Sécurité des données en 5 étapes

0

La place et l’importance des données dans les sociétés modernes ne sont plus à démontrer. Devenues le diamant noir des temps modernes, les données sont beaucoup plus attractives que le pétrole ou l’or. En effet, elles constituent une réelle source de pouvoir pour ceux qui les contrôlent. De ce fait, leur protection devient de plus en plus vitale pour toute entreprise qui ne veut pas perdre son pouvoir et/ou souhaite garder son contrôle. Pour ce faire, nous allons utiliser la méthode ACDSS (Assainissement, Classification, Dissimulation, Surveillance et Sauvegarde) pour assurer une protection adéquate des données quelqu’en soit le format ou le support de stockage.

Protection des données en 5 étapes avec l’ACDSS 

Les données doivent être protégées de façon adéquate quel que soit le support de stockage utilisé (local, Cloud, papier, etc.) et/ou quel que soit l’état de la donnée (en local, en cours de traitement, en transit). Pour cela, nous pouvons utiliser le quinté gagné ACDSS (Assainissement numérique, Classification, Dissimulation, Surveillance, Sauvegarde/Restauration) que nous détaillerons dans la suite et représenté par la figure suivante :

1- Assainissement numérique

Cela consiste principalement à épurer les données pour ne garder que l’essentiel. Dès lors, cette étape comprendra, au minimum, les trois éléments suivants :

  • Minimiser la collecte des donnéesafin de n’agglomérer que celles qui sont essentielles à une fonction, un service ou à l’entreprise à l’aide du need-to-collect. Dès lors, on réduit fortement la surface des données exposées en cas d’exfiltration des données.
  • Effacer les données inutilesafin de ne pas s’encombrer avec des données inutiles et/ou non à jour. Cette mesure répondra au droit à l’oubli de la GDPR.
  • Assurer la cohérence des informations afin de garde la logique, l’harmonie et l’homogénéité des données.

2- Classification des informations

Quoi qu’on puisse dire, on peut s’accorder sur le postulat suivant : « les données n’ont pas toutes la même importance pour l’entreprise ». Dès lors, l’entreprise devra créer un système formel de classification des données dépendant de ses critères de classification. Comme exemple de critères de classification, on peut citer : la confidentialité, la disponibilité, l’intégrité, la traçabilité, la valeur monétaire, la criticité, la difficulté d’obtention, la difficulté de reconstruction, etc. Bien sûr, une entreprise peut combiner plusieurs critères de classification ou faire un prorata entre différents critères. Une fois que les critères de classification et d’évaluation choisis, on peut réaliser les trois actions suivantes pour sécuriser les données.

  • Créer des catégories : il s’agira de découper et regrouper les différentes données en familles/sous-familles, domaines/sous-domaines afin qu’elles soient non seulement gérables, mais surtout protégées de façon adéquate.
  • Évaluer et réévaluer les risques: c’est la suite logique de la première étape où l’objectif est de déterminer les vulnérabilités, menaces et impacts pouvant affecter les différentes catégories de données. Cela permet d’adapter la protection d’une catégorie de données en fonction du risque.
  • Tester, auditer et corriger: il s’agit de tester, d’évaluer et/ou d’auditer la protection mise en place et basée sur l’évaluation des risques de l’étape précédente. Une fois testée et auditée, la protection devra être adaptée, corrigée et mise à jour de façon régulière.

3) Dissimulation des informations 

Différents moyens de protection peuvent être mis en place de façon adéquate et cohérente. C’est le cas notamment de trois moyens suivants :

  • Leurrer & banaliser: il s’agira de toujours tromper les malveillants afin de ne pas attirer leur attention sur le patrimoine informationnel réel de l’entreprise. Dans le cadre de l’IT, plusieurs techniques ont été développées comme les honeypots pour leurrer les attaquants.
  • Utiliser la cryptographie: c’est un ensemble de techniques permettant d’encoder les données de façon inintelligible pour un attaquant.
  • Cacher par stéganographie: c’est le fait de faire passer inaperçu un message dans un ensemble de données d’apparence anodine (texte, image, son, etc.), de façon que la présence du message soit imperceptible, sauf pour les initiés comme disait Platon : « Que nul n’entre ici s’il n’est géomètre ».

4) Surveillance des actions

Un système contient intrinsèquement des sujets et des objets. Les premiers étant les éléments actifs comme d’effectuer des actions alors que les seconds subissent des actions. Par exemple, les utilisateurs sont des sujets alors que les données sont des objets. Pour garantir la sécurité de ses données, l’entreprise devra surveiller les actions des éléments actifs. Pour cela, nous donnons trois points clés dans la surveillance des actions :

  • Contrôler les accès : il s’agit d’identifier, d’authentifier et d’autoriser correctement les différents sujets afin de contrôler leurs droits d’accès au système (incluant l’entreprise).
  • Superviser et investiguer : l’entreprise devra mettre en place des solutions de supervision technique ou organisationnelle afin de déterminer « qui a fait quoi et à quel moment ». Toute brèche de sécurité devra faire l’objet d’une investigation méthodique et minutieuse.
  • Détecter et corriger : c’est la dernière étape dans le processus de surveillance permettant de détecter les actions malveillances afin de les corriger rapidement. Plus la durée de cette étape est courte et rapide, plus l’entreprise peut assurer sa défense.

5) Sauvegarde

Malheureusement, la protection à 100% est une ligne asymptotique qu’aucune entreprise ne peut atteindre. Dès lors, il faudra trouver des solutions de relance économique suite à un ou plusieurs incidents de sécurité. Pour cela, l’entreprise devra mettre en place les actions suivantes :

  • Avoir une stratégie de sauvegarde permet de savoir et d’évaluer quelle donnée (incluant les systèmes et processus) il faut retenir et comment le faire.
  • Avoir un plan de reprise et de continuité permet d’avoir une stratégie adéquate de relance et/ou de restauration de l’activité technique et fonctionnelle de l’entreprise.
  • Anonymiser et conserver les données : l’anonymisation vise casser le lien entre des données et une personne particulière, alors que la conservation permet de garder les données selon des délais définis dépendant de la réglementation et des besoins métiers. Certaines données ont des durées de conservation très courtes (jusqu’à une année) ; alors que d’autres devront être transmises aux générations futures, c’est le cas des publications scientifiques et de l’OpenData.

About Author

Oumar DIAO

Dr. Oumar DIAO est un consultant sénior en cybersécurité de BSSI/EVA Group (https://bssi.fr et http://www.evagroup.fr). Docteur en cryptographie, Oumar est un expert technico-fonctionnel de la sécurité de l'information.

Leave A Reply