#FUITE DE DONNEES
#FUITE DE DONNEES
#CAS REEL
Contexte général
L’entreprise X travaille dans le secteur de la construction. Le secteur de la construction a cela de particulier, que l’organisation est souvent décentralisée pour permettre d’être au plus près des chantiers. L’informatique est donc souvent organisée autour d’une DOSI ou d’une DSI corp qui fournit des services d’infrastructure au groupe, annuaire, Messagerie, … et laisse de l’autonomie aux régions pour ce qui est local (serveur de fichier, sauvegarde, …).
Etant un marché très local, et le nombre d’acteur étant réduit, ce marché a ceci de particulier, que presque tout le monde se connaît en région, conducteurs de travaux, chefs de chantiers, responsable des appels d’offre, … C’est également un secteur qui présente un turnover significatif.
L’année dernière, la région Y de X a perdu plusieurs gros appels d’offre (on parle de plusieurs Million d’Euros !) pour des raisons tarifaires la plupart du temps. L’écart de prix n’était pas significatif. Ces projets perdus n’ont pas éveillé les soupçons de la direction régionale jusqu’à une soutenance, ou là le client avait déjà leurs prix avant même qu’ils ne les présentent…
La direction régionale de Y a demandé au responsable de l’informatique de trouver une solution… car il était évident qu’ils subissaient des fuites de données… A partir de là ils ont fortement soupçonné une fuite interne suite au départ d’un responsable de bureau d’étude… mais sans pouvoir le prouver…
Comment se protéger dans des organisations décentralisées avec une empreinte locale importante ?
Vu des sièges des grands groupes industriels, de distribution, dans la construction, ou même dans l’énergie, on oublie / occulte souvent que malgré le tout dernier SharePoint mis en place par corp pour gérer le processus avant-vente, et le top RSE déployé par la com’ pour aider les collaborateurs à partager et capitaliser, et bien en local, on bosse avec un PC (qui est d’ailleurs rarement de toute fraicheur parce que la décision de renouveler ou non revient au DAF local), dans un bureau, un préfabriqué, un atelier, et que les données sont stockées au mieux sur un serveur de fichier à côté de la machine à café. Je grossis un peu le trait, mais l’idée est surtout de dire qu’en local on n’a pas les moyens du siège ni la maturité des cols blancs du siège dans l’utilisation des solutions collaboratives type SharePoint, ou autre. Il faut quelque chose de simple, comme à la maison et qui marche.
La notion de sécurité des données est aux antipodes des préoccupations jusqu’au premier incident :
- Disponibilité – On a le serveur qui a craché ou sont les données ?
- Intégrité – Le stagiaire nous a flingué les données sur le serveur de fichier ! (Ils ont bon dos ces stagiaires)
- Confiden… - n’en parlons pas… Les droits sont ouverts à tout le monde. Faut que ça marche.
Bon là, ce n’est pas la même histoire, le responsable informatique local a été missionné pour trouver une solution. Il commence son inventaire du marché et étudie deux grandes approches :
- L’approche « gouvernance de données » avec Varonis notamment,
- L’approche DLP avec des solutions comme Symantec, MacAfee, Digital Guardian, …
Il réalise une étude, accompagné par un prestataire local, qui conclue de manière assez pragmatique : « comment mettre en place du DLP quand on n’est déjà pas capable de fermer les portes ouvertes de nos serveurs de fichier ? »
Un POC est réalisé avec VARONIS DatAdvantage, et un Data Risk Assessment donne lieu à la production d’un rapport d’audit.
La situation est la suivante :
- Des dizaines (centaines) de partages ouverts à tout le monde… dont celui de la finance… et du bureau d’étude…
- Une impossibilité à remédier sans impliquer activement le métier pour ne pas les empêcher de travailler.
Les solutions mises en place
La solution DatAdvantage pour Windows est mise en place ainsi que la solution Data Privilege. Les logiciels ont beau être puissants, ils ne font malheureusement pas le ménage tout seul…
Voici ce qui a été entrepris par l’IT local puis généralisé :
- Sélection des périmètres de remédiation prioritaires avec DatAdvantage,
- TOP DOWN - Approche basée sur la sensibilité de l’information contenue (appels d’offre, RH, Finance locale)
- BOTTOM UP - Approche basée sur la fraicheur et le nombre d’accès réalisé
- Utilisation des rapports et de l’usage statistique pour supprimer les groupes globaux sans gêner le business
- Détermination d’un data owner pour tous les répertoires de service et de projet.
- Mise en place d’une revue de droit avec Data Privilege
Le projet de nettoyage a duré 6 mois. Le métier utilise désormais Data Privilege pour les demandes de droits et est sensibilisé à la notion de permission, de confidentialité, … Enfin depuis que les salariés signent une charte informatique indiquant que tout ce qui est fait est tracé, il semblerait qu’il n’y ait plus de fuite de données… (et moins de DIVx piratés J).
… Depuis ce bel exemple local réussi, la DSI de X travaille à standardiser la solution pour la mettre au catalogue des solutions de sécurité des serveurs de fichier.
Elle songe aussi à standardiser le fait de permettre aux conducteurs de travaux de pouvoir accéder à leurs données sur les serveurs de fichier depuis leur téléphone / tablette pour se débarrasser d’un autre fléau …. Les cloud publics comme drop box and co… Ils considéreraient une solution qui s’appelle… DatAnywhere qui transformerait leurs serveurs de fichiers propres, en un cloud sécurisé en 1 h de temps ! A suivre…
Guillaume Garbey, ggarbey@varonis.com
Customer Success Manager
Expert Cybersécurité Industrielle & Officier de Sécurité
8 ansInstructif ! Démarche salutaire également .