La loi Informatique et Libertés impose aux organisations une obligation de sécurité et de confidentialité, assorties de sanctions pénales. Dans certains pays tels que les États-Unis, les banques ont l’obligation d’avertir les clients concernés par un vol de données personnelles sur leurs systèmes d’information. Nous pouvons citer l’exemple de JP Morgan qui, en décembre dernier, a dû notifier individuellement aux 465 000 détenteurs de cartes bancaires que leurs données personnelles avaient pu être récupérées par des hackers, suite à une cyberattaque menée contre la banque quelques mois
La première étape consiste à identifier et recenser ses biens. Les données à caractère personnel – qui ne se limitent pas aux nom et prénom, mais concernent également la date de naissance, le lieu de résidence, le numéro de téléphone, etc. – peuvent être présentes à plusieurs endroits, dont certains inattendus. Des données à caractère personnel sont par exemple générées dans des traces de connexion informatique listant les adresses IP des visiteurs d’un site Internet et l’heure de leur visite.
Identification des vulnérabilités
Il convient de distinguer les failles dans son propre système et les données diffusées suite à une erreur humaine ou technique. Ces failles dites « classiques » ont peu évolué ces dix dernières années. Elles sont souvent liées à de mauvaises pratiques dans le développement des applications, que ce soit au niveau de leur conception ou de leur implémentation. La liste des dix failles les plus critiques est publiée par l’
On retrouve également dans cette catégorie les failles dues à une erreur humaine. Le choix d’un mot de passe facile à trouver ou à deviner, par exemple, présente un risque, d’autant plus que les questions secrètes de récupération de mot de passe peuvent être facilement piratées. L’envoi d’un fichier à un mauvais destinataire ou mis à disposition par erreur est un autre exemple. La loi Informatique et Libertés punissant le défaut de protection des données personnelles, il est nécessaire de prendre des mesures techniques et d’organisation appropriées. Une recommandation organisationnelle : une donnée identifiée comme confidentielle ne devrait pas pouvoir être diffusée à une liste de destinataires multiples.
L’ingénierie sociale (social engineering), enfin, est une menace qui se caractérise par des failles humaines exploitées par des attaquants. Elle repose sur la théorie
Les failles dans le système d’un tiers (fournisseur, partenaire, hébergeur)
Faire appel à une société tierce pour sous-traiter un besoin peut entraîner un risque. Un exemple courant est la mise en place d’un mini-site Internet pour une campagne marketing. Pour ce type de projet, il est nécessaire de vérifier plusieurs éléments en amont :
- définir et valider les modalités du contrat par le Responsable de la sécurité du système d’information (RSSI) et le CIL de votre entreprise avant la mise en production du mini-site ;
- identifier l’ensemble des sociétés en rapport avec le contrat (l’agence de communication peut faire appel à une agence web qui peut elle-même faire appel à un hébergeur) ; pour chacune d’entre elles, les règles de sécurité interne sont différentes et peuvent en conséquence ajouter des failles potentielles ;
- identifier les données à caractère personnel ;
- tester le mini-site et éprouver sa sécurité.
Identification des menaces
Comme indiqué précédemment, les failles les plus critiques ont peu évolué ces dernières années. Les attaquants qui exploitent ces failles se sont organisés. Des experts ont créé des outils « clé en main » qu’ils revendent au marché noir ou mettent à disposition librement sur Internet. Ainsi, les attaquants n’ont plus besoin de connaissances particulières pour s’en prendre aux données personnelles et le rapport bénéfice/risque de l’attaque penche largement en leur faveur.
Les motivations des attaquants peuvent être classées en trois catégories :
- le cybercrime. Les données personnelles ont une valeur : elles peuvent être revendues au marché noir ou exploitées directement, pour l’envoi de communications non sollicitées (spam) par exemple ;
- le renseignement ou l’espionnage, qui peuvent être d’origine gouvernementale ou privée ;
- l’activisme idéologique et politique, ou simplement l’envie de prouver ses compétences. Dans ce cas, les données volées sont souvent publiées sur Internet. Le site Pastebin.com est régulièrement utilisé par des hackers pour afficher leurs exploits et prouver leur réussite en divulguant tout ou partie des données. C’est dans cette catégorie que l’on trouve les actions parfois très médiatisées du groupe des Anonymous.
Ainsi, il est indispensable de mettre à disposition des responsables de la protection des données de l’entreprise des moyens de plus en plus importants pour mener à bien leur mission. Ces moyens doivent être financiers et techniques, mais le RSSI et le CIL doivent également disposer, pour être écoutés, de soutiens en interne.
Par exemple, leur rôle lors de l’établissement de contrats d’hébergement ou d’infogérance ne doit pas être minimisé. Ils n’ont pas vocation à bloquer les initiatives, mais bien à les accompagner afin d’apporter leur soutien dans la sécurisation, en particulier concernant les données à caractère personnel.
En conclusion, le RSSI doit bien être vu comme responsable de la sécurité de l’information – qu’elle soit hébergée dans l’organisation ou ailleurs – au sein de l’entreprise et non comme responsable de la sécurité informatique.