Cahiers de la sécurité n 4 La sécurité économique dans la mondialisation Éditorial de Michèle Alliot-Marie äéë=éåàéìñ=çé=ä~= ê Åìé ê~íáçå=çé=ççåå Éë par Alain BELLEFACE, Guillaume MUSCAT avril-juin 2008 Police et proximité ou le paradoxe du policier
Les enjeux de la récupération de données Alain BELLEFACE, Guillaume MUSCAT INHES Le sinistre informatique, caractérisé par la perte de données, est un risque majeur pour les entreprises à une époque où 99 % du patrimoine informationnel est numérique. Gestion du risque, continuité de l'activité, choix du prestataire chargé de la récupération, évaluation du préjudice subi, chacun de ces critères doit être formalisé dans une politique de sécurité de l'information clairement énoncée et pilotée par les responsables de la protection du patrimoine de l'entreprise. Risque majeur pour les entreprises, enjeu tout aussi important pour les prestataires spécialisés en matière de récupération de données qui doivent être en mesure de répondre aux attentes de leurs clients dans les meilleures conditions. Précision du diagnostic, qualité et rapidité du geste technique, expertise, déontologie et sécurité des process d'intervention sont les clés de la réussite de cette activité en pleine croissance où la confiance entre client et prestataire est un préalable indispensable. Recovering Lost Data A system crash, characterized by the lost of data, is a major risk for businesses in an era when 99 % of a firm s information is electronic. Management of risk, continuation of business, the choice of a service provider to recover data, the evaluation of the damage suffered: each of these factors must be integrated into an information security policy elaborated and carried out by those responsible for the assets of the firm. This is not only a major risk for companies, but also for firms specializing in the recovery of lost data and who must respond to the expectations of their clients as effectively as possible. Accuracy in the diagnosis, quality and rapidity of the technical response, evaluation, code of conduct and security of the repair process are all keys to success in this new sector in full expansion -- where trust between customer and provider is an essential prerequisite. Alain Belleface Depuis 2007, il est responsable du développement de la société LMCI, spécialisée dans la maîtrise et la protection de l'information. Auparavant, il était responsable du Pôle sécurité de l information dans la société spécialisée dans la gestion des risques, RISK&CO. De 1994 à 2006, il a travaillé au ministère de la Défense comme expert sur les menaces liées aux technologies d'information et de communication, dans le cadre de missions relatives à la protection et la sécurité de l'état. Guillaume Muscat Président fondateur de la société LMCI, spécialisée dans la maîtrise et la protection de l'information. Auditeur de la 171 e session régionale (Nantes-Poitiers) de l'institut des hautes études de la Défense nationale. 1
Cahiers de la sécurité n 4 avril-juin 2008 Avec le développement des technologies d'information, la quantité d information gérée (produite en interne, reçue par des tiers, traitée et stockée) au quotidien par les entreprises croît chaque année de manière exponentielle. À cette augmentation extrêmement forte du capital informationnel s'ajoute l'obligation de conservation de volumes d'information de plus en plus importants dans le cadre de nouvelles réglementations financières, notamment (Loi de sécurité financière et Sarbanes Oxley). Dans ce contexte, la problématique du stockage et de l'archivage du patrimoine informationnel devient une priorité des services informatiques. Au-delà d'une simple question technique, la conservation des données numériques nécessite de prendre en compte leur cycle de vie et d'identifier les menaces associées, qu'elles soient internes, externes, d'origine accidentelle ou malveillante : - Une mauvaise manipulation, volontaire ou involontaire, portera atteinte, ponctuellement ou durablement, au fonctionnement du système d'information ; - Un incendie, un dégât des eaux ou une panne portant sur le matériel informatique immobilisera tout ou partie de l'activité de l'entreprise ; - Une intrusion dans le réseau informatique permettra à une personne ou un programme malveillant de modifier, altérer ou supprimer des données. Un risque stratégique Le sinistre informatique, caractérisé principalement par la perte de données, est un risque bien réel avec des conséquences économiques souvent importantes pour la victime. Perte de compétitivité et/ou de savoir-faire, arrêt d'exploitation, atteinte à l'image, aucun secteur d'activité, que ce soit l'industrie, l'aéronautique, la banque, l'agroalimentaire, la recherche pharmaceutique n'échappe à cette réalité. La dernière étude publiée par le Club de la sécurité de l'information français (Clusif) sur la sinistralité informatique en France (2005) 1 dresse le bilan suivant : - la dépendance perçue par les entreprises vis-à-vis de leur informatique est considérée comme modérée pour 23 % d'entre elles et forte pour 75 % d'entre elles 2 ; - l'étude de la typologie des incidents subis par les entreprises fait ressortir que la majorité des sinistres sont dus à des erreurs de conception (58 %), la perte de services essentiels - électricité, télécoms - (47 %), des erreurs d'utilisation (46 %), des pannes d'origine interne (37 %) et des infections virales (36 %). La récupération de données après sinistre est donc un enjeu stratégique car d'un côté, le marché est en pleine croissance, et de l autre les sociétés spécialisées dans cette activité manipulent des données souvent sensibles et confidentielles (bases de données comptables, commerciales, salariales, boîtes de messagerie, documentation de brevets, etc.). Un marché déséquilibré et immature Aujourd'hui, le marché français de la récupération de données reste immature et déséquilibré. D une part un acteur majeur, l Américain Kroll 3, après son rachat successif de deux sociétés spécialisées dans le domaine, Ontrack et Ibas, occupe 80 % du marché. D autre part une dizaine de petites sociétés disséminées sur tout le territoire français se partagent le reste sans pouvoir rivaliser sur le plan commercial. Conscients du caractère stratégique de cette activité, les services du haut responsable à l'intelligence économique (HRIE) ont élaboré en mars 2007 une «Charte de bonnes pratiques relative à la récupération de données contenues dans des supports informatiques endommagés» 4, signée par six entreprises françaises. Cette charte, qui devrait donner un peu de cohérence au marché, propose sept points destinés à fixer un cadre commercial et un niveau de confiance a minima des prestations. Elle prévoit notamment que les prestataires doivent : - informer leurs clients de l'adresse où seront traités les supports de stockage ; - disposer de moyens de protection des locaux où seront effectuées les opérations de récupération ; - demander l'autorisation expresse aux clients pour tout transfert de travaux dans un pays étranger ; - assurer la traçabilité des opérations ou encore ne conserver aucune trace ou copie des données récupérées. Du côté des entreprises susceptibles de subir une perte de données, la problématique doit être prise en compte (1) Étude réalisée auprès de 400 entreprises de plus de 200 salariés. (2) Forte : une indisponibilité de moins de 24h a de graves conséquences sur l'activité, Modérée : une indisponibilité jusqu'à 48h est tolérable. (3) Leader mondial en matière d'investigation et de recherches de renseignement à caractère concurrentiel et financier. (4) http://www.intelligence-economique.gouv.fr/article.php3?id_article=199 2
Alain BELLEFACE, Guillaume MUSCAT Les enjeux de la récupération de données par l'ensemble des acteurs chargés de la protection. La perte d information ne peut plus être du seul ressort de la production informatique comme c'est encore trop souvent le cas, que ce soit pour la gestion de l incident lui-même ou le choix de l intervenant extérieur en charge de la récupération. En matière de sécurité des systèmes d information, les entreprises ont pleinement pris conscience qu il fallait sécuriser les systèmes et réseaux face aux malveillances internes et externes (piratage, vol d information, attaques virales). D importants investissements ont été consentis en la matière par la mise en place de mesures techniques et organisationnelles efficaces (généralisation de la fonction RSSI 5, déploiement de solutions de sécurité éprouvées, politiques de sécurité efficaces, campagnes d audits régulières). Mais la problématique de la perte de données reste encore floue. La gestion de ce type d incident comporte de nombreux paramètres qui vont de l évaluation du préjudice économique directement lié à la perte jusqu au risque de pillage ou de fuite des données contenues sur les supports endommagés lors de l acte de récupération pratiqué à l extérieur de l entreprise. Une perte de données démarre invariablement par une atteinte directe sur le système primaire de stockage et un dysfonctionnement du système de restauration. S'en suivent alors des prises de décisions minimalistes et/ou inadaptées dans un contexte de crise et bien souvent en marge des procédures officielles, quand elles existent. L'utilisateur ou le service informatique confronté à l incident, privilégie, dans la majorité des cas, une réaction réflexe isolée aux dépens d une action concertée, prenant en compte le volet stratégique du sinistre et la situation de soudaine dépendance à laquelle l entreprise se trouve confrontée. Les premières heures qui suivent la perte de données sont mises à profit pour tenter une solution interne qui repose sur des outils logiciels accessibles sur Internet gratuitement ou pour quelques dizaines d euros. Ces actions de première urgence, menées sans expertise ni savoir-faire, peuvent avoir un impact particulièrement négatif sur les chances de récupération réelles. Lorsque cette première tentative de récupération n est pas maîtrisée, la décision de faire appel à un prestataire externe est finalement prise, avec comme objectif prioritaire de faire réaliser une prestation rapide et économique, après une consultation sommaire de quelques adresses de sites Internet, recueillies sur les moteurs de recherche. Or, c est précisément dans ces circonstances que le critère économique de l intervention ne doit pas être retenu comme prioritaire mais bien le niveau de compétence, l intégrité et la qualité des processus d intervention du prestataire. Seuls ces trois critères permettent d envisager une récupération des données dans des conditions satisfaisantes, tant sur le plan de la reprise d activité que sur celui de la confidentialité des données recouvrées. Le coût de l intervention reste quant à lui marginal, si l on prend le temps de s interroger sur la valeur réelle des données perdues pour l entreprise, comparé au prix de la prestation de récupération elle-même. Les nombreux sites Internet qui présentent des services de récupération de données, tantôt sans devis préalable, tantôt selon des grilles tarifaires fixées a priori, sans tenir compte des conditions opérationnelles du sinistre, de son environnement et de la criticité des données affectées par l incident, entretiennent le flou sur cette activité qui peut être assimilée, dans certains cas, à de simples services de dépannage proposés par des sites marchands. Améliorer la gestion des risques En complément des propositions du cadre proposé par la «charte de bonnes pratiques» du HRIE, les sociétés, qui sont susceptibles de subir une perte de données, doivent travailler sur l'amélioration de la gestion du risque selon trois axes : En amont du sinistre - faire auditer son système d information afin de mesurer sa tolérance à la récupération de données et choisir les équipements en conséquence ; - définir des procédures adaptées à la gestion d'une perte de données (Plan de continuité et de reprise d'activité) ; - valider, sur des critères objectifs, son ou ses prestataires qui effectueront les opérations de récupération ; - intégrer la perte de données dans le processus de gestion de crise ; - effectuer annuellement une simulation in situ afin de valider les procédures mise en place ; Pendant le sinistre - activer la cellule de crise telle que définie dans le Plan de continuité d'activité ; - veiller à la sécurité du transport des supports de données vers le prestataire ; - valider la remise en production du système en étroite collaboration avec le prestataire qui a effectué l'opération de récupération. (5) RSSI : Responsable de la sécurité des systèmes d'information. 3
Cahiers de la sécurité n 4 avril-juin 2008 Après le sinistre - retour d'expérience, mesures correctives et mise à jour des processus de gestion de crise ; - reboucler sur les opérations «en amont du sinistre». Enfin, les acteurs français de la récupération de données, ont encore beaucoup à faire. En effet, la plupart ne sont pas prêts à intégrer dans leur structure la problématique d'intelligence économique, pourtant intimement liée à l'activité, dont les enjeux stratégiques les dépassent culturellement et financièrement. De plus, beaucoup ne fondent leurs prestations que sur le geste technique stricto sensu qui repose, malheureusement trop souvent, sur l utilisation de solutions logicielles commerciales certes efficaces, mais non maîtrisées. La recherche et développement en la matière n étant que très margina - lement consentie sur un domaine qui, au contraire, exige sans cesse de nouveaux développements. Alain BELLEFACE Guillaume MUSCAT 4