Par Fabien Tanguy, le 22 décembre 2016

Penser qu’il suffit de déployer des garde-fous pour protéger ses données conduit à une mauvaise sécurité des outils collaboratifs dans le Cloud et nuit à l’intégrité des datas. L’approche la plus sûre consiste à évaluer les risques. Par Fabien Tanguy, Expert Sécurité, et Fabien Rech, Directeur Régional France, d’Intel Security Intel Security.

Aujourd’hui, face aux dernières innovations technologiques, les entreprises ont un niveau de maturité différent. Que l’on parle d’adoption de plateforme collaborative, de mobilité, de télétravail, etc. toutes semblent conscientes des risques inhérents à ses pratiques émergentes mais tardent à prendre les mesures de sécurité qui s’imposent. L’impression qu’il existe des risques informatiques augmente au fur et à mesure que la solution dont on parle héberge des documents dans le Cloud.

D’après l’étude “Collaboratif et mobilité, où en sont les entreprises françaises ?”[1], ces dernières ont plus de défiance envers un service de stockage en ligne comme DropBox (73 %) que vers l’e-mail (67 %). Un paradoxe en matière de cyber-sécurité, car ce dernier est plus souvent la cible d’attaques. Cette illustration reflète le danger existant de sous-évaluer les risques IT potentiels et de déployer des solutions de sécurité inadaptées.

Pour avoir une vision pragmatique, il ne faut pas penser la sécurité informatique uniquement en termes de moyens techniques. La réflexion doit prendre de la hauteur. Dans un environnement de plus en plus exposé aux menaces informatiques (+ 11 % d’attaques réseau enregistrées à la fin du second trimestre [2]), il est important d’évaluer les risques pouvant affecter à la fois le patrimoine informationnel de l’entreprise et celui des individus qui la composent. Pour une entreprise engagée dans l’utilisation de services Cloud, l’un des premiers pièges à éviter est de laisser partir ses informations chez un prestataire de services Cloud avec lequel elle n’a pas contractualisé.

Les critères à prendre en compte pour définir sa sécurité

Ce qui détermine la ligne de conduite en termes de conformité et de sécurité dans l’entreprise doit être la réglementation inhérente à son secteur d’activité, ainsi que la prise en compte et la compréhension de ses objectifs business.

Il devient indispensable de maîtriser la donnée et son cycle de vie en s’appuyant sur les bons réflexes. Quelles sont les données à chiffrer, celles à surveiller, où doivent-elles être stockées (sur site, en hébergement sur le territoire, dans le cloud), etc. Bref, faciliter la classification de l’information tout en évaluant précisément le coût de la sécurité associée. Dès lors, il y a des compromis et des aménagements à trouver. Si, par exemple, un service Cloud permet à une direction métier d’être plus compétitive et agile mais que sa sécurisation est telle qu’elle engendre un coût disproportionné. L’entreprise devra être en mesure de trouver un service collaboratif alternatif. À l’inverse, on peut considérer que des données moins sensibles nécessiteront un niveau de sécurité moins élevé. Autre critère à prendre en compte dans le choix d’une solution Cloud [3] : les obligations que l’on peut exiger du prestataire. L’absence de contrat de service est de fait rédhibitoire ; ce contrat doit à minima stipuler la manière dont les données seront restituées en cas d’arrêt des prestations, le taux de disponibilité du service garanti, les pénalités en cas de litige, etc.

Les enjeux organisationnels et techniques d’un projet de protection de la donnée

Le processus de mise en conformité de la gestion de la donnée impose généralement la mise en place d’un projet de Data Loss Prevention. Dans les faits, seuls 10 % du temps consacré au déploiement d’un projet DLP correspond à des déploiements techniques (solutions de chiffrement, contrôle des données qui sortent, classification, traçabilité, gestion des périphériques externes, etc.). Les 90 % restants seront consacrés à la classification de l’information, la conduite du changement, la formation des opérationnels, la sensibilisation des salariés, etc. Dans ce cadre, les outils seront essentiellement des agents déployés sur les PC des collaborateurs, là où se crée l’information.

Par conséquent, une sensibilisation des utilisateurs à toutes les actions que la DSI va leur interdire est nécessaire. Leur concours peut toutefois être sollicité dans la définition de répertoires correspondant au degré de sensibilité des informations de l’entreprise et sur lesquels seront automatiquement appliquées les règles de sécurité à suivre.

L’importance des collaborateurs et des divisions métiers dans la définition, la mise en œuvre et le respect d’une politique de sécurité efficace ne doit pas être négligé. Or, 37 % des entreprises françaises admettent encore ne pas avoir mené d’actions de communication et de sensibilisation de leurs collaborateurs à la sécurité des outils, et sous-entendu de leurs données. Ce qui paraît être une hérésie à l’heure où les attaques informatiques, ciblant les entreprises et s’appuyant sur l’ingénierie sociale, sont de plus en plus virulentes.

[1] Etude Intel et L’Usine Digitale 

[2] http://www.mcafee.com/us/resources/reports/rp-quarterly-threats-sep-2016.pdf

[3] http://www.silicon.fr/etude-adoption-du-cloud-confrontee-a-une-crise-de-croissance-152191.html

 

Source : Usine Digitale

December 23, 2016
cybersecurity

Cybersécurité : les entreprises doivent avoir une approche qui surpasse la technique!

Par Fabien Tanguy, le 22 décembre 2016 Penser qu’il suffit de déployer des garde-fous pour protéger ses données conduit à une mauvaise sécurité des outils collaboratifs […]
December 6, 2016
avalanche-reseau-cybercriminels-640x360

Avalanche, le gigantesque réseau cybercriminel démantelé par Europol, Interpol et le FBI

Par Elodie, le 6 décembre 2016 C’est une vaste enquête internationale qui a permis de mettre fin aux activités cybercriminelles d’un important réseau de pirates informatiques […]
December 6, 2016
Computer or data analysis - Stethoscope over a computer keyboard toned in blue; Shutterstock ID 394578229; PO: ransomware attacks

Royaume-Uni : le ransomware Globe2 responsable de la fermeture de plusieurs hôpitaux dont les systèmes avaient été infectés

par Michael Guilloux, 6 décembre 2016 Le dimanche 30 octobre, un programme malveillant a infecté les systèmes informatiques du Northern Lincolnshire and Goole NHS Foundation Trust […]
December 6, 2016
gi_161021_j23wb_cyberattaque-piratage_sn635

Facebook, Twitter, YouTube et Microsoft annoncent la création d’une base de données de contenus terroristes

par Marine Benoit, 06/12/2016 Facebook, Twitter, YouTube (Google) et Microsoft ont annoncé, lundi 5 décembre, un partenariat à l’échelle mondiale afin de mieux repérer et de […]