Veiller à la sécurité des informations, une obligation enfin imposée aux entreprises

 |   |  1072  mots
(Crédits : DR)
La loi de programmation militaire actuellement en débat impose aux entreprises de veiller à la sécurité de leurs données. Une obligation bienvenue, alors que nombre de directions générales sont encore inconscientes de ces enjeux. Par Théodore-Michel Vrangos, président co-fondateur d'I-Tracing

Il y a quelques jours, lors d'un événement sur la sécurité Internet, un important opérateur télécom français, SFR pour le nommer, distribuait aux visiteurs de son stand un gadget publicitaire, des goodies comme on dit, un petit cadenas à code avec un mini logo, celui des douanes américaines. L'explication étant que ce cadenas est ouvrable par les autorités américaines qui possèdent la clé physique (les voyageurs à destination des USA reconnaîtront l'avantage de ce gadget : ne plus se faire casser les valises voyageant en soute lors des contrôles d'aéroport).

De multiples vulnérabilités

Ce petit gadget symbolise bien un aspect de ce que nous vivons actuellement dans la protection des informations, les vulnérabilités multiples auxquelles sont soumises nos informations personnelles mais surtout les données confidentielles de nos entreprises. Cela concerne le stockage des informations dans des "datacenters" couverts par le "Patriot Act" (datacenters sur le territoire américain mais aussi ailleurs dans le monde, du moment où ils sont exploités par du personnel de nationalité américaine) obligeant les entreprises à répondre aux requêtes des autorités US.

Héberger ses données en France ne suffit pas

Cela touche également les flux Internet (mails, applications métiers, web, etc.) transitant très souvent en clair, non-cryptés par des fibres optiques appartenant à des grands ISP internationaux (Level 3, Verizon, BT, notamment) potentiellement accessibles eux aux écoutes data (à travers notamment les fameuses sondes de DPI - Deep Packet Inspection, capables d'extraire à la volée puis de traduire, analyser, reconstituer, stocker des flux de trafic).

Il est bien sûr plus prudent pour une entreprise française ou européenne, à l'instar du petit gadget, d'héberger ses données et applications en France et en Europe plutôt que dans un data-farm US, mais ce n'est pas tout, loin s'en faut. A l'heure où les entreprises doivent ouvrir leurs systèmes d'information à leurs clients et partenaires, à l'heure où l'Internet en mobilité est une obligation d'existence (voire de survie, La Redoute vient malheureusement de le démontrer…), la sécurité des informations et donc du patrimoine de l'entreprise, est crucial.

S'ouvrir... et se protéger

Nous sommes au cœur d'un paradoxe : d'un côté l'entreprise doit s'ouvrir « Internetement » parlant pour profiter de cette extraordinaire dimension, aspirée à vitesse grand V par les utilisateurs (générations Y, Z,…) et d'un autre côté, l'entreprise doit se protéger pour ne pas se faire totalement dépouiller et veiller à ce que ses clients ne le soient pas aussi. Ce que le grand public, non informaticien, à titre privé ou au sein des entreprises ne mesure pas totalement, c'est le haut degré de complexité des back-offices informatiques-télécoms ; accéder à son compte bancaire en ligne depuis son smartphone alors que l'on est dans le métro à Paris, paraît super normal mais est aussi super complexe ! Et complexité rime avec vulnérabilité !

La sécurité des informations, aussi une affaire de business, d'espionnage ciblé...

La sécurité Internet ne se limite donc pas à l'hébergement des données et peut se comparer à une fleur dont chaque pétale comporte ses propres vulnérabilités, solutions et actions à mener : l'hébergement des données, le transport des informations, l'accès légitime aux données (en tant que simple utilisateur ou utilisateur privilégié comme les informaticiens), le monitoring des bases de données, la collecte et l'exploitation des logs pour prévenir et analyser les attaques, etc.

Bien sûr des lois et procédures sont nécessaires pour lutter contre le terrorisme et le prévenir. Mais la sécurité des informations c'est aussi - et de plus en plus - une affaire de business, d'intelligence économique, d'espionnage ciblé et donc, de protection des données commerciales, métiers, financières, etc.

Les directions générales ne comprennent pas toujours...

Ces enjeux tellement structurants pour les entreprises sont-ils compris par les Directions Générales à la hauteur des risques réels ? Pas par toutes et pas toujours.

Il est donc normal qu'enfin l'État Français, au travers notamment de l'ANSSI qui monte en puissance, propose une législation plus contraignante pour les entreprises afin de les pousser à protéger leur patrimoine informationnel et à s'engager, à l'instar de ce qui existe déjà pour certains métiers tels que les données médicales ou les données de paiement par carte, à protéger les données de leurs clients, peu importe leur métier: e-commerçant, prestataire de services, banquier, etc.

C'est entre autres l'objet de la LPM (proposition de Loi sur la Programmation Militaire) actuellement en discussion au Parlement. Elle couvre différents aspects, dont notamment la prise en compte et l'application par les entreprises, sous peine d'amendes, de la sécurité des informations.

 

 Des attaques informatiques qui portent atteinte à notre compétitivité

Dans le projet de loi, le législateur a bien mesuré ce que nous constatons sur le terrain, auprès des grandes entreprises et administrations, comme l'indique Francis Delon, secrétaire général de la défense et de la sécurité nationale « la volonté du gouvernement est de ne pas rester passif face à des attaques informatiques qui portent aujourd'hui atteinte à notre compétitivité et qui demain pourraient mettre gravement en cause notre sécurité ou perturber gravement la vie des Français ». La proposition de loi vise clairement « à augmenter le niveau de sécurité des systèmes d'information des opérateurs d'importance vitale (OIV) », estimés à 200 opérateurs (EDF, les opérateurs télécoms, de distribution d'eau, les banques, La Poste, …).

Ce qui est sûr, c'est que grâce à la future loi combinée avec une maturité croissante des enjeux de la protection des données, la sécurité deviendra très vite un sujet grave de préoccupation pour les directions générales et pas seulement pour les DSI des entreprises, OIV ou pas.

 

 

 

Théodore-Michel VRANGOS, cofondateur et président d'I-TRACING, entreprise de conseil et ingénierie entièrement dédiée à la traçabilité de l'information et à la gestion de la preuve. Ancien Président de Cyber Networks, aujourd'hui BT France, qu'il avait fondée avec Laurent Charvériat, Théodore-Michel Vrangos a démarré sa carrière en tant que IT Business Manager au sein du Groupe Générale des Eaux (Vivendi) à Paris.

 

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 02/12/2013 à 14:55 :
C'est très vrai. Mais très en dessous de la réalité. Vous n'imaginez pas jusqu'où cela va. et ce n'est peut être pas si mal. Il est bien trop tard.
Il n'y a pas un seul équipement, pas un seul soft qui soit hors d'atteinte. l'open source encore moins que le closed source
Il y a beaucoup de doux rêveurs qui croient que "naaaann quand même! Ils ont pas osé! "
Mais bien sûr que si, ils ont osé, ils pouvaient le faire, donc ils l'ont fait. Pourquoi n'auraient pas aussi introduit des failles dans les softs open source? Qu'on ne vienne pas me dire qu'on ne le fait pas parce que "n'importe qui" peut aller relire.. "N'importe qui" ne relit pas, "n'importe qui" ne sait déjà pas trouver ses propres bugs, et "n'importe qui", même altruiste, aime manger régulièrement, dormir, donc il doit être payé pour travailler... Et "n'importe qui" , il a tendance à ne rien comprendre aux failles de sécurité, ou aux algorithmes de crypto.

Vous comptez développer, depuis rien :
- des techno de gravure sur silicium à 22n?
- des CPU? des chips réseau, radio ?
- des routeurs, de nouveaux équipements d'infrastructure?
- aller en GB pour couper les équipements sur les fibres?
Ne rêvez pas, c'est beaucoup trop tard.
Les US savent tout. Point.

Maintenant, on comprend mieux pourquoi RIEN n'est possible en informatique en France, et moi, je comprends enfin pourquoi l'ensemble des dirigeants ont toujours "conchié" l'informatique en France. Car en fait, ils savaient qu'on ne pouvait pas faire quelque chose de vraiment compétitif, avec les US qui savaient tout. Donc on a fait des moteurs d'avion, des avions.. des centrales nucléaires.. des trains.
La seule réaction intelligente que j'ai vue, c'est celle des services Russes, de reprendre leurs machines à écrire mécaniques, et d'interdire tout ordinateur; jusqu'à obtenir des équipements fiables. Bonjour le coût de l'aveuglement... ;-(
a écrit le 02/12/2013 à 14:55 :
C'est très vrai. Mais très en dessous de la réalité. Vous n'imaginez pas jusqu'où cela va. et ce n'est peut être pas si mal. Il est bien trop tard.
Il n'y a pas un seul équipement, pas un seul soft qui soit hors d'atteinte. l'open source encore moins que le closed source
Il y a beaucoup de doux rêveurs qui croient que "naaaann quand même! Ils ont pas osé! "
Mais bien sûr que si, ils ont osé, ils pouvaient le faire, donc ils l'ont fait. Pourquoi n'auraient pas aussi introduit des failles dans les softs open source? Qu'on ne vienne pas me dire qu'on ne le fait pas parce que "n'importe qui" peut aller relire.. "N'importe qui" ne relit pas, "n'importe qui" ne sait déjà pas trouver ses propres bugs, et "n'importe qui", même altruiste, aime manger régulièrement, dormir, donc il doit être payé pour travailler... Et "n'importe qui" , il a tendance à ne rien comprendre aux failles de sécurité, ou aux algorithmes de crypto.

Vous comptez développer, depuis rien :
- des techno de gravure sur silicium à 22n?
- des CPU? des chips réseau, radio ?
- des routeurs, de nouveaux équipements d'infrastructure?
- aller en GB pour couper les équipements sur les fibres?
Ne rêvez pas, c'est beaucoup trop tard.
Les US savent tout. Point.

Maintenant, on comprend mieux pourquoi RIEN n'est possible en informatique en France, et moi, je comprends enfin pourquoi l'ensemble des dirigeants ont toujours "conchié" l'informatique en France. Car en fait, ils savaient qu'on ne pouvait pas faire quelque chose de vraiment compétitif, avec les US qui savaient tout. Donc on a fait des moteurs d'avion, des avions.. des centrales nucléaires.. des trains.
La seule réaction intelligente que j'ai vue, c'est celle des services Russes, de reprendre leurs machines à écrire mécaniques, et d'interdire tout ordinateur; jusqu'à obtenir des équipements fiables. Bonjour le coût de l'aveuglement... ;-(
a écrit le 29/11/2013 à 16:08 :
En tant que spécialiste de la sécurité informatique depuis un paquet de temps, le problème est plus complexe encore. L'informatique est encore beaucoup vue comme un coût et la SSI donc comme un surcoût de ce coût. La majorité des points de risques est liée aux utilisateurs et leur éducation est longue, longue... Si on y ajoute le besoin frénétique d'être partout (réseaux sociaux, médias d'information et tous leurs supports...) auquel on ajoute les concepts "modernes" type le BOYD, la multiplicité des risques devient quasi insurmontable, sauf peut-être pour de très grosses entreprises. Durcir les outils, mettre de la surveillance, du filtrage, des mécanismes automatiques de réaction alourdit tout et les pressions sont fortes car l'agilité et la flexibilité sont les règles actuelles. Et identifier les maillons faibles de la longue chaine de sous-traitants, co-traitants, partenaires, etc... par où peuvent fuir les infos est un dur challenge également. Enfin, là où avant c'étaient de gentils geek qui se faisaient mousser en entrant dans votre SI, maintenant ce sont des groupes organisés, légaux ou illégaux, qui vont à la pêche économique et à la constitution de grosses bases de données sociales. Donc d'autres moyens nécessitant d'autres défenses. Et comme le bouclier a toujours un temps de retard sur le glaive...
Réponse de le 01/12/2013 à 20:35 :
En même temps, on peut peut-être les cadrer un peu plus les générations Y et Z ?!
Ne pas emmener son "device" (BYOD, au fait ;-)) ne constitue quand même pas la fin du monde et peut même faire partie d'une posture professionnelle où l'on juge la maturité.
Le marché du travail est quand même largement en faveur de l'offre des entreprises, non ? Que l'offre soit plus coercitive, y compris avec les existants, les anciens, qui doivent s'adapter d'urgence à des pratiques plus axées sur la sécurité sous peine d'être affectés au scan des micro-fiches en sous sol et vous verrez que la sécurité globale fera des progrès.
Le management ne sait pas élever la voix à juste titre, il ne s'occupe que de BI, de sa carrière (et éventuellement de la nouvelle stagiaire)...

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :