Le Cesin s'inquiète pour la protection des données dispersées et transformées - Actualités RT Sécurité

Le Cesin s'inquiète pour la protection des données dispersées et transformées

le 01/10/2015, par Didier Barathon, Sécurité, 599 mots

En direct des Assises de la sécurité.  Les 8 et 9 décembre prochains, le Cesin organise son séminaire annuel. Cette année, un thème domine, déjà abordé lors des Assises: la protection des données.

Le Cesin s'inquiète pour la protection des données dispersées et transformées

Le RSSI n'en finit pas d'évoluer, car ses champs d'action s'élargissent ou se multiplient. Un exemple, celui de la protection des données. Dans l'entreprise apparaissent des data analystes, les données sont externalisées, passent dans le cloud, de manière organisée ou rampante, bref la protection des données est bien la nouvelle priorité. Sauf que les données sont dispersées. Comment s'y retrouver ? Le Cesin propose ses pistes.  D'abord, remarque Mylène Jarossay, RSSI de LVMH, l'éclatement des applications entraîne un éclatement des interfaces entre applications. La Fédération des identités existe, mais pas celle des donnes. Un paradoxe. 

« Où est dispersée cette information », se demande Olivier Ligneul d'EDF. Dans le SI, mais pas seulement, chez le Chief digital officer, chez les partenaires ou chez les prestataires et leurs propres sous-traitants. L'information est accessible de différentes manières par différents responsables internes ou externes.  Le problème est particulièrement accentué selon Fabrice Bru, Ciso de Louis Vuitton avec les datacenters, l'opérateur a lui-même des partenaires et chacun peut avoir accès à vos données. C'est le cas avec un CRM, qui est pourtant au coeur du métier d'une entreprise comme Louis Vuitton. Les plans d'assurance et les exigences contractuelles ont beau exister, ils sont de peu d'effets.

Une information redondante et multi-formats

« L'information, souligne Mylène Jarossay est non seulement dispersée, mais aussi redondante et multi-format. De plus, il faut aller chercher cette information chaque fois qu'elle a été transformée. C'est cette information-là, dispersée et transformée, qu'il faut protéger ». Or, la traçabilité est compliquée.

Il y a dix ans de cela, on ne se posait pas les mêmes questions, note Olivier Ligneul, il fallait protéger la donnée. Aujourd'hui, on s'aperçoit que cette donnée ne peut être effacée, il faut savoir comment la traquer, comment aussi aborder la question des interfaces de communication entre les données. Un point susceptible de faire émerger de nouveaux risques. Et il faut tenir compte du fait que la donnée évolue au fil du temps. 

Détecter le plus vite possible 

Le RSSI doit s'emparer de ces nouveaux sujets, visiblement ils sont d'une complexité inédite. Au passage, il va se confronter à d'autres directions plus ou moins bien disposées sur les sujets de sécurité numérique. En général, la direction des achats comprend que certains dossiers doivent être protégés. Ce n'est pas le cas de tout le monde, il faut au minimum imposer des réflexes de DLD, Data leak detection. « On ne peut pas prévenir le risque, juste le détecter et le détecter le plus vite possible » note Fabrice Bru (Louis Vuitton).

Le RSSI doit savoir répondre aux demandes des métiers. Vaste sujet. Un exemple fourni par Fabrice Bru, celui du département digital de sa société qui demande de suivre le buzz fait par un produit (par catalogue ou par le web), ce qui nécessite une traçabilité dans les applications. Des applications qui doivent être mises en place très vite, on n'est plus dans la vieille notion de projet des DSI. Et le cloud complique encore le sujet.

Plus percutante, Mylène Jarossay se demande si on ne pourrait pas amener l'utilisateur à se responsabiliser un peu plus, à contribuer davantage à la protection des données. Pour le moment, on se contente de lui déconseiller ou de lui interdire d'installer telle ou telle application. Autre question cruciale, la relation avec l'audit, lui aussi désarçonné par des systèmes de gestion de données dispersés et souvent externalisés. 

En photo : Mylène Jarossay fédère les interrogations des membres du Cesin

 

Frappé par une faille, Zoom bétonne la sécurité de sa webconférence

Affectant dans un premier temps les utilisateurs de la version macOS pour poste de travail, la vulnérabilité de l'application de webconférence Zoom s'est étendu aux solutions RingCentral et Zhumu. Pour...

le 16/07/2019, par Matthew Finnegan, Computerworld (adapté par Dominique Filippone), 1795 mots

Cisco émet trois avis de sécurité critiques pour DNA Center

Trois problèmes de sécurité sérieux signalés par Cisco concernent Data Center Network Manager (DCNM). L'équipemntier a livré des mises à jour logicielles gratuites corrigeant les vulnérabilités décrites dans...

le 01/07/2019, par Michael Conney, Network World (adapté par Jean Elyan), 725 mots

Mirai essaye d'étendre son emprise au SD-WAN

Après les périphériques connectés, le malware Mirai s'attaque aujourd'hui aux équipements SD-WAN pour accroitre la portée de ses attaques. Mirai, le malware qui a détourné des centaines de milliers d'appareils...

le 18/06/2019, par Jon Gold, IDG NS (adapté par Jean Elyan), 531 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...