On ne peut protéger efficacement que ce que l’on connaît

Le traitement d’informations sensibles est l’une des préoccupations majeures des entreprises. Récemment, des évènements relatifs à la perte d’informations concernant les clients dans le secteur bancaire ont à nouveau souligné l’importance capitale de ce sujet. En effet, lorsqu’elles sont confrontées à la perte de données, les entreprises doivent souvent faire face à des pertes financières mais principalement à des risques de réputation importants.

En raison du large volume d’informations traité par les sociétés et de leur flux sans frontières à travers un grand nombre de canaux, assurer la sécurité des informations est désormais un défi à part entière. Les responsables de la sécurité des systèmes d’information doivent ainsi trouver le bon équilibre visant à mettre en place des mesures de sécurité adéquates, sans pour autant interférer avec les processus d’affaires des entreprises. A l’heure actuelle, les dépenses des entreprises en matière de sécurité informatique ne sont généralement pas une priorité, du moins tant qu’une faille n’a pas été décelée dans la sécurité.

Aujourd’hui, un certain nombre de solutions de sécurité (ex. Data Loss Prevention, Information Rights Management), censées atténuer le risque de la perte de données, sont disponibles sur le marché. Si ces moyens techniques s’imposent progressivement en tant que standards comparables à la surveillance web, la surveillance des e-mails ou aux solutions de filtrage, leur mise en place doit toutefois être abordée différemment. Elles doivent être intégrées dans une approche holistique nécessaire à toute société cherchant à améliorer sa capacité à protéger ses données sensibles. Cette approche doit aborder les éléments suivants.

L’identification et la classification des données des entreprises sont indispensables lorsqu’il est question de poser des fondations solides pour des mesures techniques et organisationnelles pour faire face à leur perte. En effet, on ne peut protéger efficacement que ce que l’on connaît. Dans cette optique, il paraît judicieux d’associer les différents  points de vue du métier et de l’informatique afin de comprendre l’organisation des données et leurs flux internes. Le choix d’une approche pragmatique basée sur les risques devrait s’imposer afin de faciliter cet exercice. Cette approche doit clairement reposer sur les informations capitales et donc sensibles des entreprises devant être protégées. Selon le secteur d’activité, elles peuvent être personnelles (Personally Identifiable Information), relatives à des transactions financières, des dossiers médicaux, à la propriété intellectuelle ou encore à la sécurité nationale.

En attribuant des niveaux de sensibilité aux différents types de données, les entreprises sont à même d’aligner leurs investissements et leurs ressources sur base de la classification opérée.

Un modèle de classification des informations doit être défini après leur inventaire et leur évaluation en fonction de leur valeur. A titre d’exemple, les systèmes militaires ont introduit des variations d’un schéma de classification à cinq niveaux (non classifié, sensible mais non classifié, confidentiel, secret et top secret). Les entreprises commerciales ont par la suite repris et adapté cette hiérarchie en utilisant des mots tels que « privé », « sensible », « critique » et « confidentiel ». Dans tous les cas, chaque classification doit être unique afin d’éviter tout chevauchement.

L’objectif principal d’une classification est l’évaluation du degré de confidentialité, d’intégrité et de protection d’accès requis pour chaque type d’ensemble de données. Une analyse d’impact sur les affaires (Business Impact Analysis) peut aider les sociétés à identifier la classification la plus adéquate en évaluant l’impact potentiel sur la société en cas de faille dans la sécurité. En définitive, ce sont les propriétaires de données qui devraient s’assurer de la classification correcte de ces dernières.

La spécification des normes et des procédures cohérentes suit la classification des données. Celle-ci devrait être alignée avec les exigences et appliquée par un cadre de contrôles internes. Les activités de contrôle courantes concernent entre autres l’application de contrôles d’accès stricts, couplée à une provision de droits d’accès sur une base « need-to-know », le cryptage de données, l’audit et le contrôle, le partage des tâches, la sécurité physique, les procédures de sauvegarde et de reprise, ainsi que des actions appropriées de destruction des données.

Enfin, la sélection et la mise en place de solutions préventives (Data Loss Prevention ou DLP) doivent être considérées comme une mesure supplémentaire à prendre en compte lors de la définition d’une approche holistique pour assurer une manipulation sécurisée des données sensibles. Des outils DLP avec prise en compte du contenu ont été développés par différents fournisseurs. Ils permettent une application dynamique des procédures définies fondées sur la classification du contenu indiqué dans un objet, tel qu’un e-mail, un fichier stocké, en utilisation ou en transit. L’application de la procédure dynamique peut être un logarithme, un reporting automatisé, un codage ou encore l’application de la protection IRM¹. Différentes techniques, telles que la prise d’empreinte structurée des données ou l’analyse statistique, permettent l’identification des informations sensibles à l’intérieur d’un ensemble de ressources informatisées. Des solutions DLP peuvent agir comme un contrôle non transparent en accroissant la conscience des utilisateurs concernant l’application dynamique des procédures qui pourraient conduire à un décalage culturel des entreprises. Les fournisseurs sont nombreux et vont de la multinationale à la PME luxembourgeoise, offrant des avantages variés.

Les activités de contrôle mentionnées précédemment doivent dans tous les cas être soutenues par l’engagement du senior management exprimé à travers un cadre de gouvernance approprié, ainsi qu’une dimension de formation et des initiatives régulières concernant la prise de conscience de la sécurité.

Pour conclure, l’entreprise pourra lancer un processus d’amélioration continue grâce à l’appréciation et au contrôle systématiques de l’efficacité des mesures mises en place. Un ajustement régulier des activités de contrôle - tant au niveau technique qu’organisationnel - sera nécessaire pour augmenter leur efficacité et leur rendement. Le choix des autres outils à installer devra donc être fait comme un élément d’un projet plus complet et structuré.