jeudi 5 février 2015

Connaître ses données: un fondamental de la sécurité de l'information

 

Qui s'étonnera de voir sa maison s'effondrer si elle a été construite sur du sable ? - C'est pourtant ce que de nombreuses entreprises font en matière de protection de leur information;  Elles empilent des technologies sans savoir ce qu'elles vont réellement protéger.

Ce constat désolant peut s'expliquer par deux types de causes: l'environnement externe des organisations et les causes internes. Au chapitre des premières, on peut relever :
  • l'explosion du volume des données traitées rend toujours plus illusoire d'espérer protéger un stock gigantesque d'informations dont on ne sait même plus forcément où elle sont stockées,
  • la mobilité - si chère aux utilisateurs - rend extrêmement flou le périmètre à protéger et, enfin..
  • ...l'augmentation exponentielle des exigences en matière de conformité fait qu'il est devenu quasi impossible de rester à jour dans cette jungle de texte légaux contraintes règlementaires.
Quand aux causes internes, on peut les résumer en une seule phrase: "Business just wants to do business". Pour les responsables de sécurité, impliquer les différentes ligne de business dans un projet de sécurité de l'information est une gageure. Quand à l'option de vouloir le réaliser seul, autant essayer de faire bouillir l'océan...

But all is data in business !

Aujourd'hui, plus rien (ou presque) ne se fait sans l'informatique. Il appartient donc à ces mêmes RSI, CISOs, CIOs d'adopter un langage moins technique et plus orienté sur les affaires. Ci-dessous, quelques exemples d'enjeux qui devraient parler aux CEO, CMO et autres CTO ou COO:

La réputation. Si votre entreprise est confrontée à une perte massive de données, cela complique sévèrement la marche des affaires. La couverture médiatique qui accompagne ce genre d'incident n'est pas de celle que l'on recherche pour améliorer son image. Et pour peu que l'entreprise gère mal la crise, les dégâts peuvent être très importants et leurs effets se ressentir à long terme.

Les clients. Le vol de données n'est pas un crime sans victime. Si votre client estime que l'entreprise porte une certaine responsabilité dans la perte d'information le concernant, il y a de grande chances qu'il se tourne vers la concurrence. A ce sujet, une étude comparative menée aux Etats-Unis et dans sept pays européens sur la sensibilité des consommateurs au respect de la protection de leurs données montre des résultats pour le moins intéressants:

 
Quand on connaît les efforts déployés pour acquérir et conserver un client, je parie que le responsable marketing ou son collègue des ventes pourraient se montrer intéressés à ne pas le voir partir vers d'autres cieux. Des questions telles que : "Protégeons-nous suffisamment les données de cartes de crédit ou identifiants de nos clients?" "Ne collectons-nous (conservons) pas plus d'informations que nous n'en avons réellement besoin ? ou encore: "Est-ce que notre politique de respect de la confidentialité des données est en adéquation avec le comportement réel de nos applications ? A l'heure du client tout puissant (Age of Customer comme disent certains spécialistes du e-marketing), conserver des parts de marché est devenu un enjeu business tout aussi important que d'en acquérir.
La propriété intellectuelle. Nos entreprises investissent par centaines de milliers de francs pour se prémunir contre les attaques externes, mais s’en remettent à l’espérance ou à la foi quand il s’agit de traiter les menaces internes! J'en veux pour preuve que bien souvent la seule mesure de sécurité visant à protéger les données vis à vis de la fraude interne se résume à une charte ou un règlement d’utilisation des outils informatiques. Nous ne vivons plus dans le monde des Bisounours ! Il y a de la demande pour obtenir des plans, du design ou toute autre propriété intellectuelle et certains employés n'hésitent pas à se servir. Quand on pense qu'un fabricant d'automobiles chinois peut économiser jusqu'à $315 millions sur le développement d'un nouveau véhicule en se procurant des plans européens...

IDENTIFIER - DISSEQUER - DEFENDRE

Admettons que nos interlocuteurs des différentes lignes de business montrent une certaine sensibilité aux arguments exposés précédemment, comment aborder la notion de contrôle des données ? La présentation ci-dessous propose un démarche en trois étapes.




Evidemment, ces concepts nécessitent adaptations par rapport au contexte propre à chaque entreprise ou organisation; Ce pourquoi, je me tiens évidemment à la disposition de toute personne intéressée à approfondir la réflexion. Mais dans tous les cas, quelle est la finalité de la démarche ? En quoi améliore t'elle la protection de l'information ? - J'estime qu'elle apporte trois résultats concrets:
  1. Le patrimoine informationnel est classifié selon la valeur de l'information et les technologies de protection sont alignées en fonction de la sensibilité des données.
  2. Plus l'entreprise améliore sa connaissance des données, plus elle gagne en pertinence au niveau de la détection des incidents, donc en réduit leur nombre.
  3. Le contrôle des données sensibles réduit l'exposition au risque, diminue les cibles et restreint les tentations.
 



La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?