Voyage de la donnée : la sécurité avant tout !

De sa collecte à son partage au sein des entreprises, la donnée voyage à travers les réseaux et les systèmes informatiques. La protéger sur l'ensemble de son parcours est indispensable pour préserver la confiance des utilisateurs et la valeur de son activité. Quelle politique de cybersécurité mettre en place pour garantir l'intégrité, la confidentialité et la disponibilité de la data ?

La quête de fiabilité pour les outils de collecte

Utilisateurs, clients ou consommateurs exigent une meilleure transparence sur la protection de leurs données et en font désormais un critère de sélection. Les nouvelles réglementations imposées aux entreprises (Privacy Shield aux États-Unis, GDPR en Europe) viennent apporter un cadre légal à ces exigences. Cette nouvelle donne nécessite pour les entreprises, comme pour les organismes publics, un important travail de mise en conformité de leur sécurité informatique pour protéger la donnée. « Nous travaillons régulièrement sur toute la chaîne de protection de nos clients », confirme Fabrice Mourron, Directeur Technique d'Orange Grand-Est. « Nous définissons en amont une feuille de route de protection du SI. Nos consultants cartographient les essentiels (données, profils…) évaluent et priorisent les risques pour bien connaître les identités et conditions d’usage de la donnée. »

Un travail qui commence dès la collecte des données, qui doit s'effectuer dans le respect des réglementations. Le choix et la sécurisation des outils de collecte est donc une étape primordiale. Des solutions de pare-feu applicatifs peuvent par exemple protéger des vols de données et des modifications frauduleuses sur les sites web, grands pourvoyeurs de données clients. Le concept de security/privacy by design devrait par ailleurs devenir un principe fondateur pour tous les utilisateurs de capteurs et autres objets connectés. Il s'agit d'intégrer les contraintes de sécurité dès la conception de l'objet afin de proposer des produits faciles à prendre en main tout en se prémunissant contre les risques d'interception de données. Un exemple basique pour les fabricants est de ne pas donner le même mot de passe par défaut à un capteur produit en série, ou d’établir des normes de sécurité minimales pour éviter une faille logicielle. L'application du security by design devrait rapidement devenir un critère déterminant lors de la sélection des fournisseurs.

Une fois collectée, la donnée doit aussi être sécurisée lors de son transport vers les SI de l'organisation qui va en avoir l'usage, où que celle-ci se trouve dans le monde. La sécurité des réseaux de transport doit donc être prise en compte. Le développement de réseaux évolutifs et sécurisés dédiés à l'IoT, comme LoRa, devrait permettre de renforcer la sécurité des données issues du web des objets. Ce qui est déjà le cas actuellement dans certains domaines comme la domotique.

Sauvegarde sécurisée et chiffrement obligatoires pour les données critiques !

Une fois la data arrivée jusqu’à l'entreprise, comment assurer un stockage et un traitement sécurisés ? Cette conservation de l'intégrité de la donnée est un enjeu-clé pour le business, à l’heure où de plus en plus de données sont stockées sur des plateformes Cloud externalisées. Le GDPR insiste d’ailleurs sur la responsabilité juridique des organisations qui détiennent cette donnée, ce qui implique un contrôle des processus internes comme du traitement de la donnée par les hébergeurs. « Il est primordial d'établir des niveaux de criticité des datas stockées dans un même SI », précise Fabrice Mourron. « On peut ainsi identifier les données sensibles (brevets, données médicales, etc.) et mettre en place des processus de chiffrement. Via des tests d’intrusion, nous vérifions ensuite la solidité des protections mises en place. » Des solutions de sauvegarde sécurisée combinant chiffrage des données et restauration simple et rapide permettent en effet de conserver les données vitales. Utiliser des espaces de stockage différents pour le code et les clés de cryptage, ou encore sauvegarder ces clés dans un espace sécurisé hors ligne peuvent constituer des paliers de sécurité supplémentaires. Les dispositifs de surveillance et de supervision du SI de type Cyber SOC, proposé par Orange Cyberdefense, permettent par ailleurs d’anticiper les menaces sur la data et de prendre ses précautions en amont.

Protéger les données grâce... aux données !

En mutualisant les données liées aux historiques et aux référentiels de sécurité, les opérateurs peuvent mettre en place des modèles analytiques de représentation des menaces et des attaques via le Big Data. Cette pratique permet l’élaboration de solutions d’analyse prédictive grâce auxquelles la machine détecte précocement les intrusions extérieures, identifie les comportements à risque des utilisateurs et réagit automatiquement en bloquant par exemple les accès aux informations sensibles.

 

Partager la valeur, pas les inquiétudes

De plus en plus d'entreprises modifient leur organisation pour fluidifier la circulation de la donnée. Objectif : les transformer en informations utiles qui sont partagées au sein des équipes afin de créer de la valeur pour les clients et les projets. Mais ce partage génère aussi des inquiétudes quant à la sécurité ! Car la multiplication des bénéficiaires de la donnée signifie aussi la multiplication des points de contact à sécuriser. On estime d’ailleurs que 84 % des incidents de sécurité informatique sont aujourd’hui liés au facteur humain. Deux chantiers, technique et humain, sont donc à mener pour sécuriser le partage de la data. « Il nous arrive d’intervenir dans des contexte de gestion de crise », détaille Fabrice Mourron. « Techniquement, nous limitons la propagation d'une anomalie à d’autres systèmes, ce qui nécessite la compréhension des différentes phases d'une attaque selon son type pour apporter une réponse adaptée. Mais il y a en parallèle un travail sur l'humain à effectuer, fondé sur la sensibilisation des salariés autour de l’usage de la donnée, qui est tout aussi important. »

Il s'agit en effet d'encadrer au maximum ces usages et de responsabiliser chacun sur des procédures parfois très simples à mettre en place : varier les mots de passe, identifier les mails frauduleux (phishing), être attentif à ne pas stocker certaines données client par inadvertance ... Des campagnes d'information mais aussi des jeux ou des simulations peuvent être proposés en interne ou menés par un prestataire spécialisé. Ce développement d’une « culture de la sécurité », appliquée dorénavant à la donnée, est aujourd’hui considéré comme un pilier central dans l’amélioration globale de la cybersécurité.

 

Pour aller plus loin :