Les RSSI démunis face à la fuite des données

Par:
fredericmazue

mar, 24/06/2008 - 21:12

A l'occasion des rencontres CSO Interchange Paris, plusieurs RSSI ont pu discuter en toute confidentialité des fuites de données dans leur entreprise.

La prévention des fuites de données, ou DLP, est très à la mode chez les marchands de solutions. Mais qu'en est-il du côté des clients potentiels ? A écouter les RSSI aborder librement le sujet durant la rencontre CSO Interchange (Qualys), on ne peut que constater le gouffre qui existe entre ce que propose le marché et les problèmes soulevés autours de la table.

D'après la grande majorité des RSSI rencontrés, il y a tout simplement trop d'information dans l'entreprise pour parvenir à la contrôler. "Il me semble difficile de définir du jour au lendemain qui peut accéder à quoi au niveau de l'information. Nous savons le faire au niveau des applications, mais la vraie difficulté se trouve dans l'information. On ne sait pas comment s'y prendre chez nous", reconnaît ainsi un premier responsable de la sécurité.

Et les solutions généralistes qui permettraient d'aider à organiser ce flot d'information, telle la Google Box par exemple, ne les satisfont pas d'un point de vue sécuritaire. "L'appliance va indexer tous mes documents, et je pourrai peut-être y voir plus clair dans l'existant, afin de prendre ensuite des mesures efficaces. Mais le jour où elle tombe en panne, le disque dur part chez Google ?", s'amuse un RSSI, notant ainsi d'une manière détournée le danger qu'il peut y avoir à centraliser l'information afin de mieux l'organiser.

Et si des solutions plus sécurisées existent bien chez les vendeurs de DLP, les responsables regrettent leur périmètre d'action réduit. "Ces solutions nous paraissent encore peu mûres. Elles ne prennent pas en comptes le fait que la durée de conservation légale de l'information varie d'un pays à un autre, les bandes archivées, ou le fait qu'il y a encore énormément de stockage papier", poursuit un RSSI. D'autres confirment également le faible périmètre des solutions actuelles, qui négligent aussi les fax et les copieurs multifonctions.

Ainsi, entre des solutions de recherche et de gestion de l'information efficaces mais peu sûres, et des solutions de sécurité peu complètes, les RSSI semblent encore attendre la convergence salvatrice.

Autre limitation, les solutions de DLP sont aujourd'hui encore essentiellement en temps différé, ce que les RSSI semblent regretter. "Nous sommes incapables de contrôler le respect de la politique de sécurité en temps réel. Certes, nous loggons tout ce qui se passe, mais c'est pour un audit ultérieur", confirme l'un des RSSI présent. Le temps-réel est toutefois dans la ligne de mire des éditeurs. C'est ainsi l'un des objectifs de Check Point dans son arrivée sur le marché du DLP, tandis que Code Green, dont les clients PME ne réclament pas nécessairement encore un contrôle en temps réel, avoue s'y préparer aussi. Mais alors se pose le problème de la montée en charge et du coût d'une telle solution en temps réel pour une grande entreprise, "probablement rédhibitoire" insiste le RSSI d'un grand groupe.

L'humain, le problème

Au souci de prolifération de l'information se greffe celui de l'adaptation du DLP à la vie quotidienne de l'entreprise : il semble difficile de demander aux collaborateurs d'évaluer eux-mêmes la sensibilité des documents qu'ils créent. Or une classification humaine est essentielle à la vie d'une solution efficace. "Nos utilisateurs sont frileux, et ils n'estiment le plus souvent pas que ce qu'ils rédigent puisse être confidentiel. Ou alors, ils n'y pensent tout simplement pas", poursuit un RSSI. Et ses camarades d'approuver, notant même pour certains que très peu de personnes dans l'entreprise sauraient le faire convenablement.

L'humain, pourtant, est plus que jamais au coeur de la solution. Les RSSI l'ont bien compris et insistent tous sur les séances de sensibilisation qu'ils imposent à tous les nouveaux employés et aux nouveaux prestataires extérieurs.

Tous, enfin, ont noté que si les solutions de fuite de données peuvent permettre d'éviter le non-respect accidentel de la politique de sécurité (le plus courant), ils ont le sentiment d'être démunis face à la malveillance interne. Celle-ci demande, d'après eux, d'autres outils que ceux proposés actuellement par les vendeurs de DLP. Pour certains, cela passe par exemple d'abord par une maîtrise plus efficace des droits administrateurs (root, bases de données, administrateurs Windows).

Les réseaux sociaux en ligne de mire

Étonnamment, les réseaux sociaux tels Facebook se sont systématiquement invités dans la discussion. Les RSSI semblent ainsi parfaitement au courant des risques que font peser ces applications sur l'image et le patrimoine informationnel de l'entreprise. Leur problème : le faire comprendre à leur direction. "Il nous manque des analyses d'impact qui pourraient étayer nos messages. Mais les conséquences d'une fuite d'information sur un réseau social sont rarement évaluées", regrette ce RSSI.

Pour autant, les RSSI ne restent pas sans rien faire face aux réseaux sociaux. Ainsi l'un d'eux rapporte avoir développé un script en Perl chargé d'explorer Facebook à la recherche des noms-clés propres à sa société. Il y aurait ainsi déniché des noms de gammes de produits encore inédits sur le marché et les noms de code de projets internes critiques, cités en toute innocence par des collaborateurs dans leur profil. Un autre, enfin, a obtenu un budget de 5000 euros mensuels afin d'externaliser une veille similaire sur Internet. Une approche bien loin de la plomberie informatique, et sur un périmètre que le DLP seul est bien incapable de traiter. Et c'est d'ailleurs bien là tout le souci des RSSI.