Procès Clearstream : que ferait aujourd’hui la DSI ?

L’ouverture du procès de « l’affaire Clearstream » fait la Une de tous les médias. Avec des mots-clés comme « corbeau », « complot », « Sarkozy », « EADS », etc., tous les éléments sont réunis pour des rebondissements à l'image d’un feuilleton judiciaire.

Pour un professionnel de la sécurité informatique, ce sont d'autres termes qui titillent. A savoir : « base de données », « CD-ROM » et « stagiaire ». En effet, si, sur le plan juridique, il est encore trop tôt pour désigner un ou des coupables, sur le plan informatique, les choses sont beaucoup plus limpides.
Revenons sur les faits tels que nous les rapportent les journaux : en 2001, l'un des stagiaires d'une société d'audit renommée, Arthur Andersen, est chargé de procéder à des extractions de données depuis le data center de la société Clearstream afin de les remettre aux auditeurs d'Arthur Andersen. Au passage, pour des raisons qu'il appartient aux juges de déterminer, il décide de copier ces données sur un CD-ROM (nous sommes en 2001, les clés USB ne sont pas encore généralisées) puis les transmettra plus tard à un journaliste, point de départ de l'affaire politique et judiciaire.
C'est à ce stade que se pose la question majeure sur laquelle les juges, eux, ne se pencheront pas mais que la société Clearstream, victime collatérale de cette affaire, a dû, souhaitons-le, se poser :
« Comment la direction des systèmes d'information (DSI) d'un établissement dont la survie repose sur la confiance que lui font ses clients peut-elle mettre en place les mécanismes de sécurité nécessaires à la protection de la confidentialité des données sensibles qu'elle manipule ? »

Dans le domaine de la sécurité, ces mécanismes de protection portent un nom ou plutôt des initiales : DLP (Data Loss Protection ou prévention des pertes de données).
Confrontés au comportement de certains utilisateurs qui peut mettre en péril les données confidentielles des entreprises (avec parfois des conséquences désastreuses pour la survie même de cette dernière), les acteurs de la sécurité informatique proposent désormais des technologies qui permettent de contrôler les données sensibles tout au long de leur vie au sein de l'entreprise.
Dans le cas de l'affaire Clearstream, il eût ainsi été aisé pour la DSI, dans le cadre de cet audit par une tierce partie, de mettre en place des outils de DLP qui lui auraient permis de garder la maîtrise de ses données. Il leur aurait ainsi été possible de contrôler, par exemple, les transferts de données effectués par ce stagiaire, le nombre de copies réalisées, le type de support utilisé, ... Et de rendre impossible la transmission à des personnes non habilitées.

Bref, une traçabilité totale rendant impossible tout détournement d'information, qu'il soit frauduleux ou accidentel. Si ces technologies n'étaient pas encore abouties à l'époque de l'affaire en question, de nombreuses entreprises ont depuis fait les frais d'une absence de prévention coupable, mettant au cœur de leur tracas les insuffisances de leur DSI. L'affaire Clearstream, avec sa kyrielle d'effets désastreux en termes d'image et de réputation, devrait servir de sonnerie de rappel à nombre d'entre elles.
Car la véritable question est la suivante : de nos jours, un nouveau « Clearstream » est-il impossible ou inévitable ?