Loading

Faut-il repenser sa stratégie sécurité en termes de fuite d’informations ?

Dans le monde de la sécurité de l’information, le modèle de la défense en profondeur a été, ces dernières années, le modèle privilégié par une grande majorité des entreprises.

Ses principes de base sont de positionner, entre l’agresseur et les informations importantes de l’entreprise, un ensemble de mesures de sécurité successives devant permettre d’arrêter, de ralentir, éventuellement d’égarer l’agresseur et, dans le même temps, de détecter puis de réagir à l’agression avant que celle-ci n’atteigne les informations sensibles.

Ce modèle, s’il n’est pas encore complétement désuet, doit, a minima, être complété dans un monde où la donnée critique peut se retrouver dans une tablette ou un smartphone personnel d’un dirigeant, accessible via Internet pour des commerciaux itinérants, ou qui peut être exploitée par un infogérant …

La dernière évolution en date et pas la moins dangereuse, est que la donnée critique peut-être partagée, échangée, et traitée dans le « Nuage » par une direction métier, attirée par une optimisation de ses coûts opérationnels. Au vu de ces évolutions, quelle est l’efficacité de notre défense avec ses firewalls, ses IDS, ses proxy, ses antivirus… ?

Face à ces nouveaux usages multiformes, multicanaux, multi-infrastructures, peut-on encore parler de défense en profondeur alors que la plupart des équipements de protection ne sont plus traversés ?

Dans le monde distribué et mutualisé qui se dessine, il va être nécessaire de revoir une grande partie de nos fondamentaux en termes de fuite d’informations car celle-ci sera elle-même multiforme et distribuée.

La sécurité devra forcément, à terme, être portée également par l’information et plus seulement par les droits des utilisateurs accédant. Des mécanismes de sécurité comme le chiffrement et le scellement viendront compléter cet arsenal. Une fois positionnés, les attributs sécurité d’une information devront la suivre quels que soient la manière dont elle est  utilisée, l’endroit où elle est stockée, les moyens permettant de la véhiculer... Les attributs de sécurité de l’objet informationnel, de l’objet technique, de l’objet utilisateur… devront être comparés et le droit d’usage autorisé en fonction de cette comparaison.

Les tentatives de mise en place de solution de DLP, première étape dans cette évolution, ont montré les difficultés auxquelles peuvent être confrontées les métiers dans la définition des comportements vis-à-vis de leurs biens informationnels. Il est plus simple de donner un droit d’usage à un individu ou à un groupe d’individu que de fixer quelles conditions d’utilisation d’une donnée sont licites et par extension celles qui sont anormales. La plupart des solutions sont utilisées pour répondre à des besoins de traçabilité  et n’ont pas encore évolué vers le blocage, probablement par peur des problématiques pouvant en découler (traitement non effectué, envoi important bloqué, VIP n’accédant plus en cas de crise…).

En synthèse, notre modèle de prise en compte de la fuite d’information doit évoluer vers une protection positionnée sur l’information. Elle nécessite une identification des usages licites des informations critiques de l’entreprise. Cette étape passe nécessairement par une prise en compte voir une formalisation des processus métier d’utilisation de ces informations critiques.

Benoit Micaud Benoit Micaud - Consultant Sécurité - Lexsi
Benoit Micaud est Consultant Sécurité Sénior chez Lexsi.
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
Guide des meilleures pratiques de mobilité d’entrepriseGuide des meilleures pratiques de mobilité d’entrepriseGestion des terminaux mobiles, conteneurisation ou bien les deux ? Ce livre blanc étudie des cas d’utilisation d’entreprise courants et définit les avantages de la gestion des terminaux mobiles, de la conteneurisation et de l’approche en couches de la sécurité qu’offrent ces deux systèmes.Découvrez le livre blanc

Ressources Informatiques

Guide de Meilleures pratiques en matière de mobilité d’entreprise Ce livre blanc étudie des cas d’utilisation d’entreprise courants et définit les avantages de la gestion des terminaux mobiles, de la conteneurisation…
   VMware | 8 pages
Téléchargez le livre blanc
Comment sécuriser les accès et contrer la compromission d’identité ? La compromission d’identité est un vecteur d’attaque conséquent auquel les organisations sont confrontées, et avec les applications Cloud, mobiles…
   RSA | 6 pages
Téléchargez le livre blanc
Authentification forte : quels enjeux pour la sécurité du SI ? Mobilité, consumérisation et BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès aux applications…
   RSA | 4 pages
Découvrez votre livre blanc
SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
Libérez le Big Data et le Machine Learning Nous sommes à la veille d'un changement spectaculaire où les machines seront capables de dépasser les êtres humains dans leur capacité à prendre…
   Comsoft | 12 pages
Découvrez l’article technique
BYOD : Guide des meilleures pratiques en entreprise Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé les interactions entre les collaborateurs. Encore faut-il que l’entre¬prise…
   HPE Aruba | 4 pages
Découvrez votre Guide de Stratégie Mobile
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

François Aubriot François Aubriot Consultant VDI et infrastructures

Loïc Duval Loïc Duval Spécialiste systèmes d'exploitation

Patrick Guimonet Patrick Guimonet Spécialiste SharePoint

Vidéos Informatiques

Adobe Document Cloud en Video Motion !Découvrez maintenant, en Video Motion, comment entrer dans l'ère du document intelligent…Par Itpro

Comment mettre en place une stratégie mobile performante ?Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé…Par Itpro

Hyperconvergence réussie avec les solutions Dell VxRaill'hyperconvergence intéresse et séduit les DSI par son approche intégrée et…Par Itpro

Windows 10 Professionnel : 5 Innovations pour les CollaborateursRépondre aux enjeux de mobilité des utilisateurs est un besoin réel, centré…Par Itpro

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI