Rechercher :         
Sociétés Prestataires Carnet Formations Progiciels Encyclo Fonds Guide d'achat Téléchargement
Interviews

Cyril Autant
Directeur du Pôle Intégration
Thales Secure Solutions

"La France n'est pas assez protégée contre l'espionnage industriel"
          

Cyril Autant a présidé mardi dernier un séminaire sur les problématiques de sécurité intérieure devant une brochette de DSI - et autres RSSI. Ce cadre de la filiale de services en sécurité informatique du grand groupe de défense Thalès maîtrise bien les problématiques d'espionnage et de destruction de données. Le danger vient de l'intérieur, mais il existe des remèdes.

Propos recueillis par Nicolas Six le 07 octobre 2002 .

Faut-il prendre l'espionnage industriel au sérieux ?
Cyril Autant. Assurément : c'est une réalité à laquelle toutes les grandes entreprises sont confrontées d'une manière ou d'une autre. Je peux vous donner un exemple édifiant : il y a quelques années, le contre-espionnage avait accès à des informations très précises sur l'activité des services étrangers d'espionnage industriel, pays par pays et secteur par secteur. J'ai été en contact avec une entreprise pharmaceutique française employant plusieurs milliers de personnes : les responsables de la sécurité avaient eu accès à ces données, et ils s'étaient livrés à une petite extrapolation sur la base des budgets des différents pays. Ils avaient ainsi pu estimer le nombre d'espions russes dans leurs murs à une dizaine : je peux vous dire que cette firme prenait l'espionnage industriel très au sérieux. Autre exemple, plus concret : j'ai moi même travaillé dans un service de recherche qui a reçu un post-doctorant russe - une fois de plus - pour un stage. Nous nous sommes rendu compte que son soi-disant doctorat n'était en réalité que la copie d'un travail de recherches fort connu. Une fois démasqué, l'individu en question n'est pas réapparu. Je pourrais encore vous citer bien d'autres exemples, plus récents et plus parlants, mais je suis tenu par le secret professionnel.

Les "espions" agissent-ils en interne ou en externe ?
Le plus souvent, le danger vient de l'intérieur. C'est d'autant plus gênant que les enteprises sont très bien protégées contre les virus et contre les "hackers", mais qu'elles négligent souvent d'accorder toute leur attention aux pirates qui opèrent de l'intérieur.

Quels sont les principaux dangers qu'il faut craindre ?
La destruction de données et le vol d'informations confidentielles. Prenons deux exemples : comment vais-je réagir si l'on efface toutes les données relatives aux recherches de mon service R&D ? Quelles seront les conséquences pour moi si mon fichier client atterrit sur le bureau de mon principal concurrent, agrémenté de quelques informations sur les appels d'offres en cours ? Il existe une foule d'entreprises qui ont des données stratégiques et qui les protègent mal. Le fichier client est l'exemple type du document que l'on laisse traîner partout sur un système d'informations alors qu'il faudrait le protéger avec beaucoup de soin.

Comment reconnaître un espion ?
C'est impossible : il n'y a pas de portrait type. D'ailleurs, il y a des espions qui sont entrés dans l'enteprise dans un but précis, mais aussi des espions plus tardifs qui se sont laissé soudoyer par un concurrent après des années de bons et loyaux services. Je dirai même qu'il existe des espions malgré eux, qui divulguent des informations stratégiques sans le savoir à des oreilles indiscrètes, en parlant tout haut dans les transports en commun ou dans un club de sport par exemple. Je ne compte plus les exemples de clients qui ont glané çà et là des informations stratégiques malgré eux, en laissant seulement traîner une oreille au bon moment. Quant aux collaborateurs de l'entreprise - ou aux employés - qui détruisent des informations stratégiques sur le système d'information, ils ne le font pas toujours intentionellement. Le vol et la destruction d'information peuvent être intentionnels ou pas : un copier coller accidentel peut suffire à semer le trouble dans un SI. Il faut donc pouvoir parer aux dangers qui émanent en permanence de tous les employés et les collaborateurs d'une entreprise.

Les entreprises prennent-elles la sécurité suffisamment au sérieux ?
Il y a une forte culture de la protection contre les agressions extérieures, c'est incontestable. Mais je vois encore trop souvent des enteprises de taille respectable dépourvues des protections les plus élémentaires. Ces problématiques sont négligées la moitié du temps. Comment se protéger contre la perte et le vol d'informations stratégiques si l'on ne dispose pas d'un contrôle d'accès minutieux, et que l'on ne sensibilise pas ses effectifs aux règles élémentaires de la sécurité ?

Comment construire un bon contrôle d'accès ?
Tout comence par la définition des documents que l'on souhaite protéger, et du niveau de protection dont ils doivent bénéficier. Ensuite, il faut absolument en passer par un long et complexe travail de catégorisation des utilisateurs, afin de savoir dans le détail quelle famille d'employés peut avoir accès à quelle famille de documents. C'est la seule solution pour limiter la fuite d'informations : chaque utilisateur doit avoir accès aux données dont il a besoin, et à rien d'autre. Tout doit être abondamment cloisonné. Car lorsqu'un utilisateur dispose d'une information stratégique, plus rien ne l'empêche de le faire sortir de l'enteprise. Puis il faut mettre en place des solutions techniques qui permettent de contrôler efficacement chaque accès. Il existe sur le marché beaucoup de produits, qui répondent à tous les usages.

Pourquoi ne pas tracer les actions des utilisateurs ?
C'est une solution très efficace lorsque l'on a besoin d'un haut niveau de protection. Les produits de traçage sont bien au point, et ils permettent de savoir avec précision qui a agi sur les silos d'information les plus sensibles. Si une information est détruite, on peut demander des comptes au responsable. Si un utilisateur tente d'outrepasser ses droits pour accéder à une information normalement hors de portée, on peut aussi le détecter gràce à des outils assez proches des IDS. Ce qui permet de mener une enquête sur un utilisateur X ou Y qui est parvenu à accéder à un serveur sensible en mode administrateur alors qu'il opérait depuis un banal poste client.

Comment mieux sensibiliser les effectifs ?
C'est la deuxième règle d'or de la protection des données. La solution est fort simple : il faut former chaque utilisateur et le faire signer une charte lui interdisant de divulguer des informations. J'ai remarqué qu'il y avait une méthode très efficace, qui consiste simplement à citer des exemples d'espionnage industriel. Il faut que chaque employé intègre bien le fait que ces informations sont une richesse, et que comme toute richesse il faut la protéger.

Une dernière clé pour le succès ?
La pérennité ! Il faut absolument suivre le système de sécurité au jour le jour, le mettre à jour, former les nouveaux arrivants à la sécurité, etc ... Car sans ça la sécurité se dégrade automatiquement chaque jour un peu plus.


  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY



Gratuit - L'actualité des technologies
e-business
Toutes nos newsletters
 
 
 
 
 
 
Logiciels libres
Retours d'expérience, panorama, analyses.
Sommaire
 
Failles de sécurité
Vulnérabilités des logiciels & évaluation des risques.
Sommaire
 
 

Les entreprises de l'Internet
Plus de 5000 sociétés référencées

Les prestataires
Plus de 2600 prestataires

Les fonds
Plus de 100 fiches descriptives

Le carnet des managers Internet
Plus de 1500 dirigeants

Guide des solutions
Plus de 310 briques logicielles