Cet article consacré à la sécurité du système d’informatique est le résultat de deux actualités : une mission que je mène actuellement pour une PME d’une dizaine de personnes et la publication d’un rapport très intéressant sur le coût des effractions informatiques (rapport produit par le Ponemon institute en 2009 et publié en 2010).
Tout d’abord, il est utile de préciser que par sécurité informatique, nous entendons certes la protection contre les malveillances (ce qui est l’objet du rapport Ponemom) mais au-delà la prévention de toutes les pratiques qui mettent en péril l’intégrité des données de l’entreprise et son fonctionnement normal.
Si sécuriser son informatique est une préoccupation pour 71% des responsables d’entreprises du rapport, il n’en demeure pas moins que ce n’est pas une réalité opérationnelle courante. Dans le cas de la PME dont Auris Solutions traite actuellement le problème, la société a subi deux incidents sous la forme de pannes matérielles en un an. Ces pannes somme tout banales dans la vie d’une société ont abouti à perdre un certain nombre de données malgré un processus de sauvegarde. Par chance, aucune des données perdues n’a produit une perte financière notable, mais une gestion raisonnée de la sécurité informatique ne doit en aucun cas s’appuyer sur la chance, surtout si l’on considère cette fois les effractions (en 2009, on estime que 67% des entreprises françaises ont eu à subir une effraction informatique même si 97% ne sont jamais divulguées).
Une des difficultés du traitement de ces problèmes, est qu’au premier abord il est tentant de se reposer sur la seule technologie alors que finalement, la défaillance est principalement d’origine humaine, soit directe dans le cas d’une malveillance volontaire, soit indirecte lorsqu’il s’agit de comportements à risque (35% des cas de malveillance découlent du vol d’appareils mobiles ou d’éléments de stockage, 35% découlent de négligence et seulement 29% d’une défaillance du système). La première action à mener est donc une action de sensibilisation aux risques, la deuxième étant de revoir les procédures organisationnelles autour de la maîtrise de ce risque, et ensuite il sera temps de s’attaquer à la mise en place d’éléments techniques.
Techniquement, se prémunir de la perte de données et se protéger des attaques utilisent des techniques tout à fait complémentaires et du point de vue du dirigeant répondent à la même question : comment faire pour que les données de mon système d’information soient sécurisées de façon à ce que mon entreprise puisse fonctionner correctement ?
En effet, se protéger contre la perte des données revient en simplifiant le problème, à avoir une gestion cohérente de la duplication des données de l’entreprise et de leur disponibilité : il faut recopier ces informations ailleurs (« loin » de la source originale) en contrôlant les accès en écriture pour en préserver l’intégrité et en lecture pour gérer les problèmes de confidentialité (se prémunir contre l’effraction consiste à ne pas laisser ses données « en clair »).
On comprend alors rapidement que si l’on met dès l’origine un mécanisme de cryptage du stockage des données (au moment où l’on conçoit l’architecture de l’application et la stratégie de sauvegarde), la protection contre les effractions sera facilitée d’autant. Il est relativement simple de mettre en place un mécanisme du genre :
- toutes les données de travail journalier sont écrites sur un espace crypté
- cet espace crypté est recopié sur un élément lui aussi crypté qui est localisé à un endroit aussi distant que possible de la source d’origine lorsqu’il n’y a personne pour le surveiller
- l’intégrité de l’ensemble est garanti par des procédures organisationnelles qui impliquent les salariés (en particulier lorsqu’ils sont en dehors des murs de l’entreprise).
Pour moins de 100 euros d’investissement par poste, on peut mettre en place une telle procédure (à comparer avec les 89 euros de coût moyen par dossier volé lors d’une effraction – en tenant compte du fait qu’un vol concerne généralement plus d’un dossier informatique).
Il est à noter que pour les éléments nomades du système d’information, le cryptage pose des problèmes aux frontières de certains pays qui considèrent que toute donnée non déchiffrable relève de l’espionnage : de manière générale, si vous avez à voyager dans ces pays il faut partir du principe que toute donnée vous appartenant devient publique à la frontière, mieux vaut alors ne pas emmener d’informations sensibles, chiffrées ou pas.
Philippe RIS,
fondateur d’@uris Solutions
