La prise de conscience se fait (trop ?) doucement, aidée en cela par les médias qui relatent régulièrement des attaques touchant tout type d’entreprises : Orange, HSBC, Sony Picture, Target, TV5 Monde, Ashley Madison, VTECH, etc. En parallèle de cette médiatisation, PwC, indiquait déjà dans son ‘’2014 Global Economic Crime Survey’’ que 55 % des entreprises françaises avaient été victimes d’une fraude au cours des 24 derniers mois !

La transformation numérique conduit à l’ouverture du SI et à l’adoption massive de nouvelles technologies internet, de solutions collaboratives, ainsi qu’au cloud (SaaS, PaaS), au Big Data, etc. Une dynamique positive conférant à l’entreprise plus d’agilité et de productivité, mais qui la rend aussi beaucoup plus vulnérable aux cyber risques.

Les menaces externes autant qu’internes s’intensifient, conduisant à la mise en œuvre de politiques de sécurité, reposant sur l’adoption de bonnes pratiques pour prévenir les risques. Mais ces politiques doivent encore trouver le moyen d’être communiquées, respectées, contrôlées et auditées au quotidien. Il est donc indispensable de conjuguer sensibilisation et respect, à des solutions de contrôle pertinentes. En effet la confidentialité, l’intégrité et l’accès aux informations passe par un système de contrôle, de prévention et de répression. La solution à apporter est donc à la fois organisationnelle, technologique et opérationnelle : la gouvernance.

UN CAPITAL STRATÉGIQUE EXTRÊMEMENT VULNÉRABLE

Toutes les entreprises possèdent des informations extrêmement sensibles : plans stratégiques, informations financières, documents de R&D, informations commerciales et relatives à la clientèle, données personnelles, ou encore informations RH. Le degré de sensibilité conduit actuellement les dirigeants à s’interroger sur la sécurité de ces données. On comprend aisément que les entreprises n’ont aucun intérêt à ce qu’un plan de fusion/acquisition tombe entre des mains non compétentes, ou qu’un plan de restructuration soit exploité par des tiers.
La première question à se poser doit être : est-ce que les utilisateurs disposent tous d’accès strictement légitimes à leur mission ? La réponse est malheureusement « non » ! Une situation confirmée par une étude récente du cabinet Ponemon « Corporate Data : A Protected Asset or a Ticking Time Bomb ? » qui démontre que 71 % des utilisateurs reconnaissent avoir accès à des informations auxquelles ils ne devraient pas.

Une surexposition aux risques de fraude qui sans solution de gouvernance devient indétectable. Pour une entreprise, on se rend ainsi compte à quel point il est capital de savoir qui a accès à quelle donnée, et de connaître le niveau de criticité de cette donnée. Pour répondre à ces besoins, il existe des solutions de gouvernance qui permettent ainsi de garder le contrôle des accès aux informations de l’entreprise et qui en protège ainsi la valeur.

Devant la relative complexité du chantier, beaucoup d’entreprises françaises restent bloquées en phase « d’initialisation » - d’après le rapport du CIGREF « enjeux business des données » d’octobre 2014 - quand certaines DSI ont même abandonnées la partie.

LA GOUVERNANCE DES DONNEES AU SERVICE DE LA PREVENTION ET DE LA DETECTION DE LA FRAUDE

Une solution de gouvernance va permettre de façon autonome :
• d’évaluer le degré de sensibilité (confidentialité) des données. C’est que l’on appelle la Data Classification,
• d’analyser les droits d’accès des utilisateurs à ces données et de contrôler qu’ils sont légitimes, en fonction de critères relatifs à la mission du collaborateur,
• de quelle utilisation (lecture, modification, destruction, …)
• de déterminer le propriétaire ‘Business’ de ces données.

La solution doit déterminer si les habilitations sont légitimes en corrélant les informations du système d’information RH avec celles des annuaires (Active Directory) et des ‘logs’ (événements réseaux). Elle doit mettre en évidence des comptes informatiques n’ayant pas de propriétaire, les utilisateurs à privilèges ayant des droits d’accès sensibles, par exemple aux données de la Direction Générale, RH ou à la messagerie du PDG, des employés ou des sous traitants ayant quitté la société mais possédant un compte encore actif. Elle fournit des rapports compréhensibles par des non informaticiens afin de les aider à détecter et à corriger les anomalies.
Cette solution doit permettre également de mener des audits conformément aux contraintes réglementaires de certains secteurs d’activité : banques/institutions financières, assurances, entreprises cotées au NYSE, etc. Lorsque l’on sait que les OIV doivent déclarer leurs incidents de sécurité à l’ANSSI, la solution de gouvernance de données s’impose pour pouvoir fournir des rapports de détection de fraude.
RGPD/DGPR : EPEE DE DAMOCLES DE L’E.U OU CATALYSEUR POUR PLUS DE GOUVERNANCE ?
Enfin cela devient un élément primordial dans l‘aménagement nécessaire au respect du RGPD qui entrera en vigueur en 2017, le règlement général sur la protection des données va introduire de nouvelles obligations pour les entreprises et va considérablement modifier les conditions actuelles de stockage et de sécurisation des données. La peine encourue, en cas d’infraction, porterait sur une amende pouvant aller jusqu’à 4% du chiffre d’affaire annuel !

GOUVERNANCE ET TEMPS REEL : ET SI C’ETAIT DEJA TROP TARD ?

Quand on évoque la protection des ‘’assets’’ sensibles parmi les données, l’entreprise se trouve démunie par le manque de moyens technologiques adaptés et efficaces.

Qu’il s’agisse de fraude interne ou d’attaques, il est essentiel de circonscrire le risque le plus tôt possible. En matière de sécurité, on a souvent tendance à croire que le temps réel est la notion qui va permettre de détecter les événements critiques dès qu’ils interviennent. Malheureusement détecter qu’un fichier contenant des données sensibles a été exfiltré en-dehors de l’entreprise ne permet que de constater les dégâts...

La nouvelle approche basée sur le comportement des utilisateurs avec la technologie de « User Behavior Analytics » ou UBA, permet de découvrir des activités qui resteraient autrement non détectables car basées sur des signaux faibles, les faisant passer sous le radar. En intégrant la technologie UBA, la solution de gouvernance va permettre de détecter en temps réel des comportements anormaux, comme par exemple, une personne se connectant à des informations sensibles en plein milieu de la nuit ou d’un lieu inhabituel ou se mettant à télécharger soudainement des gros volumes de données.

De là, il sera possible de vérifier si la personne concernée a de bonne raison d’effectuer ces opérations inhabituelles ou si finalement, il s’agit du début d’une attaque visant à exfiltrer des données de l’entreprise ou d’une tentative de fraude.

La lutte contre la cybercriminalité relève d’une action continue, reléguant les interventions et contrôles ponctuels au musée de la sécurité. Il faut évidemment ajouter à cette action continue la mise en place des meilleures technologies pour prévenir ou guérir les éventuels incidents sur la colonne vertébrale des entreprises : le système d’information.

Aujourd’hui, que l’on soit une PME, un groupe international, ou un OIV, chaque entreprise possède des données critiques qu’il faut pouvoir protéger de l’extérieur mais aussi de l’intérieur. Il est important que les dirigeants, DSI, RSSI et futurs DPO pensent la cybersécurité de façon globale. La sécurité informatique ne doit plus être cantonnée qu’aux frontières de l’entreprise, mais doit devenir logique et applicative pour s’intégrer dans une politique globale de sécurisation de l’information. La fraude doit faire partie du panorama des menaces contre lesquelles l’entreprise doit se prémunir.