La traçabilité, une obligation lourde pour les RSSI
Savoir qui fait quoi avec les applications de l'entreprise est une obligation pour les responsables sécurité de la Banque Postale, de la Française des jeux ou de SFR. Ils se sont exprimés lors d'un événement organisé par l'intégrateur Atheos en mai dernier. Les rencontres du RIAM (Rencontres de l'Identity & Access Management) organisées par l'intégrateur Atheos, spécialiste de la gestion des accès et des identités, ont réuni soixante dix RSSI de grandes sociétés, du 28 au 30 mai 2008. Une question en particulier a été abordée par plusieurs responsables sécurité : l'obligation de la traçabilité dans les systèmes d'information afin de savoir qui a accédé à quoi et quand. Prouver que quelqu'un a visualisé une information Chez l'opérateur mobile SFR, Olivier Thierry, le RSSI confirme: « La traçabilité des systèmes d'information est demandée. Nous mettons en oeuvre un outil de RSA pour cela. Il est nécessaire de répondre aux questions : qui accède à quoi, qui fait quoi ? ». Une question, cependant se montre plus délicate à résoudre. En effet, « s'il est assez facile de savoir qui a utilisé les fonctions de création, modification, suppression sur les bases de données, en revanche, il est plus difficile de savoir qui a visualisé quoi, ajoute-t-il. SFR a des clients célèbres, et la confidentialité de leur numéro de téléphone mobile et de leurs appels doit être assurée. « Ces clients n'apparaissent pas sous leur vrai nom, mais nous nous sommes aperçus que certains agents allaient visualiser des fiches de clients sans raison. Nous avons du mettre en place un outil pour savoir qui a regardé quelles fiches, et pouvoir montrer que nous le savions , ajoute Olivier Thierry. La traçabilité sert à retrouver le vrai gagnant du Loto Autre cas de figure : La Française des Jeux. En épluchant des milliers de transactions, son RSSI, Jean-Jacques Riera a pu retrouver un joueur chanceux mais trop confiant qui s'était fait subtiliser ses tickets gagnants de plusieurs dizaines de millions d'euros par ... Photo : table ronde d'ouverture des RIAM organisées par Atheos, avec de gauche à droite, Eric Caprioli, avocat spécialisé, Christophe Dupont, journaliste, Paul Olivier Gibert, responsable de la conformité à la mutuelle AG2R La Mondiale et Patrick Langrand, RSSI du groupe La Poste. ... un buraliste indélicat. « Ce joueur répétait la même combinaison de chiffres chaque semaine. J'ai pu retrouver les transactions correspondantes, et détecter qu'elles étaient passées à des moments réguliers (le lundi entre 9 et 10 heures) et qu'elles pouvaient être passées depuis deux bureaux différents sur Paris, explique Jean-Jacques Riera. A l'heure dite, la police campait devant les deux bureaux, et lorsque le joueur repassa ses chiffres fétiches, en temps réel le RSSI en a averti la police pour qu'elle apprenne à ce joueur qu'il était millionnaire. Accessoirement, le RSSI a pu confirmer la manière dont le buraliste avait procédé afin de dérober les tickets gagnants et l'intense confusion dans laquelle il se trouvait, probablement sous l'effet de l'émotion de s'emparer de plusieurs millions d'euros. Le buraliste en effet avait fait vérifier plusieurs fois (ce qui était inutile) par son terminal une série de tickets dont il savait déjà qu'ils étaient perdants, afin de faire croire au vrai gagnant que ses tickets ne rapportaient rien, effectuant ainsi des transactions renvoyant des messages d'erreur. De plus, ces tickets ne généraient pas d'alerte sonore du terminal au contraire des tickets gagnants passés juste avant. Le signal sonore n'avait toutefois pas suffit à éveiller l'attention du vrai gagnant, probablement très tête en l'air. Informer le salarié au préalable Reconstituer des consultations sur des données ou l'historique de transactions s'avère indispensable, en particulier pour ce qui concerne les banques. Plus globalement, un chef d'entreprise peut se voir demander de coopérer avec les autorités. La traçabilité intervient alors dans le cadre d'une collecte de preuves à présenter devant un juge. Les informations doivent être recueillies de façon loyale et légale, d'où un certain nombre de contraintes. « La CNIL ne bloque pas la traçabilité, cette traçabilité doit répondre à un besoin de proportionnalité. De plus, elle doit faire l'objet d'une information préalable, selon le droit du travail, Il ne faut pas générer des traces hors finalité légales, prévient Paul Olivier Gibert, responsable de la conformité à la mutuelle AG2R La Mondiale. Il doit donc y avoir une transparence vis-à-vis du salarié. Eric Caprioli, avocat spécialisé, indique pour sa part, que dans le cadre de la LCEN (Loi pour la Confiance dans l'économie numérique), il y a obligation d'authentification d'une personne à l'origine d'un message. La BNP, par exemple, avait été condamnée pour non identification du salarié recherché. Une analyse des traces qui tient compte des métiers Une démarche de traçabilité avancée est celle de la Banque Postale, décrite par Antoine Ancel, chef de mission sécurité de la banque. « On veut savoir qui a accès à quoi, qui fait quoi et qui lui a donné ce droit, décrit-il. Il poursuit : « Le régulateur nous impose le suivi des opérateurs, de garantir la confidentialité de nos trente millions de clients. Par exemple, comment garantir à nos propres managers de haut niveau, que le conseiller financier au guichet ne va pas regarder leur compte ? ». Pour ce chef de mission, on arrive alors dans une analyse qui relève du métier. « Il nous faut tracer, analyser et investiguer, si le conseiller financier qui observe le compte est à 500 kms du lieu d'habitation du manager, il y a un risque d'abus, à moins que le manager dont le compte est observé ne se trouve en fait en vacances dans la région, illustre-t-il. Des traceurs dans toutes les applications « On se fait taxer de big Brother, poursuit Antoine Ancel qui conseille de passer par les Ressources Humaines et le service de communication afin de diffuser le bon message. « Il faut expliquer qu'il y a un cadre réglementaire, souligne-t-il. Côté mise en oeuvre de la traçabilité, « En ce qui concerne le stockage, le prix du Go est raisonnable, mais la traçabilité nous contraint à introduire des traceurs dans toutes les applications, c'est le cas sur tous les nouveaux projets, explique-t-il. Que tracer ? « Comme c'est nouveau les métiers évoluent dans leurs demandes de traçabilité. On prendrait un risque si on les suit, affirme Antoine Ancel. Résultat, la démarche consiste à systématiser la trace de tous les utilisateurs de toutes les applications. Ensuite, les règles de filtrage seront définies avec les métiers. Quand la Poste achète un logiciel, il faut qu'il donne des traces. Une partie seulement des comptes clients sous étroite protection Reste que le doute perce de pouvoir suivre l'ensemble des actions face aux volumétries potentielles énormes avec 5 millions d'opérations par jour à la Poste pour 30 millions de clients et 70 000 utilisateurs. « On a essayé de définir une sensibilité de l'opération : consultation de compte, octroi de crédit. Doit-on alors faire une gestion événementielle sur les trente millions de clients ?s'interroge Antoine Ancel. Pour tenir la charge, finalement entre 500 000 et 1 million de clients seront sous surveillance étroite pour assurer la confidentialité. L'analyse des traces tiendra compte des métiers « Je m'inspire du guide de formation du conseiller financier afin de savoir quelle est la procédure normale, idem avec les procédures documentées par la direction qualité, afin de faire fonctionner notre moteur d'analyse, illustre le chef de mission. Reste que ce type de projet sécurité est lourd. « Créer une dynamique autour de ces projets, ce n'est pas simple, cela demande de l'énergie, il s'agit d'un projet d'entreprise, constate Antoine Ancel. La conformité et la traçabilité demeurent des projets importants aux coûts élevés.