Prévention

Sécurité des données à caractère personnel : les étapes pour se prémunir des risques

Dans un environnement où l’informatique est devenue quasi omniprésente, la sécurité des données personnelles soulève de nombreuses interrogations. Un certain nombre de mesures peuvent être prises par les établissements bancaires pour identifier les failles et les menaces qui pèsent sur leurs systèmes.

L'auteur

  • Leduc
    • Responsable de l’équipe audits de sécurité & tests d’intrusion
      BT en France

Revue de l'article

Cet article est extrait de
Revue Banque n°769

Données personnelles : une protection de plus en plus renforcée

La loi Informatique et Libertés impose aux organisations une obligation de sécurité et de confidentialité, assorties de sanctions pénales. Dans certains pays tels que les États-Unis, les banques ont l’obligation d’avertir les clients concernés par un vol de données personnelles sur leurs systèmes d’information. Nous pouvons citer l’exemple de JP Morgan qui, en décembre dernier, a dû notifier individuellement aux 465 ​000 ​détenteurs de cartes bancaires que leurs données personnelles avaient pu être récupérées par des hackers, suite à une cyberattaque menée contre la banque quelques mois auparavant [1]. Les réglementations européennes et australiennes semblent se diriger vers des obligations similaires. Ainsi, au-delà de l’impact direct d’une attaque, l’impact indirect en termes d’image deviendra particulièrement important.

La première étape consiste à identifier et recenser ses biens. Les données à caractère personnel – qui ne se limitent pas aux nom et prénom, mais concernent également la date de naissance, le lieu de résidence, le numéro de téléphone, etc. – peuvent être présentes à plusieurs endroits, dont certains inattendus. Des données à caractère personnel sont par exemple générées dans des traces de connexion informatique listant les adresses IP des visiteurs d’un site Internet et l’heure de leur visite.

Identification des vulnérabilités

Il convient de distinguer les failles dans son propre système et les données diffusées suite à une erreur humaine ou technique. Ces failles dites « classiques » ont peu évolué ces dix dernières années. Elles sont souvent liées à de mauvaises pratiques dans le développement des applications, que ce soit au niveau de leur conception ou de leur implémentation. La liste des dix failles les plus critiques est publiée par l’OWASP [2] dont le but est de sensibiliser les organisations et les utilisateurs autour de la sécurité sur Internet.

On retrouve également dans cette catégorie les failles dues à une erreur humaine. Le choix d’un mot de passe facile à trouver ou à deviner, par exemple, présente un risque, d’autant plus que les questions secrètes de récupération de mot de passe peuvent être facilement piratées. L’envoi d’un fichier à un mauvais destinataire ou mis à disposition par erreur est un autre exemple. La loi Informatique et Libertés punissant le défaut de protection des données personnelles, il est nécessaire de prendre des mesures techniques et d’organisation appropriées. Une recommandation organisationnelle : une donnée identifiée comme confidentielle ne devrait pas pouvoir être diffusée à une liste de destinataires multiples.

L’ingénierie sociale (social engineering), enfin, est une menace qui se caractérise par des failles humaines exploitées par des attaquants. Elle repose sur la théorie MICE [3] décrivant les quatre piliers de motivation sur lesquels les attaquants s’appuient pour exercer leur manipulation. Un exemple d’ingénierie sociale sur l’ange d’attaque « Coercion » : une personne vous contacte par téléphone et se fait passer pour un membre de l’équipe informatique de votre organisation, vous demande de taper votre mot de passe sur un site Internet qu’il vous fournit, dans le but de récupérer les données auxquelles vous avez accès. Pour vous pousser à agir, il peut vous faire croire que votre responsable a expressément demandé que l’action soit effectuée rapidement.

Les failles dans le système d’un tiers (fournisseur, partenaire, hébergeur)

Faire appel à une société tierce pour sous-traiter un besoin peut entraîner un risque. Un exemple courant est la mise en place d’un mini-site Internet pour une campagne marketing. Pour ce type de projet, il est nécessaire de vérifier plusieurs éléments en amont :

  • définir et valider les modalités du contrat par le Responsable de la sécurité du système d’information (RSSI) et le CIL de votre entreprise avant la mise en production du mini-site ;
  • identifier l’ensemble des sociétés en rapport avec le contrat (l’agence de communication peut faire appel à une agence web qui peut elle-même faire appel à un hébergeur) ; pour chacune d’entre elles, les règles de sécurité interne sont différentes et peuvent en conséquence ajouter des failles potentielles ;
  • identifier les données à caractère personnel ;
  • tester le mini-site et éprouver sa sécurité.

Le transit ou le stockage d’informations dans le cloud présente aussi des enjeux de sécurité. Il est nécessaire de connaître les pays où circulent des données à caractère personnel et prendre des mesures particulières quand elles quittent le pays d’origine. Il peut s’avérer extrêmement compliqué d’obtenir ces informations. C’est le cas notamment pour certains services de cloud qui hébergent les données dans un pays et les sauvegardent dans un autre.

Identification des menaces

Comme indiqué précédemment, les failles les plus critiques ont peu évolué ces dernières années. Les attaquants qui exploitent ces failles se sont organisés. Des experts ont créé des outils « clé en main » qu’ils revendent au marché noir ou mettent à disposition librement sur Internet. Ainsi, les attaquants n’ont plus besoin de connaissances particulières pour s’en prendre aux données personnelles et le rapport bénéfice/risque de l’attaque penche largement en leur faveur.

Les motivations des attaquants peuvent être classées en trois catégories :

  • le cybercrime. Les données personnelles ont une valeur : elles peuvent être revendues au marché noir ou exploitées directement, pour l’envoi de communications non sollicitées (spam) par exemple ;
  • le renseignement ou l’espionnage, qui peuvent être d’origine gouvernementale ou privée ;
  • l’activisme idéologique et politique, ou simplement l’envie de prouver ses compétences. Dans ce cas, les données volées sont souvent publiées sur Internet. Le site Pastebin.com est régulièrement utilisé par des hackers pour afficher leurs exploits et prouver leur réussite en divulguant tout ou partie des données. C’est dans cette catégorie que l’on trouve les actions parfois très médiatisées du groupe des Anonymous.

Quelle que soit sa motivation, les moyens nécessaires à l’attaquant pour arriver à ses fins sont, somme toute, assez faibles. De plus, l’attaquant prend peu de risques. Il est encore aujourd’hui très compliqué de déterminer avec certitude l’origine d’une attaque ; pour cela, elle doit déjà avoir été détectée, ce qui n’est pas toujours le cas.

Ainsi, il est indispensable de mettre à disposition des responsables de la protection des données de l’entreprise des moyens de plus en plus importants pour mener à bien leur mission. Ces moyens doivent être financiers et techniques, mais le RSSI et le CIL doivent également disposer, pour être écoutés, de soutiens en interne.

Par exemple, leur rôle lors de l’établissement de contrats d’hébergement ou d’infogérance ne doit pas être minimisé. Ils n’ont pas vocation à bloquer les initiatives, mais bien à les accompagner afin d’apporter leur soutien dans la sécurisation, en particulier concernant les données à caractère personnel.

En conclusion, le RSSI doit bien être vu comme responsable de la sécurité de l’information – qu’elle soit hébergée dans l’organisation ou ailleurs – au sein de l’entreprise et non comme responsable de la sécurité informatique.

[1] Source : Reuters.

[2] Open Web Application Security Project.

[] Money, Ideology, Coercion, Ego.

 

Sommaire du dossier

Données personnelles : une protection de plus en plus renforcée

Sur le même sujet