Loading

Faut-il repenser sa stratégie sécurité en termes de fuite d’informations ?

Dans le monde de la sécurité de l’information, le modèle de la défense en profondeur a été, ces dernières années, le modèle privilégié par une grande majorité des entreprises.

Ses principes de base sont de positionner, entre l’agresseur et les informations importantes de l’entreprise, un ensemble de mesures de sécurité successives devant permettre d’arrêter, de ralentir, éventuellement d’égarer l’agresseur et, dans le même temps, de détecter puis de réagir à l’agression avant que celle-ci n’atteigne les informations sensibles.

Ce modèle, s’il n’est pas encore complétement désuet, doit, a minima, être complété dans un monde où la donnée critique peut se retrouver dans une tablette ou un smartphone personnel d’un dirigeant, accessible via Internet pour des commerciaux itinérants, ou qui peut être exploitée par un infogérant …

La dernière évolution en date et pas la moins dangereuse, est que la donnée critique peut-être partagée, échangée, et traitée dans le « Nuage » par une direction métier, attirée par une optimisation de ses coûts opérationnels. Au vu de ces évolutions, quelle est l’efficacité de notre défense avec ses firewalls, ses IDS, ses proxy, ses antivirus… ?

Face à ces nouveaux usages multiformes, multicanaux, multi-infrastructures, peut-on encore parler de défense en profondeur alors que la plupart des équipements de protection ne sont plus traversés ?

Dans le monde distribué et mutualisé qui se dessine, il va être nécessaire de revoir une grande partie de nos fondamentaux en termes de fuite d’informations car celle-ci sera elle-même multiforme et distribuée.

La sécurité devra forcément, à terme, être portée également par l’information et plus seulement par les droits des utilisateurs accédant. Des mécanismes de sécurité comme le chiffrement et le scellement viendront compléter cet arsenal. Une fois positionnés, les attributs sécurité d’une information devront la suivre quels que soient la manière dont elle est  utilisée, l’endroit où elle est stockée, les moyens permettant de la véhiculer... Les attributs de sécurité de l’objet informationnel, de l’objet technique, de l’objet utilisateur… devront être comparés et le droit d’usage autorisé en fonction de cette comparaison.

Les tentatives de mise en place de solution de DLP, première étape dans cette évolution, ont montré les difficultés auxquelles peuvent être confrontées les métiers dans la définition des comportements vis-à-vis de leurs biens informationnels. Il est plus simple de donner un droit d’usage à un individu ou à un groupe d’individu que de fixer quelles conditions d’utilisation d’une donnée sont licites et par extension celles qui sont anormales. La plupart des solutions sont utilisées pour répondre à des besoins de traçabilité  et n’ont pas encore évolué vers le blocage, probablement par peur des problématiques pouvant en découler (traitement non effectué, envoi important bloqué, VIP n’accédant plus en cas de crise…).

En synthèse, notre modèle de prise en compte de la fuite d’information doit évoluer vers une protection positionnée sur l’information. Elle nécessite une identification des usages licites des informations critiques de l’entreprise. Cette étape passe nécessairement par une prise en compte voir une formalisation des processus métier d’utilisation de ces informations critiques.

Benoit Micaud Benoit Micaud - Consultant Sécurité - Lexsi
Benoit Micaud est Consultant Sécurité Sénior chez Lexsi.
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
1er Guide de bonnes pratiques GDPR en entreprise1er Guide de bonnes pratiques GDPR en entreprisePour les entreprises, il s’agit, à présent, de réviser les procédures et s’assurer de la conformité au nouveau règlement avant les sanctions. Ce livre blanc exclusif vous propose de faire le tour de la question en vous apportant une relecture complète et détaillée du GDPR et des scénarios pratiques pour mettre en œuvre une transition réussie.Découvrez les bonnes pratiques GDPR en entreprise

Ressources Informatiques

1er Guide de bonnes pratiques GDPR en entreprise Pour les entreprises, il s’agit, à présent, de réviser les procédures et s’assurer de la conformité au nouveau règlement avant les sanctions.…
   Stormshield | 24 pages
Découvrez le 1er Guide de bonnes pratiques GDPR en entreprise
Comment combattre les Ransomwares ? Les ransomwares utilisent des modèles cryptographiques non conventionnels tels que Tor ou des algorithmes de chiffrement courants qui rendent impossible…
   Kaspersky | 8 pages
Découvrez le livre blanc
10 manières de vous protéger contre les ransomwares De nos jours, petites et grandes entreprises peuvent être la cible de ransomwares, d’hameçonnage et d’autres menaces persistantes avancées, ce…
   Barracuda | 4 pages
Découvrez le livre blanc
Comment optimiser la gestion d‘énergie des serveurs virtualisés ? Si la virtualisation et les infrastructures convergées mettent à la disposition des responsables IT des outils puissants, elles font naître des défis…
   EATON | 4 pages
Découvrez le livre blanc
Comment garantir la sécurité de vos flux documentaires ? Ce livre blanc explique comment le format PDF et la solution Power PDF de Nuance permettent de mettre en place, rapidement, efficacement et à moindre…
   Guide Nuance | 28 pages
Garantissez l'intégrité et la sécurité de vos documents
Etude Forrester sur Red Hat Cloudforms Cette étude Forrester analyse et détaille les avantages techniques et financiers associés à l'utilisation de la solution Red Hat Cloudforms pour centraliser…
   Forester | 4 pages
Découvrez l'étude Forrester
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Etienne Legendre Etienne Legendre Consultant Sharepoint

Arnaud Lorgeron Arnaud Lorgeron Chargé de la sécurité des véhicules connectés

Nabil Babaci Nabil Babaci Consultant Senior SharePoint

Vidéos Informatiques

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Les Assises de la Sécurité 2015 : Yves Rochereau - Check PointCheck Point est une société spécialisée dans l'univers de la sécurité informatique…Par Itpro

Les Assises de la Sécurité 2015: Loïc Guezo - Trend MicroTout comme les entreprises, les administrations publiques qui englobent les Opérateurs…Par Itpro

Les Assises de la Sécurité 2015: Jean Noel de Galzain WallixA la tête d'une entreprise florissante, Wallix, Jean-Noël de Galzain est aussi…Par Itpro

Les Assises de la Sécurité 2015 : Jérôme Robert - LexsiEn quoi consiste cette nouvelle tendance de « Threat Intelligence », Jérôme…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI