Dominique Loiselet, Websense France, sur l'information contrôlée, l'information « obligatoire ».
Le cheval de bataille de Websense, c'est le contrôle des fuites d'informations. Une « vocation » renforcée depuis le rachat, en janvier dernier, de PortAuthority. Rien d'étonnant que ce même Websense publie de temps en temps des métriques permettant d'apprécier la « perception » des menace internes. La dernière enquête en date fut conduite durant le dernier eCrime Congress de Londres, réunissant les avis d'un peu plus d'une centaine de participants CSO France : 23 % des sondés craignent le vol d'information interne, 36% ont peur des fuites provoquées par des maladresses, 10 % seulement redoutent les intrusions des hackers du monde extérieur. Des chiffres souvent en contradiction avec ceux émis par les industriels de la défense périmétrique ? Dominique Loiselet : Aucune entreprise n'est à l'abri d'une fuite d'information. C'est là un lieu commun. Ce que l'on ignore plus, c'est que la grande majorité des personnes interrogées n'ont qu'une faible connaissance de l'existence de ces fuites. Car s'il existe des moyens empêcher que les données s'échappent d'un lieu, on ne connaît pas de technique qui avertisse lorsque l'exfiltration se produit. Nous savons construire la caserne de pompiers, mais n'avons pas de capteur d'incendie dans le domaine des données. Pourquoi aujourd'hui plus qu'hier ces menaces peuvent se dérouler de manière invisible ? deux raisons essentielles. - D'une part, la mutation des hackers, leur motivation et par là même leurs techniques. De plus en plus, les black hats sont en en quête de valeurs, et non plus de renommée comme ce pouvait être le cas aux débuts de la microinformatique. Ces valeurs, ils doivent les dérober avec une très grande discrétion s'ils souhaitent bénéficier du fruit de leur vol, voir même revenir plus tard sur les lieux pour opérer des ponctions supplémentaires. - D'autre par, si l'on considère que les collaborateurs représentent une « menace » pour l'entreprises, ce n'est principalement qu'en raison des maladresses ou des erreurs d'opérations qu'ils peuvent commettre. Par exemple lorsque l'usager s'est familiarisé avec l'outil informatique et comment à négliger certains risques. C'est le cas de la complétion automatique des adresses de messagerie dans Outlook qui provoque l'envoi d'un courriel à un destinataire qui n'était pas prévu. C'est aussi bien souvent le résultat d'une trop grand pression dans le cadre du travail, l'exigence de résultats rapides, autant de situations stressantes qui conduisent à provoquer des fuites « par erreur » CSOFrance : Pas de stigmatisation donc. Pourtant, votre enquête parle bel et bien « d'attaque » associée au mot « fuite » d'information. Les risques financiers provoqués par une erreur sont statistiquement moins élevés qu'un vol ou qu'une malversation volontaire. Cet amalgame des risques n'est-il pas de nature à faire perdre de vue les dangers véritables ? Dominique Loiselet : Je ne suis pas loin d'abonder dans votre sens. Il ne faut pas confondre les risques probables et les dangers. Le véritable problème n'est pas de situer, de localiser l'origine de la perte d'information, mais de savoir s'il y a attaque, et à quel moment survient l'attaque, tout en effectuant une dichotomie très nette entre la simple bévue et l'acte nuisible. En permettant par exemple -ce que permet notre technologie- d'implanter un mécanisme qui sera capable de reconnaître un document que j'aurais comme étant sensible et qui ne devra pas sortir de mes bureaux. S'il est copié et expédié dans un courrier électronique, cette action doit immédiatement pouvoir être détectée et empêchée CSOFrance : Cette surveillance des faits et gestes de l'émetteur pourraient bien être pris comme un flicage ou une mesure technique particulièrement intrusive Dominique Loiselet : C'est effectivement une question que nous nous sommes posés. C'est un risque, mais également un élément d'éducation et de sensibilisation, l'occasion d'expliquer pourquoi l'écoute du flux audio d'une radio sur internet affecte la bande passante générale du réseau, comment la visite de sites extraprofessionnels est susceptible d'introduire des codes malicieux... notre technologie ne repose pas sur l'examen des faits et gestes des collaborateurs, mais sur l'analyse de ce qui sort en fonction des informations que l'on considère comme sensible. Je décide que mon numéro de carte de crédit ne doit pas s'insinuer en dehors de mes murs, le programme de filtrage doit donc être capable de reconnaître, même sous forme morcelée, les séquences de chiffres qui laisseraient à penser que ce numéro est en train de s'enfuir. Avec, dois-je ajouter, une granularité des droits d'exfiltration totalement paramétrable. Mes proches collaborateurs peuvent avoir besoin de transmettre une partie de mes documents de travail -chiffrée, voir protégée par des produis tiers, tels des DRM- sans que cela déclenche une alerte, alerte qui, en revanche, sonnera si cette exportation, y compris par un moyen de communication autre que l'email ou un lien ftp, (copie sur clef usb par exemple) est en train de s'effectuer. CSOFrance : Revenons sur l'enquête eCrime. On est surpris de constater que 2% seulement des personnes interrogées mentionnent les imprimantes comme moyen de fuite d'information, alors que les fuites des comptes bancaires de la Chase Manhattan avaient utilisé la « voie papier ». Surpris encore par les fuites les plus redoutées sont les pertes de données propres à la clientèle (42%), loin devant les risques de perte de propriété intellectuelle (31%), et qu'en troisième place (20%) tout de même, l'on retrouve les pertes financières Dominique Loiselet : C'est là encore un paradoxe de l'évaluation des risques. Il est rare, même au sein des grandes administrations ou des entreprises d'envergure internationales, que les responsables de ces structures sachent avec exactitude ce qui constitue leur richesse fondamentale. Comment, dans ces conditions, appréhender avec justesse la nature de l'information qui ne doit pas s'échapper des murs ? Ce genre d'analyse ne peut être objectivement conduite sans l'accompagnement d'une personne extérieure capable d'auditer l'entreprise et ses avoirs. CSOFrance : La réalité est souvent à l'opposé de cette vision sécuritaire. La loi du silence imposée dans les milieux financiers européens, par exemple, est un exemple que suivent les autres entreprises victimes de pertes ou de vol d'information. Dominique Loiselet : C'est effectivement l'une des principales différences entre l'esprit américain et la mentalité européenne. Même si les dispositions légales Californiennes (ndlr : loi d'Etat obligeant les entreprises victimes de vols d'information d'informer leurs clients dans les plus brefs délais) ne sont pas encore étendue à l'ensemble de l'Etat Fédéral, l'état d'esprit est en faveur d'une diffusion rapide de ce genre d'information. Ne serait-ce que par honnêteté et volonté de transparence vis-à-vis des victimes. En Europe, je vous assure qu'il existe un véritable consensus visant à demander l'établissement d'un cadre juridique obligeant à ce genre d'information du consommateur, et cherchant à établir une véritable responsabilité légale liée à la gestion et à la préservation des données personnelles. Ce n'est qu'une affaire de temps.