Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vipawan, Clearswift : On ne change pas une équipe qui gagne !

octobre 2007 par Emmanuelle Lamandé

Comment peut-on définir une solution de sécurité, alors que le risque 0 n’existe pas, et qu’il faut toujours prévoir un éventuel incident. Sachant que la menace plane, qu’est-ce qui va, malgré tout, pousser un entrepreneur à courir ce risque ? Quelle est la principale « épée de Damoclès » qui pèse aujourd’hui sur l’ « empire patronal » ? Que faire pour réduire le risque au minimum ? Tel fut le thème d’un événement très « sportif », organisé par Vipawan et Clearswift, partenaires depuis 2001, en compagnie du célèbre Nelson Montfort.

Pour Thierry Edwiges, Vipawan, l’entrepreneur décide de courir un risque, car il considère que ce dernier vaut le bénéfice qu’il souhaite obtenir. Le risque 0 n’existe pas, c’est pourquoi, il faut toujours prévoir un éventuel incident. Le bénéfice ne s’acquiert qu’en courant un risque. Il s’agit de savoir quel est le risque maximum tolérable pour l’entreprise.

Protéger les richesses, c’est-à-dire le savoir et le savoir-faire, d’une entreprise est la seule raison d’être d’une solution de sécurité. Cette protection représente le seul véritable objectif de mettre en place une solution de sécurité pour un entrepreneur. Ces solutions doivent être indexées à la valeur financière de ce qu’elles protègent, c’est-à-dire les données. Les données ont une réelle valeur financière, d’où le développement d’un marché parallèle. Cependant, sur quoi pouvons-nous nous fier pour définir la valeur de ce que l’on doit protéger ?

Il faut à la fois protéger ses actifs (le fond), les emails et accès Internet (la forme), mais également mettre en œuvre des solutions techniques (moyens et coûts qui y sont associés) dans un cadre juridique et légal (que tout individu ou entité morale se doit de respecter). La protection des actifs est primordiale, car au final protéger ses emails ne veut rien dire. Un email n’est rien d’autre qu’un moyen de transport. Seul son contenu est intéressant. En ce qui concerne le cadre juridique et légal, l’important face à la justice est de pouvoir démontrer que tout ce qui devait être sécurisé l’a été. Il faut en avoir la preuve.

Pour Igor Herrmann, Vipawan, une donnée est un actif de l’entreprise qu’il faut défendre. Aujourd’hui, l’on se préoccupe beaucoup des informations qui pourraient provenir de l’extérieur, toutefois la difficulté réside également dans la gestion des informations qui vont être amenées à sortir du Système d’Information (informations financières, RH,…). Cependant, la notion de protection de la valeur reste quelque chose d’abstrait.

Actuellement, la fuite d’informations est un problème majeur auquel doivent faire face les entreprises. Cette menace touche à la fois la donnée, mais également une information plus physique, directement liée à notre SI. Le principal problème dans les solutions existantes au niveau de la fuite d’informations réside dans l’incompréhension du sens d’un message. Les outils traditionnels analysent, en effet, les enveloppes, les protocoles mais ils ne savent ni analyser la syntaxe, ni déchiffrer le sens.

Les protocoles techniques que nous utilisons trahissent un certain nombre d’informations... beaucoup trop d’informations ! Nos emails, encore plus que le Web, trahissent, en effet, les adresses IP ainsi que les noms des serveurs internes, les versions, les patchs, les protocoles utilisés, ainsi que les noms des utilisateurs internes. De plus, si l’on recoupe quelques centaines de mails d’une même entreprise, comme a pu le démontrer Lluis Mora à l’occasion de la Blackhat Conference, n’importe qui (connaissant un minimum le milieu) est capable de déterminer la localisation géographique, un plan d’adressage des sites internes, ou encore les politiques de routage des mails, d’où une partie de la stratégie d’entreprise.

Bon nombre d’informations techniques sont donc dévoilées très facilement. Les fuites d’informations techniques sont donc naturelles, permanentes et produites par nos simples faits et gestes. En outre, ces informations permettent à qui le souhaite de cibler le périmètre interne d’une entreprise sans l’avoir pénétrer.

La fuite d’informations humaine existe, quant à elle, avec ou sans SI. Pour lutter contre ce fléau, il faudrait apprendre à lire à nos systèmes :
- pour cela, il faut dans un premier temps décoder le format d’un fichier dans lequel l’information est traduite ou communiquée.
- Dans un second temps, il s’agit de décoder la langue, ce qui suppose au préalable l’analyse de l’alphabet.
- Enfin, il faut associer une forme à un sens.

L’information va ensuite être classifiée, catégorisée et détaillée. La clé de l’approche est d’utiliser le format des informations pour remonter à la notion de thème. Dans certains cas, la forme donne la signification de la donnée.

Le risque de faux positifs est, cependant, important dans ce type d’approche, d’où l’association d’un deuxième élément, celui de la catégorisation des destinataires. L’analyse de mots clés prend tout son sens quand le destinataire est un concurrent, un ancien salarié ou dirigeant, ou au contraire quand il s’agit d’un partenaire.

La sécurité, ce n’est pas du curatif, c’est la mise en œuvre préventive de solutions curatives

Il ne faut, néanmoins, pas faire d’amalgame. L’information et la donnée n’ont pas la même valeur, toutefois nous ne pouvons pas avoir l’un sans l’autre. L’information prépare la collecte de données. En guise de conclusion, il faut retenir que la sécurité, ce n’est pas du curatif, c’est la mise en œuvre préventive de solutions curatives.

Vipawan collabore depuis 2001 avec la société Clearswift, spécialisée dans la sécurité du contenu. Clearswift a la particularité d’intervenir non plus sur une problématique technique mais financière. Elle respecte, en effet, les enjeux financiers de toute entreprise, mais également les dispositions légales ainsi que les politiques de sécurité établies au préalable. Cécile Boyer, Clearswift, était présente à l’occasion de cet événement pour annoncer le grand retour du groupe sur le marché français. Cette société, qui joue à plus de 50% sur le marché des grandes entreprises, sécurise les données critiques qui ne doivent pas échapper à l’entreprise.

Il ne faut pas chercher très loin pour observer l’impact que peut avoir la fuite d’informations. Prenons quelques exemples :
- AOL 2006 qui publie par erreur une grande quantité de données. 3 personnes ont été licenciées et l’affaire n’est toujours pas finie.
- Mastercard en juin 2005 : 40 millions de cartes exposées
- RATP en août 2006, accès à des centaines de questionnaires clients sur leur site
- Pfizer en septembre 2007, fuite de 34 000 données d’actuels ou d’ex-salariés de cette firme pharmaceutique.

Nombreuses sont les offres sur le marché qui se contentent de gérer les risques techniques auxquels sont confrontés les entreprises, alors que les risques potentiels auxquels elle s’expose sont beaucoup plus vastes. Ils sont également légaux, sociaux, peuvent atteindre l’image de marque de l’entreprise ou encore les données personnelles. Avoir une bonne gouvernance signifie à la fois être en conformité avec les réglementations françaises, européennes et internationales, assurer la gestion du risque opérationnel, le contrôle et la traçabilité du contenu.

Clearswift propose une analyse récursive qui peut aller jusqu’à 100 niveaux

Aujourd’hui, les données sont complexes et présentes sous différentes formes. De plus, la circulation des données au sein d’une entreprise est libre. Il faut donc travailler en amont pour définir le type de documents qui y circulent. La protection doit s’effectuer à plusieurs niveaux. Il apparaît, tout d’abord, nécessaire de redéfinir ce qui est stratégique au sein d’une entreprise, puis de s’assurer qu’il y ait une sécurité mise en place sur toutes les portes de l’entreprise :
- définir dans un premier temps les politiques au niveau de l’entreprise, puis au niveau des départements de cette entreprise (ex : vente, marketing, RH,…), ensuite au niveau individuel et enfin sur le contenu et la transformation qui pourrait en être faite
- inspection du contenu en fonction des politiques établies
- classification (délivrer, bloquer, informer, reportings,…)

Clearswift propose une analyse récursive qui peut aller jusqu’à 100 niveaux, même si en général on s’en contente d’une cinquantaine. Ce système est capable de retrouver un document tel qu’il était à l’origine, et ce même s’il a été modifié 50 fois. La société propose différents types de solutions, adaptées aux différents types de postes. Pour assurer un niveau de sécurité maximal, Clearswift s’est d’ailleurs associé stratégiquement avec Kaspersky, Websense,...


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants