[Cybercriminalité] Vol de données d'origine externe: comment protéger son SI?

Yahoo, Dropbox, LinkedIn, Ashley Madison... Ces derniers mois, la liste des entreprises victimes de vols de données n'a cessé de s'allonger. Et la menace n'est pas près de disparaître: "Les données, c'est la nouvelle monnaie du XXI^e siècle", rappelait Helena Pons-Charlet, head of legal chez Microsoft, à l'occasion du dernier Congrès des Daf et directeurs financiers qui s'est tenu le 7 juillet 2016 à Paris.

Cependant, l'ampleur du phénomène peut être nuancée: selon Marion Duchatelet-Bajeux, directrice marketing de Market Espace, éditeur de Track Up, une solution de tracking des bases e-mail qui permet de détecter les vols de données, le piratage des données par des hackers ne représente que 2% des vols de données. Les collaborateurs internes constituent la première source de fuite de données, suivis des partenaires puis des prestataires.

Il n'en reste pas moins que le risque de vol de données d'origine externe ne doit pas être négligé. Si les fraudeurs internes cibleront plutôt des données facilement accessibles et réutilisables (bases CRM), une intrusion dans le système informatique de l'entreprise offre aux hackers l'accès à un vaste panel de données: boîtes mails des personnes-clés de l'entreprise, données financières et comptables... "Les agressions externes, à des fins d'espionnage voire de sabotage, sont aujourd'hui extrêmement fréquentes et discrètes", alerte l'Agence nationale de la sécurité des systèmes d'information (ANSSI) dans son "Guide d'hygiène informatique". D'autant que la responsabilité juridique de l'entreprise peut être engagée en cas de perte de données. Dès lors, "les Daf ne peuvent se débarrasser de la question en estimant que c'est un problème de technicien", martèle Laurent Bloch, expert en infrastructures informatiques, coauteur de l'ouvrage Sécurité informatique pour les DSI, RSSI et administrateurs (Eyrolles).

"Les Daf ne peuvent se débarrasser de la question en estimant que c'est un problème de technicien"
Laurent Bloch

Pas de solution "miracle" face aux hackers

"Les attaques et la vulnérabilité évoluent en permanence. La créativité des attaquants est très forte", souligne Laurent Bloch. Les modes opératoires des hackers se renouvellent constamment, tandis que les processus des sociétés sont en permanente transformation (BYOD, cloud, objets connectés, etc.), ce qui accroît le risque de failles informatiques: difficile, dans ces conditions, de croire qu'un dispositif technique global protégera durablement l'ensemble du SI de l'entreprise.

Quelques éditeurs, néanmoins, proposent des solutions répondant à des besoins précis, notamment pour les structures de l'e-commerce: Track Up, de Market Espace, permet ainsi de détecter les utilisations frauduleuses de bases de données e-mails pour les sociétés ayant des activités d'acquisition. Les solutions proposées par les éditeurs concernent surtout les données reconnues comme sensibles, mais ne permettent pas de détecter toute intrusion dans le SI: Sage et ThreatMetrix, par exemple, proposent des modules pour sécuriser les données bancaires lors des paiements, Varonis des outils pour identifier et protéger les informations sensibles, etc.

> Lire la suite en page 2

Le RSSI, un poste incontournable

Face à ce risque protéiforme et fluctuant, assurer la sécurité des données est une tâche complexe. D'où un premier impératif: la nécessité de disposer des compétences indispensables pour assumer cette mission. Et même si le recours à la sous-traitance est fréquent dans le domaine de l'informatique, "il faut avoir une part de la compétence en interne", alerte Laurent Bloch. Pour une entreprise de taille moyenne, avec un effectif d'environ 200 salariés, l'expert recommande de mettre en place, a minima, une équipe de quatre personnes: un DSI intégré au conseil d'administration de l'entreprise, un responsable de la sécurité et des systèmes d'information (RSSI), un responsable pour l'informatique de gestion (qui connaisse les systèmes financiers et comptables), et enfin un responsable pour les postes de travail utilisateurs.

Dans un contexte de transformation numérique des organisations, le RSSI est un profil de plus en plus recherché. Comptez une rémunération fixe comprise entre 70 et 100 k€ pour un RSSI avec 6 à 10 ans d'expérience, avec un variable pouvant aller jusqu'à 30%, selon la dernière étude de rémunérations de Robert Half. Pour assurer sa fonction, le RSSI doit être en mesure de critiquer les processus du système d'information, et donc la DSI. C'est pourquoi il doit rapporter directement à la DG, estime Laurent Bloch.

Gestion des identités et tests de pénétration

"La gestion des identités, c'est fondamental", rappelle Laurent Bloch. Pierre angulaire du SI, l'annuaire des personnes, des entités et du matériel doit être tenu à jour quotidiennement par un processus de gestion des identités et des habilitations. Chaque agent ou entité enregistré dispose d'habilitations particulières, qui limitent ses actions ou ses accès au SI. L'ANSSI recommande de disposer d'une cartographie précise de l'installation informatique et de la maintenir à jour, ainsi que d'un inventaire exhaustif des comptes à privilèges, cible de choix pour les utilisateurs malintentionnés, car ils offrent un accès étendu au SI. Sur ce point, quelques éditeurs tels que Wallix, Balabit ou encore Cyberark proposent des outils pour gérer et surveiller ces comptes sensibles.

Enfin, pour évaluer la résistance de votre SI face aux intrusions, Laurent Bloch recommande de faire réaliser une fois par an un test de pénétration du SI par une entreprise spécialisée (Hervé Schauer Consultants, NBS System ou encore Synacktiv). Cette démarche sera le meilleur moyen de convaincre la DG de consacrer des ressources à la DSI: en moyenne, il suffit d'une demi-journée à ces prestataires pour prendre le contrôle du SI dans les entreprises où ils interviennent...