Lorsque l’on veut faire parvenir du matériel sensible à un client ou partenaire commercial il convient de prendre les dispositions nécessaires pour que votre envoi soit sécurisé au mieux.
Il existe plusieurs méthodes pour cela pour les plis ou les petits colis.
La première comme dans la vidéo ci-dessous est réalisable mais assez longue, demandes des accessoires, surtout si vous avez plusieurs documents à envoyer, c’est une méthode américaine dont la vidéo a été réalisé par le Defense Security Service (DSS).
L’objectif de sécurité est décrit en France au sein de l’Instruction Générale Interministérielle 1300 article 56. On y trouve dans cet article les règles de bon sens nécessaire pour envoyer du courrier qui n’attire pas les regards. Aujourd’hui c’est ce qu’on appelle la méthode dite du scotch bleu. Celui-ci est un scotch autocollant que l’on doit mettre sur toutes les ouvertures possibles du pli interne. Pour le pli externe il n’est pas nécessaire d’en mettre.
Actuellement l’utilisation d’enveloppe indéchirable est préféré pour l’enveloppe intérieure car cela permet de gagner du temps et de la qualité dans la détection d’une ouverture frauduleuse. n’oubliez pas de communiquer au destinataire le numéro de l’enveloppe pour qu’il puisse identifier s’il y a eu subtilisation de l’enveloppe, pour cela utilisez un autre moyen de communication.
Il y a quelques jours un chômeur a trouvé une clé USB au milieu d’autres papiers, sur un trottoir d’Ilbert Street à Queen’s Park dans l’ouest de Londres. Quelle ne fut pas sa surprise d’y découvrir des données très sensibles marquée confidentielles pour certaines, lesquelles concernaient l’aéroport de Londres Heathrow. Il a bien évidemment contacté un journal plutôt que les forces de police, et donc grâce à lui cette histoire nous est connue.
La clé contenait près de 2.5 Go de données, réparties dans 76 répertoires. Parmi ces données on y a trouvé, le chemin emprunté par la Reine et les mesures de sécurité la concernant au sein de l’aéroport, les ID d’accès aux zones y compris ceux employé par les policiers sous couverture, les calendriers des rondes assurant la protection contre les attaques terroristes, des cartes d’implantation des caméras de surveillance, le cheminement des personnalités, le système de scanner de piste…Toutes ces données étaient librement accessibles sur une clé USB, non chiffrées.
Cet exemple médiatique est très intéressant à plusieurs titres.
Il rappelle que les données stockées sur un support numérique sont naturellement volumineuses, ici on parle de 2.5 Go soit environ 800 000 pages A4 ou encore 1600 ramettes de papier ! Autant se promener avec une clé USB est naturel, avec 1600 ramettes sous le bras beaucoup moins.
Ensuite comment expliquer qu’un tel volume d’information sensible soit trouvé dans la rue a une douzaine de kilomètres de l’aéroport? Cette question se scinde en 2, une première sur l’aspect humain, une seconde sur l’aspect technique.
Sur la question humaine on peut imaginer plusieurs scénarios.
Le premier, peut-être le plus vraisemblable, la clé USB a été perdue par un employé tout simplement, l’histoire finissant finalement bien.
Autre scénario un employé s’est fait voler une sacoche contenant entre autres documents cette clé USB, le voleur se débarrassant de ce qu’il ne trouvait pas utile, les documents papiers et la clé.
La clé a été perdue par une personne qui n’était pas légitime à la détenir.
Le chômeur a peut-être trouvé la clé USB dans un endroit que l’on appelle une boîte aux lettres et l’a récupéré avant le passage de la personne qui aurait dû « légitimement » la récupérer.
Dans tous ces scénarios les services de police britanniques détiennent un témoin vital, la clé USB. En effet une analyse technique poussée permettra de retracer la vie de la clé. On pourra définir par exemple quand des fichiers ont été copiés, supprimés, modifié, en analysant les métas datas des fichiers ont pourra définir qui a créé les fichiers, qui les a modifié, où et quand la clé a été branché…bref connaître l’histoire de la clé.
En comparant l’histoire de la clé on pourra très probablement en définir un propriétaire ou du moins des gens ayant le besoin de détenir ces fichiers. On pourra aussi définir si c’est une clé fournie par l’entreprise ou non.
Si l’analyse forensique ne donne rien de probant, c’est que l’on aura affaire à une clé très probablement “fabriqué” compilant des informations recueillies par ailleurs, situation guère rassurante. Dans tous les cas cette analyse sera déterminante pour identifier le responsable de la fuite et/ou la destination de la clé dans le cas d’une fuite volontaire.
Pour l’aspect technique on imagine mal en 2017 qu’aucun dispositif de protection ne soit mis en place par l’aéroport. Des produits de Data Leak Prevention (DLP) existent et font aujourd’hui partie de la panoplie dont dispose un RSSI pour limiter au mieux ces fuites d’information. Autre moyen technique, le chiffrement qui aurait pu permettre de limiter l’accès à l’information par celui qui trouve le support. Ces 2 moyens techniques auraient permis au RSSI de l’aéroport et aux services de sécurités d’être plus serein sur la sécurité des voyageurs.
Pourtant le Royaume-Uni dispose d’une réglementation, qui donne des objectifs de protection des informations sensibles et marquées.
La fuite d’information sensible marquée n’est pas une nouveauté, en août 2016 une fuite d’information concernant une société française portant sur plus de 22000 documents avait eu lieu ici et avait posé bien des questions non résolus.
Au vu de la quantité de données numériques et de la quantité de clé USB produite dans le monde, il est de la responsabilité de chaque entreprise de faire le nécessaire pour s’assurer que son patrimoine ne s’envole pas. C’est dans ce sens que l’II901 portée par l’ANSSI recommande de chiffrer les supports amovibles et d’en contrôler la connexion aux réseaux d’entreprises.
avait lieu le 1er festival du film de sécurité. Belle initiative qui ne fut pas reconduite, c’est bien dommage.
Je profite de cet anniversaire pour mettre en ligne le lauréat de cette unique édition, Airbus Group. Ce film fait la part belle aux rêves de prototypes dont les aboutissements se trouve compromis par des comportements malheureux.
Appréciez les images, les messages, mais aussi les lieux ou vous n’irez probablement jamais 😉
Bravo à Airbus Group pour cette belle réalisation.