Fuites d'information : adopter une stratégie globale pour prévenir, détecter et gérer le sinistre

En moyenne, les entreprises mettent 212 jours à se rendre compte qu'on leur a volé des données, et 75 jours ensuite pour y remédier. Et cela coûte en moyenne aux entreprises françaises 4,31 millions d'euro (4 millions dans le monde*). 

Mais il y a de l’espoir : les entreprises ayant implémenté un programme de protection de la donnée observent un écart de 57 % dans le coût moyen de ces incidents.

L’objectif d’un tel programme est de limiter l’impact (notamment financier) d’une fuite de données en réduisant drastiquement les temps de détection et de réponse.

Concrètement, outre développer des capacités de détection et de réponse à incident, la mise en œuvre d’un tel plan exigera d’investir (un minimum) dans un programme de gouvernance, risques et conformité (GRC), de renforcer le contrôle d’accès aux données, de classifier ces dernières afin de savoir où placer les efforts de protection, de contrôler les terminaux, et enfin de sensibiliser les utilisateurs.

L’approche pourra partir du haut (la gouvernance d’abord) ou du bas (les mesures opérationnelles). Mais dans tous les cas, les deux seront nécessaires pour bénéficier d’un programme complet.

Si cela peut sembler complexe à première vue, un tel plan n’a pourtant pas besoin de l’être : il est d’ailleurs préférable d’avoir un plan de sécurité simple qui pourra être appliqué, plutôt qu’un plan complexe que l’entreprise n’appliquera probablement pas. Chaque brique unitaire qui le compose peut être traitée individuellement en un projet de plus petite envergure, plus simple à appréhender.

La gouvernance (GRC)

Gouvernance, risque et conformité (GRC) constituent les trois piliers permettant d’atteindre les objectifs de l’entreprise en matière de sécurité.

●      La gouvernance fait référence à la gestion d’une entreprise, comprenant les cadres, la direction et même les principes directeurs ou la charte éthique régissant l’entreprise ou ses processus.

●      Le risque désigne implicitement la gestion du risque. La gestion du risque représente la façon dont une entreprise analyse les risques, les prend en considération et s’y prépare, ainsi que les mesures qu’elle met en place pour prévenir l’impact de ces risques, tant financiers qu’opérationnels.

●      La conformité correspond à la capacité d’une entreprise à gérer, s’adapter et respecter les normes établies par les autorités de régulation et le gouvernement. 

Cette approche GRC est bien sûr nécessaire, mais pas suffisante. Elle permettra toutefois à l’organisation de définir ses objectifs de sécurité, d’identifier les moyens pour y parvenir et de mesurer l’atteinte de ces objectifs.

Adosser ainsi les mesures opérationnelles à un cadre de gouvernance permet d’en maximiser la performance et d’en réduire les coûts (en particulier, l’analyse de risque est l’occasion d’estimer les coûts d’une atteinte à la protection des données et d’aider le processus de réduction du risque).

Évidemment, il s’agit d’un processus continu et itératif, qui doit évoluer avec la vie de l’organisation, de ses objectifs et de ses priorités.

La classification

La classification des données constitue une assise solide pour une stratégie de sécurité, car elle permet d’identifier les zones à risque qui devront bénéficier d’un effort de protection supplémentaire, que ce soit sur site ou dans le Cloud.

Cela passe par la définition d’une politique de classification (gouvernance) des données. Celle-ci doit indiquer les objectifs de la classification, préciser un schéma de classification avec une description détaillée (par exemple public, interne, confidentiel), les mesures de protection adéquates et standards pour chaque niveau de classification, les rôles et responsabilités de chacun (propriétaires, administrateurs, gardiens, utilisateurs, etc.). 

Une telle politique de classification bien définie permettra de responsabiliser les utilisateurs au quotidien, tout en s’assurant que les données réellement précieuses bénéficient d’un niveau de protection et de supervision adéquat.

Le contrôle d’accès aux données

Le contrôle d’accès est le dernier rempart de protection des données sensibles. Un certain nombre de bonnes pratiques sont à garder en tête pour en assurer l’efficacité : centraliser la gestion des accès, utiliser un IDP (Identity Provider - fournisseur d’identité) pour centraliser l’authentification et activer l’authentification multifacteurs (MFA) à minima pour les zones sensibles.

Toutefois, ces bonnes pratiques peuvent montrer leurs limites dans les environnements cloud et hybrides. Pour cela, l’approche dite « Zero Trust » peut présenter un intérêt en ajoutant un élément contextuel à l’authentification, et en s’affranchissant de la notion limitante de réseau de confiance.

Une fois passés les premiers contrôles, au plus près de la donnée, le contrôle d’accès passe par du chiffrement. Afin d’adresser les problématiques liées à la disparition d’un périmètre bien défini, Microsoft propose par exemple avec Azure AIP (Azure Information Protection) des technologies de contrôle d’accès directement au niveau de la donnée (fichiers Office et courriels).

Les droits d’accès sont alors définis au niveau du document lui-même. Celui-ci est ensuite chiffré avant son transport. Ainsi les règles de contrôle d’accès suivent la donnée, quel que soit son emplacement. Il ne peut pas être retiré et l’accès au document peut être limité dans le temps, ou dans ses fonctionnalités (copier/coller par exemple).

À noter que si un programme de classification des données est présent (voir le point précédent), AIP pourra être appliqué automatiquement via la classification automatisée ou non de la donnée. De telles synergies sont d’ailleurs courantes — et recherchées — entre les différents éléments d’un plan de protection global de la donnée.

Citons enfin le corolaire du contrôle d’accès à la donnée : le contrôle de sortie ! Ou plus précisément la maîtrise des canaux de sortie de la donnée (email, application, imprimantes …). 

Celle-ci peut être réalisée à travers les passerelles de messagerie, par le blocage des flux réseaux via le pare-feu local et un proxy web (attention cependant au nomadisme : un proxy web Cloud sera préférable pour prendre en compte les utilisateurs hors SI). Les disques amovibles, eux, peuvent être gérés par une politique de groupe (GPO) ou les outils de protection des postes de travail. Les applications quant à elles peuvent être limitées via du whitelistingapplicatif (Windows AppLocker par exemple) tandis que l’ajout d’imprimantes peut être bloqué lui aussi par GPO.

Mais pour aller plus loin, une solution de prévention des fuites de données (DLP) dédiée permettra d’appliquer un filtrage plus fin et moins invasif pour les utilisateurs ainsi que des fonctionnalités de scan avancées.

La protection des terminaux

Les terminaux, qu’ils soient des serveurs ou des postes de travail, constituent bien souvent les points de sortie de la donnée. Ils doivent donc être correctement protégés, en particulier depuis la période post-COVID et l’évolution du télétravail.

Le chiffrement local est la mesure de base, en particulier pour les équipements nomades, afin de les protéger contre le vol en chiffrant la donnée au repos. Certains points de vigilance sont à garder en tête afin d’éviter des pertes de données accidentelles, telle la revente d’équipements non chiffrés.

Côté serveurs, le chiffrement applicatif peut avoir son intérêt également, notamment en cas de compromission.

Enfin, les terminaux mobiles ne devront pas être ignorés, car ils sont devenus des extensions du SI, à travers notamment leur connexion VPN et leur accès à la messagerie ou aux applications collaboratives de l’entreprise. Pour eux, une solution de MDM (« mobile device management ») permettra d’assurer une protection adéquate ainsi qu’une bonne isolation entre les données personnelles de l’utilisateur et celles de l’entreprise.

La détection

Lorsque toutes les mesures de préventions abordées jusqu’à présent n’auront pas suffi, il faudra être capable d’identifier que la donnée est en train d’être exfiltrée.

Cela peut se faire à travers une surveillance des flux sortants par analyse du contenu. Cette pratique nécessite cependant de savoir identifier/détecter la donnée sensible (via son contenu lui-même ou un marquage : on retrouve ici le lien avec la classification), et de manière directe ou par apprentissage.

La détection peut s’opérer sur les postes de travail et serveurs via des agents, sur le réseau via des sondes, dans le Cloud ou via des outils utilisant les API.

Bien sûr, pour être efficace, la détection doit être en mesure de gérer le chiffrement des flux (HTTPS).

La méthode est efficace, à condition de savoir identifier la donnée correctement, de maîtriser ses flux et canaux de sortie, et de disposer des ressources suffisantes pour gérer les faux positifs et peaufiner les règles de détection.

Il existe cependant une autre méthode de détection, plus récente, qui permet de s’affranchir des contraintes précédentes. Il s’agit de s’intéresser aux comportements des flux sortants via leurs métadonnées (utilisateur, origine, destination, volume). Cela nécessite certes une phase d’apprentissage afin d’établir des baselines (ou entraîner une IA), mais ensuite, le système pourra alerter quand un flux de données sort de l’ordinaire. Bien que cette méthode puisse être très simple à mettre en place (on observe le trafic du pare-feu par exemple), elle sera toutefois inefficace pour lutter contre des atteintes aux données qui passent sous radar (opérations d’exfiltration longues capables de se fondre dans l’activité normale des utilisateurs).

La réponse

La dernière étape, celle que l’on espère ne jamais avoir à mettre en œuvre, c’est évidemment celle de la réponse à une fuite de données.

Bien que celle-ci puisse être automatisée afin de bloquer les flux au plus vite dès une fuite repérée, les systèmes de détection des fuites de données sont tellement sujets à faux positifs qu’il ne s’agit pas encore d’une option réaliste. Une intervention humaine sera donc nécessaire dans tous les cas afin de lever le doute, analyser l’impact et proposer un plan d’action le cas échéant. D’ailleurs, un SOC (géré ou non) armé d’un SIEM bien configuré peut être dans ce cadre très efficace.

Toutefois, les technologies d’automatisation progressent aussi dans le domaine de la réponse aux incidents grâce aux progrès de l’IA, qui permet d’automatiser la réponse de manière plus fine et plus pertinente.

Enfin, si la fuite est avérée et se révèle sérieuse, il faudra déclencher une réponse à incident et passer en gestion de crise. Pour cela, il est toujours plus efficace de s’appuyer sur des plans connus, des équipes formées et entraînées régulièrement, plutôt que de compter sur ses capacités d’improvisation ! L’objectif sera alors de limiter les impacts de la fuite de données, dans toutes les dimensions (commerciale, réputationnelle, réglementaire ou légale, en particulier).  

En définitive, une telle approche basée sur la gouvernance et appuyée sur des mesures opérationnelles maîtrisées permet d’anticiper les problèmes et assure une articulation efficace entre les objectifs et les moyens à mettre en place.

Et enfin, afin de faire vivre un tel plan de sécurité global, les innovations prometteuses dans le domaine de la cybersécurité (autant technologiques [IA] que conceptuelles [Zero Trust]) méritent d’être suivies et évaluées.