilisateurs utilisent des assistants personnels ou des clés USB pose des problématiques nouvelles pour lesquelles il faut prendre position au cas par cas. »

Adopter des supports de stockage pérennes

Dans une démarche de protection des données, le DSI doit également se préoccuper de la conservation de ces informations dans le temps, la préservation des applications, et donc de l’usage et de la manipulation des informations. Sur ce point, toutes les DSI n’ont pas les mêmes contraintes. Ainsi, Saavas Panayiotou rapporte : « Le dossier scolaire des élèves est stocké dans l’établissement, puis au rectorat. Au-delà du baccalauréat, ces données sont transférées au ministère de l’Education nationale, où elles ne nous concernent plus. »

Mais dans nombre de cas, il est indispensable de pouvoir accéder aux informations pendant plusieurs décennies, ce qui pose les problèmes de la viabilité du support et de l’exploitabilité des applications. « Nos constructions industrielles possèdent une durée d’exploitation de trente ou quarante ans pour les sous-marins nucléaires ou les porte-avions, détaille François-Xavier Tual. Une durée bien supérieure à celle des outils de conception et des systèmes de stockage des données techniques. »

La protection des données consiste donc aussi à utiliser des moyens de conservation pérennes et à prévoir leur remplacement au fur et à mesure de leur dégradation. Même stockés dans des conditions idéales, les supports physiques - disques durs, bandes magnétiques, CD et DVD - ont une espérance de vie limitée. Comme il est impensable de maintenir en état de marche de vieux ordinateurs, la traduction des données dans un format non propriétaire qui intégrera la description des informations est inévitable. De ce point de vue, il convient d’observer les initiatives de type XML... et de les budgéter, car ces opérations ont un coût non négligeable. « Nous faisons appel à des prestataires qui numérisent les données et les stockent dans des conditions optimales. Et nous sommes très attentifs à l’obsolescence des plates-formes », signale à ce propos François-Xavier Tual.

Outre la pérennité des matériaux et la disponibilité des ordinateurs, il convient également de se donner les moyens de recréer l’information à partir de données anciennes. « Nous devons stocker les informations depuis la première cotisation, mais aussi stocker les méthodes de calculs, qui évoluent sans cesse selon nos objectifs ou en fonction de la réglementation », explique Isabelle Benigot, confrontée à des durées de conservation exceptionnelles : « Dans le cadre d’une succession ou du versement d’une rente, il faut savoir reprendre des informations calculées dans les années 50 ! »

Ce qu’en disent les textes de loi

L’article 29 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés indique que « toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations, et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés ». La violation de cet article est lourdement sanctionnée par l’article 226-17 du code pénal (cinq ans d’emprisonnement et 300 000 euros d’amende).

Les différents types d’attaques informatiques - virus, portes dérobées (backdoors) ou codes malicieux - sont sanctionnés pénalement en droit français par les articles 323-1 à 323-7 du nouveau code pénal (NCP) de la loi dite Godfrain. « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 300 000 francs d’amende » (article 323-2 du NPC). De même, « le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de modifier frauduleusement les données qu’il contient » est puni des mêmes peines (article 323-3 du NCP).

L’article 1383 du code civil précise que « chacun est responsable du dommage qu’il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence ». Appliqué au domaine informatique, l’entreprise qui n’aura pas pris des mesures de sécurité raisonnables pour protéger son informatique sera de toute évidence négligente au sens de cette disposition.

Carac

Activité : mutuelle d’épargne et de retraite.

Président : Jacques Goujat.

DSI : Isabelle Benigot.

Actifs gérés : 5,55 Md d’euros.

Effectif : 300 personnes.

Service informatique : 30 personnes.

Site internet : www.carac.fr

DCN

Activité : construction navale.

Président : Jean-Marie Pointboeuf.

DSI : François-Xavier Tual.

Chiffre d’affaire : 2,608 Md d’euros.

Effectif : 12 500 personnes.

Service informatique : 300 personnes.

Site internet : www.dcn.fr

Mazars

Activité : audit financier.

Président : Patrick de Cambourg.

DSI : Henri Pidault.

Chiffre d’affaire : 500 M d’euros.

Effectif : 1900 personnes.

Service informatique : 17 personnes.

Site internet : www.mazars.fr


- Suite de l’article : Christian Dubourg (Ever) : « assurer la traçabilité des données à travers le temps et les SI »


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :