Le Cesin s'inquiète pour la protection des données dispersées et transformées - Actualités RT Sécurité

Le Cesin s'inquiète pour la protection des données dispersées et transformées

le 01/10/2015, par Didier Barathon, Sécurité, 599 mots

En direct des Assises de la sécurité.  Les 8 et 9 décembre prochains, le Cesin organise son séminaire annuel. Cette année, un thème domine, déjà abordé lors des Assises: la protection des données.

Le Cesin s'inquiète pour la protection des données dispersées et transformées

Le RSSI n'en finit pas d'évoluer, car ses champs d'action s'élargissent ou se multiplient. Un exemple, celui de la protection des données. Dans l'entreprise apparaissent des data analystes, les données sont externalisées, passent dans le cloud, de manière organisée ou rampante, bref la protection des données est bien la nouvelle priorité. Sauf que les données sont dispersées. Comment s'y retrouver ? Le Cesin propose ses pistes.  D'abord, remarque Mylène Jarossay, RSSI de LVMH, l'éclatement des applications entraîne un éclatement des interfaces entre applications. La Fédération des identités existe, mais pas celle des donnes. Un paradoxe. 

« Où est dispersée cette information », se demande Olivier Ligneul d'EDF. Dans le SI, mais pas seulement, chez le Chief digital officer, chez les partenaires ou chez les prestataires et leurs propres sous-traitants. L'information est accessible de différentes manières par différents responsables internes ou externes.  Le problème est particulièrement accentué selon Fabrice Bru, Ciso de Louis Vuitton avec les datacenters, l'opérateur a lui-même des partenaires et chacun peut avoir accès à vos données. C'est le cas avec un CRM, qui est pourtant au coeur du métier d'une entreprise comme Louis Vuitton. Les plans d'assurance et les exigences contractuelles ont beau exister, ils sont de peu d'effets.

Une information redondante et multi-formats

« L'information, souligne Mylène Jarossay est non seulement dispersée, mais aussi redondante et multi-format. De plus, il faut aller chercher cette information chaque fois qu'elle a été transformée. C'est cette information-là, dispersée et transformée, qu'il faut protéger ». Or, la traçabilité est compliquée.

Il y a dix ans de cela, on ne se posait pas les mêmes questions, note Olivier Ligneul, il fallait protéger la donnée. Aujourd'hui, on s'aperçoit que cette donnée ne peut être effacée, il faut savoir comment la traquer, comment aussi aborder la question des interfaces de communication entre les données. Un point susceptible de faire émerger de nouveaux risques. Et il faut tenir compte du fait que la donnée évolue au fil du temps. 

Détecter le plus vite possible 

Le RSSI doit s'emparer de ces nouveaux sujets, visiblement ils sont d'une complexité inédite. Au passage, il va se confronter à d'autres directions plus ou moins bien disposées sur les sujets de sécurité numérique. En général, la direction des achats comprend que certains dossiers doivent être protégés. Ce n'est pas le cas de tout le monde, il faut au minimum imposer des réflexes de DLD, Data leak detection. « On ne peut pas prévenir le risque, juste le détecter et le détecter le plus vite possible » note Fabrice Bru (Louis Vuitton).

Le RSSI doit savoir répondre aux demandes des métiers. Vaste sujet. Un exemple fourni par Fabrice Bru, celui du département digital de sa société qui demande de suivre le buzz fait par un produit (par catalogue ou par le web), ce qui nécessite une traçabilité dans les applications. Des applications qui doivent être mises en place très vite, on n'est plus dans la vieille notion de projet des DSI. Et le cloud complique encore le sujet.

Plus percutante, Mylène Jarossay se demande si on ne pourrait pas amener l'utilisateur à se responsabiliser un peu plus, à contribuer davantage à la protection des données. Pour le moment, on se contente de lui déconseiller ou de lui interdire d'installer telle ou telle application. Autre question cruciale, la relation avec l'audit, lui aussi désarçonné par des systèmes de gestion de données dispersés et souvent externalisés. 

En photo : Mylène Jarossay fédère les interrogations des membres du Cesin

 

Les fuites de données en baisse en 2018

Selon un rapport de Risk Based Security, en 2018, il y a eu moins d'atteintes à la vie privée et moins de fuites de documents, évaluées à un total de 5 milliards, mais il est difficile de dire si cet impact...

le 18/02/2019, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 899 mots

VPN gratuit : Opera fait son come-back sur Android

Après avoir fermé en 2018 son application de tunnel privé virtuel pour iOS et Android, Opera remet finalement le couvert avec un VPN gratuit pour un usage illimité. Quand, l'an dernier, Opera a annoncé la...

le 15/02/2019, par Michael Simon, IDG NS (adapté par Jean Elyan), 167 mots

Test FastestVPN : pas vraiment le plus rapide, et alors ?

Malgré son nom, il ne faut pas s'attendre à des vitesses fulgurantes avec FastestVPN. Cependant, son prix est abordable, et sur le papier, la promesse de confidentialité est rassurante. De plus, la limite de...

le 13/02/2019, par Ian Paul, IDG NS (adapté par Jean Elyan), 969 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »