Clusir RhA groupe IE Comment repérer une fuite d information et la contrôler? Général (2 S) Michel Commun Commun Conseils SAS Pascal Vincent M2GS SAS Sous la Présidence de Yannick Bouchet
Contexte : Sommaire L expertise Lexpertise d industriels, de spécialistes de la santé, de la finance, de l assurance est attendue pour élaborer le guide AFNOR 2014, visant à proposer les meilleures pratiques pour prévenir et gérer la fuite de l information, ou «Data Leak Prevention». Une fuite d information?!? Participatif : La présentation se veut interactive avec des échanges autant que faire se peut (il faut venir car les échanges ne peuvent être retranscrits dans le diaporama) : votre avis, vos idées, vos habitudes et expériences, de la théorie à la pratique dans les PME, Pouvons nous faire passer nos réflexions à l AFNOR et demander de participer! Echange autour de trois thématiques : Rechercher des informations sur internet, par téléphone, sur les réseaux sociaux, via des échanges business, le sens de l observation et de la déduction. Comment structurer une démarche dans le temps : éveil, vigilance, soupçons, confirmation Quelles actions pour contrôler, comment agir? Faut-il toujours agir d ailleurs? Conclusion Page 1
Idées pour introduire le débat et les échanges Un fuite : c est quoi? Les signaux qui peuvent indiquer la possibilité d une fuite Les signaux faibles Une concurrence qui bouge, est en mouvement, s excite un peu plus que d habitude Une veille qui indique une convergence de faits, un événement, Des RDV et échanges business, lecture de CV Les signaux forts La contrefaçon d un dun produit Un vol de portables, un vol ou incident inexplicable et peu compréhensible, Les précautions et les conseils utiles, vos expériences Page 2
Le sens de l observation et de la déduction Tester sur son entreprise : Se poser la question : qui peut être une menace et détient une information sensible? Problème de budget et de temps, surtout dans l industrie, rien que pour initier l hygiène lhygiène élémentaire Freins culturels, à lever avec les forces internes à l entreprise, Convaincre la direction avec les preuves des éléments sensibles collectés Le plan stratégique qui est laissé sur le bureau ouvert de la direction : bon exemple! Moyens mis en œuvre pour repérer? Pas ou peu de protection des informations sensibles : En cas de départ d un salarié, généralement difficile d anticiper. Outils permettant de veiller à limiter les transferts et volumes d informations, sur clé USB, sur arborescence de fichier. Cas des copieurs-imprimantes réseau : outils de supervision permettant de savoir qui a imprimé ou copié quoi. Un système de code ou badge limitant l impression qui n a pas été récupérée auprès du copieur (si lancement depuis un poste distant). Proposition Afnor : log par user détaillé (monitoring) et protection DD + flash du DD en fin de vie avant retrait Copieur/Imprimante Numéroter les documents et exemplaires papier p distribués, assurer un suivi rigoureux. Mettre des leurres dans la base client, ou des supports d information, ou des adresse mails avec des codes de repérage. Page 3
Le sens de l observation et de la déduction (suite) Repérer des fuites Difficile de repérer, sauf à toujours aller chercher l information chez la concurrence pour vérifier. Cas des brevets déposés pouvant donner des informations sensibles et être exploitées. Prévention vol de portable : disque dur crypté à part du PC, PC et clé US à part. Comment crypter ou protéger sur le smartphones et tablettes? Aller sur des outils de recherches pour repérer des informations stockées Attention à office 365 avec Sharepoint, tout est stocké sur le cloud Préconisations : dissocier les 5% des infos sensibles sur une autre système, à part, Ne pas jeter à la poubelle les documents mais les passer au destructeur ou broyeur Mettre en place un workflow pour suivre les rédacteurs, lecteurs, Pour repérer les fuites, constituer un réseau d indicateurs, y compris auprès de concurrents, pour se protéger avec de bonnes pratiques. Constats Ne pas imposer trop de contraintes qui risquent de tuer la sécurité. Page 4
Structurer une démarche dans le temps Préventif : Mettre des mots clés, des phrases clés (nom de code projet) permettant de repérer ensuite que ces mots clés et phrases clés ne sont pas diffusées. Cela peut permettre également de rechercher si d autres acteurs sont intéressé par le nom de code. Des comptes leurre avec des adresses contrôles sont aussi de bon moyens. Deux feuilles A4 avec une série de questions prédéterminées et les réponses en face pour les concurrents (à inclure dans le livret d accueil?) Avoir une attention pour l accueil, les agents de sécurité (qui parlent beaucoup trop dans leur talkies), tous les publics en frontal avec l extérieur, mais sans donne une trop grande importance. Donner mission aux agents de sécurité de récupérer les documents non protégés, les pc non attachés, Informations à connaître Notification de violation de données personnelles Un article : http://www.legavox.fr/blog/maitre fr/blog/maitre-geraldine-laly/obligation-notification-geraldine laly/obligation notification violations-donnees-caractere-8113.htm La CNIL : http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/la-notificationdes-violations-de-donnees-a-caractere-personnel/ Le projet de réglementation européen prévoit une notification systématique aux personnes concernées, comme dans les pays Anglo-saxons Page 5
Structurer une démarche dans le temps (suite 2) Curatif : Évaluer limpact l impact Prendre des mesures : Activer une cellule de crise, y compris en PME, avec peu de personnes Requalifier le projet fuité et le même code pour dévier le fuite (désinformation, continuer à suivre la fuite pour remonter à la source) Renommer avec un autre code le projet initial Action juridique S informer auprès d un avocat Contacter Si OIV : obligation dinformer d informer la CNIL après évaluation avant toute autre action, mais retard dans l info des clients et risque de critique sur le délai de traitement La zone de police ou la zone gendarmerie, un officier de police judiciaire spécialisé NTECH, qui jugera et opèrera ensuite avec plainte justice. Un référent Club IE, ou DCRI ou RCC, Page 6
Faut-il toujours agir d ailleurs? La cellule de crise doit décider de communiquer ou pas, et comment Si du buzz est généré avec d autres dautres acteurs concernés, ne pas répondre permet de se faire oublier et les autres font le buzz Mais la communication peut être un moyen de profiter de l événement pour en faire un effet de levier positif, pour gagner en notoriété La fuite n est-elle pas commanditée pour disposer de plus de moyens, de budgets, La fuite peut aussi permettre de générer du business, elle peut être utiliser comme vecteur de marketing, voire même une véritable stratégie. Conclusions De nombreuses idées ont été recensées par les participants, opérationnelles, pratiques et généralement peu couteuses. Check-list, séparation des données, mise à part des 5% d informations sensibles, Se poser la question de l action laction à opérer en cas de suite d informations sensibles auprès de qui, comment, et des conséquences acceptables. Ne pas oublier que le Clusir et ses membres sont là pour conseiller et orienter, que plusieurs membres ont connu pareil mésaventure dans leur vie antérieure «L expérience des anciens doit profiter aux plus jeunes» Page 7