Sylvain Castillon, Business Solution Manager chez DSA (Groupe Magellan Partners), expert sur le périmètre des identités, la sécurisation de l’accès aux services IT et l’authentification, donne ici ses conseils pour la sécurisation du patrimoine informationnel de l’entreprise.
La numérisation et l’explosion des nouveaux modes de consommation, facilités par une offre technologique soutenue, sont en train de révolutionner la valeur portée aux données des systèmes d’information. Les entreprises se transforment en conséquence afin d’être efficaces dans la consolidation et le traitement (instantané/prédictif) de ces données – qui sont devenues des facteurs de performance et de compétitivité -. La protection des données, ainsi que des outils qui les manipulent, constitue de fait un enjeu majeur de cette transformation face aux nouvelles menaces qui pèsent sur les entreprises.
L’utilisation des données : de facilitateur à nouvel eldorado, sujette à la réglementation et ciblée par la cybercriminalité
Notre monde évolue rapidement et présente de nombreux moyens de consommer des données qui sont désormais légions. La montée en puissance de l’Internet of Things (IoT) va probablement conforter cet état de fait. La consommation et le traitement des données par les technologies de l’information ne constituent plus un simple facilitateur pour les métiers des entreprises : il devient stratégique et générateur de valeur. Les instances – notamment européennes – s’organisent face à ces constats en essayant de cadrer la collecte, la conservation et le traitement de ces données. Un cadre règlementaire se définit donc petit à petit afin de prémunir toute dérive pouvant porter préjudice aux personnes et aux institutions. Dans le même temps, il ne se passe pas un jour sans qu’un nouveau cas de fuite soit recensé dans la presse. Les répercussions s’avèrent variables en fonction du secteur d’activité et de la gravité des données « fuitées ». La motivation de ces vols est portée, comme souvent, par des enjeux économiques voire géopolitiques. Le milieu de la cybercriminalité s’est par ailleurs professionnalisé opérant à une échelle mondiale. Les vecteurs de fuites sont quant à eux variables. Les attaques peuvent ainsi être initiées depuis l’extérieur du SI – comme depuis l’intérieur – avec une authentique intention de nuire. Il s’agit d’autres fois de malheureuses erreurs de manipulation : code malveillant exécuté suite à une mauvaise compréhension de l’utilisateur, envoi d’e-mail au mauvais destinataire, exposition d’un périmètre d’informations trop important vers l’extérieur, solutions mal sécurisées, etc.
Une stratégie d’entreprise globale à l’ensemble des données est primordiale
C’est dans ce contexte – un peu anxiogène – que les DSIs doivent s’organiser afin d’offrir l’agilité nécessaire à leurs métiers afin de rester performants tout en protégeant le patrimoine informationnel de l’entreprise quel que soit ses formes et sa répartition. Les modes de consommation étant en pleine évolution ; il devient capital de s’inscrire dans les scénarios de mobilité – dans l’air du temps – des utilisateurs. Il ne faut par ailleurs pas oublier que les réponses technologiques peuvent parfois impliquer un stockage de données, pour partie, dans le Cloud. Il revient donc au SI d’outiller une réponse globale à l’ensemble de ces composantes. Cette réponse passe par la capacité de distinguer les typologies d’informations, garantir leur confidentialité, tracer leur accès et s’organiser contre la fuite des données (chiffrement des zones gouvernées, prévention de l’erreur humaine, sécurisation d’une éventuelle sortie des données, etc.). Elle doit par ailleurs s’inscrire dans une offre de service agile : restitution/partage du patrimoine informationnel aux bons utilisateurs et potentiellement depuis n’importe où/n’importe quel appareil. Il devient alors nécessaire d’associer – de manière transverse – à l’ensemble des différents pans stratégiques de votre transformation digitale un pan complet relatif à la stratégie sur les données.
Les piliers de la sécurisation de votre patrimoine informationnel
Le fondement de toute stratégie sur les données passe invariablement par la cartographie de celles-ci. Cette première vision de l’existant va permettre de se projeter vers une classification des différentes données de l’entreprise. Il en émergera une notion de niveau de confidentialité voire un besoin de distinction entre les données propres à l’entreprise et les données personnelles de l’utilisateur. Cette classification se doit d’être faite, à des fins de cohérence et d’efficacité, en prenant bien en compte les usages faits sur ces données et les processus impactant leur cycle de vie. Il est d’autre part important de ne pas perdre de vue le fait que les fuites peuvent aussi bien provenir de l’intérieur que de l’extérieur. D’un point de vue technologique, une stratégie de sécurisation complète implique l’intégration de plusieurs solutions du marché : chacune instruisant des problématiques spécifiques. Côté environnement utilisateur, typiquement, il sera nécessaire de réfléchir à une stratégie de chiffrement de surface des appareils, de chiffrement des fichiers des zones de partage voire d’utiliser les nouvelles capacités – des derniers systèmes d’exploitation – permettant la distinction entre sphère personnelle vs d’entreprise pour les applicatifs et les fichiers utilisés au quotidien. Côté offre de service, il pourra également être nécessaire de compléter ou revoir les modalités de sécurisation des briques technologiques (API Management, par ex.) qui exposent des données ou bien auxquelles s’adossent les applicatifs – consommateurs de données. Côté infrastructures, il est possible d’aller jusqu’à la sécurisation des SGBD et autres distributions de Big Data. De manière transverse, des solutions complémentaires pourront accompagner les décideurs, gestionnaires et utilisateurs finaux dans la définition de droits complémentaires sur les fichiers (Data Rights Management), la sensibilisation et la protection des données susceptibles d’être partagées/fuitées en dehors de l’entreprise (Data Leak Prevention) ainsi qu’auditer l’ensemble de ces usages. Plus que jamais l’adhésion des utilisateurs et leur bonne compréhension du cadre de consommation constituent un des premiers facteurs de succès de telles stratégies. L’humain doit, d’ailleurs, être invariablement positionné au cœur de toute stratégie de sécurité. Il peut alors sembler bon de ne pas négliger les opérations de sensibilisation SSI auprès de ces utilisateurs (newsletter, revue de presse, fiches pratiques, pièges), de marketing viral (quizz, posters, vidéos) de communication et formation.
Les clés d’une stratégie de protection des données efficace
- La cartographie des données est essentielle et constitue le terreau de tous les chantiers à venir.
- La classification permet de typer les données et décliner pour chaque typologie des règles de gouvernance. Elle nécessite une approche orientée « usages » et la prise en compte de diverses composantes : règlementation, scénarios B2E/B2B/B2C, services & applicatifs concernés, populations concernées, moyens d’accès mis en exergue (supports d’accès et géographie), processus de gestion, etc.
- Il est important de fournir une réponse globale à cette stratégie. En termes d’outillages, l’intégration de plusieurs solutions au niveau de votre SI sera ainsi probablement nécessaire.
- Une trajectoire de la mise en œuvre de cette protection des données doit être définie : couverture fonctionnelle des solutions et recouvrement, portfolio de solutions, gestion des coûts (modèles d’acquisition, synergies en fonction de ces modèles, etc.), périmètres (offre de service, utilisateurs/usages et données) et cadencement technologique.
- La sensibilisation des utilisateurs ne peut être négligée et constituera le premier facteur de succès de cette démarche de sécurisation.