On ne le répétera
jamais assez : les VPN et les firewalls, aussi sophistiqués
soient-ils, ne font qu'écarter la menace extérieure,
nullement les malveillances internes. Car ce sont bien
plus sûrement d'employés ou partenaires peu
scrupuleux qu'émane le danger le plus sérieux
pour les ressources stratégiques de l'entreprise,
bien souvent concentrées dans quelques silos d'informations
mal protégés.
De lourdes
pertes
C'est en tout cas l'opinion de 138 dirigeants américains
aux commandes d'entreprises de toutes tailles, recueillie
par PricewaterhouseCoopers - en collaboration avec
la chambre de commerce américaine et l'American
Society for Industrial Security. Ce rapport intitulé
"Trends in propriétary information loss"
en accès libre sur Internet montre que la sécurité
intérieure est la première préoccupation
des entreprises américaines, qui ont fait à
40 % la désagréable expérience
d'une perte de données stratégiques.
Les
entreprises sondées veulent avant tout éviter
la perte de leurs fichiers client. Dans la hiérarchie
de leurs craintes, on trouve ensuite les données
financières, les résultats de la R&D,
les informations relatives aux fusions-acquisitions,
les plannings stratégiques, etc ... Par
extrapolation, les déboires des enteprises américaines
leur auraient coûté au total la considérable
somme de 59 milliards de dollars sur un an, réparties
pêle mêle en pertes d'avantages compétitifs,
pertes de revenus, accroissement des dépenses
juridiques, etc ... Un chiffre qui fait réfléchir.
Surveiller
tout le monde
Mais d'où vient précisément la
menace ? Les équipementiers sont ceux que
les dirigeants regardent de l'oeil le plus méfiant,
suivis de près par les prestataires de service
et les partenaires stratégiques. Quant aux dangers
externes, ils arrivent loin derrière : on
trouve en première position les pirates informatiques,
suivis de près par les concurrents locaux de
l'entreprise. Le mythe
du "hacker" (terme par ailleurs impropre)
qui moissonne à distance des informations stratégiques
semble avoir fait long feu. Une étude de NSC
Technology datée de 2001 vient confirmer l'expérience
des décideurs américains : 10 %
seulement des attaques sur les systèmes informatiques
d'entreprise sont dues à des pirates. Le danger
vient clairement de l'intérieur des murs.
L'informatique est le noeud
du problème : le
rapport de PwC montre que la prolifération des
systèmes d'information a facilité la tache
des espions industriels, et permis une croissance spectaculaire
des incidents. Mais l'outil informatique porte également
en lui des garde-fous efficaces, que de nombreuses entreprises
devraient utiliser à meilleur escient. En déplaçant
notamment leurs effort des frontières de l'entreprises -
avec les traditionnels firewalls et autres IDS -
vers le coeur de l'enteprise : les postes utilisateurs.
Quelques
règles élémentaires
La règle d'or consiste à se méfier
de tous les utilisateurs, et à dresser le plus
grand nombre d'obstacles possibles sur le chemin des
espions potentiels. Aucun poste n'est à l'abri
des regards indiscrets, et chaque point d'entrée
au réseau peut-être utilisé comme
un point d'attaque. D'où l'intérêt
de prendre l'administration des mots de passe très
au sérieux, et de développer une forte
culture de la sécurité informatique chez
les utilisateurs, ce qui nécessite un véritable
effort d'éducation.
Un poste ne doit bien sûr
être accessible que par son utilisateur désigné,
dont le mot de passe doit être gardé secret
et bien choisi. Aucune composante du réseau ne
doit être sous-protégée, même
si elle semble inaccessible depuis l'extérieur.
Chaque utilisateur doit avoir accès aux données
dont il a besoin, et pas aux autres. Les échanges
de données stratégiques doivent être
cryptés autant que faire se peut. Les comportements
utilisateur anormaux doivent être détectés
à l'aides d'IDS. Dans
l'idéal, les accès physiques à
l'entreprise devraient même être étroitement
contrôlés, et recoupés avec les
données relatives aux accès sur les postes
informatiques. Mais attention également à
ne pas transformer l'entreprise en "big brother"...
En quelques mots : l'accent
doit être mis sur les problémes d'administration,
et sur la définition d'une politique de sécurité
solide, comportant notamment un organigramme référençant
différentes familles d'accès. Les responsables
de la sécurité interne ne doivent jamais
se reposer sur leurs lauriers : un SI est un organisme
qui évolue. Enfin, la confiance doit probablement
être limitée, afin de ne pas courir le risque
de se tromper de cible.
|