Catégorie : Sensibilisation

La fuite de données hantise des décideurs. es volumes annoncé donnent le tourni, Hacking Team 400 Go, Panama Papers 2,6 To, Sony Entertainment plusieurs dizaines de To, la liste s’allonge tous les jours.On en compte des dizaines par an. Comment de telles fuites d’informations sont possibles alors que les responsables informatiques nous assurent que cela n’arrivera pas?

Première étape, de quelles données parle-t-on, je retiendrai celle décrite dans l’Instruction Interministérielle 901 (II901) accessible ici et en particulier la définition de l’article 1 et de l’article 5. L’article 1 permet de définir si un système d’information est sensible, alors que l’article 5 permet d’aider à la détermination de la sensibilité d’une information. La détermination de la sensibilité des informations détenue par une entité est rarement réalisée sauf dans des cas spécifiques en particulier les contrats liant des entreprises travaillant sur des sujets de défense nationale. Or sans grille précise il devient difficile de déterminer l’importance et donc la sensibilité d’une information. En cela lI901 est un outils précieux, le reste du travail doit être réalisé en collaboration entre le Responsable Sécurité des Systèmes d’Information (RSSI) et les différents métiers de l’entreprise afin de définir les actifs essentiels en s’appuyant sur la norme ISO27001 par exemple.

Lorsque cette première étape est réalisé il est bien plus facile de déterminer si une information trouvé sur Internet est sensible ou pas. L’autre question est de savoir si j’ai trouvé une ou plusieurs informations ou si c’est un volume conséquent.

Pour vous aider dans la détection de fuite d’information il est existe plusieurs méthodes. La première est de faire appel à des outils de Data Loss Prevention (DLP), ceux-ci permettront en plaçant des barrières à des endroits choisi de limiter ces pertes d’informations. Cela peut être sur les éléments centraux, les points terminaux ou encore sur les flux d’échange. Aussi miraculeux que soit ces outils ils doivent être bien administré et bien configuré. Cela rendra la fuite d’information plus difficile.

Une autre méthode est de faire appel à des sociétés qui surveilleront internet pour vous, mais vous serez averti qu’une fois les données sorties. Une de ces sociétés qui fut lauréate du prix de la PME innovante du FIC2014 est Cybelangel.

Autre possibilité, c’est le faire soit même avec les outils d’administration en surveillant par exemple les volumétries anormales des flux réseaux. Cette possibilité suppose des équipes d’administration affutés, ayant une bonne connaissance des flux et des volumes légitimes. Ce type d’opération peut être réalisé par le Network Operation Center (NOC) en collaboration avec le Security Operation Center (SOC).

Voici quelques méthodes et outils pour éviter l’irréparable en terme d’image, de métier et de savoir faire. Cela n’empêchera pas un malveillant de réussir, mais cela vous donnera des clés dans la prévention de fuite d’information.

La chine a célébré le 15 avril dernier son premier National Security Education Day. Cette journée de sensibilisation avait pour but de sensibiliser les chinois et en particulier les fonctionnaires aux enjeux de sécurité national suite à l’observation de plusieurs cas d’espionnage dans le pays.

Le coté le plus marquant de l’événement a été la diffusion d’affiches intitulé “The Dangerous Love” qui raconte histoire d’un couple mixte qui finit mal, lui stagiaire de type européen et elle fonctionnaire chinoise. Il va user de son charme pour qu’elle lui remette des informations sensibles. L’objectif est de mettre en garde le personnel des administrations contre les belles rencontres intéressées.

Ce mode opératoire, n’est pas nouveau dans l’histoire de l’espionnage comme cela est conté ici. Par contre ce qu’il l’est, c’est de sensibiliser une population aussi large et de cette manière. En France par exemple ce type de message n’est pas fait auprès des fonctionnaires sauf ceux exerçant des métiers à “risque”. Pour les autres c’est le vide sidéral, de toute façon la France pays des libertés n’est pas concerné et cela va à l’encontre des valeurs fondamentales de la République et de mixité. Quand à médiatiser la sensibilisation à cette échelle c’est probablement une première. Même si le Cigref a fait réaliser de bien belles vidéos mais j’y reviendrai.

L’autre point intéressant c’est le mode opératoire. En effet, les “hirondelles chinoises” ont une certaine réputation comme ici, même si cela peut prendre aussi une tournure plus numérique comme ici. Il n’est donc pas surprenant de la part d’un pays pratiquant cette technique, de la considérer comme une menace. Même si la Chine utilise d’autres techniques, celle des stagiaires en particulier, utiliser cette méthode pour une première étape de sensibilisation de ses fonctionnaires, démontre que c’est que c’est probablement une méthode efficace, voir très efficace.

Alors, soyez donc prudent lorsque qu’une personne chinoise de sexe opposé s’intéresse à vous et n’hésitez pas a faire un compte rendu d’étonnement.