jeudi 22 mai 2014

Fuite en avant

Suis-je en train de développer une névrose obsessionnelle  vis-à-vis de l'information? Aujourd'hui, il me semble que tout est lié à ce terme : Nous vivons dans la société de l'information, nous utilisons les technologies de l'information, parfois même nous empruntons les autoroutes de l'information.  On confond  "information" et "informatique" puisque tout ou presque se digitalise et se numérise... Le besoin de protéger l'information,  que celle-ci soit liée à notre sphère privée ou de nature sensible pour notre entreprise, se ressent toujours plus.  Arrive alors la question de "Comment la protéger ?" - Rapidement remplacée par la question de "Qui devrait le faire ?" En effet, au vu de la complexité du sujet, est-ce bien de ma responsabilité ou devrais-je laisser ce privilège à d'autres ?

Agaçant, embêtant ou réellement problématique

Pendant que l'on se questionne, l'information, elle, fuit. Gentiment mais inexorablement, par simple mégarde ou par pure malveillance. Peu importe,  le résultat est le même: On ne sait pas ce que l'on a laissé partir ni ce qui a été pris. C'est pour le moins agaçant, parfois embêtant et, un jour peut-être, extrêmement problématique. (Important ces trois degrés, à garder en tête...on en aura besoin plus tard).  Est-ce une fatalité ?

J'ai envie de répondre par l'affirmative. A tout le moins tant et aussi longtemps que nous appliquerons les méthodes de protection issues du monde physique à celui du virtuel.  Prenons un exemple:

  • Jusqu'à ce jour, quelle a été la principale  réponse des entreprises face à la menace de perte d'information ?
         - Renforcer la sécurité des infrastructures qui les hébergent.
Certes, les attaques externes requièrent la meilleure des parades. Mais, lorsqu'on y réfléchit, comment les données quittent-elles vraiment l'entreprise ? Sommes-nous véritablement la cible quotidienne de hackers surentraînés et fermement décidés à nous dérober nos données ? - Force est de reconnaître que la majeure partie des fuites proviennent de l'interne. Je me souviens d'une étude d'un grand cabinet d'audit qui mettait en évidence que plus de 75% des employés admettaient avoir déjà quitté un emploi en prenant des données de leur ex-employeur et qu'au moins 50% d'entre eux avouaient les avoir utilisées dans leur nouveau job !  Ce qui revient à dire que les entreprises dépensent des fortunes pour la sécurité de leurs infrastructures mais s'en remettent à l'espérance et à la foi vis-à-vis du comportement de leurs employés.

Tous fraudeurs ?

Et justement, qu'est-ce qui fait la différence entre le vol d'un bien physique et celui plus virtuel comme le vol de données ? La thèse criminologique dite du passage à l'acte nous aide à y répondre. Celle-ci prétend que nous sommes tous des délinquants potentiels pour autant que l'on réunisse trois conditions: une opportunité, une motivation et une justification. (Relis cette dernière phrase et prends deux minutes pour essayer de l'appliquer à un exemple concret. Ca fonctionne ?)

L'antithèse de la dissuasion nous dira quand à elle que nous ne passerons pas à l'acte du moment que l'on risque d'encourir une peine, que celle-ci soit sévère et prononcée rapidement. Je prétends que ces deux thèses se vérifient plutôt bien dans le monde physique mais en aucun cas dans le monde virtuel. En effet, pour dérober un bien physique, je vais devoir prendre certains risques, m'exposer personnellement et, si je suis découvert, devrai rapidement en subir les conséquences.
Par contre, les multiples identités que je peux emprunter dans le monde virtuel constituent un facteur d'anonymisation désinhibant vis-à-vis de l'acte et de surcroît très complexifiant pour une éventuelle autorité de poursuite. A cela s'ajoute que l'immatérialité du bien peut inciter à se l'approprier: "Tout compte fait, ce n'est qu'une copie" ou "Tout le monde le fait" dans le cas du téléchargement illégal par exemple. Du côté du lésé, il ne s'en apercevra bien souvent pas ou alors que bien plus tard. Si d'aventure, il devait me poursuivre, les conséquences ne seraient probablement que lointaines, les circonstances difficiles à prouver et la peine éventuelle peu sévère.

Renseigner pour protéger

On le voit, la thèse de la dissuasion fonctionne mal pour protéger l'information. Alors que faire ? Premier constat, il est illusoire de vouloir tout sécuriser. Ceux qui pensent avoir résolu le problème en chiffrant toutes leurs données n'ont en fait qu'appliqué une sécurité "physique' qui au mieux paralysera leur opérationnel quotidien et, au pire, leur fera perdre des données si les clés de chiffrement/déchiffrement devaient être mal gérées; Ce qui, dit en passant, n'est pas une sinécure dans une organisation de grande taille.
Il faut donc raréfier l'information à protéger. Savoir ce que l'on a, pourquoi on l'a, où cela doit se trouver, qui peut l'utiliser et comment. Parallèlement, une analyse des risques business doit permettre de définir ce qui est réellement vital à la mission de l'entreprise, embêtant si on devait ne plus l'avoir ou simplement irritant de ne pas pouvoir le retrouver ou reconstituer facilement. (Là.., tu te souviens les trois degrés du début ?). Cela doit permettre la mise en place d'un schéma de classification à trois niveaux, extrêmement simple à appréhender par chacun des acteurs de l'entreprise. Sur ces bases, il devient plus facile d'apporter le niveau de protection adéquat à chaque criticité d'information.

"Oui mais on a déjà essayé et ça n'a pas marché" est la remarque usuelle à ce stade. La différence est qu'aujourd'hui, les technologies de sécurité orientées contenu (e-discovery, DLP, classification, DRM, etc..) ne sont plus des outils exclusivement réservés à l'IT mais viennent aider les utilisateurs et propriétaires de données à gérer efficacement leur information. Par conséquent, d'un point de vue du plan de sécurité global, cela contribue à changer des paradigmes aussi importants que:

  • augmenter les risques perçus et les efforts requis pour subtiliser des données, 
  • réduire les bénéfices attendus 
  • supprimer les justifications 
Certes, cela ne se fait pas en deux semaines ni sur l'initiative d'une seule personne. Mais le chemin existe. L'obstacle le plus important consiste en fait à renoncer à la fatalité et accepter ce changement de mentalité nécessaire à la protection de l'information d'aujourd'hui et de demain.  

 

Aucun commentaire:

La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?