La sécurité de l’information est-elle un échec? De la problématique de l’inventaire et du volume des données

Troisième volet de la série « Sécurité de l’Information », après Le constat et Mode versus bon sens ! Rappel de l’objectif annoncé précédemment pour ce 3ème article : “Panorama des difficultés d’environnement (identification et classification des Assets, volume des données et traçabilité)” 1/2.

source

Le troisième opus de cette chronique, consacré aux questions de sécurité de l’information, s’attarde sur certaines des principales difficultés posées par l’adoption d’une démarche complète et exhaustive de sécurité de l’information. Nous allons particulièrement nous intéresser aux problématiques des assets ou “biens informationnels” au sens de leur valeur mais également aux questions de volume exponentiel des données. Le prochain article focalisera particulièrement sur la plasticité des menaces et la dynamique des risques.

Alors que dans notre premier article, nous établissions le constat d’une certaine forme de pensée unique et des pratiques courantes de la SSI, dénoncés par de nombreux praticiens et experts du domaine, nous précisions dans un second temps les éléments relatifs à cet échec en prenant quelques exemples de tendances contre-productives pour la sécurité du patrimoine informationnel de l’entreprise (effets de mode versus bon sens et adéquation des réponses aux besoins).

Toute démarche de sécurité devrait débuter par une question simple et, mieux, constamment se référer à elle seule : que cherche-t-on à protéger ? Par extension, risques et menaces deviennent presque secondaires ! En effet, si la réponse à la première question est incertaine, on risque la dispersion des moyens et des efforts voire l’oubli d’éléments capitaux. Une carence méthodologique ou un désir d’écarter ce premier effort constitue autant de barrières au bon déroulement de la démarche par la suite. Démarche elle-même conditionnée par la stratégie adoptée qui, si elle n’est pas correctement appliquée sur l’essentiel (littéralement l’essence, voire la quintessence du patrimoine informationnel), se traduit par un empilement technologique et une débauche de normes, de moyens et de processus qui se révèlent dès lors d’une redoutable inefficacité !

En matière de sécurité de l’information, les principales normes (par exemple la “famille » ISO2700x) recommandent bien ce premier point de départ. Le chapitre 7 de la norme ISO 27002 traite précisément de l’inventaire et de la classification des assets. Toutefois, l’inventaire demeure complexe à réaliser. Qu’ils s’agisse d’un matériel, de documents ou d’un processus, comment en effet recenser TOUTE l’information d’une organisation, notamment celle qui a de la valeur et qui soit matériellement identifiable mais aussi celle qui ne l’est pas ? Un savoir-faire ne l’est pas toujours par exemple.

Le pendant à la simple question de départ ( que protéger ?) est de hiérarchiser l’information par un système ordonné et rationnel de classification. Dans le triptyque de critères utilisés en Infosec (Disponibilité, Intégrité, Confidentialité), la confidentialité permet d’établir la valeur première de l’information. Sortie d’un environnement militaire où les règles sont strictes et claires, le dirigeant doit se poser la question de ce qui doit être/est vraiment confidentiel, comment l’identifier et comment le protéger. N’oublions pas que la loi impose parfois des protections particulières pour certaines informations : données personnelles, éléments financiers et/ou bancaires…

Autrement dit, la phase d’identification, bien qu’élémentaire à la démarche préconisée, est potentiellement celle qui fait le plus appel à un changement de vision au sein de l’entreprise. Elle est aussi l’une de celles qui mobilise le plus et, à ce titre, doit être considérée comme stratégique et bénéficier d’un soutien clair des dirigeants de l’organisation. La traiter à la légère, c’est offrir le flanc à des revers tardifs mais probables. Une démarche de ce type est donc à considérer le plus globalement possible car elle est un effort commun mais complexe de l’entreprise, tout en étant également un facteur de maîtrise et de qualité, même si elles ne sont que partielles. C’est surtout la forte implication des personnels chargés du management ainsi que la mise en place de processus originaux voire innovants qui feront la différence.

La fonction “mail” ou encore “courrier électronique”, par exemple, est parfois traitée à la légère car routinière et universellement mise en œuvre. C’est pourtant non seulement l’outil de communication le plus couramment utilisé, mais également un outil puissant d’organisation, une gigantesque mémoire collective et dynamique, ainsi qu’un vecteur de perte et d’oubli d’information particulièrement “efficace”. Qui ne s’est jamais trompé d’adresse? Qui n’a jamais envoyé, en toute bonne foi et par absence d’information explicite mais par erreur, un document potentiellement sensible en terme de contenu?

source

Par ailleurs, qui peut encore prétendre maîtriser la somme des quantités d’informations générées par nos organisations, administrations et entreprises dont l’ampleur tend vers une obésité informationnelle (infobésité ou appli-bésité)? Le volume des données générées puis, pour la plupart, stockées pour archivage au bout de quelques jours ou semaines (quand ce n’est pas en heures !), est devenu colossal et représente une véritable mine d’or pour qui pourrait y accéder.

D’expérience, on s’aperçoit que pour la grande majorité d’entités le système d’archivage n’est perçu et conçu que par sa fonction première (stocker), et qu’il est donc mis en œuvre avec la disponibilité comme sacro-saint critère, tandis que l’intégrité et surtout la confidentialité sont éventuellement traitées (la définition des droits et la restriction des accès seraient déjà un bon début). À tout le moins, le système d’archivage nécessite un traitement spécifique et une protection d’un niveau au moins égal aux systèmes et dispositifs opérés au quotidien.

Cette problématique d’inventaire du patrimoine informationnel dans sa globalité est complexe, compliquée et coûteuse. Elle est cependant indispensable et de ne doit pas être traitée “à l’économie”, puisque cette étape conditionne entièrement le reste des traitements à appliquer : si le périmètre est parfaitement défini, on réduit le risque d’oublis (“blinder la porte en laissant des vasistas ouverts”) susceptibles de se transformer en failles et vulnérabilités un jour exploitées. Le volume colossal des données produites au quotidien ne facilite pas la démarche d’un traitement efficace de la sécurité de l’information. Celle-ci doit être pensée sur l’ensemble du cycle de vie, c’est-à-dire de la génération d’une donnée, puis à son utilisation et enfin jusqu’à son stockage, voire sa destruction.

CIDRIS Cyberwarfare & Si vis pacem para bellum


Be Sociable, Share!

You may also like...

1 Response

  1. Mohamed dit :

    Il est vrai que si on s’intéresse à tous les actifs informationnels de l’entreprise, on risque de se perdre dans le volume gigantesque des données e on ne peut pas s’en sortir. Il est conseillé tout d’abord de penser à des processus (recommandation de la norme ISO27001 et 2). d’autre part, il est conseillé de se focaliser sur les actifs (ou biens) les plus critiques. de cette manière on protège tout d’abord les processus les plus sensibles de l’entreprise. Dans une seconde étape, on peut traiter les autres actifs informationnels de l’entreprise.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

UA-7688295-1