Repenser sa stratégie sécurité en termes de fuite d’informations

Ses principes de base sont de positionner, entre l’agresseur et les informations importantes de l’entreprise, un ensemble de mesures de sécurité successives devant permettre d’arrêter, de ralentir, éventuellement d’égarer l’agresseur et, dans le même temps, de détecter puis de réagir à l’agression avant que celle-ci n’atteigne les informations sensibles.

Comment repenser sa stratégie sécurité en termes de fuite d’informations ?

Ce modèle, s’il n’est pas encore complétement désuet, doit, a minima, être complété dans un monde où la donnée critique peut se retrouver dans une tablette ou un smartphone personnel d’un dirigeant, accessible via Internet pour des commerciaux itinérants, ou qui peut être exploitée par un infogérant …

La dernière évolution en date et pas la moins dangereuse, est que la donnée critique peut-être partagée, échangée, et traitée dans le « Nuage » par une direction métier, attirée par une optimisation de ses coûts opérationnels. Au vu de ces évolutions, quelle est l’efficacité de notre défense avec ses firewalls, ses IDS, ses proxy, ses antivirus… ?

Face à ces nouveaux usages multiformes, multicanaux, multi-infrastructures, peut-on encore parler de défense en profondeur alors que la plupart des équipements de protection ne sont plus traversés ?

Dans le monde distribué et mutualisé qui se dessine, il va être nécessaire de revoir une grande partie de nos fondamentaux en termes de fuite d’informations car celle-ci sera elle-même multiforme et distribuée.

La sécurité devra forcément, à terme, être portée également par l’information et plus seulement par les droits des utilisateurs accédant. Des mécanismes de sécurité comme le chiffrement et le scellement viendront compléter cet arsenal. Une fois positionnés, les attributs sécurité d’une information devront la suivre quels que soient la manière dont elle est  utilisée, l’endroit où elle est stockée, les moyens permettant de la véhiculer… Les attributs de sécurité de l’objet informationnel, de l’objet technique, de l’objet utilisateur… devront être comparés et le droit d’usage autorisé en fonction de cette comparaison.

Les tentatives de mise en place de solution de DLP, première étape dans cette évolution, ont montré les difficultés auxquelles peuvent être confrontées les métiers dans la définition des comportements vis-à-vis de leurs biens informationnels. Il est plus simple de donner un droit d’usage à un individu ou à un groupe d’individu que de fixer quelles conditions d’utilisation d’une donnée sont licites et par extension celles qui sont anormales. La plupart des solutions sont utilisées pour répondre à des besoins de traçabilité  et n’ont pas encore évolué vers le blocage, probablement par peur des problématiques pouvant en découler (traitement non effectué, envoi important bloqué, VIP n’accédant plus en cas de crise…).

En synthèse, notre modèle de prise en compte de la fuite d’information doit évoluer vers une protection positionnée sur l’information. Elle nécessite une identification des usages licites des informations critiques de l’entreprise. Cette étape passe nécessairement par une prise en compte voir une formalisation des processus métier d’utilisation de ces informations critiques.