Ce sera certainement le grand écart des années à venir : coincée entre la nécessité de surveiller et d’archiver l’activité de son réseau d’une part et celle de respecter a minima la vie privée de ses salariés d’autre part, l’entreprise devra trouver des compromis.

Une surveillance plus fine du réseau est évidemment un atout face aux intrusions et aux attaques ciblées. Au delà de la détection de l’attaque proprement dite (qui implique d’ailleurs souvent l’identification de comportements anormaux et donc une surveillance continue de l’activité des utilisateurs), l’investigation post-mortem doit en effet déterminer par exemple qui a fait quoi, qui a visité quel site, qui a reçu tel courrier piégé et surtout qui l’a ouvert.
Et en cas de fraude interne le contrôle doit être encore plus précis : quel administrateur a accédé à tel système ? Quelles instructions a-t-il tapé au clavier via la connexion distante ? A-t-il modifié un script en production ? Si oui qu’a-t-il rajouté ? Ou bien encore quel employé a été en relation avec tel correspondant extérieur à l’entreprise et que lui a-t-il transmis ?

Autant de questions dont la réponse exige soit un long travail d’analyse forensique (pour des résultats souvent partiels) soit une surveillance et un archivage quasi-exhaustif de l’activité du réseau sur des périmètres divers.

En outre un certain nombre de contraintes réglementaires obligent ou obligeront les entreprises à surveiller et archiver l’activité de leur réseau. Aux Etats-Unis, par exemple, HIPAA contraint déjà les acteurs du secteur médical à installer des dispositifs qui surveillent et conservent l’activité des systèmes chargés des données médicales sensibles (« Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information« ). Et la loi Sarbanes-Oxley fait de même concernant notamment les utilisateurs privilégiés (ce qui inclue les administrateurs systèmes, évidemment, mais aussi les programmeurs !).

Bref, autant d’un point de vue technique (faciliter la détection des incidents et l’analyse forensique) que juridique, l’on se dirige vers un monde où l’entreprise a les meilleures raisons du monde de vouloir surveiller efficacement son réseau et d’en archiver toute l’activité.

Oui mais voilà, elle n’en a pas forcément le droit, et en tout cas ça passe mal auprès des salariés. Car non seulement les entreprises sont soumises à une obligation d’information des salariés lorsqu’elles mettent en oeuvre des dispositifs de surveillance, mais même ainsi leur présence est rarement bien vue.

Prenons l’exemple de la généralisation de l’usage de SSL dans les sessions web. Cette tendance rend plus difficile la capture du trafic à des fins d’analyse (on estime que 30 à 40% du trafic web généré par les salariés d’une entreprise est désormais chiffré). De nombreux services imposent même SSL aux internautes qui ne l’ont pas demandé. C’est évidemment une bonne chose en terme de sécurité, mais du point de vue de l’entreprise il est alors nécessaire de déchiffrer ces trafics avant qu’ils ne quittent le réseau afin de les inspecter. Cela est généralement réalisé par un procédé de type Man-in-the-Middle : un boitier situé dans l’entreprise se fait passer pour les sites demandés en SSL, intercepte et déchiffre le trafic pour l’analyser puis négocie seulement après la connexion chiffrée avec l’extérieur. Pour l’utilisateur cela est entièrement transparent.

C’est exactement la pratique (courante) qui avait cours au Ministère de l’Economie et des Finances à Bercy lorsque l’affaire des vrais-faux certificats Google a éclaté. La réaction du grand public à cette affaire est instructive : si les experts ne se sont pas montrés choqués outre mesure, la blogosphère a quant à elle explosé sous les billets outrés d’auteurs autoproclamés défenseurs des libertés individuelles, et dont la compréhension du sujet semblait inversement proportionnelle à l’indignation. En pleine affaire Snowden on ne pouvait évidemment pas s’attendre à autre chose, mais cette réaction montre a quel point le sujet est devenu épidermique et prompt aux amalgames.

En outre l’entreprise devra bientôt faire face à la prochaine Directive Européenne en matière de cybersécurité. Et celle-ci prévoit notamment de fortes obligations en matière de vie privée. Elle introduit notamment l’obligation de « Privacy by Design » (prise en compte des questions de protection des données personnelles dès la conception des produits ou des systèmes) et la notion de « droit à l’oubli » (article 17).

En bref, l’entreprise est dans une position délicate où elle est contrainte de faire d’un côté ce qui lui est potentiellement interdit de l’autre. Il n’est pas impossible qu’elle se retrouve à l’avenir coincée entre deux exigences réglementaires opposées : l’une l’obligeant à conserver des traces d’usages et l’autre lui interdisant de conserver de telles informations nominatives.

Son salut viendra peut-être d’une adaptation des solutions destinées à la capture du trafic et la surveillance des réseaux telles celles d’Intellinx (dont nous vous parlions dès 2008), Netwitness (racheté par RSA), IPcopper, PacketMotion (racheté par VMware) ou encore Solera (racheté par Bluecoat).

En automatisant totalement la capture et l’archivage de manière à ce que personne dans l’entreprise ne puisse y avoir accès en temps normal (par exemple en en confiant les clés à un tiers de confiance), l’entreprise pourrait s’affranchir de la suspicion d’espionnage qui colle à la peau de ces solutions. Tout est alors effectivement consigné, mais rien ne peut être accédé.

Et ce n’est qu’après qu’un incident ait eu lieu – et après qu’un processus formel d’accès à ces données ait été suivi – que l’équipe d’investigation forensique (potentiellement externe) pourra accéder aux données afin de mener l’enquête.

A notre connaissance Solera Networks (Bluecoat) est le seul à proposer une solution de ce type avec son DeepSee BlackBox Recorder. Le modèle de facturation est en outre particulièrement original : le boîtier peut être déployé gratuitement, et l’entreprise ne paiera que lorsqu’elle aura besoin d’accéder aux données capturées après un incident (ce qui en outre garantit qu’elle ne le fera que pour une bonne raison, et non simplement pour surveiller l’activité de ses salariés au quotidien).

Une évolution de ce modèle pourrait être, pour un SOC privé, de déployer un boîtier similaire chez l’ensemble de ses clients et de mutualiser ainsi une équipe de réponse aux incidents.

Certes, encore faut-il trouver des RSSI qui accepteront de laisser placer une boîte (littéralement) noire chargée de sniffer le réseau au coeur de leur infrastructure…

En tout état de cause ces deux besoins conflictuels – surveillance / archivage du réseau et respect de la vie privée des salariés – constitueront probablement un noeud gordien dans les années à venir. L’évolution probable de la législation de part et d’autre (obligation de surveillance d’un côté et obligation de privacy de l’autre) associée à un ressentiment populaire face à tout ce qui peut ressembler à de la surveillance de masse donneront certainement lieu à des contorsions intéressantes…