lundi 4 novembre 2013

CIO, CRO: Votre expertise nous intéresse !

Auto-évaluation FINMA (circulaire 2008/21) disponible le 15 janvier prochain

La révision partielle de la circulaire sur les risques opérationnels est achevée et les éléments essentiels sont désormais connus. Pour avoir planché sur le sujet depuis plusieurs mois, (cf également les articles précédents) et évoqué ce thème avec de nombreuses relations d'affaires, je constate que les exigences de la finma pourraient caricaturalement se résumer ainsi:


UDITIS propose une démarche pragmatique, efficace et rapide sous la forme d'un questionnaire d'auto-évaluation spécifiquement adapté et permettant d'évaluer la maturité de l'établissement par rapport aux neuf principes exigés.

Forts de notre expérience en matière de protection des données sensibles, nous avons définis une cinquantaine de questions réparties en quatre domaines : Gouvernance / Processus / Technologie / Personnes. Pour chaque domaine, chaque question est évaluée  (de 1  non existant à 5 optimal) en fonction de l’état actuel de la banque et l’état futur souhaité. L'objectif est d'obtenir un tableau de bord permettant d'identifier les forces et faiblesses de l'établissement concerné et ainsi déterminer les axes à privilégier avant toute acquisition technologique ou restructuration des processus organisationnels.



Cadeau bonus, en communiquant les scores attribués par domaine, vous obtenez en retour une évaluation de votre situation par rapport à celle de vos pairs. Un benchmark rendu possible par la confiance tissée au fil des projets réalisés en matière de protection de l'information. A noter évidemment que les données transmises restent confidentielles et ne servent qu'à déterminer une moyenne basée sur les domaines (le scoring individuel de chaque question reste bien évidemment connu de votre seul établissement.)

Experts recherchés !

Bien entendu, toute la valeur de la démarche réside dans la pertinence des questions proposées. Nous n'avons pas cherché à réécrire ISO27001 ni à énumérer tous les scénarii de fuites possibles en matière de données confidentielles. Notre idée s'appuie sur nos expériences du terrain afin de permettre:
  • aux établissements n'ayant pas encore entrepris de démarche concrète en matière d’identification et de protection des données sensibles: de savoir par où commencer et ainsi ne pas investir aveuglément dans un projet aux objectifs mal cernés.
  • aux banques en cours de réflexion / d'implémentation d'un projet de protection des données, de valider leur démarche et obtenir un benchmark par rapport à leurs pairs
Vous avec de l'expérience à partager sur le sujet ? - Si vous acceptez de participer à la révision des questions d'évaluation jusqu'au 15 janvier 2014, vous recevrez gratuitement le canevas d'évaluation.

Contact par email à stephane.droxler@uditis.ch ou via un commentaire sur ce blog (les commentaires ne sont pas publiés)



mardi 22 octobre 2013

Nouvelles fonctionnalités Symantec DLPv12


Fort de son rang de leader du marché DLP, Symantec ne pouvait décevoir ses utilisateurs avec sa nouvelle version. Bien qu'il y ait fallu l'attendre quelques mois de plus que prévu, la version 12 amène des  fonctionnalités intéressantes que nous vous résumons ci-après. Néanmoins, on peut remarquer Symantec reste très actif sur le produit et nous propose début octobre une mise à jour 12.0.1 qui corrige les quelques imperfections de jeunesse de cette version.

Plateforme de gestion

Yes, très utile ! Une gestion des incidents générés par utilisateurs. Jusqu'alors, et en standard, on pouvait analyser le nombre d'incidents générés par utilisateur pour chaque règle de sécurité concernée. Désormais, il est possible d'avoir une vision de l'ensemble des règles violées par un utilisateur. Intéressant à plus d'un titre, notamment afin d'identifier les collaborateurs en manque de sensibilisation, voire pire: les éventuels fraudeurs.

E-discovery

Au chapitre du scan des données statiques, trois nouvelles adaptations sont à relever. La première - et la plus utile à nos yeux - concerne le "Close Remediation Loop" qui permet de renseigner automatiquement un incident  résolu entre deux itérations de scan des données. Au vu du nombre d'incidents générés par ce type de détection, cela permet de clore de manière très efficiente de nombreux incidents résolus sans que la personne assignée ait quoique ce soit à mentionner dans la plateforme de gestion. Les deux autres fonctionnalités sont liées à l'énumération des cibles de scan  (Content Root Enumeration) et à l'intégration du module Insight - lequel permet de retrouver le véritable propriétaire des données -  avec MS-Sharepoint.

Détection

Le DLP et le chiffrement des données sont deux sujets aussi proches que parfois antagonistes. D'une part, si les données sont chiffrées au moyen d'une solution d'entreprise éprouvée, on peut partir du principe qu'elles sont protégées efficacement. D'autre part, et jusqu'à ce jour, le DLP était totalement aveugle en ce qui concerne les données chiffrées au vu  de son incapacité à les décrypter. Symantec propose désormais une fonctionnalité permettant de déchiffrer les données encryptées pour les informations qui (soit disant) ne devraient jamais quitter l'entreprise, chiffrées ou non. Certes, cela renforce l'intégration avec les outils PGP mais pose néanmoins la question du cas d'application pratique. Personnellement, je reste dubitatif sur le bien fondé de cette fonctionnalité:  Si des informations sont chiffrées par une personne ou un groupe légitimement autorisé à le faire - et de surcroît avec des moyens en phase avec la politique de sécurité de l'entreprise -  pourquoi vouloir les déchiffrer ? Il me semble plus sain de se contenter d'un contrôle sur les données sensibles sortantes non chiffrées ou alors au moyen d'une solution "non corporate" que de se hasarder à introduire une master key de déchiffrement dans l'outil DLP. 


Poste client

A relever une amélioration du reporting relatif à l'état de déploiement des agents sur les postes clients ainsi que des progrès réalisés au niveau du load balancing des fonctionnalités de scan des données statiques. 
Force est de constater que cette partie "endpoint" est un peu le parent pauvre de cette nouvelles version 12. Annoncée comme étant fondamentalement renouvelée sur ce point, les difficultés techniques auront eu raison des arguments purement marketing de ce qui pourrait se faire à ce jour en matière de protection du poste client. Toutefois, on saluera la sagesse de Symantec de sortir une version stable et à l'upgrade facile plutôt que de vouloir se lancer des défis techniques non encore maîtrisés. Ce d'autant plus que les fonctionnalités Endpoint de la solution Symantec restent très en avance sur la concurrence. 

Mobile

Symantec améliore l’arsenal DLP destiné à la surveillance des périphériques mobiles. Le tout dernier produit de la suite DLP : Mobile Email Monitor permet simplement de surveiller les emails synchronisés vers les périphériques sans leur imposer de configuration VPN particulière.  La surveillance peut être mise en œuvre à tout moment sans impacter les dispositifs nomades.Cette solution peut constituer une première étape peu exigeante qui permet d’évaluer concrètement les risques que représentent les périphériques mobiles.Mais, comme son nom l’indique,  Mobile Email Monitor est dédié à la surveillance uniquement des périphériques mobiles et ne permet pas le blocage des communications. Il est pour l’instant réservé aux utilisateurs iOS mais une version adaptée à Android est en cours d'évaluation. Il nécessite l’utilisation un Proxy Web compatible pour la publication du service de messagerie vers Internet (Reverse Proxy). Les serveurs de messagerie supportés sont Exchange 2007 et 2010 au travers du protocole ActiveSync.

En conclusion...

Nous retiendrons que Symantec aura su fournir une mise à jour et de nouvelles fonctionnalités stables qui méritent leur déploiement. Il faudra certainement attendre la version 12.x pour profiter d'améliorations réelles liées au poste client mais cette mise à jour offre aux clients la possibilité de faire évoluer leur environnement vers une version - pour l'avoir testée - très stable et offrant quelques nouvelles fonctionnalités fort intéressantes. A noter encore que cette mise à jour majeure marque la fin du support des versions 32 Bits des systèmes d’exploitation au profit du 64Bits. Ce changement améliore grandement la gestion de la mémoire dont certaines fonctionnalités sont assez gourmandes. Il faudra toutefois tenir compte de ce paramètre dans un projet de mise à niveau d’une ancienne versions 32bits vers la version 12.

Stephane Droxler & Elric Osmont

mardi 15 octobre 2013

De la fuite d'informations

Discussion de caféteria, de train, de cocktail ou de club house:

- Et vous faites quoi dans la vie ?
- Je suis responsable de la gestion des risques chez XYZ.
- Intéressant;  Un job varié j'imagine...
- Pour le moins... entre les risques marché, les risques de crédit, ceux liés aux clients, aux pays dans lesquels nous sommes actifs,  risques de change, de liquidités et je ne vous parle même pas des risques opérationnels.
- Justement si... ça m'intéresse.
- Ah bon pourquoi ? Vous faites quoi vous-même ?
- Je suis spécialisé dans la prévention de la fuite d'informations, typiquement un risque opérationnel.
- Un fléau vous voulez dire!
- Je sens une pointe de fatalisme dans la manière dont vous le dites. Je me trompe ?
- Pas vraiment... Entre l'explosion du volume des données informatiques, les utilisateurs qui veulent accéder à l'information depuis tout et n'importe quoi, n'importe quand...Cela devient impossible de gérer ce risque ! Le pire, c'est que les exigences en matière de gouvernance de l'information ne cessent d'augmenter.
- Et concrètement, vous faites quoi ?
- Moi, pas grand chose, les gars de la sécurité l'informatique s'en occupent. Enfin, je crois...
- Vous êtes-vous déjà posé la question de savoir comment les informations sensibles quittent l'entreprise ?
- Je vois où vous voulez en venir... Vous faites référence à ce qui s'est passé dans les banques avec le vol de données de clients dans le but de les revendre aux fiscs étrangers.
- C'est un exemple, mais là on touche déjà à la fraude; Ce qui heureusement concerne une proportion très marginale des collaborateurs. En fait, je pensais plutôt à toutes ces actions que nous faisons tous au quotidien sans même penser que nous mettons les données que nous traitons en danger. Copier des informations sensibles sur une clé USB, s'envoyer un document professionnel sur sa messagerie privée pour finir de le travailler en soirée, s'épancher un peu trop sur les réseaux sociaux, avoir tendance à oublier les règles de sécurité puisque tout le monde en fait de même...
- C'est bien ce que je disais... un fléau en matière de gestion de risques !
- Si je pouvais vous démontrer comment détecter ces fuites en temps réel, seriez-vous intéressé ?
- Je veux...mais je n'y crois pas. Cela reviendrait à espionner tout le monde et tout le temps. Impossible!
- Vous avez partiellement raison. Surveiller tout le temps oui...mais pas tout le monde. Seulement les données qui comptent vraiment pour votre entreprise. Il serait effectivement opérationnellement très pénible et financièrement non rentable de vouloir appliquer une sécurité forte sur toutes les données du système d'information. Par contre, cibler les données sensibles - telles que la propriété intellectuelle vitale à la mission de votre entreprise - ou les informations relatives à des tiers envers lesquels vous êtes garants de leur confidentialité, ça s'est possible.
- Cela ne me dit toujours pas comment vous entendez les protéger efficacement...
- Très simplement en fait...En fixant deux types de priorités: Pour les données vitales propres à l'organisation: contrôler leur circulation et réduire les possibilités d'abus grâce au chiffrement de l'information. Pour les données de tiers, réduire leur utilisation et empêcher leur sortie par des contrôles préventifs de type DLP (Data Loss Prevention) aux abords du périmètre du système d'information. Pour toutes les autres données, les moyens de protection traditionnels offerts par la sécurité de l'infrastructure informatique sont largement suffisants.
- Ok...ça donne du sens. D'un point de vue de la gestion des risques, cela me permet de différencier deux types de risques: ceux dont la survenance aurait un impact en termes de perte de revenus, comme la fuite de la propriété intellectuelle par exemple, et ceux liés à un défaut de conformité pour lesquels mon entreprise encourrait une amende, un impact commercial ou d'image. Mais cela va bien au delà de l'informatique ce type de démarche... Il faudrait impliquer le business si on voulait vraiment pouvoir différencier ce qui est important de ce qui l'est moins...
- Vous touchez là le point crucial. La sécurité de l'information orientée contenu est un changement culturel qui requière de la patience. Par contre, si l'on sait se fixer des priorités, on obtient très rapidement des succès. C'est l'accumulation de ces "quick-win" qui fait la réussite de ce type de projet et, au final, qui permet de réduire l'exposition au risque.
- Reste plus qu'à convaincre le big boss...
- Effectivement, essayez avec la citation de Douglas Adams: "Je refuse de répondre à cette question étant donné que je ne connais pas la réponse". Est-ce qu'il voudrait avoir à dire cela à son meilleur client ou à son Conseil d'administration s'il n'avait rien entrepris pour protéger l'information et qu'un cas soit survenu où il ne saurait ni ce qui a disparu, ni comment, ni combien, ni quand et encore moins qui l'a fait.

S. Droxler

dimanche 29 septembre 2013

Les six 'P' du DLP

Il est possible de résumer en six points les caractéristiques essentielles d'un projet de Data Loss Prevention (DLP). Dans une récente et fort intéressante étude, l'analyste de Forrester, John Kindervag termine son rapport avec cette synthèse que je me propose de vous commenter.


Priorités

Commencer l'effort de protection de l'information avec les données les plus importantes, c'est-à-dire celles dont la perte occasionnerait  une diminution des revenus. Il s'agit ici de protéger la propriété intellectuelle,  soit la source des avantages compétitifs de l'entreprise. Ensuite seulement,  s'adresser aux données financières dont la fuite résulterait en amendes, poursuites et dommages de réputation. J'ajouterais: oublier le reste! Si une entreprise parvient déjà à contrôler la sécurité de ces deux types d'information, elle aura suffisamment gagné en maturité pour se rendre compte que le reste de ses données ne valent pas le peine d'efforts de protection autres que ceux apportés par une bonne maîtrise de leur cycle de vie (donc jusqu'à leur archivage et destruction) et les mesures de protection traditionnelles que nous connaissons tous.

Processus

Si certains projets DLP n'atteignent pas les objectifs escomptés, c'est certainement dû au fait que leurs responsables ont soit commencé par la fin, soit voulu adresser tous les risques en même temps! Déployer les outils et configurer les règles ne doit pas être le point de départ mais bien le résultat d'une stratégie mûrement réfléchie de ce que l'on veut protéger, où et comment. En cela, la grille de maturité DLP mesure l'avancement du projet au travers de ses différentes étapes et renseigne en permanence les parties prenantes sur le degré de couverture atteint pour chaque domaine.

Partenaires

Combien d'équipes IT ont mené dans leur coin un projet de sécurité de l'information et se sont retrouvées dans l'impossibilité de gérer les incidents faute d'avoir communiqué sur le type de contrôles mis en place ? Ou pire encore, perdre contre un fraudeur avéré dans un jugement des prud'homme rendu en faveur de l'employé pour cause de contrôle considéré abusif par l'employeur? 
Il est absolument indispensable d'impliquer de nombreuses fonctions dans l'entreprise et de leur distribuer les rôles et responsabilités en lien avec la protection des données. Si le CIO a évidemment un rôle prépondérant et se doit d'agir en tant que chef d'orchestre, le DLP n'est pas l'affaire de la sécurité informatique uniquement. Il est par conséquent nécessaire de travailler en partenariat avec les propriétaires des données, les responsables de la conformité, les ressources humaines et le département juridique. Plus tôt leur implication est faite dans le projet, meilleure sera leur (potentielle) adhésion ou, à tout le moins, les objectifs du projet tiendront compte de leurs éventuelles limitations.

Précision

La technologie DLP actuelle permet d'automatiser des contrôles, de les réaliser à large échelle dans un temps record et d'identifier en temps réel des événements liés à la sécurité de l'information. Mais la technologie n'a pas de flair! En cela, il faut lui expliquer un quoi tel fichier .dxf est plus sensible que tel autre. Dès que l'on veut protéger le contenu de l'information, cela présuppose une certaine connaissance de ce que l'entreprise possède en matière de données, pourquoi elle les possède, qui peut les utiliser et comment. Par conséquent, si l'on souhaite aller au delà de la protection de données très structurées telles que PCI, PHI ou PII, il est fortement conseillé de réfléchir à la classification de son information.

Patience

Peut être le "P" le plus important de la série...La sécurité orientée contenu est un changement culturel. Qui dit changement, dit réticence et c'est encore plus vrai quand celui-ci touche aux comportements et aux habitudes. Jusqu'alors, les entreprises ont considéré la sécurité des données comme inhérentes aux infrastructures et équipements du système d'information. Avec l'explosion du volume de données et la "clientèlisation" à outrance de l'IT - à savoir le fait que tout à chacun peut ou veut accéder à ses informations en tout temps et sur n'importe quel périphérique - le périmètre de sécurité a volé en éclats. Il s'agit maintenant de faire converger les mentalités sur ce nouveau paradigme et trouver le juste compromis entre les besoins de conformité et les attentes des utilisateurs.

Privacy

(Je le laisse en anglais pour garder le P de vie privée...) Qu'on le veuille ou non, et malgré tous les paradoxes qui y sont liés, la protection de la sphère privée devient un thème toujours plus actuel. Les gouvernements en font un de leur cheval de bataille vis-à-vis de leurs citoyens mais n'hésitent pas à les espionner au titre de leur propre sécurité. Ces mêmes citoyens qui s'offusquent quand leurs données personnelles ou traces électroniques sont exploitées mais qui ne rechignent pas à se mettre à nu (et gratuitement de surcroît!) sur les réseaux sociaux... Malgré ces controverses, les entreprises doivent s'attendre à toujours plus de pressions sur le respect de la vie privée de leurs collaborateurs et sur la manière irréprochable dont elles gèrent les données personnelles.

S. Droxler




lundi 23 septembre 2013

Data classification, l'affaire de qui?

Imaginez que votre mission consiste à protéger la vie d'une personnalité très importante, médiatiquement surexposée, et que celle-ci ait décidé de participer à un rallye tel que Le Dakar...
Qu'elle sera votre stratégie ? Sécuriser l'ensemble du parcours ou focaliser votre attention sur la cible en question ? - Je parie que vous opterez pour la deuxième approche... Il en va de même pour la sécurité de l'information. De nos jours, il est illusoire de vouloir protéger l'ensemble des données du système d'information et il convient, par conséquent, d'adapter le niveau de protection à l'importance de la donnée elle-même. Autrement dit; ajouter  une couche de sécurité orientée "contenu" aux traditionnelles protections liées à l'infrastructure.

Premier problème: S'il est relativement facile dans la vie réelle de suivre une personne physique déterminée, cela l'est nettement moins pour une donnée informatique dans un monde virtuel. En effet, d'un point de vue technique, rien ne ressemble plus à une donnée qu'une autre donnée.
Second problème: Qui, au sein de l'entreprise ou de l'organisation, est responsable de définir ce qui est important de ce qui l'est moins? Qu'est-ce qu'une donnée sensible? Et dans quel contexte le devient-elle?

Classification : 4 facteurs clés de succès 

Force est de constater que, dans la plupart des entreprises,  la réponse à cette question a soigneusement été éludée. Le top management a encore souvent des réflexes ou analogies liés à la gestion du document papier et,de surcroît, se plait  à croire que la sécurité de l'information est du ressort quasi exclusif de l'informatique.   Les IT managers ont quant à eux l'objectif primaire de garantir la disponibilité des services et ne peuvent (doivent) connaître ni le contenu ni la sensibilité des données y relatives.  A ma connaissance, les rares tentatives de classifier l'information sont restées plus ou moins vaines car toute la charge de travail est reportée sur le créateur / utilisateur de la donnée, auquel on demande un avis subjectif sur l'importance et la criticité de la donnée qu'il est en train de travailler. Voulant bien faire, celui-ci aura alors tendance à sur-classifier l'information, ruinant ainsi le pertinence du schéma de classification.

A cet état de fait, il convient d'ajouter que l'information et sa criticité sont dynamiques, ce qui complique la problématique et confirme l'hypothèse sous jacente qu'une donnée classifiée doit être revue et adaptée périodiquement en fonction de son cycle de vie.

Quelle solution ?
La réponse n'est ni purement technique, ni essentiellement organisationnelle. Comme pour le DLP, elle se situe dans la combinaison adéquate de processus minimaux mais stricts et de l'utilisation appropriée des technologies telles que l'e-discovery et les outils d'aide à la classification.
Du ressort du management, le processus de gestion des risques doit permettre de déterminer le type d'informations particulièrement sensibles, que celles-ci soient liées à la propriété intellectuelle indispensable à la mission de l'entreprise et/ou relatives à des données confiées, c'est à dire des données de tiers. Sur ces bases, le renseignement et la protection adéquate de l'information peuvent être distribués selon quatre rôles aux responsabilités bien établies. Une erreur classique consiste à adopter un schéma de classification trop compliqué de cinq, six ou même sept niveaux. Si l'on y réfléchit, il n'y a fondamentalement que deux types de données: celles que l'on veut vous voler et les autres!  Par conséquent, un schéma de classification à trois niveaux devrait suffire à protéger efficacement l'information. Il faut en outre accepter qu'un projet de classification des données se décompose en fait en deux projets: le premier à entreprendre porte sur les données vivantes de l'entreprise, le second sur l'héritage (ou données dormantes) qu'il s'agira d'adresser (ou pas...) une fois que le schéma de classification aura fait ses preuves sur les données vivantes. Enfin, les technologies permettent ensuite d'assister au quotidien les différents acteurs et réduire ainsi au strict minimum le temps passé à classifier l'information, c'est à dire en un seul clic.

La mise en oeuvre de cette passerelle entre la gouvernance du SI et l'infrastructure proprement dite est la clé de voûte de la sécurité orientée "contenu". Elle doit permettre à la haute direction de pouvoir répondre en toute confiance aux questions suivantes: - Qu'elles sont mes données sensibles? - Où sont-elles? - Qui les utilise? Comment  et pourquoi ?. Pour les équipes informatiques et de sécurité, elle représente une opportunité intéressante de participer activement  au business de l'entreprise et de se profiler ainsi comme un réel prestataire de solutions à valeur ajoutée,  plutôt qu'un centre de coûts essentiellement réactif aux problèmes et demandes des utilisateurs.

Pour en savoir plus sur le sujet et avoir accès aux sources documentées de cette approche, contactez-nous ou laissez un message sur ce blog.

S. Droxler

mardi 17 septembre 2013

Des solutions aux nouvelles exigences FINMA (part.3)

Suite et fin des articles des 5 et 10.9.2013

Surveillance et formation des collaborateurs
Certes, tous les collaborateurs d'une banque sont soumis au secret professionnel,  doivent être sélectionnés avec soin et sensibilisés quant à la confidentialité des données des clients. On rappellera au passage que l'article 47 LB punit toujours toute transmission de données, quand bien même d'aucuns pourraient s'estimer légitimement autorisés à fournir des informations à des Etats tiers peu regardant sur les méthodes de renseignement..

La finma met en évidence que certaines catégories d'employés requièrent une attention toute particulière et doivent être soumis à des exigences supérieures en matière de sécurité. Il s'agit des collaborateurs IT ainsi que les collaborateurs clés, à savoir des utilisateurs disposants d'accès fonctionnels à une grande quantité de CID. Très concrètement, le management suprême doit tenir une liste des noms de ces collaborateurs, qu'ils soient internes ou externes à la banque.

Souvent perçu à tort comme un outil essentiellement répressif, le DLP peut ici pleinement jouer son rôle de surveillance mais aussi de formation et sensibilisation des collaborateurs. En effet, de par son intégration dans les activités quotidiennes des collaborateurs, il permet de générer des alertes ou avertissements en temps réel et les prévenir ainsi d'une action potentiellement dangereuse pour la sécurité de l'information. A noter aussi que le contenu de ces alertes est entièrement paramétrable et autorise ainsi d'adopter le niveau de communication adéquat, tant vis-à-vis du contexte de la banque que de la sévérité de l'incident.

Scénarii risques CID
Ce sixième principe porte sur le processus d'évaluation des risques liés aux CID. L'idée est de disposer d'un catalogue des contrôles clés.  A ce niveau, la finma ne se mouille pas trop dans le détail et préfère renvoyer à au document de l'Association suisse des banquiers "Data Leakage Protection - Information on Best Practice" d'octobre 2012.... Un peu à l'image de l'appareil législatif helvétique: la finma c'est la loi et Swissbanking son ordonnance applicative.

A titre personnel, je suis un peu mitigé quand à l'approche du catalogue. Certes, il offre l'avantage d'énumérer une liste de contrôles à mettre en place et la manière dont l'ASB l'a présenté est intéressante, car les scenarii sont regroupés par sources de fuite possibles (Storage media, email, internet, papier, etc..). Je redoute toutefois le risque de "l'inventaire à la Prévert". A trop vouloir suivre une énumération de points de contrôles, on passe à côté de la réflexion essentielle en matière de gestion des risques, notamment leur identification. Autrement dit, pourquoi certaines données sont plus sensibles que d'autres, dans quel contexte le deviennent-elles et qui peut définir leur utilisation.

En tout état de cause, et même sans les mentionner, ces deux documents incitent fortement les banques à déployer des outils de type DLP.

Limitation des risques CID
Pour résumer le septième principe, je dirais qu'il attire l'attention sur les événements particuliers  qui peuvent mettre les données en danger. Par exemple, lors de changements structurels, réorganisations ou encore - d'un point de vue plus opérationnel et technique - les migrations de données  d'un environnement vers un autre ainsi que les données de test servant au développement d'applications.  La banque doit se prémunir suffisamment tôt et prévoir des mesures de sécurité particulières.

Un exemple pratique et concret de l'utilité d'un outil DLP dans ce contexte est celui où les responsables de sécurité utilisent les techniques de détection (finger printing) afin de s'assurer que les jeux de données test sont épurés de toute CID.


Incidents en rapport avec les CID
On revient à nouveau sur un principe que nous ne cesserons jamais de répéter suffisamment... Les projets DLP ne sont pas (que) des projets informatiques. Les outils techniques sont une aide précieuse aux processus prédéfinis. Sans une bonne réflexion sur les processus lié à la sécurité (pour rappel : identification des risques, classification de l'information, gestion des incidents), investir dans cette technologie le serait en pure perte. Corollaire de ceci, de nombreuses fonctions sont concernées au sein de l'organisation, telle que les responsables de business, la compliance, les ressources humaines, le back-office et, bien évidemment, la sécurité en qualité de prestataire interne et chef d'orchestre de ce type de projet.

Faire travailler ensemble toutes ces ressources dans un but qui reste aujourd'hui encore assez flou est à mes yeux le plus grand défi de la protection de l'information. La communication, tant à l'interne que vis-à-vis de l'externe en cas d'incident sévère, devient un élément clé de la réussite de la démarche globale. Les différents projets que nous avons menés à ce jour nous ont permis d'acquérir une bonne dose d'expérience que nous avons synthétisée en différents outils, adaptés à chaque profil d'intervenants.

N'hésitez pas à laisser un commentaire ou nous contacter pour en savoir plus.

Externalisation d'activités 
Enfin, pour être complet, deux mots sur le neuvième et dernier principe finma quand bien bien même les outils DLP ne sont là pas d'un grand secours, si ce n'est peut-être au travers des fonctionnalités de reporting et de remontée d'incidents.  Il traite en effet du devoir de diligence dont la banque doit faire preuve lors de l'externalisation de prestations, notamment:

  • s'assurer que les tiers disposent du savoir-faire, de l'expérience et des ressources nécessaires à l'exécution de l'activité outsourcée. 
  • désigner un responsable interne auprès duquel seront remontés tous les éventuels incidents survenus chez le prestataire et qui sont en lien avec les CID.
  • savoir et comprendre les différents contrôles clés que le prestataire doit réaliser ainsi qu'exercer une surveillance constante des activités menées. 


En conclusion, la sécurité orientée contenu est un changement de mentalité qui requière de la patience. Du côté de la haute gouvernance, il n'est plus possible d'ignorer le problème en pensant que l'informatique s'en charge; du côté de l'IT, les managers ont tout avantage à se profiler en véritable prestataire de solutions qui permettent de renseigner l'information qu'ils doivent protéger.

S. Droxler



mardi 10 septembre 2013

Des solutions aux nouvelles exigences FINMA (part.2)

... suite de l'article du 5.9.2013

Lieu de stockage et accès
Le troisième principe ne fait rien d'autre que d'exiger une cartographie à jour du système d'information. On doit pouvoir connaître le lieu où les données (CID) sont stockées, les applications avec lesquelles elles sont traitées et les systèmes qui y permettent d'y accéder. Autrement dit, quels processus utilisent quelles données et qui en sont les utilisateurs. Donc après le sujet de la classification de l'information que nombre d'entreprises ont jusqu'ici cherché à éviter, c'est celui de l'urbanisation du SI qui est sous jacent à ce nouveau principe finma.
Cartographie du SI

A noter que lorsque les CID sont stockées hors de Suisse ou qu'elles font l'objet d'un accès depuis l'étranger, on parle alors de risques accrus. Les mesures de protection à prendre sont alors de différentes natures:
- technique : anonymisation, chiffrement ou pseudonymisation
- d'organisation: surveillance par des contrôles clés vérifiés périodiquement
- de communication : information détaillée à fournir au client sur les services réalisés depuis l'étranger.

C'est également dans ce chapitre qu'est traité la notion de "need to know". Une bonne classification de l'information et une maîtrise de ses processus doivent permettre à l'organisation d'appliquer la protection adéquate à chaque type de données en fonction de sa sensibilité. Concrètement, il s'agit de limiter l'accès à l'information (groupe de clients, segments) aux seules personnes qui en ont besoin dans l'exercice de leur fonction. La notion de contrôle des droits d'accès est également un point clé de cette exigence.

Si ce chapitre ne devrait pas constituer une barrière infranchissable pour les banques privées,  où la culture de la sécurité ou du secret est bien implantée, force est de constater que les autres établissements pratiquant des activités dites de banque universelle seront beaucoup plus en difficulté pour atteindre cette exigence.

Au delà des processus de gestion à parfaire, les outils techniques qui permettront d'y parvenir sont liés eux aussi au DLP, notamment les fonctionnalités de scan (e-discovery)  au niveau des répertoires de données (Data at Rest) et d'analyse de conformité des droits d'accès. Sans cet appui technologique, il est illusoire d'espérer retrouver les données sensibles et non structurées qui fourmillent dans tout le système d'information, soit l'environnement réseau, de stockage ou encore les postes clients.

Sécurité IT
D'un point de vue technique, la sécurité informatique et les normes élémentaires à respecter ont déjà fait l'objet de nombreux investissements et la finma se borne à inviter les banques à suivre l'évolution des technologies. Je retiendrai toutefois deux points relatifs à ce quatrième principe.

Tout d'abord celui de la proportionnalité qui invite les banques à ce que les normes de sécurité appliquées soient en adéquation avec la taille de la banque et le degré de complexité de son architecture IT. Un effort de documentation doit être réalisé afin de différencier par exemple les différents niveaux de sécurité appliqués si ceux-ci ne sont pas identiques pour l'ensemble du personnel.

La transmission de CID requiert des mesures de protection afin de garantir la confidentialité. La finma mentionne explicitement les trois niveaux de protection à appliquer, soit:
- sur le poste client ou terminal (endpoint)
- lors de la transmission (network)
- sur l'environnement de stockage (storage)

Comme par hasard, on retrouve la structure de protection qu'offre une suite complète de Data Loss Prevention... A intégrer dans les réflexions lors d'une solution  afin de ne pas acquérir des outils qui ne répondrait que partiellement aux besoins.

A suivre....

S. Droxler


jeudi 5 septembre 2013

Des solutions aux nouvelles exigences FINMA (part.1)

Pour les banques, la révision actuellement en cours de la circulaire 2008/21 sur les risques opérationnels aura des conséquences très concrètes en matière de traitement des données électroniques de clients (CID). Cet article en dresse la synthèse et propose quelques pistes concrètes de mise en oeuvre opérationnelle.

Dans le fond, si l'on va droit au but, que demande la finma aux banques ?-  D'assurer à ses clients la confidentialité dans le traitement de leurs données, ainsi que tout maître de fichiers au sens de la LPD est sensé le faire. Toutefois, dans le contexte particulièrement tourmenté que traverse les banques depuis quelques années, cette nouvelle réglementation prend un sens un peu plus concret et détaillé. Dans les faits, et très concrètement,  les banques doivent être capables  - d'ici à 2015 - d'identifier qu'elles sont les données liées à leurs clients, où sont-elles stockées, qui les utilisent et comment circulent-elles. Exprimé de cette manière, cela parait excessivement simple, voire simpliste. Mais d'un point de vue opérationnel, cela pose quelques difficultés liées au manque de renseignement de l'information (Information Intelligence).

Partout où nous avons l'occasion d'intervenir, que ce soit dans les services ou dans l'industrie, nous pouvons constater qu'il manque un lien entre la gouvernance de l'information et l'infrastructure informatique qui la supporte. De ce fait, les entreprises souffrent quand il s'agit retrouver les données les plus sensibles parmi la jungle de data qui inonde leur système d'information. En cela, les banques ne sont pas différentes des autres entreprises ni même des organisations publiques, juste un peu plus concernées par le risque de réputation peut-être...

Les neuf principes d'améliorations FINMA

DLP en réponse aux exigences finma

La Gouvernance
Comme pour tout autre actif, la gestion des risques qui y sont liés incombe aux plus hautes instances de l'entreprise. Les critères d'indépendance des unités concernées, la définition claire des responsabilités ainsi que des processus liés au traitement des données doivent tous être coordonnés afin de garantir la confidentialité des données.  Sur ce point, je pense que le plus grand changement est d'ordre culturel; il ne suffit pas (plus) de déléguer l'exécution "aux gars de l’informatique" en pensant avoir traité le sujet par la simple acceptation d'un budget d'investissement pour la "sécurité". De nos jours, la stratégie de sécurité ne doit plus se contenter d'empiler des technologies informatiques mais bien d'adresser le problème à sa racine, à savoir le contenu de l'information. Et là, nous adressons un changement culturel important car la sécurité orientée "contenu" demandera de la patience pour faire évoluer les mentalités.


Les données d'identification du client (CID)
Alors qu'il semble évident pour tout à chacun que la catégorisation des clients est quelque chose d'acquis depuis la nuit des temps, l'exigence sous jacente liée à ce point est à mes yeux celle qui posera le plus de problèmes aux banques. Certes, tous les clients sont catégorisés et aucune banque n'a de problème à dresser la liste de chaque catégorie. Tant que nous avons à faire des données structurées ai-je envie d'ajouter... Qu'advient-il des données non structurées, à savoir celles qui constituent l'immense majorité de la jungle du système d'information ? Peut-on garantir qu'elles sont vierges de toute CID ? - Non, bien évidemment. Il faudra donc que les banques travaillent sur la notion de classification de l'information afin de satisfaire à cette exigence.  Et la toute première étape d'un tel projet passe par l'identification des données sensibles afin de déterminer où elles se trouvent (non seulement leur endroit légitime, mais aussi et surtout:  partout où on les retrouve également, en totalité ou partiellement). Pour ce faire, et idéalement sur la base du résultat de l'analyse des risques (cf point sur la gouvernance), on s'appuiera sur des techniques de e-discovery qui permettront de séparer le bon grain de l'ivraie.

A suivre...

Intégration du fax dans l'environnement DLP

Dans le cadre d'un projet Data Loss Prevention (DLP), il nous a été demandé de réfléchir à la problématique de l'intégration des fax d'entreprise dans l'environnement sécurisé par le DLP. L'objectif était de pouvoir disposer de conseil organisationnel et technique sur ce qu’il est possible de faire avec le DLP en matière de contrôle d’utilisation des fax, respectivement connaître qu’elles sont les limites et contraintes de la solution DLP en la matière.

Approche 

Notre démarche de réflexion s’est appuyée en premier lieu sur la volumétrie fournie dans un rapport interne,  à partir de laquelle nous avons tenté de cibler la problématique des différentes utilisations de fax au sein de l'entreprise ainsi que de cerner les processus potentiellement impliqués. De là, découlent certaines propositions de mesures organisationnelles qui nous permettent d’envisager l’aspect plus technique des contrôles à mettre en œuvre. Enfin, nous avons évalué les contraintes et limites techniques du DLP de la démarche.

Peut-être l'usage du fax rempli-t'il  pleinement les critères de sécurité et de conformité requis par l'entreprise... Il faut en effet garder à l'esprit que le fax en lui-même  est considéré comme une technologie relativement sûre et bon marché pour envoyer de l'information d'un point à un autre. Le problème réside plus dans le bon usage et la mise en place des mesures de protection adéquates afin d'éviter le risque de modification du message ou sa consultation par des personnes non autorisées. En cela, l'usage du fax manuel constitue une faille de sécurité, mais au même titre que l'envoi d'un email standard non signé par exemple.

Le schéma ci-dessous représente une situation dans laquelle l'entreprise implémenterait son DLP tout en conservant une solution de fax décentralisée. 


On peut remarquer que les fonctionnalités "print to fax" et "mail to fax" peuvent être en partie sécurisée par le contrôle de l'information avant que celle-ci ne soit imprimée. Pour ce faire, on aura recours à des contrôles tant au niveau du réseau que sur les postes clients.  Le degré de sécurité dépendra bien évidement de la pertinence des règles mises en place et de l'inévitable arbitrage à faire entre le risque de laisser imprimer un document sensible  ou bloquer un utilisateur légitimement autorisé à le faire... En cela, ce type de contrôle n'est envisageable qu'avec une classification de l'information bien établie.

En ce qui concerne le fax ou "scan to fax",  on peut affirmer, en tout état de cause,  qu'aucun contrôle n'est possible via le DLP dans une telle configuration. En effet, un document papier qui est faxé ou scanné+ faxé sur un copieur multifonctions ne peut pas être lu ni intercepté par le DLP.

Le reste de notre étude va donc chercher à déterminer en quoi le remplacement des fax manuels par une solution de fax centralisée permettrait d'améliorer la sécurité de l'information. 




Idéalement, le nouveau schéma se présenterait tel que ci-dessus. Cela ne signifie toutefois pas, malheureusement, que son implémentation technique soit exempte de contraintes et de limitations. Certes, en supprimant tous les fax manuels et forçant le "scan to mail to fax", il sera possible d'élargir le périmètre de sécurité. Toutefois, le degré de couverture restera forcément partiel car les technologies actuelles du DLP ne permettent pas la reconnaissance d'images;  seuls les documents textes supportant la reconnaissance de caractères (OCR) pourront être traités par le DLP.

Point de vue technique

Passerelles "print to fax"

La fonctionnalité de partage de fax est disponible nativement dans Windows Serveur depuis plusieurs versions. Il existe également de nombreux produits spécifiques sur le marché offrant des fonctionnalités plus étendues. Cette technologie nécessite un déploiement sur les postes clients et s’appuie sur la messagerie pour les accusés de remise. Elle permet de disposer de fonctionnalités d’archivage et d’audit spécifique plus ou moins évoluées selon la solution mise en œuvre.  

Cette technologie est généralement mise en place dans des environnements dans lesquels:
  • Il y a peu d'utilisateurs
  • L'usage de la messagerie n'est pas très développé
  • Il est nécessaire de faire du "print to fax" au niveau d'applicatifs spécifiques pour automatiser des flux métiers.
Passerelles "mail to fax"

La passerelle mail vers fax s’intègre à la messagerie électronique.  Le fax étant traité comme un message électronique (email), il bénéficie de toutes les fonctionnalités liées à la messagerie telles que  la gestion des contacts via  l’annuaire, l’historisation des envois, l’archivage légal, la recherches, etc…

Cette solution ne nécessite pas d’installation spécifique sur les postes de travail et permet l’intégration des imprimantes multifonctions (= scan to mail to fax).

Intégration avec le DLP

Si vous souhaitez obtenir la suite du rapport et connaître les contrôles DLP possibles, veuillez nous contacter par mail à l'adresse suivante : stephane.droxler(at)uditis.ch ou laisser un commentaire ci-dessous.


La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?