Sécurité des données : commencez par prêter attention aux petits problèmes

Le célèbre géographe Jared Diamond a récemment publié un article dans le New York Times intitulé That Daily Shower Can Be a Killer. Il y remarque la tendance des Américains à exagérer les risques sensationnels et hors de notre contrôle, comme les accidents d’avion et les radiations nucléaires, et à sous-estimer au contraire les risques plus banals mais plus courants que nous pouvons maîtriser, comme glisser dans sa douche ou tomber d’une échelle.
Avec mon esprit technophile, j’ai immédiatement fait le lien avec la sécurité informatique. Nous avons tous rencontré l’ingénieur qui s'échine des semaines sur le choix d’un algorithme de validation des mots de passe mais omet de mettre en œuvre une politique solide de mots de passe.
Si vous réalisez que vous développez une paranoïa à propos d’attaques dangereuses mais peu probables… arrêtez ! Faites une rapide estimation intuitive risque/fréquence pour savoir si vous perdez votre temps. Il est inutile de réfléchir à la force de l’algorithme SHA-256 si vos employés envoient vos secrets industriels par e-mail à un prince nigérian.

Scénario qu’imagine un fanatique de la cryptographie. Son ordinateur portable est crypté. Construisons une grappe d’un million de dollars pour casser le cryptage. Impossible ! Le cryptage utilisé est RSA 4086 bits. Mince alors ! Notre plan maléfique est déjoué !
Ce qui se passerait en réalité : Son ordinateur portable est crypté. Soutirons lui l’information, utilisons nos talents pour le manipuler et obtenons le mot de passe !

Quels sont les risques informatique que l'on pourrait comparer une chute dans la douche en matière de protection des données ? Notre "Rapport sur l’état de la protection des données" publié l’an passé en énumère quelques uns :

• 26 % seulement des entreprises ont une grande confiance dans la protection de leurs données,
• 18 % n’ont aucune confiance,
• 23% des entreprises ne sont pas sûres de savoir où se trouvent les données cruciales de leur entreprise,
• 27 % des entreprises ne contrôlent pas l’activité des accès sur les serveurs de fichiers et les sites SharePoint,
• 13 % des entreprises ne suppriment jamais les accès aux données lorsqu’un employé quitte l’entreprise,
• 61 % n’analysent pas leur environnement à la recherche de données sensibles.

Ces résultats montrent qu’il existe manifestement une marge considérable d’amélioration pour ce type de risques quotidiens. De la même façon que le but de Monsieur Diamond est de réduire les accidents de la vie courante à 1 sur 1000, nous devons chercher à réduire les risques courants de sécurité des données en mettant en œuvre des programmes de sécurité solides.

Vous souhaitez en savoir plus sur l’analyse des risques ?

Voici quelques ressources complémentaires :

• Le livre de W. Krag Brotby : Information Security Management Metrics: A Definitive Guide to Effective Security Monitoring and Measurement
• Factor Analysis of Information Risk (FAIR) : un cadre d’évaluation quantitatif qui aide à comparer objectivement les risques
• Risk Management Framework (RMF) de NIST.gov est un cadre d’évaluation vous aidant à sélectionner les contrôles de sécurité appropriés pour votre entreprise
• La méthodologie GAIT fournit une approche qualitative de l’évaluation des risques