#PROTECTION DES DONNEES #SECURISER AVEC DES BOTTES DE SEPT LIEUES

Introduction

L’entreprise X souhaite mettre en place un vaste programme de sécurité de son patrimoine informationnel. Cette volonté est la suite logique d’une prestation d’un grand cabinet de conseil qui a réalisé un audit pour elle. Cette société conseille de diminuer rapidement le profil de risque en mettant en place tout un tas de projet de sécurité allant de la sensibilisation des utilisateurs jusqu’à la mise en place de DLP. Pour être tout à fait honnête, l’audit est pour beaucoup dans la volonté, mais le fait d’y aller, c’est surtout le dernier incident de sécurité, ou X a eu de grosse suspicion sur la fuite de fichiers clients issus de son CRM mais sans pouvoir le prouver.

X est une grande entreprise implantée à l’international, composée de beaucoup de filiales, issues elles-mêmes de beaucoup de croissance externe. De facto X ne sait pas trop comment mettre en place quelque chose de pragmatique avec les moyens que la direction lui donne.

Est-ce que j’ai des données sensibles ?

A cette question et dans l’expérience acquise au fil des années j’ai été confronté à deux types de réponses :

·        « Je n’ai pas de données sensibles » - Alors pourquoi les répliquer, les sauvegarder, les archiver, les protéger contre les malware,…  si cela ne vaut rien ?... No comment.

·        « Oui tout est sensible » - Cette réponse c’est surtout celle des métiers car chaque personne interrogée à l’impression que tout ce qu’elle produit est super sensible. Ce qui est d’ailleurs amusant avec cette réponse c’est qu’elle peut en un claquement de doigts se transformer en « je n’ai pas de données sensibles » lorsqu’on parle de refacturer les moyens de protection de ces données… No comment.

 Alors qu’est qu’une donnée sensible ? Cela va paraitre sibyllin, mais en début d’année nous avons eu une présentation du Forester à notre sales kick off annuel et la réponse est tombée : Ce qui a de la valeur. A ce moment-là, je ne savais pas si cela était une blague de Texan, ou une réponse pour commerciaux.

En repensant à cette réponse « C e q u i a d e l a v a l e u r »… c’est loin d’être une coquecigrue ! Ce qui a de la valeur pour un attaquant ou une menace interne. Certes.

Maintenant si on traduit cela simplement, on a quatre catégories de données sensibles :

·        Les PII (ou données à caractère personnel) – on en parle beaucoup depuis plus d’un an avec l’arrivée imminente du GDPR. Tout ce qui permet d’identifier directement ou indirectement une personne. La encore, commençons simple, ce qui a de la valeur, c’est un numéro de carte d’identité, un numéro de sécurité sociale, … et bien entendu des choses qui rentrent dans cette catégorie en fonction de la nature des activités

o   Ex : habitudes de consommation d’alcool pour une société dont le métier est de produire, et vendre en B2B & B2C

o   Ex : Nom, prénom, adresse, des gagnants à la super loterie de l’euro million (suis pas concerné)

o   …

·        Les PHI (ou données de santé) – on pense souvent que cette catégorie de données est pour les grands labos qui travaillent sur des études cliniques et qui sont soumis à HIPAA (Health Insurance Portability and Accountability Act). C’est faux. Les données de santé, cela peut être plein de choses :

o   Ex : médecine du travail internalisée ou pas… les RH sont amenées à manipuler de la donnée de santé « Apte au travail »

o   Ex : accidents sur les lieux de travail ou dans les zones à risques dans des contextes industriels (sidérurgie, grosses machines outil, nucléaire, …)

o   …

·        Les PCI (ou les données de paiement) – RIB, IBAN, PAN de CB, … On pense aussi souvent à tord que cela est réservé à ceux qui sont soumis à « PCI-DSS » mais je peux vous garantir que cela n’est pas le cas. Je me souviens l’air ébaubi de mon client quand après avoir lancé un scan j’étais tombé sur le numéro de carte bancaire du CEO de l’entreprise, avec le trigramme et la date de validité… dans le répertoire de l’assistante, qui s’occupait des réservations de voyage… (sic)

·        Les IP (propriété intellectuelle) – surtout à ne pas prendre au sens strict du terme. Pour moi la propriété intellectuelle, c’est autant tout ce qui permet de valoriser la recherche (rédaction de brevets), que l’étude du rachat d’une société ou l’introduction prochaine en bourse d’une société.

A ce stade, on a 4 grandes catégories de données sensibles. Maintenant, si on écoute les sociétés de conseil qui vont expliquer que pour faire l’inventaire de tout cela il faut lancer un grand projet de classification, aller voir les métiers, … pour leur demander s’ils ont des données sensibles… il est fort probable que je :

·        … ne fasse rien eu égard à la complexité de la tâche, au risque d’échec, … et du cout.

·        … me retrouve avec mes deux réponses type :

o   « Je n’ai rien de sensible »

o   « … tout est sensible. »

La démarche

Partons des postulats de base suivants :

·        Le risque 0 n’existe pas,

·        Même à la fin de mon projet je ne serai pas protégé d’une fuite de données ou d’une divulgation interne,

·        … qu’il n’y a que ceux qui ne font rien qui ne font pas d’erreur.

  Si le niveau de sensibilité ne varie pas dans le temps, et si les données son « faciles » à caractériser sans l’aide du métier, pourquoi se lancer dans un projet de classification « traditionnel » ? Ou en tout cas, pourquoi commencer par cela ? Il est préférable de se faire la main coté IT, ce qui permettra en outre d’être beaucoup plus pertinent dans un processus de sensibilisation des utilisateurs.

Le périmètre du LOT 1 est acté, ce sera PII (cela tombe bien avec le GDPR J), PHI et PCI. 

Les solutions mises en place

 Beaucoup d’entreprises comme X ont passé le cap et ont souscrits à O365. Dès lors, les données sont réparties sur les partages bureautiques, dans les SharePoint et nouvellement dans le cloud.

La suite Varonis a été utilisée dans un mode d’express Audit sur un échantillon de tout cela représentant 50 To de données. Un ingénieur Avant-Vente Varonis a installé le tout sur 4 filers, et OneDrive en une matinée.

3 semaines plus tard, l’ingénieur est revenu pour faire l’analyse des résultats du scan, mais aussi de tout ce qui avait été collecté pendant l’audit à savoir :

·        Qui peut accéder à quoi ?

·        Qui a accédé à quoi ?

·        Et ce « quoi » est-il sensible dans mes 3 catégories ?

 Je partage quelques résultats de cet audit qui m’ont rassuré dans la capacité à protéger les données :

·        1.000.000 de répertoires

·        11.000.000 de fichiers

·        …

·        Mais seulement 10.000 fichiers qui contiennent des données sensibles

o   4000 que je peux supprimer car dormantes

o   100 accessibles à toute la société – désormais facile à corriger

o   5900 dont je dois vérifier les permissions d’accès et la localisation.

 Il est facile d’extrapoler en se disant qu’à la fin du projet, j’aurai réduit mon profil de risques, et je protègerai bien mieux mes données.

 VARONIS DatAdvantage, Data Classification Framework, Data Transport Engine, DatAlert Suite, permettent à une entreprise :

·        De rapidement savoir ce qu’elle a comme données sensibles, et leur niveau de protection

·        De protéger :

• Phase DETECT – alertes temps réel, analyse comportementale
• Phase PREVENT – correction des accès globaux, application des principes de moindre privilège, destruction, archivage de la donnée, …
• Phase SUSTAIN –délégation au métier et industrialisation / automatisation.

PS : dans un monde idéal, n’oublions pas le LOT 2 du projet J

PS 1: Pourquoi les bottes de sept lieues? Parce qu'en adoptant une approche pragmatique et une suite de sécurité intégrée, ça va super vite! (bon et aussi parce que mon fils a 4 ans et adore les histoires!)

Si vous souhaitez votre audit, me contacter.

 Guillaume

Guillaume Garbey, CISSP, ISO 27001 LA

ggarbey@varonis.com

+33 6 21 16 57 47

Customer Success Director, VARONS SYSTEMS