Comment les RSSI sécurisent les données dans un monde IT dispersé

Lors des 15e Assises de la sécurité, les RSSI d’Areva, LVMH, EDF et Louis Vuitton ont partagé leur expérience face aux nouveaux défis posés par le cloud ou la mobilité.

C’est un fait : avec l’essor du cloud et des terminaux mobiles, les données du système d’information se sont dispersées. L’image est désormais bien connue, depuis plusieurs années : le système d’information ressemble désormais moins à un château fort qu’à un porte-avion. Comment les RSSI font-il face à ce nouvel enjeu, qui semble considérablement compliquer leur mission ? Tel était le thème abordé lors d’un atelier organisé par le Cesin lors des 15e Assises de la sécurité qui se sont terminées ce 2 octobre. Plusieurs RSSI de grandes entreprises françaises étaient venus faire part de leurs avis et expérience, dans le cadre d’échanges de haut vol animés par Mylène Jarossay, RSSI du groupe LVMH.

De gauche à droite :  Mylène Jarossay (RSSI du groupe LVMH), Bernard Cardebat  (RSSI d'Areva), Fabrice Bru (CISO de Louis Vuitton Malletier) et Olivier Ligneul (RSSI du groupe EDF). © JDN

Le décor est vite planté : "Le premier challenge est de savoir où se trouvent les données. Et c’est de plus en plus complexe, car elles peuvent être traitées par les métiers, ou stockées chez des prestataires", fait remarquer Olivier Ligneul, RSSI du groupe EDF. "C’est vrai que c’est parfois difficile de le savoir précisément. Car on peut acheter un service qui repose sur un data center qui lui même repose sur un sous-traitant pour la gestion des données. Le tout s'accompagnant parfois d'un manque de traçabilité. Et il n’est pas toujours évident que les règles initiales du contrat conclu avec le fournisseur de service soient suivies par son sous-traitant", renchérit Fabrice Bru, Ciso chez Louis Vuitton Malletier.

"Il est vain de tout vouloir protéger"

C’est ce qui pousse Bernard Cardebat, RSSI du groupe Areva, à admettre qu’il est "sans doute vain de tout vouloir protéger, car si une partie de l’information peut être maîtrisée, une autre partie est plus fugace". Il suggère qu’il est plus réaliste de vouloir adopter plusieurs niveaux de sécurité et d'adapter la protection. 

Le problème de la rémanence 

Autre problème posé par le nouveau contexte : "Comment empêcher la rémanence des données. Car l’information, aujourd'hui, c’est un peu comme un diamant : elle ne meurt jamais. Avant, nous nous préoccupions avant tout de protéger les données, mais désormais nous voulons aussi pouvoir les détruire : et pour cela, c’est vrai qu’il faut bien les traquer", observe Olivier Ligneul. "C'est un problème d’autant plus délicat, poursuit-il, que ces données vivent et se transforment. Une donnée qui, lors de sa création, ne paraissait pas dangereuse peut désormais, avec le Big data, prendre plus de sens et voir sa valeur changer."

Alors que faire, que conseillent ces responsables ? Bernard Cardebat rappelle que "quel que soit le système d’information, il y a des invariants, et toutes les données ont leur propriétaire : celui qui les a générées. Or, le niveau de risque à prendre est d'abord celui qui est jugé acceptable par le propriétaire des données. La protection va donc dépendre de la maturité. Et un manager doit savoir exiger des contrats assurant la protection adéquate. Dans ce contexte, le RSSI doit, lui, battre la mesure."

De la prévention à la détection

Quant à l’efficacité, très relative, des solutions de DLP (Data Loss Prevention ou prévention de fuite de données), Olivier Ligneul admet que "l’approche préventive peut être séduisante, mais, en réalité, quand l’information est dispersée, on passe de la prévention à la détection, ou pourrait-on dire de la 'DLP' à la 'DLD' pour Data Loss Detection". Et pour arrêter une fuite, ce constat a posteriori "doit se faire le plus rapidement possible", étaye Fabrice Bru.

"Disperser les données permet aussi de ne pas mettre tous ses œufs dans le même panier"

Enfin, deux pistes d’amélioration, sous forme de souhait, ont été évoquées par ces responsables de la sécurité. La première s’adresse aux éditeurs : elle consiste à faire en sorte que les apps détectent et fassent elles-mêmes remonter les anomalies ou événements redoutés. La deuxième, plus utopique, vise à ériger les utilisateurs finaux en capteurs avancés des dysfonctionnements auxquels ils assistent. "Il faut qu’ils aient le réflexe de les signaler. Pour réagir plus vite, on doit admettre un plus haut taux de faux positifs", estime Bernard Cardebat. Selon lui, on ne peut pas se passer de ces capteurs. "Il faut essayer de convertir les utilisateurs pour qu’ils soient plus vigilants", recommande-t-il.

Reste que, comme l’a bien conclu Mylène Jarossay, disperser les données permet aussi de ne pas mettre tous ses œufs dans le même panier. C’est donc aussi une opportunité en termes de sécurité. "La dispersion permet en effet de diluer les risques", admet Fabrice Bru qui ajoute que "le cloud permet aussi de garantir un SLA qu’auraient du mal à atteindre bien des équipes en interne". Le cloud lui permet aussi "d’accélérer considérablement des projets", et donc parfois "de donner à son groupe une avance concurrentielle appréciable." 

Mobilité / EDF