wallix.fr

Plan du site
Accès Espace Partenaires

 

 

 

Accueil > Actualité > Actualité des SI > La fuite de données confidentielles

Vendredi, 22 Janvier 2010 10:08 Administrateur
Envoyer Imprimer PDF
Note des utilisateurs: / 11
MauvaisTrès bien 


La fuite de données confidentielles :
un enjeu préoccupant pour les RSSI


Régulièrement, l'actualité nous informe de nouveaux vols de données confidentielles et de grandes entreprises font souvent les grands titres avec des histoires relatant la perte ou le vol d'énormes quantités d'informations client confidentielles. Selon le type de données perdues, les dégâts peuvent ternir la réputation d'une entreprise, lui faire perdre du chiffre d'affaires ou lui faire payer des pénalités financières exorbitantes suite à des amendes ou des poursuites judiciaires. Les coûts peuvent rapidement atteindre des millions d'euros.

La majorité de ces pertes sont accidentelles

Avec les courriels contenant plus de 80 % des coordonnées professionnelles d'une entreprise, il n'est pas surprenant que la crainte principale des entreprises soit la perte de données confidentielles via la messagerie électronique.
95 % de ces pertes de données via courriel ne sont pas intentionnelles : par exemple, lorsque quelqu'un +choisit accidentellement le mauvais destinataire en utilisant la fonction de recherche automatique du client de messagerie. Malheureusement, les avis de non-responsabilité concernant les destinataires involontaires et la confidentialité ne réduisent pas l'importance qu'accordent les médias à la situation et n'atténuent pas vraiment la responsabilité légale de l'entreprise.

La majorité de ces pertes sont accidentelles sauf que…

«Voyons les choses en face ! Si un employé mécontent ou un sous-traitant mal intentionné décide de s'emparer des données confidentielles de l'entreprise, vous ne pouvez pas faire grand chose pour l'arrêter. La perte de données à des fins malveillantes ne se fait pas par courrier électronique mais par photocopies, par lecteurs USB, gravage des données sur CD/DVD et par vol de la propriété physique. Aucun système de prévention de fuite de données n'est parfait !», déclare Jean-Noël de Galzain, Président de Wallix.

A l'occasion de rencontres avec de nombreux RSSI, nous avons pu discuter en toute confidentialité des fuites de données dans leur entreprise.

La prévention des fuites de données ou aussi appelé DLP (Data Leakage Protection), est très à la mode chez les éditeurs de solutions de sécurité. Mais qu'en est-il du côté des clients potentiels ? A écouter les RSSI aborder librement le sujet, nous ne pouvons que constater le gouffre qui existe entre ce que propose le marché et les problèmes soulevés autours de la table.

D'après la grande majorité des RSSI interrogés, il y a tout simplement trop d'information dans l'entreprise pour parvenir à la contrôler. « Il me semble difficile de définir du jour au lendemain qui peut accéder à quoi au niveau de l'information. Nous savons le faire au niveau des applications, mais la vraie difficulté se trouve dans l'information. On ne sait pas comment s'y prendre chez nous », déclare un premier responsable de la sécurité.

Et si des solutions sécurisées existent bien chez les vendeurs de DLP, les responsables regrettent leur périmètre d'action relativement réduit. « Ces solutions paraissent encore peu mûres. Elles ne prennent pas en comptes le fait que la durée de conservation légale de l'information varie d'un pays à un autre, les bandes archivées, ou le fait qu'il y a encore énormément de stockage papier », déclare Jean-Noël de Galzain.

« Ainsi, entre des solutions de recherche et de gestion de l'information efficaces mais peu sûres, et des solutions de sécurité peu complètes, les RSSI semblent encore attendre la convergence salvatrice ».
Autre limitation, les solutions de DLP sont aujourd'hui encore essentiellement en temps différé, ce que les RSSI semblent regretter. « Nous sommes incapables de contrôler le respect de la politique de sécurité en temps réel. Certes, nous loggons tout ce qui se passe, mais c'est pour un audit ultérieur », confirme l'un des RSSI présent. Le temps-réel est toutefois dans la ligne de mire des éditeurs de logiciels.

L'humain, le problème

Au souci de prolifération de l'information se greffe celui de l'adaptation du DLP à la vie quotidienne de l'entreprise : il semble difficile de demander aux collaborateurs d'évaluer eux-mêmes la sensibilité des documents qu'ils créent. Or une classification humaine est essentielle à la vie d'une solution efficace. « Nos utilisateurs sont frileux, et ils n'estiment le plus souvent pas que ce qu'ils rédigent puisse être confidentiel. Ou alors, ils n'y pensent tout simplement pas », poursuit un RSSI. Et ses camarades d'approuver, notant même pour certains que très peu de personnes dans l'entreprise sauraient le faire convenablement.

L'humain, pourtant, est plus que jamais au cœur de la solution. Les RSSI l'ont bien compris et insistent tous sur les séances de sensibilisation qu'ils imposent à tous les nouveaux employés et aux nouveaux prestataires extérieurs.

Tous, enfin, ont noté que si les solutions de fuite de données peuvent permettre d'éviter le non-respect accidentel de la politique de sécurité (le plus courant), ils ont le sentiment d'être démunis face à la malveillance interne. Celle-ci demande, d'après eux, d'autres outils que ceux proposés actuellement par les vendeurs de DLP. Pour certains, cela passe par exemple d'abord par une maîtrise plus efficace des droits administrateurs (root, bases de données, administrateurs Windows/Linux).

Mis à jour ( Vendredi, 05 Février 2010 10:09 )  
SecuObs.com
L'observatoire de la securite Internet
magsecurs online
  • Washington abandonne la guerre contre le terrorisme et Al Qaïda est désigné comme adversaire officiel
    La "guerre contre le terrorisme" n'est plus de mise avec l'Administration Obama. Elle définit spécifiquement Al Qaïda comme l'adversaire principal des Etats-Unis, et ne fait plus référence à la guerre contre le terrorisme.
    Selon le site suisse www.romandie.com www.romandie.com, la Maison-Blanche va publier jeudi la "stratégie de sécurité nationale".
    "Ce n'est pas une guerre mondiale contre une tactique - le terrorisme - ou une religion -l'islam-, "précise le texte, qui abandonne "la (...) - Tribunes blank
  • 28 juin - Paris - Quel futur pour le socle de l'Internet ?
    Toit de la Grande Arche
    En présence de John Day, pionnier du projet arpanet et Professeur à l'université de Boston, de Michel Riguidel, Louis Pouzin, inventeur du projet Cyclades, et de Michel Riguidel, Professeur à Télécom Paris Tech.
    renseignements et inscriptions : www.forumatena.org - Agenda blank
  • 24 juin - Paris - dîner du Cercle de la Sécurité
    Sur le thème : "la veille environnementale, informelle et stratégique. Plus value pour la SSI".
    Hôtel Park Hyatt Paris Renseignements : www.lecercle.biz - Agenda blank