jeudi 5 février 2015

Connaître ses données: un fondamental de la sécurité de l'information

 

Qui s'étonnera de voir sa maison s'effondrer si elle a été construite sur du sable ? - C'est pourtant ce que de nombreuses entreprises font en matière de protection de leur information;  Elles empilent des technologies sans savoir ce qu'elles vont réellement protéger.

Ce constat désolant peut s'expliquer par deux types de causes: l'environnement externe des organisations et les causes internes. Au chapitre des premières, on peut relever :
  • l'explosion du volume des données traitées rend toujours plus illusoire d'espérer protéger un stock gigantesque d'informations dont on ne sait même plus forcément où elle sont stockées,
  • la mobilité - si chère aux utilisateurs - rend extrêmement flou le périmètre à protéger et, enfin..
  • ...l'augmentation exponentielle des exigences en matière de conformité fait qu'il est devenu quasi impossible de rester à jour dans cette jungle de texte légaux contraintes règlementaires.
Quand aux causes internes, on peut les résumer en une seule phrase: "Business just wants to do business". Pour les responsables de sécurité, impliquer les différentes ligne de business dans un projet de sécurité de l'information est une gageure. Quand à l'option de vouloir le réaliser seul, autant essayer de faire bouillir l'océan...

But all is data in business !

Aujourd'hui, plus rien (ou presque) ne se fait sans l'informatique. Il appartient donc à ces mêmes RSI, CISOs, CIOs d'adopter un langage moins technique et plus orienté sur les affaires. Ci-dessous, quelques exemples d'enjeux qui devraient parler aux CEO, CMO et autres CTO ou COO:

La réputation. Si votre entreprise est confrontée à une perte massive de données, cela complique sévèrement la marche des affaires. La couverture médiatique qui accompagne ce genre d'incident n'est pas de celle que l'on recherche pour améliorer son image. Et pour peu que l'entreprise gère mal la crise, les dégâts peuvent être très importants et leurs effets se ressentir à long terme.

Les clients. Le vol de données n'est pas un crime sans victime. Si votre client estime que l'entreprise porte une certaine responsabilité dans la perte d'information le concernant, il y a de grande chances qu'il se tourne vers la concurrence. A ce sujet, une étude comparative menée aux Etats-Unis et dans sept pays européens sur la sensibilité des consommateurs au respect de la protection de leurs données montre des résultats pour le moins intéressants:

 
Quand on connaît les efforts déployés pour acquérir et conserver un client, je parie que le responsable marketing ou son collègue des ventes pourraient se montrer intéressés à ne pas le voir partir vers d'autres cieux. Des questions telles que : "Protégeons-nous suffisamment les données de cartes de crédit ou identifiants de nos clients?" "Ne collectons-nous (conservons) pas plus d'informations que nous n'en avons réellement besoin ? ou encore: "Est-ce que notre politique de respect de la confidentialité des données est en adéquation avec le comportement réel de nos applications ? A l'heure du client tout puissant (Age of Customer comme disent certains spécialistes du e-marketing), conserver des parts de marché est devenu un enjeu business tout aussi important que d'en acquérir.
La propriété intellectuelle. Nos entreprises investissent par centaines de milliers de francs pour se prémunir contre les attaques externes, mais s’en remettent à l’espérance ou à la foi quand il s’agit de traiter les menaces internes! J'en veux pour preuve que bien souvent la seule mesure de sécurité visant à protéger les données vis à vis de la fraude interne se résume à une charte ou un règlement d’utilisation des outils informatiques. Nous ne vivons plus dans le monde des Bisounours ! Il y a de la demande pour obtenir des plans, du design ou toute autre propriété intellectuelle et certains employés n'hésitent pas à se servir. Quand on pense qu'un fabricant d'automobiles chinois peut économiser jusqu'à $315 millions sur le développement d'un nouveau véhicule en se procurant des plans européens...

IDENTIFIER - DISSEQUER - DEFENDRE

Admettons que nos interlocuteurs des différentes lignes de business montrent une certaine sensibilité aux arguments exposés précédemment, comment aborder la notion de contrôle des données ? La présentation ci-dessous propose un démarche en trois étapes.




Evidemment, ces concepts nécessitent adaptations par rapport au contexte propre à chaque entreprise ou organisation; Ce pourquoi, je me tiens évidemment à la disposition de toute personne intéressée à approfondir la réflexion. Mais dans tous les cas, quelle est la finalité de la démarche ? En quoi améliore t'elle la protection de l'information ? - J'estime qu'elle apporte trois résultats concrets:
  1. Le patrimoine informationnel est classifié selon la valeur de l'information et les technologies de protection sont alignées en fonction de la sensibilité des données.
  2. Plus l'entreprise améliore sa connaissance des données, plus elle gagne en pertinence au niveau de la détection des incidents, donc en réduit leur nombre.
  3. Le contrôle des données sensibles réduit l'exposition au risque, diminue les cibles et restreint les tentations.
 



vendredi 3 octobre 2014

Digital certificates are not rocket science !


We believe digital certificates should be easy to manage and cost effective. What do you think ?


A partner of mine told me a few weeks ago "- Digital certificate are not rocket science". From a technical approach, I fully agree with him. Well... Let's put aside the fact that it may be not that simple to be trusted by all the browsers and reliable enough to run a 24/7 worldwide service... But OK, once in place, this is a pretty simple technology.

In the customer's shoes


What business issue does digital certificates solve? If we are honest, we would be more than happy to keep running our business as usual without worrying with the fact that the server we want to address may not be the real one. Or that this email we've just received may be sent by a different person than what the sender's box is claiming. So far, I’ve never heard of someone saying joyfully "Yes, today I am going to renew my digital certificate before it expires!»

But what if I don’t renew it? - Thinking about it, how many certificates do I have? For which purpose? How much does it cost? - Should I spend some time to find cheaper certificates? - Or what would be my risk if I were to go for self-signed certificates?

All these questions are difficult to answer for any company. Buying certificates is easiest part; Dealing with them (deploying, renewing and revoking) could be very challenging if your company uses both SSL certificates and personal certificates.

What would be your preferred solution?


At UDITIS, we’ve been gathering some insight on this topic from our existing customers. We also performed some external research and our conclusion is :
  1. Security vendors offer Managed PKI solutions, but these are so expensive that small & medium size companies (SME) can usually not afford them. Or respectively do not want to spend money for such an obscure purpose...
  2. Not having a Managed PKI solution prevent the use of personal certificates to sign corporate emails.
  3. SSL certificates are more and more requested in today’s technologies. However system administrators buy them on a standalone basis without considering the impact of their management over the years.
We don't think this should discourage you. Do you believe like us that the use of certificates should be democratized ? If yes, which issue should be addressed first?
Thank you for telling us what you think and sharing your ideas or experience.

jeudi 22 mai 2014

Fuite en avant

Suis-je en train de développer une névrose obsessionnelle  vis-à-vis de l'information? Aujourd'hui, il me semble que tout est lié à ce terme : Nous vivons dans la société de l'information, nous utilisons les technologies de l'information, parfois même nous empruntons les autoroutes de l'information.  On confond  "information" et "informatique" puisque tout ou presque se digitalise et se numérise... Le besoin de protéger l'information,  que celle-ci soit liée à notre sphère privée ou de nature sensible pour notre entreprise, se ressent toujours plus.  Arrive alors la question de "Comment la protéger ?" - Rapidement remplacée par la question de "Qui devrait le faire ?" En effet, au vu de la complexité du sujet, est-ce bien de ma responsabilité ou devrais-je laisser ce privilège à d'autres ?

Agaçant, embêtant ou réellement problématique

Pendant que l'on se questionne, l'information, elle, fuit. Gentiment mais inexorablement, par simple mégarde ou par pure malveillance. Peu importe,  le résultat est le même: On ne sait pas ce que l'on a laissé partir ni ce qui a été pris. C'est pour le moins agaçant, parfois embêtant et, un jour peut-être, extrêmement problématique. (Important ces trois degrés, à garder en tête...on en aura besoin plus tard).  Est-ce une fatalité ?

J'ai envie de répondre par l'affirmative. A tout le moins tant et aussi longtemps que nous appliquerons les méthodes de protection issues du monde physique à celui du virtuel.  Prenons un exemple:

  • Jusqu'à ce jour, quelle a été la principale  réponse des entreprises face à la menace de perte d'information ?
         - Renforcer la sécurité des infrastructures qui les hébergent.
Certes, les attaques externes requièrent la meilleure des parades. Mais, lorsqu'on y réfléchit, comment les données quittent-elles vraiment l'entreprise ? Sommes-nous véritablement la cible quotidienne de hackers surentraînés et fermement décidés à nous dérober nos données ? - Force est de reconnaître que la majeure partie des fuites proviennent de l'interne. Je me souviens d'une étude d'un grand cabinet d'audit qui mettait en évidence que plus de 75% des employés admettaient avoir déjà quitté un emploi en prenant des données de leur ex-employeur et qu'au moins 50% d'entre eux avouaient les avoir utilisées dans leur nouveau job !  Ce qui revient à dire que les entreprises dépensent des fortunes pour la sécurité de leurs infrastructures mais s'en remettent à l'espérance et à la foi vis-à-vis du comportement de leurs employés.

Tous fraudeurs ?

Et justement, qu'est-ce qui fait la différence entre le vol d'un bien physique et celui plus virtuel comme le vol de données ? La thèse criminologique dite du passage à l'acte nous aide à y répondre. Celle-ci prétend que nous sommes tous des délinquants potentiels pour autant que l'on réunisse trois conditions: une opportunité, une motivation et une justification. (Relis cette dernière phrase et prends deux minutes pour essayer de l'appliquer à un exemple concret. Ca fonctionne ?)

L'antithèse de la dissuasion nous dira quand à elle que nous ne passerons pas à l'acte du moment que l'on risque d'encourir une peine, que celle-ci soit sévère et prononcée rapidement. Je prétends que ces deux thèses se vérifient plutôt bien dans le monde physique mais en aucun cas dans le monde virtuel. En effet, pour dérober un bien physique, je vais devoir prendre certains risques, m'exposer personnellement et, si je suis découvert, devrai rapidement en subir les conséquences.
Par contre, les multiples identités que je peux emprunter dans le monde virtuel constituent un facteur d'anonymisation désinhibant vis-à-vis de l'acte et de surcroît très complexifiant pour une éventuelle autorité de poursuite. A cela s'ajoute que l'immatérialité du bien peut inciter à se l'approprier: "Tout compte fait, ce n'est qu'une copie" ou "Tout le monde le fait" dans le cas du téléchargement illégal par exemple. Du côté du lésé, il ne s'en apercevra bien souvent pas ou alors que bien plus tard. Si d'aventure, il devait me poursuivre, les conséquences ne seraient probablement que lointaines, les circonstances difficiles à prouver et la peine éventuelle peu sévère.

Renseigner pour protéger

On le voit, la thèse de la dissuasion fonctionne mal pour protéger l'information. Alors que faire ? Premier constat, il est illusoire de vouloir tout sécuriser. Ceux qui pensent avoir résolu le problème en chiffrant toutes leurs données n'ont en fait qu'appliqué une sécurité "physique' qui au mieux paralysera leur opérationnel quotidien et, au pire, leur fera perdre des données si les clés de chiffrement/déchiffrement devaient être mal gérées; Ce qui, dit en passant, n'est pas une sinécure dans une organisation de grande taille.
Il faut donc raréfier l'information à protéger. Savoir ce que l'on a, pourquoi on l'a, où cela doit se trouver, qui peut l'utiliser et comment. Parallèlement, une analyse des risques business doit permettre de définir ce qui est réellement vital à la mission de l'entreprise, embêtant si on devait ne plus l'avoir ou simplement irritant de ne pas pouvoir le retrouver ou reconstituer facilement. (Là.., tu te souviens les trois degrés du début ?). Cela doit permettre la mise en place d'un schéma de classification à trois niveaux, extrêmement simple à appréhender par chacun des acteurs de l'entreprise. Sur ces bases, il devient plus facile d'apporter le niveau de protection adéquat à chaque criticité d'information.

"Oui mais on a déjà essayé et ça n'a pas marché" est la remarque usuelle à ce stade. La différence est qu'aujourd'hui, les technologies de sécurité orientées contenu (e-discovery, DLP, classification, DRM, etc..) ne sont plus des outils exclusivement réservés à l'IT mais viennent aider les utilisateurs et propriétaires de données à gérer efficacement leur information. Par conséquent, d'un point de vue du plan de sécurité global, cela contribue à changer des paradigmes aussi importants que:

  • augmenter les risques perçus et les efforts requis pour subtiliser des données, 
  • réduire les bénéfices attendus 
  • supprimer les justifications 
Certes, cela ne se fait pas en deux semaines ni sur l'initiative d'une seule personne. Mais le chemin existe. L'obstacle le plus important consiste en fait à renoncer à la fatalité et accepter ce changement de mentalité nécessaire à la protection de l'information d'aujourd'hui et de demain.  

 

samedi 19 avril 2014

Le BigMac de l'information



Ce n’est qu’en mordant pleinement dans un burger que l’on apprécie (ou pas..) son goût; Même un enfant ne le mangerait pas couche par couche!
Il devrait en être de même pour tout système d'information: la cohérence des différentes strates ne s'obtient que grâce à l'équilibre des technologies qui le compose et de processus qui le gouverne. De nos jours, il ne suffit plus d'empiler de l'infrastructure technique ni de préparer d'insipides charges informatiques ou autres fades règlements.  La bonne gestion de l’information s’obtient par un dosage subtil de son renseignement; Tout comme le bon assaisonnement d'un plat en détermine sa saveur...

Renseigner pour mieux protéger


Au vu de l'explosion du volume des données à gérer ainsi que des exigences de mobilité toujours plus élevées des utilisateurs, il est illusoire pour les entreprises de vouloir protéger l'ensemble des informations. Il est par contre nécessaire d'utiliser les technologies mentionnées dans l'infographie ci-dessus pour restreindre le volume à protéger et automatiser les contrôles de sécurité.

Cela présuppose toutefois un changement de paradigme important: accepter l'idée d'une protection orientée sur le contenu et non plus seulement liée à l'infrastructure. Autrement dit, en matière d'information, savoir ce que l'on a, pourquoi on l'a, où et qui peut l'utiliser. 

Des questions basiques mais auxquelles seule une bonne collaboration entre le business et l'IT est susceptible d'apporter des réponses utiles à la bonne gouvernance du système d'information.

NB: participez au sondage en répondant à la question liée à cet article (à droite de l'écran, dans le menu déroulant).

mardi 1 avril 2014

1st benchmark protection CID is out !

UDITIS a réalisé un canevas d'auto-évaluation permettant aux Chief Information Officer et Chief Risk Officer des banques suisses d'évaluer le degré de maturité actuel + souhaité de leur établissement vis-à-vis des exigences de la FINMA relatives à la protection des données clients (CID).


Une dizaine de banques ont fourni la synthèse de leurs scores actuels et souhaités à moyen terme permettant de réaliser la comparaison ci-dessous


Simple, rapide et accessible, le canevas d'évaluation vous permet d'établir un tableau de bord pertinent afin de fixer vos objectifs et orienter vos actions de compliance. La comparaison avec les autres établissements valide la pertinence de vos choix.

Confidentialité et sécurité des échanges garantis. Pour plus d'informations +41 32 557 55 01 ou stephane.droxler(at)uditis.ch


Articles liés:


mercredi 15 janvier 2014

Intéressante infographie sur les brèches de sécurité 2013

Bon... vous me direz qu'à ce niveau là, ce n'est plus de la "brèche" de sécurité mais plutôt du gouffre, voire de l'abîme ! Il n'empêche que cette manière de présenter le sujet démontre que les attaques ciblées touchent tous les secteurs de l'économie: les réseaux sociaux évidemment, mais aussi le secteur public, les banques, les entreprises de placement de personnel, de location de limousines (!) et même l'épicerie en ligne !

Intéressant également de noter que l'obligation - en vigueur dans certains pays anglo-saxons - d'annoncer les cas de fuites d'information permet un niveau de transparence inconnu pour les consommateurs suisses.

Source: Marble Security

Biggest Security Breaches of 2013

lundi 4 novembre 2013

CIO, CRO: Votre expertise nous intéresse !

Auto-évaluation FINMA (circulaire 2008/21) disponible le 15 janvier prochain

La révision partielle de la circulaire sur les risques opérationnels est achevée et les éléments essentiels sont désormais connus. Pour avoir planché sur le sujet depuis plusieurs mois, (cf également les articles précédents) et évoqué ce thème avec de nombreuses relations d'affaires, je constate que les exigences de la finma pourraient caricaturalement se résumer ainsi:


UDITIS propose une démarche pragmatique, efficace et rapide sous la forme d'un questionnaire d'auto-évaluation spécifiquement adapté et permettant d'évaluer la maturité de l'établissement par rapport aux neuf principes exigés.

Forts de notre expérience en matière de protection des données sensibles, nous avons définis une cinquantaine de questions réparties en quatre domaines : Gouvernance / Processus / Technologie / Personnes. Pour chaque domaine, chaque question est évaluée  (de 1  non existant à 5 optimal) en fonction de l’état actuel de la banque et l’état futur souhaité. L'objectif est d'obtenir un tableau de bord permettant d'identifier les forces et faiblesses de l'établissement concerné et ainsi déterminer les axes à privilégier avant toute acquisition technologique ou restructuration des processus organisationnels.



Cadeau bonus, en communiquant les scores attribués par domaine, vous obtenez en retour une évaluation de votre situation par rapport à celle de vos pairs. Un benchmark rendu possible par la confiance tissée au fil des projets réalisés en matière de protection de l'information. A noter évidemment que les données transmises restent confidentielles et ne servent qu'à déterminer une moyenne basée sur les domaines (le scoring individuel de chaque question reste bien évidemment connu de votre seul établissement.)

Experts recherchés !

Bien entendu, toute la valeur de la démarche réside dans la pertinence des questions proposées. Nous n'avons pas cherché à réécrire ISO27001 ni à énumérer tous les scénarii de fuites possibles en matière de données confidentielles. Notre idée s'appuie sur nos expériences du terrain afin de permettre:
  • aux établissements n'ayant pas encore entrepris de démarche concrète en matière d’identification et de protection des données sensibles: de savoir par où commencer et ainsi ne pas investir aveuglément dans un projet aux objectifs mal cernés.
  • aux banques en cours de réflexion / d'implémentation d'un projet de protection des données, de valider leur démarche et obtenir un benchmark par rapport à leurs pairs
Vous avec de l'expérience à partager sur le sujet ? - Si vous acceptez de participer à la révision des questions d'évaluation jusqu'au 15 janvier 2014, vous recevrez gratuitement le canevas d'évaluation.

Contact par email à stephane.droxler@uditis.ch ou via un commentaire sur ce blog (les commentaires ne sont pas publiés)



La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?