Vos données sont-elles en sécurité?
Bête noire des DSI, la protection des données donne aussi des maux de tête aux directions générales. Une fois le niveau de sensibilité déterminé, reste à déployer les actions... Mais la mobilité accrue et les exigences des collaborateurs rendent la tâche complexe.
Je m'abonneLa machine à écrire va-t-elle reprendre du service? La question est prise au sérieux par certains députés allemands suite aux récentes révélations d'Edward Snowden sur l'espionnage pratiqué par la NSA (services secrets américains), et notamment sur le téléphone mobile d'Angela Merkel. Et les Allemands ne sont pas les seuls à se poser ce genre de questions, puisqu'une branche des services secrets russes a émis, en 2013, un appel d'offres pour... des machines à écrire ! En cause, encore et toujours, les problèmes de sécurité informatique. La protection des données sensibles est donc plus que jamais d'actualité, sachant que ces données envahissent notre quotidien. Selon une étude Oracle, 90% de celles qui existent aujourd'hui ont été créées il y a moins de deux ans. Et d'ici à 2020, le volume sera multiplié par 50! Or, qui dit croissance de la numérisation des informations (multiplication de terminaux mobiles, d'objets connectés, domotique, etc.), dit risques accrus en matière de sécurité.
Évaluer les risques
La situation est paradoxale. Aujourd'hui, alors que les entreprises ont beaucoup progressé sur la prise en compte des risques de sécurité liés aux infrastructures physiques (bâtiments, bureaux, matériels...), les risques immatériels restent sous-évalués, puisqu'ils sont, par définition, plus difficiles à appréhender. "Généralement, lorsqu'elle se fait voler des données, l'entreprise n'en a pas connaissance, pas plus qu'elle n'a conscience du risque qu'elle encourt", souligne Thierry Karsenti, directeur technique Europe de Check Point (fournisseur de solutions de sécurité SI). Or, près d'un ordinateur sur quatre contient un cheval de Troie fonctionnant à l'insu de l'utilisateur, ce dernier étant piloté à distance par un hacker.
À vrai dire, il est quasiment impossible de tout sécuriser. D'où la nécessité de faire des choix à partir d'une estimation sur la sensibilité des données. Une bonne stratégie de sécurisation passe donc par une classification. "Il faut savoir quoi protéger et comment le protéger", confirme Alain Bouillé, président du Cesin (Club des experts de la sécurité de l'informatique et du numérique) et directeur de la sécurité du SI de la Caisse des Dépôts. Le management et la DSI doivent donc collaborer pour déterminer des niveaux de risques en fonction de l'importance des données. "Le rôle des services métiers, et donc des acheteurs, est de communiquer aux DSI les données capitales à protéger", confirme Laurent Heslault, directeur stratégie sécurité chez Symantec.
Une première stratégie consiste à vivre en univers clos, avec un accès du SI totalement impossible depuis l'extérieur. "De rares entreprises fonctionnent encore ainsi", précise Thierry Karsenti (Check Point). La sécurité n'est pour autant pas garantie totalement, puisque la fuite des données peut être orchestrée par les salariés eux-mêmes. Une autre stratégie autorise à laisser les données sortir, sans pour autant faire de son SI le talon d'Achille de l'entreprise. Les données qui sortent le font uniquement via des terminaux contrôlés (que ce soient des laptops, des clés USB...) via des outils de chiffrement qui seront, par ailleurs, totalement transparents pour l'utilisateur. Ces chiffrements s'inscrivent d'ailleurs dans une stratégie de DLP (Data lost prevention), qui permet de se prémunir contre le risque de perte de données.
Mobilité, Byod et cloud viennent semer encore plus le trouble
Avec le double phénomène "mobilité-Byod" (bring your own device), la situation frise le casse-tête. L'accès au SI de l'entreprise est, désormais, possible à partir de n'importe où (via la 3G et la 4G), via les terminaux "intelligents" du moment (smartphone, phablette, tablette...). La donnée de l'entreprise n'est plus maîtrisée, elle va cohabiter avec des données personnelles, et avec des usages qui ne sont plus seulement d'un individu, mais également de la famille. Le tout étant sauvegardé sur différents services cloud (OneDrive, Dropbox, iCloud, etc.). Pour limiter le risque, la solution consiste à isoler les données professionnelles de celles qui sont privées. "L'entreprise reste responsable de ses données en faisant fonctionner les terminaux sous forme de bulles, de containers, afin d'assurer un cloisonnement total", explique Loïc Guézo, évangéliste sécurité de l'information pour l'Europe du Sud chez Trend Micro (éditeur de logiciels de sécurité informatique). Autre méthode, contrôler le déploiement des terminaux. C'est notamment ce qu'a retenu en 2014 la Caisse des Dépôts, qui propose à ses coéquipiers des terminaux professionnels dont l'usage privé est possible, certes, mais contrôlé. Finalement, quels que soient les niveaux de protection adoptés, nul n'est à l'abri. Il suffit de penser aux vols de données constatés ces dernières années par les grands opérateurs téléphoniques, pour prendre la mesure de la problématique.
Témoignage de Thierry Maure, manager de projet à la direction infrastructure et technologie chez Auchan
La protection des données chez Auchan a été prise à bras-le-corps depuis de nombreuses années. A fortiori en 2013. En effet, en raison de l'obsolescence de ses infrastructures de sauvegarde (logicielles et matérielles), Auchan a entrepris de refondre le système de sauvegarde des données de l'ensemble de ses datacenters en France. Un projet qui s'est achevé en juin 2014. Deux sites de production, l'un à Paris, l'autre à Lyon, assurent cette sauvegarde grâce à différentes salles éloignées les unes des autres. "Les données sont sauvegardées en croisée sur les deux salles de chaque site (Paris et Lyon) grâce aux solutions Quantum, sachant que les données de Lyon -qui représente le site le plus sensible- sont répliquées sur le site de Paris tous les jours", souligne Thierry Maure, manager du projet à la direction infrastructure et technologie chez Auchan. Les volumes sont conséquents: sur les 70 teras de données primaires de chaque salle, 5 à 10 teras sont sauvegardés quotidiennement.
La protection des données ne peut être garantie qu'à partir du moment où l'expression des besoins est correctement établie. Surtout lorsque le parc informatique est hétérogène... ce qui est le cas avec Auchan. "Il s'agit de bien définir les objectifs de sauvegardes initiales et la volumétrie de traitement, afin de?mettre en place une infrastructure capable d'y répondre", précise Thierry Maure. Enfin, sur la question de l'intégrité des données, l'infrastructure matérielle est redondée, ce qui limite forcément le risque de corruption ou de perte.