- Comment faire face aux fuites de données critiques ?
- illustrationsn_018_2
- alter-way
- Marché du logiciel libre : la France est leader en Europe
PROTECTION
Les leçons des Panama paper
Le lanceur d’alertes « John Doe » révélait début avril des informations confidentielles sur certains clients du cabinet Mossack Fonseca adeptes d’évasion fiscale. Il a utilisé des communications sécurisées avec les journalistes appartenant au Consortium international des journalistes d’investigation (ICIJ) pour leur fournir 11,5 millions de documents. Au total, 2,6 To de données qui ont été volées via le serveur de messagerie. Et si c’était vos données ?
Dans un manifeste intitulé « La révolution sera numérique » (à lire en intégralité dans Le Monde), le lanceur d’alertes précise que l’équipe informatique du cabinet panaméen a essayé de camoufler des « données ». Au-delà des aspects illégaux, l’affaire panaméenne et quelques autres démontrent l’importance stratégique prise par les « data breach » ou fuite de données. Selon John Doe, « nous vivons dans une époque de stockage numérique peu coûteux et illimité et de connexion Internet rapide qui transcende les frontières nationales. Il faut peu de choses pour en tirer les conclusions : du début à la fin, de sa genèse à sa diffusion médiatique globale, la prochaine révolution sera numérique. »
Cette affaire et d’autres révèlent le rôle central des SI (systèmes d’information), ainsi que des partenaires et offreurs de services réseaux pour héberger, gérer, qualifier, accéder et parfois dissimuler des données « critiques ». Des données qui désormais ne sont plus à l’abri des investigations des lanceurs d’alertes. Comme pour Sony et d’autres piratages hyper médiatisés, l’affaire « Panama Paper » met en lumière les opérations de piratage à grande échelle menées de façon de plus en plus « pro » pour exfiltrer des données sensibles, voire compromettantes. Guidance Software estime ainsi à 500 000 le nombre de cyber-attaques quotidiennes visant les organisations appartenant au classement Fortune 500.
Patrimoine immatériel : « Eyes Only »
En 2016, plus que jamais, la valeur d’une entreprise réside en grande partie dans ses données qui constituent non seulement son patrimoine informationnel mais aussi potentiellement un risque pour sa notoriété, voire celle de ses clients et partenaires en cas de cyberattaques. Il est donc stratégique de les protéger en interne ou à l’extérieur du périmètre du système d’information contrôlé par l’entreprise.
On le sait, la priorité en matière de protection consiste à identifier et classer les informations : publiques, internes, confidentielles, secrètes. L’expression « Eyes only » est un code parfois employé pour classer des informations « critiques ». La visibilité restreinte offerte par les outils actuels pour identifier les données ciblées pose un problème majeur aux équipes IT comme aux équipes métier. Ou sont les données critiques ? Avec quel cycle de vie ? (une donnée peut être critique a un instant T et ne plus l’être à T + n).
Pourtant les menaces sont réelles. Au-delà des motivations « militantes » des attaquants, les motivations purement financières font naître chaque semaine de nouveaux groupes de cybercriminels très structurés et répondant à des besoins divers. On comprend dès lors le sens « stratégique » qu’il faut attribuer aux quatre grandes familles de données : données perso/campagne-marketing pour le cyber-business « intrusif », données-perso/santé pour les risque de cyber chantage, données/informations pour les vols « militants/lanceurs d’alertes », données/renseignement pour le cyber espionnage (propriété intellectuelle, process de fabrication, infos stratégiques VIP, contrats, feuilles de route, etc.).
Fuite de données des origines internes
Aujourd’hui, la majorité des fuites de données provient de l’intérieur des organisations. Elles ne sont pas toutes volontaires, comme lors d’opérations de social engineering (acquisition illégale auprès de sources humaines d’informations utiles à une fuite de données). Les comportements des collaborateurs répondent souvent à une demande légitime pouvant donner lieu à une fuite accidentelle. Exemple : envoyer un fichier sensible via une messagerie non sécurisée, donner une clé USB, travailler via un Wifi public, oublier son terminal dans un taxi, partager sur Dropbox des données sensibles… Des attitudes guidées par une bonne intention à l’origine mais générant des risques à l’arrivée. Une récente étude de Forrester établit que 50 % de services Cloud sont déployés par des départements en dehors de l’IT, et que 44 % des données corporate stockées dans le Cloud ne sont pas managées ou contrôlées par les départements informatiques. Ce phénomène se résume sous l’appellation Shadow IT. Une tendance forte et risquée : entre 26 % et 50 % des données stockées dans le Cloud ne seraient pas gérées par le département informatique. On sent le risque.
Fuites de données :
440 milliards de dollars de pertes
Un fossé se creuse entre les organisations attaquées et les méthodes employées par les cyberattaquants. Ces derniers, conscients des vulnérabilités de leurs cibles (centres hospitaliers, services divers, PME et sous-traitants d’OIV, industries et systèmes Scada…) en profitent pour adapter leurs méthodes d’attaques. Pour 2015, Ponemon estime à 440 milliards de dollars le total des pertes attribuées aux fuites de données. Une industrie du cybercrime s’est développée, s’organise et prospère. Phénomène inquiétant : ce nouveau business anime et fait vivre un écosystème via des market places de moins en moins underground et de plus en plus profitables.
Menaces externes : absence de patch et outils performants
Les attaques purement externes pour exfiltrer des données se radicalisent. Les fameuses APT (Advanced Persistent Threat) illustrent cette tendance. Cédric Pernet explique les scénarios les plus répandus dans son livre sur le cyber-espionnage (« Sécurité et espionnage informatique » chez Eyrolles). Contrairement aux idées reçues, l’usage de 0 Day par les attaquants n’est pas systématique. Ce n’est pas nécessaire car les entreprises sont rarement à jour dans le déploiement des patches indispensables pour « colmater » les vulnérabilités indiquées par les éditeurs. Pour les attaquants, c’est une aubaine ; Ils n’ont plus qu’à faire passer à travers ces portes entrouvertes leurs codes malveillants (malwares) via des méthodes bien connues : spear-phishing sur les messageries, watering hole pour les sites… Une fois le code introduit, ils exfiltrent les données ciblées via des protocoles classiques (FTP/SFTP, SMTP, DNS…). Pour couronner le tout, certains cyberattaquants chiffrent les données volées au moyen de protocoles crypto courants comme AES et RC4.
Prestataires externes, cadre réglementaire et… confiance
Le contrôle des accès privilégiés des prestataires extérieurs est devenu une préoccupation majeure des responsables de la sécurité IT des entreprises. Des groupes d’attaquants comme « APT1 » aux US poursuivent essentiellement deux objectifs lorsqu’ils veulent compromettre des machines pour dérober les données: résilience des communications avec les machines compromises et anonymisation. Face à ces menaces, les recommandations du cabinet Gartner pour combler les failles liées aux accès privilégiés à distance sont claires : limiter le périmètre en accordant systématiquement le niveau de privilèges minimum nécessaire pour la tâche à accomplir et instaurer des limites de temps aux prestataires extérieurs. Ces derniers n’ont généralement besoin que d’un accès exceptionnel de courte durée. Il faut aussi imposer une procédure d’authentification à chaque demande d’accès et déployer des outils d’aide à la gestion des accès privilégiés à distance.
On le comprend, côté organisations et entreprises, le climat n’est plus à l’optimisme face aux fuites de données. Il s’agit d’un problème complexe: partager plus de données avec plus de sécurité. La protection de ces données sensibles de plus en plus voyageuses (Cloud, RSE, datacenters, mobiles, outils shadow IT…) pose de sérieux problèmes aux IT Security Managers de la planète. L’Europe en a conscience. La GDPR (General Data Protection Regulation), une loi directement applicable par les 28 pays de l’Union Européenne, vient d’être adoptée en avril dernier. Un de ses articles prévoit la protection des données « BtoB » confiées à un tiers (Fournisseurs de services Cloud, opérateurs…). Ces derniers se verront dans l’obligation de garantir la traçabilité des données qui leur seront confiées. En cas de non-respect, de fortes amendes sont prévues. IDC estime que les dépenses totales en logiciels de sécurité liées au GDPR en Europe atteindront 811 millions US$ en 2016, 1 335 millions US$ en 2017 et 1 713 millions US$ en 2018.
« Panama papers » les leçons à tirer
Le maintien d’une bonne image via les atteintes à la notoriété et à l’e-réputation s’avère également stratégique. Une prise de conscience s’effectue lentement au plus haut niveau de la gouvernance des entreprises. Pour Jérôme Lebegue, responsable du Pôle Conseil et consultant en sécurité informatique chez Amossys : « Au regard de la sécurité actuelle des systèmes d’information de beaucoup de sociétés, ces fuites risquent de devenir de plus en plus fréquentes. Dans l’affaire « Panama Papers » les mesures de protection n’étaient clairement pas en adéquation avec la sensibilité des données à protéger et cela est encore bien trop souvent le cas dans la plupart des entreprises. ». Une analyse confirmée par Hervé Schauer, directeur HSC chez Deloitte : « La faiblesse de la sécurité du cabinet panaméen est symptomatique de nombreux prestataires, qui devraient être des prestataires de confiance, mais que personne ne contrôle ni audite. Le cabinet visé ayant de grands clients institutionnels, c’est de leur responsabilité d’aller auditer la sécurité de leur fournisseur de taille plus petite. »
Richard Turner, président EMEA de FireEye, livre une analyse impliquant plus globalement l’ensemble des dirigeants : « Les pertes financières dues à un vol de données s’étendent longtemps après que l’attaque initiale ait eu lieu. Elle met en lumière le coût caché des cyberattaques sur les entreprises, avec des consommateurs moins enclins à acheter auprès d’organisations réputées négligentes en matière de sécurité, et de plus en plus tentés d’engager des poursuites contre des fournisseurs si leurs données tombent entre de mauvaises mains. ».
Data Breach : gérer un risque cyber supérieur à 1 million de $
Les répercussions immédiates d’une data breach concernent directement leurs dirigeants qui sont tenus pour responsables du moindre incident. On l’a vu chez Sony comme dans d’autres compagnies. D’un point de vue économique, les fuites de données doivent aujourd’hui être considérées comme un risque majeur. Les attaques contre les organisations financières impactent directement les investissements et le cours de la bourse. Du coup, agences de notation et organismes de contrôles financiers intègrent désormais les risques cyber comme vient de le faire Moody’s. Cette approche des acteurs des milieux financiers doit se comprendre à leur propre niveau de responsabilité. Cette démarche de prévention contre les fuites de données éventuelles leur permet d’éviter que les investisseurs ne se retournent contre eux dans le cas… d’un décrochage boursier causé par une fuite de données sensibles par exemple.
Atteinte aux actifs informationnels :
un impact financier à 1,1 million de dollars.
Aon Risk Solutions, une division mondiale de gestion des risques cyber du groupe d’assurance Aon, a publié en juin 2015 une étude qui examine l’impact financier d’une atteinte aux actifs informationnels par rapport aux biens tangibles. Résultats : plus d’un tiers (38 %) des entreprises ont enregistré un sinistre majeur provoqué par une atteinte à la sécurité des données au cours des 24 derniers mois. L’impact financier moyen de ces incidents a été chiffré à 1,1 million de dollars.
