Solutions Magazine - JANVIER 2009 www.solutions-magazine.be

Fuite ou perte de données: une fatalité?

Premier souci, la fuite d’informations. Du coup, la demande en solutions de DLP supplante l’IAM, la gestion des identités et des accès.

Premier souci des professionnels de la sécurité: la fuite d'informations à l'intérieur de l'entreprise. Deuxième souci, la sécurisation des accès distants, des utilisateurs nomades et du travail collaboratif désormais étendu. Selon les experts, l’un et l’autre sont liés.

Ces deux priorités ont été mises en avant lors du dernier salon InfoSecurity Europe. Elles conduisent à la DLP -Data Leakage Prevention ou Data Loss Prevention. La dernière étude de RSA Conference -les organisateurs des conférences du même nom- est plus catégorique: un responsable de la sécurité informatique sur deux (49%) place la fuite d’informations concernant des clients ou des employés en tête des menaces planant sur l’entreprise. Suivent les attaques par e-mail (41%) et celles par Web (36%).

En fait, cette situation s’explique parfaitement. Aujourd’hui, 60% des données professionnelles sont stockées sur des postes de travail. Et elles circulent. Ainsi, 39% des utilisateurs de clés USB les utilisent pour des transferts entre l’entreprise et le domicile…
?
Avec la multiplication des réseaux sans fil et des périphériques mobiles de grande capacité capables de stocker et de transmettre des informations, la sécurité a changé de champs de bataille: ce n’est plus le réseau d’entreprise qu’il faut protéger, mais l’information elle-même!

Interdire l’usage des clés USB? Limiter l’usage de l’ordinateur portable? Voire celui du téléphone mobile? Impossible! Le problème n’est pas seulement lié à la mobilité. Au contraire, estime le Ponemon Institute. Selon ses estimations, 78% des fuites en entreprise proviennent de personnes internes et autorisées à accéder à ces informations. De même, rappelle l’éditeur Sophos, 95% des pertes de données ne sont pas intentionnelles: tout un chacun peut fort bien choisir accidentellement le mauvais destinataire en utilisant la fonction de recherche automatique (auto-complete) du client de messagerie.

Il n’empêche. Que ce soit un désagrément mineur ou une perturbation financière majeure, la fuite de données confidentielles est un sujet préoccupant. Selon le type de données perdues, les dégâts peuvent ternir la réputation d'une entreprise, lui faire perdre du chiffre d'affaires ou lui faire payer des pénalités financières exorbitantes suite à des amendes ou des poursuites judiciaires.

Davantage les hommes, appartenant le plus souvent au Senior Management…

Malhonnêtes, mal intentionnés ou tout simplement imprudents. A voir. Selon KPMG, 85% des employés malhonnêtes sont des hommes et 49% appartiennent au Senior Management. Chose peu surprenante, leurs motivations sont, pour 47% d’entre eux, l’amélioration de leurs conditions financières, de leur pouvoir, voire de leur influence.

A l’heure où de nombreux éditeurs et spécialistes de la sécurité évoquent les risques internes de failles et plaident pour un renforcement des contrôles et de la pédagogie, l’estimation de KPMG montre combien une telle fuite de données peut arriver rapidement.

D’autant que le coût de ces fuites est établi à 13 millions d´EUR dans les seules banques britanniques au cours de ces douze derniers mois. En France, ce serait davantage… même si les institutions se gardent bien d’avancer des montants précis. Et pour cause: entre le début de l’activité illégale de l’employé et sa détection, le temps peut être long.

En Grande-Bretagne, le phénomène aurait pris de l’ampleur avec 128 cas de fraudes tous secteurs confondus traités par les tribunaux au cours du premier semestre 2008, pour un montant estimé à plus de 780 millions d’EUR à comparer aux 520 millions évalués pour les 91 dossiers traités au cours des six mois précédents.