LA PROTECTION DES DONNÉES DÉFINITION DE LA FUITE DE DONNÉES 22/11/2012, Swissôtel Métropole
INTRODUCTION DÉFINITION DE LA FUITE DE DONNÉES Qu est ce que c est? Comment se traduit-elle? Quels sont les acteurs en jeu? Est-ce forcément des gens de l extérieur? Quelles sont les failles exploitées? Les cibles? QUELLES EN SONT LES CONSÉQUENCES? Types d informations divulguées Conséquences pour l entreprise EXEMPLES DE CAS CONCRETS Différents cas concrets avec leurs explications Pistes de réflexion sur des contre-mesures éventuelles Bilan 2
SOUS QUELLES FORMES SE TRADUIT-ELLE?
ORIGINES INSIDERS Employés mal intentionnés et/ou soudoyés Employés licenciés (peut également conduire à une destruction des données) Employés sur le départ souhaitant conserver le résultat de leur travail Employés en déplacement (vol ou perte) OUTSIDERS Prestataires externes (de façon volontaire ou non) Concurrents ayant un intérêt financier ou concurrentiel Attaques d éléments externes (hackers) 4
MOYENS UTILISÉS CLASSIQUES OU DÉJÀ À DISPOSITION Utilisation des accès classiques Utilisation de périphériques de stockage Utilisation de comptes mails internes ou personnels Perte d un laptop ou d un périphérique de stockage corporate SPÉCIALEMENT MIS EN PLACE POUR CET USAGE Vol ciblé d un laptop ou d un périphérique de stockage corporate Vol des credentials nécessaires à l accès aux informations recherchées Intrusion au sein du réseau de l entreprise (hacking) Utilisation de moyens technologiques à des fins d exfiltration d informations (APTs, ) Soudoiement et/ou pression sur des employés Social Engineering 5
CIBLES TECHNOLOGIQUES Laptops, supports de stockage amovibles et smartphones Postes de travail des administrateurs IT et des dirigeants Serveurs de fichiers Bases de données Sites Internet HUMAINES Dirigeants des sociétés Managers de certaines divisions sensibles Administrateurs IT Commerciaux et personnes ayant un rôle dans la stratégie commerciale 6
FAILLES TECHNOLOGIQUES Gestion des droits trop permissive ou délaissée Postes de travail des administrateurs IT et des dirigeants Emails Serveurs de fichiers Bases de données non monitorées et/ou non sécurisées Sites Internet vulnérables HUMAINES Employés mal intentionnés ou à comportement à risque Configurations non sécurisées (compte par défaut, ) Utilisation de mots de passe faibles ou bien transmis à d autres employés Inutilisation du chiffrement 7
LES CONSÉQUENCES POTENTIELLES
INFORMATIONS LIÉES À LA SOCIÉTÉ TYPES D INFORMATIONS DIVULGUÉES Plan & stratégie marketing et/ou commerciale Informations liées à la propriété intellectuelle (code source, plan, formule, ) Fichier clients Informations liées à la stratégie de l entreprise (fusion, rachat, ) Informations personnelles INFORMATIONS LIÉES AUX CLIENTS ET/OU PARTENAIRES Informations personnelles sur les clients Informations bancaires sur les clients Liste des partenaires et informations associées (stratégie, planification, ) 9
CONSÉQUENCES EN TERMES D IMAGE ET DE CONFIANCE Clients et/ou partenaires susceptibles de perdre la confiance accordée Potentiels prospects susceptibles d avoir un apriori négatif Médias susceptibles de relayer l information (ex. Sony, ) EN TERME DE POSITION CONCURRENTIELLE Perte de revenus directe (pertes de clients, non renouvellement de contrat, ) Perte de revenus indirecte (prospects initialement intéressé changeant d avis, ) Ralentissement du développement - voir régression (perte d AO, de contrat en cours, ) Divulgation de la stratégie commerciale à la concurrence Perte de l éventuelle avance technologique (divulgation de certains brevets, ) 10
EXEMPLES DE CAS CONCRETS
OTAN : UNE CLEF USB ÉGARÉE (2008) CONTEXTE : CLEF USB RETROUVÉE AU SEIN D UNE BIBLIOTHÈQUE Menace : personne interne Motivation : insouciance, négligence Technique : clef USB non chiffrée égarée au sein d une bibliothèque CONSÉQUENCES Informations confidentielles pouvant nuire à la sécurité internationale divulguée Représailles ou actions pouvant être entreprises CONTRE-MESURES POSSIBLES Device control : n autoriser que des clefs USB chiffrées Encrypted devices : périphérique chiffré avec lecteur biométrique en option 12
HSBC : AFFAIRE D HERVÉ FALCIANI (2008) CONTEXTE : VOL DE DONNÉES BANCAIRE PAR UN INSIDERS Menace : personne interne Motivation : revendre ces données confidentielles Technique : inconnue, peut-être via son accès légitime au CRM CONSÉQUENCES Image ternie Perte éventuelle de clients et prospects CONTRE-MESURES POSSIBLES Device control : autoriser la lecture sur les lecteurs CD/DVD mais pas l écriture DLP : monitoring et alerte sur la tentative de copie de fichiers sensibles Database Monitoring : si données extraites depuis une BDD Files Servers Monitoring : si données extraites depuis un serveur de fichier SIEM : corrélation des évènements et création d incident de sécurité 13
UK : CENTRALE NUCLÉAIRE & STRESS TEST (2011) CONTEXTE : PERTE D UNE CLEF USB CONTENANT DES DONNÉES CONFIDENTIELLES Menace : personne interne Motivation : négligence Technique : perte de la clef USB non chiffrée après avoir copié les données (contournement des exigences de sécurité) CONSÉQUENCES Informations confidentielles pouvant nuire à la sécurité du pays CONTRE-MESURES POSSIBLES Device control : n autoriser que les clefs USB chiffrées DLP : monitoring et alerte sur la tentative de copie de fichiers sensibles Encrypted devices : périphérique chiffré avec lecteur biométrique en option SIEM : corrélation des évènements et création d incident de sécurité 14
BILAN VOL DE DONNÉES : SOUVENT DES INSIDERS Menace : vient souvent de l intérieur, par négligence ou par intérêt Monitoring : différence entre monitoring et enforcement Chiffrement : solution simple et efficace contre les divulgations involontaires LISTE D EXEMPLES Site dédié répertoriant les fuites de données : http://www.datalossdb.org/index/latest OUTSIDERS : UNE MENACE À NE PAS NÉGLIGER Vol de comptes Sony Playstation Network (PSN) Vol de compte Battle.net (Blizzard)... 15
INTERLOCUTEURS Benoît RAMILLON, IT Security Manager Lionel HUYET, Head of Sales Carlo MUNARI, Director, Business Developer Marilyn COMBET, Sales & Marketing Assistant benoit.ramillon@answersolutions.ch lionel.huyet@answersolutions.ch carlo.munari@answersolutions.ch marilyn.combet@answersolutions.ch VOUS AVEZ DES QUESTIONS? ANSWER S.A. 29, CHEMIN DU PRE FLEURI POST BOX 31 1228 PLAN-LES-OUATES GENEVE SWITZERLAND T +41 (0)22 884 90 00 F +41 (0)22 884 90 70 WWW.ANSWERSOLUTIONS.CH NOUS AVONS LES RÉPONSES! 16