La sécurisation des données confidentielles itinérantes

Les outils et les services d'échange etde stockage de données(1) sontaujourd'hui devenus indispensables à ladiffusion d'informationsprofessionnelles et privées. Cependant,ils sont loin de garantir la confidentialitéde nos données en toutescirconstances dans un réseau plus quejamais exposé à une cybercriminalitémontante(2).

La question de la circulation des donnéessensibles est aujourd'hui uneproblématique prioritaire aussi bien àl’échelle individuelle, qu’entrepreneuriale

(grandes entreprisespubliques ou privées)et nationale :l’utilisation massivedes appareilspersonnels dans uncadre professionnel(3),couplée à l'usage deplus en plussystématique de

Nservices destockage et departaged'informations enligne, placedésormais lesdonnées hors ducontrôle desservicesinformatiques. Cette

situation pose de nouvelles questionsquant aux mesures de sécurité à adopterface à la fuite d'informations et à laprolifération de terminaux non sécurisés,sachant que ces tendances sont en trainde devenir des standards.

Qu’il s’agisse d’erreurs involontaires, devol, de piratage ou d’espionnage, lesaffaires concernant des failles de sécuritéinformatique nous parviennentquotidiennement par la presse,témoignant de la propagation croissantedes cybermenaces. nous envoyons tousles jours des centaines d'informations et

(1) Clouds, messageries,sites de stockage dedonnées en ligne, clés uSB,etc.

(2) Citation tirée de l'article"Cybercriminalité : la Franceparticulièrementvulnérable » :http://www.europe1.fr/faits-divers/cybercriminalite-la-france-particulierement-vulnerable-2426983

(3 )BYoD: Bring Your ownDevice.

dossieR

85

par Jean-LUC Gemo

4e trimestre 2015 Revue de la Gendarmerie Nationale

Jean-LUC Gemo

co-fondateur deforecomm et de la solution Bluefiles

revue254V3.qxp_Mise en page 1 23/12/2015 14:21 Page85

de fichiers sur le réseau, que ce soit dansun cadre privé ou professionnel. Confiantsdans les systèmes que nous utilisonsquotidiennement pour stocker oupartager des informations, nousn'imaginons pas que nos donnéescourent des risques majeurs lors de leuritinérance. Rien n’est plus dangereuxqu’un sentiment de sécurité illégitime : ilréduit notre vigilance et minimise lecaractère confidentiel des informationsque nous transmettons ou recevons.

transmission de données : deshabitudes dangereusesnous échangeons ainsi quotidiennementun nombre croissant de données,insouciants des cybermenaces dès que

les systèmes dediffusion ou destockage se trouventdans unenvironnementphysique proche(clés uSB, disquesdurs externes, etc.),

(4) "Parmi les utilisateurs dustockage de données dansle « cloud », 49% disent nepas s’inquiéter de savoir oùelles se trouvent, malgré lesrisques associés. 93 % desutilisateurs ignorent où sesituent « physiquement »leurs données personnelles."http://www.opinion-way.com/pdf/sondage_opinionway_pour_lima_-_les_francais_et_le_stockage_de_donnees_numeriques_-_mai_2015.pdf

sont des utilitairesreconnus (servicesde cloud,messageries de typeoutlook ou Gmail,...)ou que lesdestinataires sontdes personnes deconfiance(4).

Daniel Ventre, titulairede la chaire de

cybersécurité de Saint-Cyr, nous lerappelle : « Tout ce qui

est connecté est

vulnérable(5) . Que

nous déployions

d'importants

systèmes de sécurité

ou que nous

menions de

nombreuses séries

de tests […]: une

faille reste toujours

possible ».

Les services de messagerie et de partagede données en ligne se chargent destocker, d'envoyer et de recevoir desinformations mais la confidentialité de vosdonnées n'est pas leur cœur de métier,comme nous l'a montré l'affaire PRISm(6).

L'exemple de la société Dropbox(7) estéclairant sur ce point : vos données,chiffrées avec une clé privée sont,techniquement, « sécurisées » mais pasconfidentielles. L'entreprise pourraitconserver une copie des clés de

(5)http://www.lepoint.fr/editos-du-point/jean-guisnel/cybersecurite-une-faille-reste-toujours-possible-22-04-2015-1923282_53.php

(6)http://www.cnetfrance.fr/news/les-geants-du-web-open-bar-pour-la-nsa-39791199.htm

(7)http://www.nextinpact.com/archive/70009-apple-icloud-securite-cles-chiffrement.htm

86

Les solutions doivent tenir compte de la multiplicité des opérateurs, des

vecteurs des données et des pratiques des utilisateurs.

Blu

efile

s G

emo

Revue de la Gendarmerie Nationale 4e trimestre 2015

dossieR

LA SéCuRISATIon DES DonnéES ConFIDEnTIELLES ITInéRAnTES

revue254V3.qxp_Mise en page 1 23/12/2015 14:21 Page86

chiffrement pour ses techniciens(8). Parailleurs, ses serveursde stockage étanthébergés aux uSA,vos données seretrouvent soumisesaux lois américaines.Ces dernièresprévoient d’ailleursdepuis le PatriotAct(9) que lesprestataires deservices en lignepuissent bénéficierd'un accès total àvos données.Certains s'autorisentainsi à « examiner,

déplacer, refuser, modifier ou supprimer

vos contenus sans préavis et en toute

discrétion», s’ils sont jugés contraires auxconditions d'utilisation(10). or, si nouspouvons avoir une confiance raisonnabledans les entreprises et les services derenseignements étatiques de notre pays,qu'en est-il des services étrangers ?n'oublions pas que les sièges de laplupart des prestataires de services enligne que nous utilisons ne sont pas situésdans l'Hexagone.

Bien souvent sous-estimés, voire ignoréspar la plupart des utilisateurs, les risquessont pourtant bien réels, commel'attestent de nombreusesaffaires récentes de fuite de données(11),de mise à disposition malencontreuse dedonnées confidentielles des dossiers

(8)http://www.nextinpact.com/archive/70009-apple-icloud-securite-cles-chiffrement.htm

(9)http://www.lemonde.fr/les-decodeurs/article/2015/01/12/le-patriot-act-une-legislation-d-exception-au-bilan-tres-mitige_4554570_4355770.html

(10) « Cette loi autorise lesservices de sécurité àaccéder aux donnéesinformatiques détenues parles particuliers et lesentreprises, sansautorisation préalable etsans en informer lesutilisateurs. »https://fr.wikipedia.org/wiki/uSA_PATRIoT_Act

(11)http://www.zataz.com/fuite-de-donnees-internes-pour-easyjet/

publics(12), de vol dedonnées sécuriséesen masse(13), depiratage desdonnées privées pardes grandsgroupes(14) ou encorede démission due àla publicationfrauduleuse d'emailssensibles.

des circuitssécurisés auxdonnéessécuriséesDe nombreusesentreprises (oIVparticulièrement(15))sont aujourd'huiobligées d'investirdans de coûteux

systèmes de protection pour assurer lasécurité de leurs données(16) : pare-feu,antivirus, outils de sécurisation desdonnées, « Security Operation Center » etautres services de cybersécurité auraientainsi coûté plus d'un milliard d'euros auxsociétés françaises en 2013(17).

La plupart de ces services protègent descircuits de données fermés : ils vouspermettent de stocker, de transmettre etde recevoir des informations et desfichiers en toute sécurité à l'intérieur d'unréseau interne (par exemple, sur votreposte de travail, via un service de cloudcorporate ou de messagerie interne). Bienqu'efficaces, ils imposent de nombreuses

(12) Affaire Bluetouff :http://www.itespresso.fr/affaire-bluetouff-droits-homme-invoques-defendre-blogueur-96609.html

(13)http://www.20minutes.fr/societe/1672275-20150825-divorces-suicides-extorsion-fonds-piratage-ashley-madison-vire-drame

(14)http://www.numerama.com/f/139645-t-vodaphone-pirate-les-enregistrements-telephoniques-d39une-journaliste.html

(15) opérateurd'Importance Vitale

(16)http://www.lesechos.fr/30/03/2015/lesechos.fr/0204266819340_cybersecurite---nouvelles-obligations-pour-les-operateurs-d-importance-vitale.htm

(17)http://www.lesechos.fr/tech-medias/hightech/0203324340121-la-cybersecurite-un-marche-juteux-qui-fait-des-emules-651507.php

874e trimestre 2015 Revue de la Gendarmerie Nationale

dossieR

LA SéCuRISATIon DES DonnéES ConFIDEnTIELLES ITInéRAnTES

revue254V3.qxp_Mise en page 1 23/12/2015 14:21 Page87

88

mauvaises intentions mais qu’en est-ildes données partagées avec des postesqui se trouvent hors des circuits fermés ?C’est le cas du partage de fichiers avecdes partenaires, des consultants ou toutsimplement l’envoi d’emails vers desservices informatiques dont la stratégie desécurité est inconnue. Le nombred'employés prenant des risquesinconsidérés en envoyant de simpleemails vers l’extérieur (appel d’offre,contrat, plan, etc.) et en utilisant des

services en lignegratuits(19), pour desraisons de

productivité et d'impératifs opérationnels,est encore extrêmement élevé.

Les informations placées sur des clésuSB ou des disques durs sont moinsconnectées mais tout aussi exposées carces objets ne nécessitent généralementpas de mots de passe pour accéder àleur contenu. Leur utilisation expose lesdonnées qui y sont stockées : vol dumatériel, ordinateur familial infecté,récupération frauduleuse, etc. C’estégalement le cas d'une utilisation« raisonnée » d’un employé emportantdes données pour travailler à domicile.

on le voit clairement, nos impératifsopérationnels et professionnelssurpassent trop souvent notre sens desresponsabilités face à la confidentialité decertaines données que nous échangeonsou que nous manipulons. De plus, nousne sommes pas à l’abri de lamalveillance : un collaborateur indélicat,un ancien employé malveillant sont

(19) Dropbox, WeTransfer,Gmail, etc.

contraintes à leurs utilisateurs :configuration matérielle spécifique,réseau de stockage et de diffusion uniqueà déploiement limité, complexitéopérationnelle, mise en œuvrelaborieuse... La principale faille de cessystèmes de protection n'est pourtant

pas fonctionnellemais humaine(18). Sil'information esteffectivement

protégée dans le strict cadre interne,l'usage massif des technologies mobiles,l'essor du télétravail et l'adoption massivede services de stockage et de transfert enligne externe bouleversent la circulationdes données. Ces nouvelles tendancesinduisent de nombreuses failles desécurité informatique car les servicesgratuits sur Internet ne chiffrent pas lesdonnées en continu, les terminauxpersonnels ne sont généralement pasprotégés (même à minima) des menacesprésentes sur le réseau, constituant devéritables portes ouvertes aux hackers quien profitent pour s'introduire dans lessystèmes professionnels. Desinformations dites sensibles voyagentainsi tous les jours de terminaux enterminaux, risquant à chaque instantd’être perdues, interceptées, corrompuespar des tiers (malveillance, pirateinformatique…) ou des entitésmalveillantes (malwares, softwares,virus…).

Les circuits sécurisés privés (cloud privé,intranet…) sont maintenus et mis à jourrégulièrement par des professionnels sans

(18)http://page.arubanetworks.com/rs/arubanetworks/images/SecuringGenmobile_%20RunningtheRiskReport.pdf

Revue de la Gendarmerie Nationale 4e trimestre 2015

dossieR

LA SéCuRISATIon DES DonnéES ConFIDEnTIELLES ITInéRAnTES

revue254V3.qxp_Mise en page 1 23/12/2015 14:21 Page88

toujours susceptibles de faire sortir nosdonnées des circuits sécurisés – à l'instar

de Bradleymanning(20).

De nombreusesentreprises songentainsi à réorienter leur

stratégie de cybersécurité en axant leursefforts sur la protection de la donnée elle-même de façon à ce que leurs fichierssoient protégés en cas d'itinérance quelqu’en soit le support, le mode destockage ou l’outil de transmission.

(20)http://www.lemonde.fr/technologies/article/2013/08/21/bradley-manning-condamne-a-35-ans-de-detention_3464430_651865.html

maîtrise des données : un enjeumajeur

Face au nombrecroissant decyberattaques(21) et àla multiplication des

données et des failles, nous sommesobligés de faire évoluer nos stratégies decybersécurité sous peine de voir nossavoir-faire et nos compétences spoliés et« offerts » à la concurrence : perted'avantages concurrentiels, de confiancedes investisseurs, de revenus, difficultéscommerciales et problèmes de réputationsont directement liés au degré de maîtrise

(21)http://www.01net.com/actualites/la-france-cible-privilegiee-des-cyberattaques-avancees-619046.html

894e trimestre 2015 Revue de la Gendarmerie Nationale

dossieR

LA SéCuRISATIon DES DonnéES ConFIDEnTIELLES ITInéRAnTES

Une protection et un chiffrement de la donnée qui permettent une itinérance sécurisée.

Blu

efile

s G

emo

revue254V3.qxp_Mise en page 1 23/12/2015 14:21 Page89

de nos données. unsystème de sécuritédéfaillant ou la sous-évaluation desrisques liés à lacybercriminalitépeuvent avoir degravesconséquences àl’échelle del’entreprise voire àcelle de la nation(affaire Snowden surla surveillancemassive et

internationale des utilisateurs

d’Internet(22), le site Wikileaks(23) ou plusrécemment l’affaire des données« échappées » de Sony Pictures(24)).

(22)http://www.lemonde.fr/pixels/article/2015/06/02/deux-ans-apres-ses-revelations-les-premieres-victoires-d-edward-snowden_4645293_4408996.html

(23)http://www.lemonde.fr/pixels/article/2015/08/11/wikileaks-s-allie-a-varoufakis-pour-faire-fuiter-le-texte-du-traite-de-libre-echange-transatlantique_4720797_4408996.html

(24)http://www.bloomberg.com/news/articles/2015-06-19/wikileaks-posts-more-documents-from-sony-pictures-hacking

90 Revue de la Gendarmerie Nationale 4e trimestre 2015

dossieR

LA SéCuRISATIon DES DonnéES ConFIDEnTIELLES ITInéRAnTES

alleR plus loin

Développée par une entreprise française,BlueFiles est une solution à laproblématique de la l’échange de donnéessensibles. Une imprimante virtuelle(BluePrinter) crée une version chiffrée,non modifiable et versionnée des fichiers(.doc, .xls, .ppt, .dwg… et tout autreformat logiciel disposant d'une commanded'impression) . La solution comporte unsystème d'identification de chaquedestinataire et un panel d'optionsavancées de sécurisation (Restriction d’accès par utilisateur oupériode, limitation d’ouverture auxappareils connectés. Blocage del’impression). Les fichiers sécurisés (.blue)peuvent être diffusés via l'ensemble descanaux de diffusion classiques. La donnéeétant chiffrée en local, un fichier .blue estdonc illisible pour un prestataire deservice en ligne comme pour un spywareou un hackeur. Ils ne peuvent êtredéchiffrés que dans l’application sécuriséeBlueReader (Application gratuite ) quicontient un système de doubleauthentification (email + code d’activation– valable 1h). Les paramètres de sécuritéd’un fichier .blue peuvent être modifiés entemps réel : restriction d'accès, blocagede l’impression, non-conservation d’unecopie locale... Le contrôle des donnéesitinérantes reste permanent. BlueFilespossède également une fonction detraçabilité des données qui permet desuivre en temps réel l'utilisation desfichiers (localisation, ouvertures,plateforme de lecture…).

www.mybluefiles.com

revue254V3.qxp_Mise en page 1 23/12/2015 14:21 Page90