Protéger les données sensibles lors d’une migration vers le Cloud

Compte tenu des avantages flagrants du Cloud, il est curieux que les entreprises ne soient pas plus nombreuses à adopter ce modèle de services informatiques pour leurs collaborateurs. Après tout, ce modèle occasionne moins de dépenses en équipements technologiques, moins de frais en personnel informatique pour les Ressources Humaines, et permet de tirer parti de solutions informatiques dernier cri en termes de performances et d’efficacité. Pour autant, dans quantité d’établissements, les craintes liées au Cloud persistent.

L’une des difficultés majeures pour les banques et les services financiers consiste à se protéger contre un accès non autorisé aux données. Et ces acteurs craignent légitimement qu’une migration vers le Cloud ne revoie davantage à la baisse, plutôt qu’à la hausse, le nombre de contrôles de sécurité draconiens. Ils se demandent constamment comment préserver le cryptage des fichiers transférés vers/depuis le Cloud ou transmis aux clients et partenaires commerciaux via des services Cloud. Leur méconnaissance de cet environnement les amène également à s’interroger sur sa conformité avec les réglementations générales ou sectorielles sur la protection des données, sans oublier les problématiques de fuite de données et d’accès à l’information à partir d’équipements multiples.

La décision la plus importante, pour une banque ou un établissement financier, consiste à sélectionner avec soin son prestataire Cloud et à veiller à ce que la totalité des collaborateurs passent uniquement par cette plate-forme homologuée. Le recours à des plates-formes multiples a pour effet de fragmenter les sources et de partager les services, limitant le suivi et le contrôle de la diffusion des données, et compromettant les protocoles de sécurité. Faute d’accès à une plate-forme Cloud validée par l’entreprise, les collaborateurs sont tentés d’utiliser des environnements Cloud gratuits et non sécurisés pour s’acquitter tout simplement de leurs missions à l’insu du service informatique. Et c’est bien là le danger.

Autre élément à prendre en considération : l’absence de contrôle physique. Pour dérober des données stockées dans un centre de données sur site, il faut pénétrer physiquement dans le bâtiment afin d’avoir accès aux systèmes abritant les documents sensibles. Avec le Cloud, en cas de vol d’authentifiants, il est difficile pour des entreprises de restreindre rétrospectivement l’accès aux documents. Sur site, les données névralgiques sont la priorité de l’entreprise. Celle des prestataires Cloud consiste à donner accès à leurs plates-formes 24 heures sur 24, 7 jours sur 7, même s’ils prennent la sécurité très à cœur.

Cas typique - Banques

Les banques et cabinets de conseil financier doivent se prémunir contre les pertes de capitaux, et veiller à ce que des utilisateurs non autorisés n’aient aucun moyen d’accéder à des données susceptibles de les amener à réaliser des détournements de fonds. Toute la difficulté consiste à mettre les données appropriées à disposition des utilisateurs autorisés, de telle sorte que les actifs financiers puissent être gérés comme s’ils résidaient dans l’enceinte du centre de données de l’établissement et n’être accessibles que par des intervenants dignes de confiance.

Cas typique - Assurances

Quantité d’interactions avec les clients s’opérant sur le terrain, les compagnies d’assurance ont tout à gagner d’une collaboration en mode Cloud. Mais dans le même temps, ces établissements doivent faire obstacle aux activités frauduleuses d’utilisateurs non autorisés qui s’efforcent de modifier des déclarations de sinistres et de détourner les indemnisations correspondantes. Bien entendu, les informations nominatives des clients doivent également être protégées contre les accès non autorisés.

Enjeux

Ces acteurs doivent veiller à protéger le mieux possible les fichiers échangés au quotidien (documents comptables, relevés de comptes et polices d’assurance), qu’ils soient stockés ou en circulation. Leur tâche est compliquée par les problématiques de sécurité inhérentes à la rapidité des progrès technologiques, comme la mobilité et l’Internet des objets (IoT), qui tous deux ciblent l’accès aux services et aux données s’exécutant dans le Cloud.

Avec la multiplication des appareils associés au Cloud, les entreprises s’exposent également à davantage de menaces internes puisque des superadministrateurs peuvent se faire passer pour d’autres utilisateurs afin d’accéder à leurs données. Et ce, sans que les utilisateurs en question (y compris de hauts responsables) se rendent compte que l’administrateur consulte leurs fichiers.

Les établissements financiers doivent également s’assurer que leurs collaborateurs ne tirent pas parti du Cloud — sciemment ou involontairement — pour partager leurs documents à l’excès. Soucieux de faire davantage de chiffre, ceux-ci courent en effet le risque de révéler à leurs clients ou partenaires commerciaux des éléments d’information dont ils ne devraient pas avoir connaissance. Ce partage de données risque, en outre, de s’inscrire bien au-delà de l’accord de partenariat initial, élargissant ainsi le cercle des utilisateurs externes susceptibles d’avoir illégitimement accès à certaines informations.

Autre enjeu, les attaques de l’intercepteur, de type « Man-in-the-Middle » (MITM), lors desquelles des pirates retransmettent secrètement, voire falsifient, les échanges entre deux interlocuteurs en se faisant passer pour l’un d’eux.

Nombre de ces problèmes trouvent leur origine dans le phénomène « shadow IT » que la mise à disposition de services Cloud ne fait qu’amplifier. Concrètement, à moins d’être cantonnés à un Cloud d’entreprise, les collaborateurs sont enclins à explorer divers modes de collaboration et d’échange de fichiers entre eux, mais aussi avec les sous-traitants, prestataires de services et partenaires en qui ils ont confiance. Des règles d’usage clairement définies et comprises se doivent d’être appliquées.

Gare aux lacunes

Le cryptage de l’équipement, autrement dit celui du disque dur et du disque amovible, permet de protéger les données stockées sur l’appareil. Cette technique se révèle efficace si cet équipement (ordinateur portable ou clé USB) est égaré ou dérobé. Le problème se corse si un utilisateur est connecté à l'équipement et que les données sont décryptées alors qu’il travaille sur un document. Sans autre protection, les données en question peuvent alors être exploitées (décryptées) dans d’autres applications exécutées sur l'équipement, et parfois même être détournées de ce dernier via le réseau. Rien ne les empêche ensuite d’être transférées, sans aucune protection, vers un autre équipement via une plate-forme Cloud ou par un simple e-mail.

Pour combler les lacunes liées au cryptage de l’équipement et du disque, les données peuvent être catégorisées au moyen d’une technique dite DLP (Data Loss Prevention). Ce faisant, elles ne peuvent quitter ni l'équipement, ni le réseau, en raison des règles et stratégies sur lesquelles elles s’appuient. Toutefois, cette classification des données soulève également plusieurs problèmes, s’agissant notamment du choix des fichiers de données à crypter, de la configuration des stratégies et règles de décryptage et de leur mise en œuvre à bon escient.

À noter que certaines stratégies peuvent devenir obsolètes avant même leur entrée en vigueur. Supposons, par exemple, qu’une stratégie ait pour objet de bloquer le partage d’informations nominatives avec l’extérieur. Elle risque donc fort de bloquer un fichier contenant le numéro de permis de conduire de son titulaire et une adresse, par exemple, ce qui amène à se poser certaines questions :

  • Qu’advient-il si ces informations sont indispensables à la finalisation d’une convention de prêt, par exemple, ou au traitement d’un dossier de sinistre par un expert ?
  • Que se passe-t-il si ces informations sont attendues par un partenaire pour s’acquitter de certaines formalités ?
  • Quand, comment et via quels appareils (smartphone, par exemple) ce fichier est-il accessible ?
  • Si une modification est apportée à une stratégie de sécurité, s’agit-il d’une exception ou ce changement a-t-il force de règle ?
  • Si cette modification a valeur de règle, à qui cette dernière s’applique-t-elle ?
  • Cette règle vaut-elle « pour toujours » ou expire-t-elle dès lors que sa justification n’a plus lieu d’être ?

Dans le cadre d’une migration vers le Cloud, les solutions DLP fonctionnent sur le même principe que celles axées sur le cryptage de l'équipement ; concrètement, les données sont cryptées avant de quitter le réseau et d’être transférées vers le Cloud. Le problème qui se pose est analogue à celui rencontré pour le cryptage du disque, à savoir que les données sont inexploitables dans le Cloud si elles sont cryptées. Le cryptage de l’équipement, tout comme la technique DLP, jouent assurément un rôle dans la protection des données stockées sur site. Cependant, pour assurer une protection complète des fichiers — dès lors qu’ils quittent l’enceinte de l’entreprise pour être transférés dans le Cloud ou sur des équipements et réseaux échappant au contrôle direct de l’entreprise — le service informatique se doit d’appliquer une troisième approche en matière de sécurité. L’objectif consiste à crypter les données statiques — stockées sur des appareils, dans des systèmes de fichiers, sur des disques amovibles, sur le réseau ET au cours de leur transfert vers le Cloud.

Dès lors que des données cryptées migrent vers le Cloud, les collaborateurs doivent pouvoir continuer à accéder aux informations qui y sont stockées en faisant appel à d’autres équipements et applications qu’ils sont autorisés à utiliser. La solution permettant d’atteindre cet objectif ? Associer des contrôles et règles de sécurité centralisés, en donnant aux utilisateurs la possibilité de chiffrer les fichiers qu’ils manipulent.

Un cryptage appliqué par les collaborateurs

Permettre aux salariés d’appliquer un cryptage, c’est leur donner les moyens de se créer un cercle de collaborateurs dignes de confiance pour la consultation des fichiers. Quelle que soit leur destination, les fichiers sont cryptés, et les collaborateurs ont toute liberté de mener leurs activités et d’améliorer leur productivité sans jamais cesser de protéger leurs ressources digitales. Cette démarche, associée à des contrôles et règles centralisés, crée un système de défense performant qui met le pouvoir entre les mains des utilisateurs, en faisant en sorte que le service informatique conserve, en dernier ressort, la mainmise sur le tout. Cette méthode réduit de surcroît le temps consacré par le service informatique à la sécurisation des documents. Les utilisateurs peuvent sélectionner les données indispensables à l’exécution de leurs missions — sans avoir à attendre la validation du service informatique, ni à patienter le temps que ce dernier mette à jour la liste des collaborateurs autorisés et les stratégies d’accompagnement. En plus de ne pas exposer les données à des risques inutiles, cette approche facilite les recherches et le tri des informations pour les collaborateurs en interne. Mieux, elle sécurise les échanges de fichiers entre collaborateurs internes et externes, y compris avec le personnel intérimaire et à distance.

Du point de vue du service informatique comme pour l’entreprise, les données demeurent à l’abri des accès non autorisés et des divulgations accidentelles. Elles ne craignent ni les accès de fournisseurs et de superadministrateurs, ni la surveillance administrative. Cette technologie est disponible pour des applications exécutées sur ordinateurs portables, ordinateurs de bureau, tablettes et smartphones. Même si elle est appliquée par les utilisateurs, le service informatique n’en demeure pas moins compétent pour définir, gérer, exécuter, suivre, contrôler et documenter les stratégies de protection des données pour le compte de l’entreprise. Une surveillance peut être mise en place, côté utilisateurs, afin de s’assurer qu’ils utilisent correctement la technologie, et le service informatique peut continuer à superviser les allées et venues des données à l’intérieur comme à l’extérieur de l’entreprise.

En substance, si « en première ligne », les utilisateurs gagnent en maîtrise, leurs manipulations des données sont totalement transparentes pour l’entreprise, qui conserve une totale mainmise en la matière. Pour autant, les contenus, côté utilisateurs, demeurent protégés, se soustrayant même au regard du superadministrateur informatique.

Article également publié dans Finance Digest Magazine : https://issuu.com/financedigestmagazines/docs/fd_issue2_online/18

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]

À propos de l'auteur

mm
Jocelyn Krystlik
Business Unit Data Security Manager, Stormshield

Jocelyn a une expérience variée en matière de sécurité, avec 8 ans de consulting et de gestion de produit pour le compte d'Arkoon jusqu'au rachat par la société-mère de Stormshield, Airbus. Depuis 2014, il aide les clients de Stormshield à réduire leur exposition aux menaces en apportant expertise, conseil et formation en sécurité des données, notamment dans le Cloud. Il a joué un rôle déterminant dans la commercialisation de Security Box, produit de sécurité des données de la société. Il est aujourd'hui Manager de la Business Unit Data Security.