Fuite de données : comment se protéger efficacement?

Le vol de données, dont celles à caractère personnel, touche de plus en plus d’entreprises. Pour n’en citer que quelques-uns : Capital One, LifeLabs, Equifax, Uber, … vous constaterez qu’aucune industrie n’est épargnée. Mais attention, ce ne sont pas que les renseignements personnels qui peuvent attirer l’attention : votre propriété intellectuelle et vos procédures de facturation ou transferts bancaires sont également la cible d’une fuite.

La fuite de données : un fléau sans symptômes apparents

Qu’est-ce qu’une fuite de données? Il s’agit d’un incident de sécurité dont la conséquence est la fuite, intentionnelle ou non, d’informations sensibles, rendues publiques et/ou accessibles à des personnes non autorisées.

Il existe deux types de fuite de données :

  • il y a celles provenant d’attaques externes, i.e. de personnes qui n’ont pas accès (ou ne devraient pas avoir accès) à vos données
  • et d’autres issues d’attaques internes, i.e. provenant de personnes en qui vous avez confiance et que vous avez autorisées.

Les attaques perpétrées depuis l’extérieur émanent de groupes criminels qui mettent au point des techniques pour infiltrer les organisations ciblées dans le but d’en tirer profit. Les techniques peuvent être de très simples à très complexes. Par exemple, par le biais de campagnes d’hameçonnage contenant un cheval de Troie comme Emotet ou jusqu’à la compromission de votre chaîne d’approvisionnement. L’objectif final et les moyens utilisés dépendent de la valeur de vos données, des capacités de l’attaquant et de sa motivation. 

Dans les derniers mois de 2019, nous avons vu apparaître une combinaison d’attaques utilisées par certains groupes derrières des rançongiciels. En effet, puisque l’objectif d’une telle attaque est d’obtenir une rançon, les nouvelles variantes de ces maliciels vont jusqu’à exfiltrer de grandes quantités de données avant de les chiffrer. De cette façon, si vous êtes en mesure de vous relever sans payer, les criminels vous menacent alors de tout divulguer publiquement. (voir article sur Maze)

L’autre menace, souvent sous-estimée, est la fuite de données commise par une personne de confiance. Elle peut être volontaire ou accidentelle. Les cas et témoignages en la matière sont nombreux : un (ex) employé, gestionnaire ou associé, voire un individu de confiance d’un de vos fournisseurs, sont toutes des personnes pouvant être à l’origine de fuites. Cette menace est d’autant plus facilitée puisqu’ils ont (ou déjà eu) accès à vos ressources et que c’est relié à leur travail.

Ainsi, ces personnes peuvent copier des données à l’aide de périphériques externes comme les clés USB, un disque dur externe ou bien encore une carte mémoire.

Parmi les autres moyens pour exfiltrer des informations : le courriel infonuagique, l’impression de documents sensibles, ainsi que les messageries instantanées… 

Le problème fondamental est que la balance entre l’accès aux données, la fluidité de ces dernières et les moyens de contrôler ce qui se passe, est fragile. Au bout de la ligne, la performance de votre organisation repose énormément sur votre capacité de partager vos données, aux bonnes personnes, au bon moment et en même temps, être capable de les protéger, sans parler des règles de conformité imposées.

En dernier lieu, une de plus grandes difficultés dans la protection contre les fuites, c’est que contrairement à un vol monétaire, le vol de données reste peu apparent, car les données, elles, ne disparaissent pas. Les signes d’une fuite de données sont donc peu visibles et les symptômes ne sont ressentis souvent que des mois, voire des années plus tard.

Comment peut-on alors se protéger?

Premièrement, il est illusoire de vouloir protéger toutes ses données pour tous les cas de figure imaginables. Il faut savoir choisir ses combats.

Pour cela, vous devez donc disposer d’une stratégie qui sera axée sur la valeur de vos données, mais également en prenant en compte comment vous utilisez celles-ci, les différents scénarii de risques de fuites les plus importants, les impacts et vos obligations réglementaires.  En clair: le départ de votre stratégie reposera sur une bonne compréhension de votre situation et de vos risques.

D’un point de vue technologique, les solutions sont diverses et vous devrez donc aborder le tout par une combinaison d’approches et mesures de contrôles. Par exemple, il existe des solutions de “Prévention” contre la fuite de données appelées Data Loss Prevention (DLP), mais malgré leur nom, ces technologies ne doivent pas être vues comme une solution miracle. Ces technologies doivent être utilisées et déployées en tenant compte du contexte global des autres technologies et mesures de sécurité ou d’hygiène de base, tel que:

  • le contrôle des accès administrateurs (PAM),
  • les configurations de vos systèmes,
  • la mise en application des rustines,
  • la sécurité du code,
  • l’anonymisation des données,
  • la surveillance,
  • etc.

Une stratégie de prévention de fuite de données sera donc articulée autour des données considérées comme sensibles et de haute valeur, et d’y appliquer un ensemble de règles tout au long de son cycle de vie. L’objectif? Contrôler le flux de données conformément aux politiques préalablement définies. Ces règles peuvent s’appliquer au niveau du terminal (poste de travail, serveur, etc), de l’application interne ou infonuagique (Microsoft 365 par exemple), du réseau (pare-feu, etc) et de vos outils de surveillance SIEM, par exemple.

  1. La première étape, consiste donc à définir le périmètre prioritaire des données à protéger et des cas d’usages fonctionnels à traiter.
  2. Pour éviter les fuites accidentelles, il faut classifier vos informations. D’ailleurs si vous utilisez Microsoft Azure, connaissez-vous sa solution Microsoft Azure Information Protection (AIP)? Une fois vos données classifiées, il sera aisément possible de définir des politiques d’accès et d’échange de données vers les personnes autorisées en fonction de la classification du document en question.
  3. Il est important d’identifier les contraintes règlementaires et légales concernant les données sensibles, telles que les données à caractère personnel, leur traitement, lieu de stockage et canaux de transfert. Pour les organisations évoluant dans un contexte international, elles devront faire face aux réglementations locales, créant souvent un écart quant aux règles qu’elles doivent respecter concernant le traitement des données. Ainsi, les entreprises devront s’appuyer sur les compétences des départements Légal et Conformité pour valider les règles de protection appliquées aux données.
  4. La mise en œuvre des solutions DLP doit absolument :
    – tenir compte des besoins d’affaires qui impliquent potentiellement l’échange d’informations sensibles avec l’extérieur
    – et préserver l’expérience des utilisateurs qui ne doivent pas voir leurs activités perturbées par les mécanismes de protection.
  5. Il faut ensuite définir les moyens technologiques et processus à mettre en place pour la détection d’une fuite de données. Puisqu’une fuite laisse peu de signes et symptômes, il faut bien cadrer les situations anormales que vous désirez détecter. De plus, il faut s’assurer d’intégrer ces scénarii à votre plan de gestion des incidents, ces derniers devront s’adapter aux processus déjà prévus :
    Qui recevra les alertes liées aux potentielles fuites de données?
    – Quels moyens mettre en place en cas d’investigation sur le périmètre impacté?Existe-il un niveau de confidentialité que doit respecter une enquête?
    – Selon le degré de criticité, quel niveau hiérarchique et opérationnel contacter?
  6. L’implémentation des solutions techniques devra :
    – Prendre en considération la diversité de vos systèmes informatiques et de vos processus de collaboration;
    – S’adapter aux environnements d’affaires (plateformes collaboratives, serveurs de fichiers, etc);
    – S’intégrer avec les outils du SOC (SIEM, etc) et autres solutions de sécurité de l’entreprise (PAM, revue des accès, UEBA, pare-feu, outils de chiffrement, MDR, etc).
  7. En terminant, la sensibilisation de vos employés par des campagnes internes, mais également leur fournir les bons outils et la bonne formation sur ces derniers, reste un des points importants dans le cadre de la prévention contre la fuite de données. Une attention particulière devra être mise en place si un utilisateur a accès à des informations privilégiées.

Déployer des outils de prévention et détection de fuites n’est cependant pas une fin en soi.

En effet, les scénarii de détection implémentés doivent être revus régulièrement sur la base de l’évolution de votre organisation, de ses systèmes, des faux-positifs et des remontées d’alertes afin d’améliorer la capacité de détection des fuites de données réelles.

C’est pourquoi passer par l’étape “état des lieux” régulièrement vous permettra d’ajuster vos stratégies et les moyens mis en oeuvre en fonction des nouveaux risques et techniques utilisées et nouvelles technologies disponibles sur le marché. .

In Fidem dispose d’experts en mesure de vous accompagner dans la mise en place de stratégies, d’outils et de méthodes pour vous protéger contre les fuites de données qu’elles soient issues d’attaques externes ou internes. N’hésitez pas à nous contacter afin que nous puissions évaluer votre situation.