de données d'origine interne
La crise sans précédente que nous traversons actuellement a imposé, pour une grande majorité d'entre nous, un passage au télétravail. Réalisée le plus souvent dans un contexte d'urgence, la mise en place d'outils permettant aux salariés de travailler à distance à pour conséquence directe une augmentation sérieuse des risques de fuite d'information.
La CNIL a publié une première liste de conseils pour la sécurisation des données dans le cadre du télétravail (CNIL). On y retrouve notamment :
- la pédagogie vis-à-vis des salariés, avec des règles à respecter pour limiter les risques d'exposition ;
- l'adaptation de politiques de contrôle d'accès, afin de permettre les accès distants tout en bloquant les accès malveillants ;
- le déploiement sur le poste du salarié d'un pare-feu, d'un anti-virus et d'un outil de blocage d'accès aux sites malveillants ;
- l'utilisation d'un VPN avec une authentification à deux facteurs.
En même temps, il convient de renforcer les procédures d'identification et d'enregistrement des accès à des ressources sensibles (c.à.d. logs). L'application de ces mesures a minima doit permettre de réduire le risque de divulgation. Il est souhaitable également d'effectuer une veille quotidienne sur les menaces et les vulnérabilités majeures (par exemple, avec les rapports proposés par SEKOIA) et appliquer les contre-mesures nécessaires.
Cependant, je reste personnellement convaincu que tous ces efforts en termes de protection de données sensibles peuvent rapidement devenir inutiles si l'utilisateur à son domicile ne respecte pas les consignes de sécurité. En particulier, il faut éviter :
- l'utilisation pour des questions de « facilité » de moyens personnels de stockage et de partage (par exemple compte privé Google Drive, Dropbox, ...) qui peuvent mettre les données sensibles en risque (e.g. perte de traçabilité des données, mauvaise maîtrise de l’utilisateur des paramètres de sécurité de ses systèmes …).
- l'envoi par email de documents sensibles non-chiffrés, voir l'utilisation de sa messagerie privée.
- l'accès à des sites non liés à l'activité professionnelle depuis le poste de travail, que cela soit de manière directe ou indirecte (lien sur un courriel).
- de fournir des informations de connexion en réponse à des emails (tentatives de phishing).
- de récupérer des données professionnelles sur des supports externes à usage personnelle (clés USB par exemple).
Face à ces « mauvais comportements », je pense nécessaire la mise en place d’une stratégie de dissuasion et de responsabilisation efficace en complément, bien entendu, d’une formation sur les enjeux de sécurité de votre entreprise du personnel en télétravail.
Une telle solution de dissuasion et de responsabilisation passe par le marquage ou le tatouage invisible de vos données et documents, avec l’identifiant unique d’un utilisateur (un Tag). Informé de la présence de ce Tag, l'utilisateur réfléchira à deux fois avant d’outrepasser une règle visant à limiter l’exposition de vos données. Dans le même temps, si jamais des données taguées sont retrouvées en ligne, le Tag permettra de déployer les correctifs nécessaires plus rapidement. Différentes sociétés proposent des telles solutions de marquage en fonction du type d'information à protéger (WaToo, IMATAG,...).
Je suis personnellement spécialiste de l'application de ce type de solutions aux jeux de données (CSV, XLS, tables SQL) et aux documents PDF (voir figure). Je suis au service des entreprises pour construire la chaîne de traçabilité adaptée à leurs données et leur métier.
Il ne faut pas douter que c'est en combinant des moyens techniques de sécurité et le relationnel humain (pédagogie et écoute) que la mise en place du télétravail pourra se faire dans un cadre de risques de fuite diminué.