DIGITAL SOLUTIONS
Luxleaks et Suissleaks confirment l’importance d’une sécurité interne pour protéger les données
Après les scandales de Luxleaks et Suissleaks avec HSBC qui viennent s'ajouter aux indénombrables fuites/pertes et vols de données dans le monde, les oeillères tombent. Fortement médiatisées, ces affaires montrent que toutes les données ont de la valeur et toutes doivent être protégées. Plus personne n'est à l'abri et tous doivent se poser les questions de gestion des accès, de traçabilité des données et d'hygiène informatique générale.
February 11, 2015
Après les scandales de Luxleaks et Suissleaks avec HSBC qui viennent s’ajouter aux indénombrables fuites/pertes et vols de données dans le monde, les oeillères tombent. Fortement médiatisées, ces affaires montrent que toutes les données ont de la valeur et toutes doivent être protégées. Plus personne n’est à l’abri et tous doivent se poser les questions de gestion des accès, de traçabilité des données et d’hygiène informatique générale.
Jacques Besnard, CEO d’ESBD, revient sur ces enjeux qui traversent les années sans perdre de leur importance. Avec un risque zéro qui n’existe pas, les entreprises oscillent entre obligations sécuritaires, budget et évaluation du risque. 2015 doit être l’année de l’action car des solutions existent, pour la sécurité internes comme externes.
– Comment expliquer le manque d’hygiène informatique dans des entreprises qui gèrent autant de données ?
“Cette nature de fraude ou de fuite, n’est pas réellement nouvelle. Pour beaucoup d’entreprises, il n’est pas toujours politiquement correcte de penser que les fraudes proviennent d’avantage de l’intérieur que de l’extérieur.
Votre question exprime d’ailleurs cette pensée. Même s’il est évident que le départ d’un employé devrait immédiatement mettre fin à ses possibilités d’accès aux systèmes de l’entreprise, il n’en est pour autant pas démontré qu’un ex-employé soit plus ‘dangereux’ qu’un employé toujours actif.
Pour autant, vous avez raison, les responsables de la sécurité devraient avoir les moyens de savoir en temps réel ou au moins dans un délai très court, ce qu’il advient des droits des employés et des accès aux données de l’entreprise.
Il existe évidemment des logiciels sur le marché qui permettent cela, et ESBD est souvent impliqué dans la mise en place de telles solutions de sécurité. Notre expérience nous a souvent prouvé de façon étonnante que ce ne sont pas toujours les entreprises gérant les données les plus sensibles qui sont les mieux protégées.”
– Est ce que la traçabilité des données et la sécurité internes sont moins considérées que la sécurité globale des systèmes ?
“Pour les raisons expliquées précédemment, souvent la priorité des investissements de sécurité ont été mis sur la protection des accès extérieurs. Ce n’est d’ailleurs pas aberrant, et des piratages de données comme celui subi par Sony, montrent qu’il est important de sécuriser au mieux les systèmes des accès extérieurs également. Cependant, pour nombre d’entreprises, le travail à réaliser en matière de sécurité ‘intérieure’ reste très important, et les budgets alloués ne permettent pas d’adresser tous les besoins en même temps.
ESBD, s’efforce d’assister et de conseiller ses clients sur ces deux pans de la sécurité. (Extérieure ET intérieure). L’un peut difficilement être efficace sans l’autre. Notre méthode principale est de nous concentrer sur la sécurité des données elles mêmes, en même temps que sur les moyens d’y accéder.”
– Faut-il plus de scandales pour un réel passage à l’action ?
“On peut supposer que l’affaire HSBC va un peu secouer les directions et que leurs regards vont pour un temps se concentrer sur ces aspects sécuritaires. Cependant je pense que la prise de de conscience est maintenant ancienne, car nous sommes loin d’en être à notre première affaire. Le Luxembourg avec Clearstream en a déjà fait l’amère expérience.
La sécurité est un sujet complexe: elle doit être au service du Business sans pour autant l’empêcher de fonctionner. De ce fait une sécurité à 100% ne peut quasiment pas exister, ce qui ne veut pas dire qu’il ne faille pas se protéger évidemment. L’enjeu consiste à trouver une juste balance et à définir les priorités. On peut symboliser une sécurité de qualité par une succession de barrières de plus en plus difficiles à franchir.
Les hackers (attaques extérieures) consacrent un temps limité à une tentative d’intrusion.
Ils savent que plus ils passent de temps connectés à un système, plus ils risquent de se faire repérer. Donc l’enjeu consiste à les ralentir le plus possible. Pour l’intérieur, la ségrégation des rôles est essentielle. Par exemple il semble normal qu’un administrateur de base de données puisse effectuer son travail et modifier des structures de tables. Pour autant devrait il avoir accès aux données qu’elles contiennent?
Il est essentiel de pouvoir définir des droits précis pour les utilisateurs, mais également d’avoir une traçabilité associée à des alertes efficaces, permettant aux responsables de la sécurité d’être informés quasi en temps réel des comportements anormaux des utilisateurs.
Il est également important que chacun sache que s’il effectue une fraude depuis l’intérieur il sera rapidement identifié.
L’idée n’est évidemment pas d’instituer un climat de crainte ou de peur, mais plutôt de responsabiliser chaque employé en lui donnant les moyens de travailler correctement ainsi que la conscience de la portée de ses actes. Les solutions que nous sélectionnons à ESBD ainsi que les conseils que nous donnons à nos clients s’inscrivent principalement dans cette philosophie : la sécurité au service du business.”
Si la question du coût et de la priorité revient souvent, les entreprises devraient faire un calcul simple : qu’elles sont les valeurs de sa réputation et de ses données (recherches/développement, innovation, bilan d’activité, données stratégiques, données bancaires, etc) en comparaison à l’investissement en sécurité globale ? A l’instar des assurances, n’avoir aucune sécurité n’est qu’un pari, celui d’espérer ne pas être attaqué…un pari devenu fou. Antoine Deltour (PwC), Hervé Falciani (HSBC) et même Edward Snowden, des noms qui resteront célèbres, comme lanceurs d’alertes, opportunistes ou simplement preuves de systèmes défaillants.