Actualité
Sécurité et mobilité
Publié le 02-07-2009 à 11:36:21 dans le thème Réseau - Sécurité
Pays : International - Auteur : Damien Bancal
Pub : Tous les logiciels antispyware gratuits disponibles sur Internet
Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.
À vingt-neuf ans, Daniel Harrington, analyste dans une société internationale de services et d’ingénierie informatique, n’aurait jamais imaginé se retrouver au cœur d’un scandale qui retentirait jusqu’au gouvernement britannique. Fin octobre dernier, une unité de stockage amovible lui appartenant était retrouvée dans un parking public à proximité d’un pub dans la ville anglaise de Cannock. Cette affaire serait passée inaperçue si l’objet en question n’avait été utilisé pour stocker les mots de passe ultra-secrets permettant d’accéder à la base de données de services en ligne du gouvernement britannique.
Outre la négligence, cet incident a mis en évidence une préoccupation majeure dans le secteur de la sécurité informatique, qui n’a cessé de s’intensifier au cours des dernières années : la diffusion de données confidentielles et sensibles n’a jamais été aussi simple. Les périphériques de stockage amovibles compliquent la tâche des professionnels de la sécurité.
Une problématique nouvelle : la sécurisation du patrimoine informationnel
L’information est l’une des ressources les plus précieuses des entreprises. Tout comme les autres actifs vitaux, elle doit être protégée. Toute faille de sécurité à ce niveau peut entraîner des préjudices majeurs pour les entreprises concernées.
Depuis quelques années, le Ponemon Institute évalue ces dommages. Selon un rapport publié en 2008, le préjudice moyen résultant d’un incident isolé peut atteindre plusieurs millions de dollars. Les sociétés basées aux États-Unis sont les plus affectées : chaque brèche de sécurité informatique leur coûtant en moyenne 6,6 millions de dollars. Les sociétés anglaises et allemandes s’en sortent un peu mieux, chaque incident de ce type se traduisant respectivement par un préjudice moyen de 1,73 million de livres sterling et 2,41 millions d’euros1.
Cela représente beaucoup d’argent. Les fuites de données sont ainsi devenues l’une des premières priorités des services en charge de la sécurité en entreprises. Il semblerait cependant que la plupart des organisations n’adoptent pas la meilleure approche en la matière, se contentant souvent de sécuriser les voies de fuites potentielles qui sont loin d’être la cause première du problème.
L’exemple le plus simple en est peut-être la focalisation générale sur la protection contre les « menaces extérieures », comme les logiciels malveillants (malware), le courrier publicitaire non sollicité (spam) et le piratage informatique. Si la réalité de ces menaces ne fait aucun doute, elles ne représentent, selon le Ponemon Institute2, pas plus de 7% du nombre total des incidents (aux États-Unis). La cause des 93% des failles de sécurité restantes est liée à des actions du personnel en place, en d’autres termes des collaborateurs disposant des droits d’accès à des informations confidentielles.
Les dispositifs de stockage amovibles actuels offrent un support idéal pour la fuite de données. Ils sont difficiles à contrôler (à la différence du courrier électronique, par exemple) et offrent généralement une capacité suffisante pour stocker tous types de données, y compris des informations sensibles.
Quelques solutions
Chaque société doit commencer par déterminer si la valeur de ses données justifie une interdiction d’utilisation totale de dispositifs amovibles au niveau de ses points d’accès terminaux. En théorie, il est possible de désactiver tous les ports et les lecteurs des PCs avant leur remise aux employés. Ainsi, avant d’envisager une stratégie de protection des données stockées sur des clés USB, des téléphones intelligents capables de se synchroniser sur les postes de travail et d’autres types d’appareils mobiles à connectivité plug-and-play, il convient de se poser la question suivante : « Les avantages liés à l’utilisation de ces outils sont-ils supérieurs aux risques de fuite de données associés ? ».
À en juger par les pratiques actuelles, la plupart des entreprises ne souhaitent pas priver leurs collaborateurs de ces dispositifs, qui sont souvent synonymes d’augmentation de la productivité. Cela se comprend facilement : sans clé USB, il ne serait pas toujours possible d’animer une présentation ou de travailler occasionnellement depuis son domicile. C’est pour cette raison que les solutions radicales telles que la désactivation totale des ports physiques ou l’installation d’un matériel pour les rendre inopérants ne sont que très rarement utilisées, et seulement dans certains services où sont traitées des informations ultra-confidentielles. À la place, les entreprises préfèrent déployer des logiciels de protection reconnus pour leur efficacité et leur ergonomie.
Systèmes de contrôle d’accès
Aujourd’hui, l’évolution des techniques de protection implique le déploiement de logiciels qui contrôlent les droits d’accès des utilisateurs aux ports d’ordinateurs et aux imprimantes, ainsi que les connexions locales entre les ordinateurs et les téléphones intelligents ou les assistants personnels. À la différence des mesures physiques qui bloquent radicalement l’accès, ces solutions permettent un contrôle « sur mesure » et centralisé des droits. À l’aide d’une console d’administration unique, le responsable de la sécurité détermine quels utilisateurs peuvent accéder à quels ports, sur quels ordinateurs et à quels moments de la journée. En outre, ces systèmes autorisent la mise en place de flux de travail qui facilitent l’octroi de droits d’accès pour des opérations spécifiques, à la demande des utilisateurs.
Dès lors que le système de contrôle interdit à un utilisateur d’accéder à un port, une interface ou une imprimante spécifique, il n’y a plus de risque de dispersion de données. Dans les autres cas, une fuite est toujours possible, même s’il est facile d’en limiter les conséquences grâce à la réplication de données. Cette fonction (offerte par un nombre limité de solutions aujourd’hui disponibles) conserve une copie de toutes les données transférées vers une base de données centralisée. Ainsi, la personne en charge de la sécurité peut à tout moment vérifier quelles données ont quitté le système, sur chacun des canaux locaux de transmission.
La plupart des solutions utilisées pour gérer l’accès aux connexions et ports locaux permettent de définir des règles s’appuyant sur le type de données transmises. Un responsable de la sécurité peut ainsi configurer le système de façon à autoriser le transfert de certaines données (fichiers Microsoft Word, par exemple) sur des appareils mobiles, tout en bloquant d’autres types de documents (fichiers PDF, par exemple). En d’autres termes, le système ne contrôle pas seulement les opérations de transmission de données, il filtre également les types de données transférées.
Système DLP
Cette fonctionnalité équipe notamment les systèmes de contrôle d’accès référencés comme « produits DLP » (Data Leak Prevention = prévention contre la fuite de données). Selon Rich Mogull3, expert reconnu dans le domaine de la sécurité, les systèmes DLP se caractérisent par une analyse approfondie du contenu des données sortantes. Les solutions de ce type déterminent la légitimité d’une opération donnée en utilisant des techniques de filtrage de contenus.
Les systèmes DLP sont prometteurs. Les principaux acteurs du marché de la sécurité informatique investissent d’ailleurs massivement dans le développement de ces technologies. Toutefois, en l’état actuel, il n’existe aucun système DLP vraiment complet et capable de surveiller les données transmises via des ports locaux vers des dispositifs amovibles. En voici les raisons principales.
Tout d’abord, les techniques actuelles de filtrage de contenus n’empêchent pas complètement les erreurs de type « faux positifs » (blocages intempestifs) et « faux négatifs » (opérations autorisées qui n’auraient pas dû l’être). La précision du filtrage de contenus atteint ainsi difficilement un niveau compris entre 80 et 85 %.
En second lieu, l’analyse de contenus en profondeur est un processus très exigeant en ressources. Lorsqu’un courrier électronique est envoyé, les systèmes DLP interceptent le message et l’analysent au niveau du serveur SMTP, qui dispose toujours de la puissance de calcul requise. Mais si ces données sont copiées localement, cette approche devient naturellement impossible.
C’est pourquoi les développeurs de systèmes DLP doivent faire un compromis : soit le système envoie des répliques des données vers le serveur et attend sa décision, soit il les analyse localement. Le premier cas suppose un trafic considérable sur le réseau, d’où des retards conséquents (temps nécessaire au transfert d’un film en haute définition via le réseau, par exemple). Dans le second scénario, c’est la qualité de l’analyse qui est compromise : comme aucun ordinateur personnel ne dispose d’assez de puissance pour gérer ce type de processus, il faudrait utiliser un algorithme plus simple, et donc moins fiable, pour analyser les données.
Mais une autre raison (étroitement liée à la première) rend difficile l’utilisation des systèmes DLP pour la gestion des ports locaux. En raison des exigences inhérentes au filtrage de contenus, les systèmes DLP ont été initialement conçus comme des solutions de passerelle, ce qui explique pourquoi leurs composants agents n’ont pas encore atteint un niveau de maturité suffisant. Bien sûr, ils sont capables de filtrer des données. Mais, les capacités de contrôle de tous les types de ports et de canaux présentant des risques de fuite de données. De même, la flexibilité des règles DLP locales sur les ordinateurs terminaux, sont toujours moins probantes que sur des systèmes de passerelle bien conçus qui filtrent le contenu des communications réseau.
Systèmes IRM
Outre les systèmes de contrôle d’accès des ports / périphériques et les systèmes DLP, il existe une autre méthode de protection, souvent délaissée par les spécialistes. Les systèmes de gestion des droits relatifs à l’information, également appelés « systèmes IRM » (pour Information Rights Management), ne limitent d’aucune manière l’utilisation des dispositifs de stockage amovibles tout en parvenant à réduire de manière significative les risques de fuite de données.
Les systèmes IRM standard sont basés sur 2 mécanismes : le balisage de confidentialité et le chiffrement. Chaque fichier protégé par un système IRM est placé dans un conteneur chiffré et associé à une balise spéciale définissant les droits d’accès à ce fichier. Ainsi, dans un système IRM, même si le conteneur en question finit par sortir du réseau, il sera inutilisable à moins de disposer des droits d’accès au document.
En matière de gestion des données transférées vers des dispositifs de stockage amovibles, cette approche équivaut plus ou moins au chiffrement obligatoire des données exportées sur des unités amovibles, souvent utilisé par des systèmes contrôlant les droits d’accès aux ports et aux périphériques. Les solutions de type IRM permettent aux utilisateurs d’exporter des données confidentielles uniquement si elles sont chiffrées, ce qui signifie que les données d’une entreprise sont toujours protégées contre les fuites accidentelles, mais rarement contre les attaques malveillantes. En outre, l’efficacité des systèmes IRM est étroitement liée au nombre de fichiers balisés et aux types de modifications que les utilisateurs sont autorisés à exécuter. Dans la pratique, le balisage des fichiers revient à classer toutes les données d’une entreprise, un processus très gourmand en ressources et en temps.
Conclusion
Nous sommes encore très loin de la situation idéale où seules des données personnelles ou publiques pourraient être copiées sur des unités de stockage amovibles. Les méthodes utilisées pour se protéger contre les menaces liées à de tels périphériques devront permettre d’établir un compromis entre convivialité, sécurité et coût de la solution. Les systèmes DLP à base de filtrage de contenus souvent cités ne sont pas encore capables de résoudre le problème des fuites de données locales au niveau des ordinateurs des employés, ce qui explique pourquoi ils restent de facto une solution de niche.
En l’état actuel des choses, les méthodes de protection les plus efficaces (qui sont aussi souvent les plus fiables et les plus économiques) consistent à mettre en place des systèmes de contrôle simples d’accès, offrant des capacités de contrôle contextuel complètes et des fonctions élémentaires, mais optionnelles, de filtrage de contenus. Ces solutions s’attaquent au cœur des problèmes de sécurité liés aux dispositifs mobiles et répondent à la plupart des besoins des entreprises.
A propos d’Alekei Lesnykh
Responsable du développement international et de la stratégie produit de DeviceLock, Alexei Lesnykh a rejoint la société en 2007. Avec plus de 10 ans d’expérience en sécurité informatique, son expertise s’étend à de multiples domaines : la sécurité des réseaux, les infrastructures publiques, la gestion de l’authentification et de l’identification ainsi que la voix sur IP et le calcul virtuel. Avant de rejoindre DeviceLock, Alexei Lesnykh était analyste indépendant, contribuant au développement de stratégies d’entreprises et de produits et travaillant à la mesure des risques d’investissement pour le compte de sociétés internationales. Ses expériences précédentes l’ont conduit à prendre part au développement à l’international de start-up russes : TrustWorks Systems B.V. ou ELVIS-PLUS, par exemple. Alexei Lesnykh est titulaire d’un Master en sciences informatiques obtenu à l’institut des technologies électroniques de Moscou.
Tweet
Derniers contenus
L´ANSSI recrute de manière originale
06-02-2012 à 19:16 - 0 commentaire(s)
INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.
Nouvelle attaque à l´encontre des clients du Crédit Agricole
05-02-2012 à 10:43 - 0 commentaire(s)
INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.
Sauvegarde des conversations téléphoniques pour France télévision
04-02-2012 à 11:42 - 0 commentaire(s)
INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.
Faille sur le site Wikileaks
04-02-2012 à 11:27 - 0 commentaire(s)
INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.
Piège sur Facebook
04-02-2012 à 10:59 - 0 commentaire(s)
INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.
Arnaque aux logements
04-02-2012 à 10:53 - 0 commentaire(s)
INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.
Une conférence téléphonique du FBI piratée par des Anonymous
04-02-2012 à 10:21 - 1 commentaire(s)
INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.
La Ville de Chambéry corrige une fuite de données
04-02-2012 à 10:05 - 1 commentaire(s)
INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.
Sur le même thème : Réseau - Sécurité
Faille sur le site Wikileaks
INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.
La Ville de Chambéry corrige une fuite de données
INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.
Prudence aux liens vers Darty et ELLE
Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.
Quand des Anonymous tapent sur des Anonymous, ça mousse
INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.
Les informations confidentielles de 541 policiers Français diffusées par les Anonymous
Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.
Faille pour Myspace
Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.
Multiples failles pour le site économique Forbes
INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.
La ville de Béthune corrige une fuite de données
INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.
Vos réactions ( 4 )
Ecrit par CybStup le 02.07.2009 à 11h56 | |||
|
|||
Pour une fois, c'est constructif et éducatif. Allons essayer les technologies DeviceLock. Merci bien.Ecrit par Krocket le 02.07.2009 à 15h15 | |||
|
|||
Ecrit par GiLe46 le 02.07.2009 à 18h18 | |||
|
|||
Ecrit par Krocket le 03.07.2009 à 12h56 | |||
|
|||
Réagir
- Ca faille chez vous ?
- Vulnérabilité sur le site du PMU
- 0day Adobe Flash CVE-2011-0611 exploité sur I...
- Vulnérabilité VideoLAN VLC
- 0day Windows Thumbnails
- XSS persistant pour Wordpress 3.0.4
- RFU pour CubeCart 3.0.0
- LFI pour Joomla Jotloader 2.2.1
- RFU pour Serendipity 1.5.4
- LFI pour Joomla com_xgallery
Labs ZATAZ
CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo
Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Sa [...]
Modules Metasploit Auxiliaires MySQL
Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes S [...]
Modules Metasploit Auxiliaires PostgreSQL
Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et li [...]
CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo
Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le 19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazque [...]
- Des jeux en ligne pour enfants attendrissants...
- Le virus Morto nous prépare-t-il une saucisse...
- Comment assurer la protection adéquate de vot...
- Stuxnet II, une nouvelle STARS est née ?
- Fuite de courriels... triste habitude du web
- Java pas fort dans votre navigateur
- La décennie du cybercrime
- Les malwares 2011, plus complexes
- Actus juridiques web du mois de février 2011
- HaideD : les tendances 2010 - P4
- Le site de SebSauvage bloqué par le gouvernem...
- Création de site web optimisé pour le référen...
- Après google+, le nouveau concurrent de Faceb...
- Télécharger toutes les versions de Mozilla Fi...
- Retrouver la clé d'installation de Windows 7...
- La tablette Kindle d'Amazon enfin en françai...
- A Eric Seguinard
- Flash 10.1, enfin l'accélération matérielle
- Opera, le navigateur qui a du mal
- Paiement des amendes sur Internet, gare aux a...
