Insécurité informatique : un tiers des problèmes sont d'origine interne
Si pare-feu, antivirus et autres modules anti-intrusion protègent des attaques extérieures, la sécurisation est rarement pensée dans sa globalité. Pour efficaces et ergonomiques qu'ils soient, ces systèmes négligent la menace principale à ce jour: les collaborateurs indélicats, voire malveillants.
"J'effaçais la musique d'un CD musical et je créais un dossier compressé contenant les documents". C'est tout simplement de cette manière que le soldat Bradley Manning a copié et transmis à Wikileaks des milliers de documents de l’armée américaine en Irak. Une fuite qui serait peut être passée inaperçue pendant quelques temps. Le soldat américain a été identifié par la dénonciation d’un hacker avec qui il était en contact. Si les entreprises ne sont pas sous les feux de l'actualité, et préfèrent généralement garder le silence sur leurs aventures similaires, elles vivent les mêmes défaillances.Insécurité informatique : un marché de plusieurs centaines de milliards de dollars
Car en dépit de législations contraignantes, la grande majorité des entreprises ayant subi des cyber-attaques préfèrent complètement occulter le sinistre et passer l'affaire sous silence. Un mutisme somme toute logique : les entreprises touchées évitent toute publicité mettant à jour les failles de leurs systèmes d'information. Les coûts induits par les cyber-attaques restent donc très difficiles à mesurer. La plupart des études publiées depuis deux ans tendent tout de même à montrer un coût global de la cybercriminalité de l'ordre de plusieurs centaines de milliards de dollars par an. Un montant affolant.
Outre la perte concurrentielle et la dégradation d’image liées au vol de données subi, il est alors indispensable de modifier son système d'information, attribuer de nouveaux droits aux utilisateurs, enquêter sur ces derniers, régénérer des clés, reconstruire des données, etc. Ce qui peut s'illustrer dans le monde physique : "Perdre la clé de son domicile impose de changer toutes les serrures".
Un
tiers des problèmes d'origine interne
Dans
les entreprises, la sécurisation du système d’information est déjà en place.
Mais si pare-feu, antivirus et autres modules anti-intrusion protègent des
attaques extérieures, la sécurisation est rarement pensée dans sa globalité.
Pour efficaces et ergonomiques qu'ils soient, tous ces systèmes négligent la
menace principale à ce jour : la menace interne, en d'autres mots le
comportement de collaborateurs indélicats voir malveillants.
Les
différentes études sur le sujet confirment ce type de danger. Si se protéger
des pirates demeure indispensable, le poids de la menace interne est encore
plus lourd. Selon un rapport du Clusif*, les entreprises interrogées signalent
que 37% des incidents de sécurité informatique concernent un vol ou une perte
de matériel. Contre 8% pour les intrusions sur les systèmes d'information. Des
chiffres précis sont impossibles à obtenir. Un recensement exhaustif des problèmes
de sécurité informatiques n'existe pas dans les entreprises et pour cause !
Elles ne sont pas forcément au courant de toutes leurs failles. Le Clusif, qui
réalise une étude biannuelle sur ce sujet, estime globalement qu'un tiers des
problèmes ont une origine interne à l'entreprise, un tiers découle d'attaques
externes, le reste ayant des origines inconnues.
Facteur
aggravant, la dernière génération est plus apte à manipuler la trousse à outils
d'un 'pirate'. "De jeunes salariés n'hésitent pas à espionner les
courriels et fichiers de leur direction quand des rumeurs sur la vente de
l'entreprise courent", atteste un consultant spécialisé dans les
audits de sécurité. Une attitude qui n'est bien sûr pas limitée aux jeunes
générations mais témoigne d'une maturité plus grande de ces dernières vis à vis
de l'informatique.
On
constate que finalement, les employés d'une entreprise constituent le plus
souvent la menace le plus importante en matière de fuite d'informations pour
celle-ci. Il est donc important que firmes mettent en place des moyens plus
stricts afin de contrôler, et donc de réduire, les risque de vols d'information
au sein même de la société. Il s'agit d'une mesure qui agit en faveur des
employés et des clients, mais qui favorise également une meilleure productivité
et une réputation plus positive.
Le
danger interne est d'autant plus difficile à contrôler qu'il n'implique pas
forcément de la malveillance. Emporter un fichier pour continuer à travailler
de chez soi sur son PC familial pas sécurisé n'est à priori pas répréhensible,
mais peut déboucher sur la perte de données ou leur corruption par un virus.
Dans un registre plus malveillant, des salariés peuvent à la veille de leur
licenciement accéder au serveur et emporter des données confidentielles.
Quelles
sont les solutions ?
Dans
un monde où le travail en équipe est un facteur clé de succès, où l’information
a vocation à être partagée, comment se protéger de ces dangers ? Si le
chiffrement des données paraît être une réponse naturelle à ces problèmes,
beaucoup de solutions se concentrent malheureusement sur la problématique du
vol de données externe (vol de PC, vol de cléfs USB, etc.).
Partant
de ce constat, nous pouvons essayer, dans les quelques paragraphes
suivants, de définir les contours de la solution idéale, capable de prendre
spécifiquement en charge ce risque interne.
D’abord,
les données concernées par cette menace sont rarement stockées dans des bases
de données et applications logicielles métiers. L’expérience montre que les
vols ou les pertes portent beaucoup plus souvent sur des courriels et des
fichiers, qu’ils soient bureautiques ou dans des formats spéciaux. Or les
informations de cette nature résident essentiellement sur les postes de
travail, les serveurs de messagerie, les serveurs de fichier, et bien sûr dans
des outils de travail collaboratifs. Une bonne solution doit donc être capable
de gérer tous ces environnements, et tous les types de fichiers.
Ensuite,
il est important de réaliser que la sécurité d’une donnée doit être gérée par
son détenteur : le chef de projet R&D, le directeur financier, etc.
Ces personnes sont les seules à même d’appréhender la criticité de leurs
informations. Mais pour que ce fonctionnement soit possible, il est absolument
indispensable que la solution choisie soit ergonomique et intelligible
pour des utilisateurs peu versés dans la sécurité et dans l’informatique.
Comme
ces qualités – ergonomie et simplicité – restent rares, beaucoup
d’entreprises préfèrent néanmoins confier la sécurisation des données à des
personnels du département informatique. Dans ce cas, il faut au moins s’assurer
que la solution choisie permette de séparer clairement les pouvoirs entre
‘administrateur du système’ et ‘administrateur de la sécurité’. Cette bonne
pratique élimine de facto les options de sécurisation intégrées dans les
plateformes de collaboration et les systèmes d’exploitation, qui ne permettent
quasiment jamais de séparer ces rôles.
Pour
finir, on notera qu’au moins un des deux points précédents doit être mis en
œuvre pour qu’une externalisation des systèmes d’information soit possible.
Dans le cas contraire, aucune donnée ne saurait être considérée comme
confidentielle. L’externalisation du SI revient en effet à externaliser la
menace interne…
--------------------------
*
Rapport du Clusif (Club de la Sécurité de l'Information Français) : Menaces Informatiques et Pratiques de Sécurité
en France - Edition 2010