Fuite des données d’entreprise: le danger vient de l’intérieur

Qui a la main sur vos données? Cette question propre à susciter la paranoïa était l’intitulé de la récente conférence mise sur pied à Genève par Websense, société américaine spécialisée notamment dans les solutions de Data Loss Prevention (DLP). Fondateur d’Ogando, expert en sécurité IT ayant travaillé pour un important cabinet d’études et chez l’un des plus grand assureur de Suisse, José Dani Romay a présenté au cours de la keynote les enjeux actuels en matière de protection des données d’entreprise, avant de partager sa vision sur les challenges à relever pour se prémunir contre leur fuite. D’où viennent les menaces? L’expert fait la distinction entre sources externes (agences de sécurité gouvernementales, groupes de hackers anonymes) et internes: «Les employés peuvent être à l‘origine des fuites d’informations aux conséquences les plus sérieuses», rappelle José Dani Romay, citant notamment l’exemple de l'ex-informaticien de la banque HSBC Hervé Falciani, qui avait fait circuler des listes de milliers d'évadés fiscaux.

Le cloud et le BYOD ont accentué les risques

Du côté des menaces externes, l’avènement du cloud computing a changé la donne et complexifié la tâche des CIO et des CISO. «Il y a encore quelques années, les entreprises pouvaient avoir un meilleur contrôle sur leur périmètre de sécurité IT car elles avaient un accès physique aux données sensibles», rappelle l’expert. Il observe qu’aujourd’hui, quand une société souscrit à des services cloud, il n’est pas rare que les responsables de la sécurité informatique se retrouvent en face du fait accompli. Les objectifs divergents entre l’IT et le business ont dans certains cas des conséquences potentiellement néfastes. Par exemple quand une compagnie opte pour une solution CRM en mode SaaS, motivée par la baisse des coûts mais ne s’inquiétant pas des risques encourus. José Dani Romay met en garde: «Les prestataires de services travaillent parfois avec des partenaires tiers additionnels et la question se pose: que contrôle-t-on au final?» En outre, du côté interne, les risques sont notamment démultipliés par la tendance du «Bring Your Own Device» (BYOD).

Chiffrer le chiffrement des données dans le cloud

Que faire pour contrôler et protéger ses données? Face aux risques inhérents au BYOD, le spécialiste considère que les solutions de Mobile Device Management (MDM) ont des limites: «Je connais des grandes entreprises qui ont fait d’énormes investissements dans des solutions MDM et qui sont depuis revenues en arrière, s’apercevant qu’il était impossible de contrôler tous les appareils sans restreindre la liberté de choix des OS mobiles, ce qui va à l’encontre de la philosophie du BYOD.» Il n’est de plus pas évident de faire accepter aux employés que l’entreprise détient le pouvoir de prendre le contrôle sur leur terminal privé. Pour protéger les serveurs et les bases de données, l’expert souligne l’importance de faire appel à des outils de chiffrement. Des méthodes de cryptographie permettent également de sécuriser les données dans le cloud. José Dani Romay conseille pour ces dernières de «chiffrer le chiffrement». Qu’il s’agisse des outils de chiffrement, des firewall, antivirus et autres systèmes de sécurité, le panel de spécialistes invités à débattre à l’issue de la présentation sont tous d’accord: il est primordial de s’assurer de l’intégrité des utilisateurs à privilèges qui ont accès aux données. Par ailleurs, les entreprises ont intérêt à former tous les collaborateurs pour éviter qu’ils ne tombent dans le piège du phishing.