Le Cesin s'inquiète pour la protection des données dispersées et transformées - Actualités RT Sécurité

Le Cesin s'inquiète pour la protection des données dispersées et transformées

le 01/10/2015, par Didier Barathon, Sécurité, 599 mots

En direct des Assises de la sécurité.  Les 8 et 9 décembre prochains, le Cesin organise son séminaire annuel. Cette année, un thème domine, déjà abordé lors des Assises: la protection des données.

Le Cesin s'inquiète pour la protection des données dispersées et transformées

Le RSSI n'en finit pas d'évoluer, car ses champs d'action s'élargissent ou se multiplient. Un exemple, celui de la protection des données. Dans l'entreprise apparaissent des data analystes, les données sont externalisées, passent dans le cloud, de manière organisée ou rampante, bref la protection des données est bien la nouvelle priorité. Sauf que les données sont dispersées. Comment s'y retrouver ? Le Cesin propose ses pistes.  D'abord, remarque Mylène Jarossay, RSSI de LVMH, l'éclatement des applications entraîne un éclatement des interfaces entre applications. La Fédération des identités existe, mais pas celle des donnes. Un paradoxe. 

« Où est dispersée cette information », se demande Olivier Ligneul d'EDF. Dans le SI, mais pas seulement, chez le Chief digital officer, chez les partenaires ou chez les prestataires et leurs propres sous-traitants. L'information est accessible de différentes manières par différents responsables internes ou externes.  Le problème est particulièrement accentué selon Fabrice Bru, Ciso de Louis Vuitton avec les datacenters, l'opérateur a lui-même des partenaires et chacun peut avoir accès à vos données. C'est le cas avec un CRM, qui est pourtant au coeur du métier d'une entreprise comme Louis Vuitton. Les plans d'assurance et les exigences contractuelles ont beau exister, ils sont de peu d'effets.

Une information redondante et multi-formats

« L'information, souligne Mylène Jarossay est non seulement dispersée, mais aussi redondante et multi-format. De plus, il faut aller chercher cette information chaque fois qu'elle a été transformée. C'est cette information-là, dispersée et transformée, qu'il faut protéger ». Or, la traçabilité est compliquée.

Il y a dix ans de cela, on ne se posait pas les mêmes questions, note Olivier Ligneul, il fallait protéger la donnée. Aujourd'hui, on s'aperçoit que cette donnée ne peut être effacée, il faut savoir comment la traquer, comment aussi aborder la question des interfaces de communication entre les données. Un point susceptible de faire émerger de nouveaux risques. Et il faut tenir compte du fait que la donnée évolue au fil du temps. 

Détecter le plus vite possible 

Le RSSI doit s'emparer de ces nouveaux sujets, visiblement ils sont d'une complexité inédite. Au passage, il va se confronter à d'autres directions plus ou moins bien disposées sur les sujets de sécurité numérique. En général, la direction des achats comprend que certains dossiers doivent être protégés. Ce n'est pas le cas de tout le monde, il faut au minimum imposer des réflexes de DLD, Data leak detection. « On ne peut pas prévenir le risque, juste le détecter et le détecter le plus vite possible » note Fabrice Bru (Louis Vuitton).

Le RSSI doit savoir répondre aux demandes des métiers. Vaste sujet. Un exemple fourni par Fabrice Bru, celui du département digital de sa société qui demande de suivre le buzz fait par un produit (par catalogue ou par le web), ce qui nécessite une traçabilité dans les applications. Des applications qui doivent être mises en place très vite, on n'est plus dans la vieille notion de projet des DSI. Et le cloud complique encore le sujet.

Plus percutante, Mylène Jarossay se demande si on ne pourrait pas amener l'utilisateur à se responsabiliser un peu plus, à contribuer davantage à la protection des données. Pour le moment, on se contente de lui déconseiller ou de lui interdire d'installer telle ou telle application. Autre question cruciale, la relation avec l'audit, lui aussi désarçonné par des systèmes de gestion de données dispersés et souvent externalisés. 

En photo : Mylène Jarossay fédère les interrogations des membres du Cesin

 

Les VPN Cisco, Palo Alto, F5 et Pulse touchés par des failles

D'après le Département américain de la sécurité intérieure (DHS), des packs VPN de Cisco, Palo Alto, F5 et Pulse présentent des défauts de sécurisation des tokens et des cookies. Des correctifs sont en cours...

le 15/04/2019, par Michael Cooney, Network World (adaptation Jean Elyan), 451 mots

Metasploit, un framework de test d'intrusion détourné pour pirater

Metasploit est un outil de test de pénétration très utilisé qui rend le piratage plus facile qu'avant. Il est devenu indispensable autant pour les Red Teams que pour les Blue Teams. Qu'est-ce que...

le 02/04/2019, par J.M. Porup, CSO (adaptation Jean Elyan), 953 mots

La Russie exige l'accès aux serveurs des fournisseurs de VPN

Dix fournisseurs de services VPN ont reçu l'ordre de relier leurs serveurs à la Roskomnadzor, l'agence de censure d'État, avant le 26 avril. L'agence de censure russe Roskomnadzor a ordonné à 10 fournisseurs...

le 01/04/2019, par Tim Greene / Network World (adapté par Jean Elyan), 713 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »