Quand il est question de données, chaque échange avec l’extérieur peut devenir source d’inquiétudes quant à sa confidentialité et son intégrité. Car dès lors que cette donnée transite d’un espace à un autre, elle est susceptible d’être interceptée, modifiée ou encore détruite. Pour se prémunir au mieux contre les différents risques, les équipes en charge de la sécurité informatique doivent appliquer une série de bonnes pratiques. Explications pour reprendre confiance et échanger sereinement.
Toutes les entreprises et institutions sont concernées au même titre par les trois grands risques portant sur les données : la confidentialité, l’intégrité et la disponibilité. Mais alors, comment protéger son entreprise et permettre aux collaborateurs d’échanger en toute sérénité ?
Les données, une matière à risque cyber
La notion de protection des données est donc intimement liée aux risques en termes de confidentialité, intégrité et disponibilité. Sur ce point, les définitions convergent : la confidentialité assure qu’une information soit accessible uniquement aux personnes autorisées ; l’intégrité assure qu’une donnée reste identique durant son cycle de vie ; et la disponibilité, elle, assure qu’une donnée soit accessible en un temps défini. Avec la notion de traçabilité, ces éléments sont les critères fondamentaux de la sécurité de l’information.
Et la réponse généralement apportée pour protéger ces données au niveau de l’intégrité et de la confidentialité tient en une action : le chiffrement. Pour autant, si la mesure est nécessaire, elle n’est pas forcément correctement appliquée. Données vitales, données sensibles ou critiques, mais aussi données personnelles ; il est facile de se perdre dans les termes relatifs à ce sujet. Dès lors, de nombreuses entreprises estiment ne pas être concernées et donc ne pas devoir protéger leurs fichiers et échanges. Pourtant, toutes les entreprises sont concernées par cette nécessaire protection des données. Fichiers clients, documents de comptabilité ou autres dossiers importants sont autant d’éléments qui permettent à l’entreprise de fonctionner au quotidien. Perdre un an de comptabilité pour une PME peut s’avérer catastrophique par exemple. Pour s’y retrouver, chacun doit définir quelles informations sont stratégiques pour l’entreprise ou l’institution concernée, en gardant bien à l’esprit que toute donnée produite a de la valeur.
Données vitales, données sensibles ou critiques, mais aussi données personnelles ; il est facile de se perdre dans les termes relatifs à ce sujet. Dès lors, de nombreuses entreprises estiment ne pas être concernées et donc ne pas devoir protéger leurs fichiers et échanges. Pourtant, toutes les entreprises sont concernées par cette nécessaire protection des données.
En parallèle, il faut mieux comprendre les moments où cette donnée se retrouve accessible, et donc vulnérable. Car pour avoir accès aux données, le parcours d’un cyber-criminel peut passer par un terminal ou un réseau de l’entreprise – autant d’éléments à inclure également dans la logique de cyber-protection. Dans le cas spécifique d’une attaque de type Trojan, un groupe de cyber-criminels pourrait par exemple avoir accès à tout ce qui s’affiche sur les écrans du système infecté ainsi qu’aux saisies clavier. « Ces attaques peuvent être très ciblées, et provenir d’États, mais pas seulement, précise à ce sujet Sébastien Viou, Directeur Cybersécurité et Consultant Cyber-Évangéliste chez Stormshield. Des trojans qui vont servir à récupérer des mots de passe et identifiants, notamment bancaires chez les particuliers, peuvent aussi être introduits à grande échelle via le simple téléchargement d’un jeu, d’une extension ou d’un gestionnaire de mots de passe. Et nous pensons souvent à l’ordinateur, mais le smartphone est aussi une vaste porte d’entrée pour ce type de malwares… » De quoi insister sur la nécessaire protection des postes de travail mais aussi nourrir la réflexion de limiter les terminaux professionnels aux usages… professionnels.
Comment mieux protéger ses données ?
Car une donnée n’a pas de valeur si elle reste au fond d’un tiroir ou d’un répertoire de votre ordinateur. Bien souvent, une donnée n’a de valeur que si elle se partage. Et c’est donc lors de ces échanges qu’elle est la plus vulnérable – car elle sort de l’enclave (en théorie) protégé de son stockage.
Des échanges qui peuvent alors prendre plusieurs formes entre collaborateurs et/ou avec un prestataire externe : des informations envoyées par email, déposées dans le Cloud ou encore stockées sur une clé USB. Des méthodes et surtout des technologies différentes mais qui doivent faire appel au même réflexe de sécurité : le chiffrement de bout en bout des données. Un chiffrement qui permet que les informations ne soient lisibles que par l’expéditeur et par le destinataire, avec un moyen d’authentification robuste. Et restent hors de portée des intrus, curieux et même des éditeurs qui ne peuvent donc avoir accès à la donnée en clair. Mais pour que ce chiffrement de bout en bout soit efficace, encore faut-il qu’il soit réalisé sous le contrôle unique de l’entreprise qui souhaite protéger ses données. Les clés de protection, qui servent à chiffrer les fichiers échangés, doivent ainsi rester la propriété exclusive de l’entreprise qui souhaite protéger ses données ; seule condition pour permettre que la protection de la donnée soit complètement indépendante de son stockage.
Or avec les usages mobiles ou encore l’utilisation massive d’outils collaboratifs, certains partages ne sont pas maîtrisés de bout en bout par l’entreprise. Dans le cadre de l’utilisation de certaines suites bureautiques en mode SaaS, l’apport d’une solution de chiffrement de données indépendante permet d’assurer la réelle confidentialité des données qui y transitent. Compte tenu de la simplicité d’usage de ces suites bureautiques en ligne, l’enjeu pour les éditeurs de solutions étant alors de s’intégrer de façon transparente pour l’utilisateur final. Et ainsi sécuriser en conservant une expérience utilisateur simple et efficace. Après les fichiers et les emails, c’est directement dans les navigateurs web qu’il faut désormais chiffrer de bout en bout les données.
L’importance des sauvegardes de données et des droits d’accès
Si le chiffrement des données permet de répondre aux besoins impératifs d’intégrité et de confidentialité, qu’en est-il pour la disponibilité ? Car une donnée accessible par n’importe qui, même chiffrée, peut toujours être… supprimée. Il faut ainsi dans un premier temps prévoir une sauvegarde efficace. Comme le résume Sébastien Viou : « La sauvegarde doit être testée régulièrement, chiffrée et déconnectée ou immutable. » Elle doit être appréhendée par les équipes IT et les équipes métier avec une responsabilité partagée, afin de prendre en compte tous les paramètres nécessaires, y compris la gestion de récupération des secrets de chiffrement. Mieux vaut aussi prévoir un Plan de reprise d’activité (PRA) ou un Plan de continuité de l’activité (PCA), stocké dans un espace sécurisé, numérique ou non.
En parallèle, il faut également anticiper la gestion des droits d’accès aux données. Le tout, pour s’assurer que seules les personnes autorisées puissent accéder aux données sensibles, en interne comme en externe. Mais il s’agit ici d’un sujet complexe, car la gestion des droits et des accès (Identity and Access Management - IAM) implique tous les responsables de chaque service ou métier d’une entreprise. Ce sont en effet eux qui doivent être capable de déterminer qui, dans leur équipe, a accès à quoi, et pour faire quoi. Une présentation simple, mais rapportée au nombre croissant d’outils et au phénomène de turn-over dans les entreprises, la gestion fluide des privilèges peut vite devenir un vrai chantier. Mais un chantier nécessaire, qui participe à la bonne sécurité de l’entreprise.