BTP / BUP / Cybersécurité / ERP/IGH / Industrie/ICPE
Cybersécurité : sécuriser les données de l’entreprise
Quelle que soit sa taille, une entreprise détient des données sensibles à protéger. Fichiers clients, contrats, données personnelles des salariés, documents techniques, stratégie commerciale… :
un vol, une fuite, une altération ou une indisponibilité de ces données peut avoir des conséquences économiques, stratégiques et d’image pour l’entreprise.
De nombreux cas relatés dans les médias ces dernières années l’ont prouvé.
Antoine Toupet, responsable de la sécurité des systèmes d’information et consultant en cybersécurité chez CNPP Cybersecurity, nous explique comment protéger les données sensibles.
Quel est le point de départ d’une politique de protection des données ?
Antoine Toupet. Pour protéger leurs données, les entreprises ont d’abord besoin de comprendre leur système d’information. Pour cela, elles doivent se demander quelles sont leurs données, quels sont les process et activités qui interagissent avec ces données (également appelés « actifs primaires ou primordiaux » dans le domaine de la gestion des risques) et sur quoi ils reposent, c’est-à-dire ce qui permet de les faire fonctionner ou d’avoir une donnée accessible, disponible et utilisable : serveurs, réseaux, utilisateurs, infrastructure, applications, fournisseurs… À partir de là, les entreprises vont pouvoir identifier les risques et visualiser ce qu’il faut protéger.
Une fois que l’on sait qu’on a des données sensibles stockées sur tel serveur, qu’on y accède depuis tel équipement, sur tel réseau, qu’elles sont manipulées de telle manière, on recherche s’il existe des vulnérabilités pour ensuite les corriger pour que le niveau de risque soit acceptable par rapport à une échelle validée par la direction (conséquences sur l’organisation en cas d’incident, probabilité que le risque se produise…).
L’idée est de mettre en relation la donnée et le besoin en sécurité de l’information, à savoir le besoin en confidentialité, disponibilité et intégrité. La donnée doit-elle être disponible 24 heures sur 24, 7 jours sur 7 ou est-ce que je peux avoir une indisponibilité d’une demi-journée par exemple ? Si l’information fuite, si une personne non habilitée y a accès, est-ce préjudiciable ? Si l’information est modifiée, quel est l’impact ? Les réponses à ces questions vont permettre de mettre en place les mesures de sécurité adéquates et éviter de faire de la « sur-sécurité ».
Comment savoir quelles données protéger, comment faire le tri ?
A.T. Il y a différents niveaux de classification de l’information. Ces niveaux sont déterminés pour chaque organisme mais nous travaillons en général avec quatre niveaux :
– les données publiques. Par exemple ce qu’on pourrait publier sur un site internet ou toute information qui peut être connue de tous ;
– les données internes, propres à une entreprise, comme les informations de la communication interne ;
– les données restreintes à une ou plusieurs équipes. Par exemple une information ou un document pour lequel les consultants ont une légitimité d’accès, au contraire des commerciaux ;
– les données confidentielles. Par exemple des fichiers clients ou des informations sur la stratégie de l’entreprise.
Ces données ne doivent pas sortir des supports de stockages prévus, les échanges doivent être chiffrés, les droits d’accès restreints, les impressions, si vraiment nécessaires, doivent être ensuite broyées…
Il est recommandé de marquer l’information en fonction de ces différents niveaux et de cartographier son système d’information pour comprendre où se trouvent les données sensibles, comment on y accède, sur quels systèmes elles reposent, la manière dont elles transitent dans les réseaux internes et publics et si des mesures de sécurité existantes sont appliquées. À chaque niveau de sensibilité de la donnée correspond un besoin en sécurité et des mesures techniques et organisationnelles qui y répondent.
Quelles sont ces mesures de sécurité que doivent mettre en place les entreprises pour protéger leurs données ?
A.T. Avant même de rentrer dans une démarche d’analyse de risques, il y a des pratiques de sécurité qui, par défaut, peuvent être mises en oeuvre dans toutes les entreprises. Par exemple, assurer la sécurité physique des matériels, maîtriser les appareils des utilisateurs, appliquer les mises à jour des serveurs, équipements réseau et postes utilisateurs, avoir des sauvegardes externalisées et séparées du système d’information, utiliser les scans de vulnérabilités pour identifier les failles techniques et appliquer les correctifs. Il convient également de privilégier, lorsque c’est possible, une authentification forte pour se connecter à une application sur internet, avoir recours à un gestionnaire de mots de passe sécurisé pour éviter les mots de passe sur les post-it…
L’Anssi [NDLR : Agence nationale de la sécurité des systèmes d’information] a publié un guide d’hygiène informatique qui comprend 42 mesures de sécurité (voir ci-dessous). Certaines mesures ne sont pas applicables à toutes les entreprises. Mais si ces dernières font l’exercice d’étudier le guide et de se demander s’il est pertinent d’appliquer ces mesures, ce sera un bon pas en avant. L’ISO/ CEI 27002 est également un guide de bonnes pratiques dans le cadre du management de la sécurité de l’information. Il détaille 114 mesures de sécurité et peut servir de base pour savoir quelles mesures mettre en place.
Lorsque les entreprises utilisent des services cloud (SaaS et IaaS généralement), je leur recommande de lire les guides d’implémentation sécurisée fournis par les acteurs les plus importants du marché : AWS, Microsoft 365, Salesforce, etc.
Au-delà des mesures « de base », c’est donc la sensibilité de la donnée, son besoin en sécurité et l’environnement dans lequel elle est stockée, manipulée et échangée, qui vont déterminer les mesures à mettre en place.
A.T. Oui, pour les données sensibles, nous allons qualifier les besoins en sécurité et mettre en place une sécurité avec de multiples couches, pour réduire la surface de compromission dans le cas où une couche de sécurité aurait été défaillante :
– chiffrement des flux et du stockage ;
– cloisonnement des réseaux pour éviter la compromission par rebond et isoler les systèmes en fonction de leur sensibilité et des usages ;
– surveillance et contrôle des flux réseaux et applicatifs ;
– enregistrement et surveillance des événements de sécurité ;
– renforcement et contrôle des accès ;
– protection contre le code malveillant ;
– redondance…
Il faut bien comprendre que certaines mesures de sécurité vont permettre d’avoir une approche défensive proactive et que d’autres mesures seront orientées vers une approche réactive. Le risque zéro n’existant pas, en cas de suspicion d’incident, il est nécessaire d’être capable de pouvoir investiguer pour comprendre ce qu’il s’est passé, appliquer des corrections et éviter que cela se reproduise.
Outre les solutions techniques, un vrai travail de sensibilisation des salariés est à faire…
A.T. En effet. Dans le guide de l’Anssi, c’est l’une des premières mesures à mettre en place : informer et sensibiliser les utilisateurs.
Les mesures techniques, une fois mises en place et surveillées, fonctionnent. L’humain reste humain et peut être difficile à convaincre. C’est pourquoi il est nécessaire de réaliser des campagnes régulières pour rappeler les bonnes pratiques de sécurité de l’information : robustesse et stockage des mots de passe, vigilance quant aux emails ou à la connexion à des applications web, filtre de confidentialité à utiliser en déplacement, utilisation ou non des clés USB, verrouillage de la session, principe de discrétion, politique du bureau propre…
Quelles sont les principales menaces qui pèsent sur les données des entreprises ?
A.T. On peut citer :
– les attaques en déni de service, le phishing (vol d’identifiants), les malware et ransomware, l’exploitation de failles sur les applications web… Il existe plusieurs niveaux d’attaques, des petits malins qui veulent jouer et essayent de trouver des failles sur les systèmes des entreprises avec des outils disponibles sur internet, aux attaques ciblées et avancées ;
– le vol ou la perte de matériel ;
– les phénomènes météorologiques ;
– les pannes chez des fournisseurs ;
– la malveillance interne ;
– l’utilisateur quittant l’entreprise avec des données : éviter la fuite de l’information, fermer les accès, récupérer le matériel…
– l’erreur humaine. Par exemple un administrateur qui fait une mauvaise configuration et donne l’accès à des données sensibles à des personnes non autorisées, ou un utilisateur qui transfère un email avec des informations sensibles à la mauvaise personne ;
– la menace politique ou gouvernementale. L’affaire Facebook/Cambridge Analytica est le parfait exemple d’utilisation d’une faille d’une application à des fins politiques ;
– l’espionnage et l’intelligence économique.
D’après vos retours d’expérience, quelles sont les vulnérabilités les plus fréquentes dans les entreprises ?
A.T. En général, on observe un manque de compréhension des systèmes d’informations et donc une mauvaise idée de ce qu’il faut protéger. Côté technique, on note souvent un manque d’application des mises à jour de sécurité des composants du système d’information, des défauts de configuration sur les applications exposées sur internet, un manque de chiffrement des flux et des données, un manque de contrôle des appareils qui peuvent être utilisés dans le cadre de l’activité professionnelle et un manque de gestion des vulnérabilités techniques alors qu’il existe des outils qui permettent de les identifier et de savoir quels correctifs appliquer.
Côté organisationnel, il y a bien souvent un manque de gouvernance sur la question de la protection des données. Il me semble essentiel qu’il y ait dans l’entreprise un référent sur la sécurité de l’information pour définir des règles, sensibiliser les utilisateurs et vérifier que les mesures techniques sont mises en place. L’une des principales vulnérabilités est un manque de la culture de la cybersécurité dans les entreprises et un manque de sensibilisation des employés. Il est nécessaire de diffuser des règles qui relèvent du bon sens, comme parler discrètement dans les transports en commun, utiliser un filtre de confidentialité, ne pas se connecter à n’importe quel réseau ou depuis n’importe quel appareil…
L’entrée en vigueur du Règlement européen pour la protection des données personnelles le 25 mai dernier a-t-elle changé la donne ?
A.T. Oui, le RGPD a permis une prise de conscience, mais il a eu tendance à cannibaliser certains sujets, à ne parler de la sécurité qu’à travers les données personnelles.
La donnée personnelle est une information mais il y a aussi d’autres données : secrets d’entreprise, R&D, documents clients, prix, savoir-faire, informations administratives… qu’il ne faut pas oublier !
Gaëlle Carcaly
Journaliste
Les plus lus…
Les associations Mor Gaz et Robin des Bois font le point sur la situation du cargo Ruby. …
Dans quelles conditions, un lieu de travail n’est-il pas soumis à l’obligation de disposer de places de stationnement aménagées…
Communiqué commun de l'Afrata (Association française de téléassistance), de la FAS (Fédération des ascenseurs), du GPMSE (Groupement des Métiers…
Redoutées par tous, les défaillances de la sécurité privée ne se sont pas produites durant les Jeux olympiques. Bien…
La Dreal Normandie (Direction régionale de l'environnement, de l'aménagement et du logement) a adressé deux mises en demeure le…
La biométrie, l'IA (intelligence artificielle) ou encore le cloud computing seront les technologies émergentes les plus demandées par les…