La suite du « tour of duty » de notre RSSI mystère sur les Assises, édition 2009. Notre agent écoute Alex Turk, le président de la CNIL, apprend à gérer son stress, s’interroge sur le DLP, parle IDS et tâte du SM Open Source.

Du contrôle de contenu au DLP : c’est le sujet qu’a choisi Integralis pour sa conférence. Après avoir listé les impacts de la perte de données, ainsi que l’évaluation des risques, les méthodes de protection initiales ont été exposées :

Contrôle de fichiers (sur extension, reconnaissance, hash, expression régulière)

Contrôle d’accès (mails, web, accès physiques).

La première de ces deux méthodes est contournable par compression/chiffrement, la deuxième difficilement envisageable car elle entraîne une frustration de l’utilisateur. De plus elle est longue et coûteuse à mettre en place.

Alors, où en est-on aujourd’hui sur le DLP ? Pour mémoire, on distingue trois  » états  » de données :

Data in-motion (dans le réseau)

Data in-use (en cours de manipulation)

Data at-rest (stockage sur des serveurs de fichiers, index etc…)

Ces  » états  » sont contrôlés aussi bien dans le réseau de l’entreprise qu’à l’extérieur par le biais d’une analyse intelligente effectuée sur le poste utilisateur. Cette analyse à toutefois des limites : par exemple une impression locale dans un fichier au format image sera difficile à empêcher car les logiciels de reconnaissance de caractères ne sont pas forcément au point.

De même le contrôle sur des machines Linux ou des téléphones mobiles pour lesquels les agents intelligents ne sont pas toujours disponibles montrent que le modèle de protection n’a pas été poussé jusqu’au bout.

Alors faut-il lancer ou pas un projet de DLP ? La conférence n’aura pas répondu à la question.

L’IDS s’en sort mieux

Il est toujours très difficile de parler d’outil technique comme les IDS. Essentiellement parce que les techniciens ont du mal à exprimer l’utilité de ces outils à leur management. Le pari qu’a fait Sourcefire, c’est de faire un état sur les menaces et ce à quoi on a à faire face, afin de le présenter de manière la plus claire possible.

Cela aurait pu être des généralités, mais le présentateur (anglo-saxon) a raconté l’histoire avec une phrase simple sur chaque slide et une photographie symbolisant bien le sujet. Les besoins a couvrir ont été exprimés simplement et de façon très imagée. On peut dire que c’était assez réussi (ces slides sont-elles disponibles pour tenter de décrocher des budgets pour les IDS auprès de la direction ? ndlr)

Du SM en Open Source

« Les solutions de sécurité Open Source qui marchent », tel était le titre accrocheur de la présentation de Linagora. Les quatre offres en question s’articulent autour de la messagerie et de l’agenda partagé (OBM), la PKI (LinPKI), la fédération/gestion d’identité (LinID) la télédistribution et l’inventaire ou le service management (LinSM).

Pour l’anecdote, le PDG de la société nous a indiqué que SM n’était pas forcément ce à quoi l’on pensait, mais que cette ambiguïté étant source de beaucoup de blagues en interne ils ont décidé de garder l’abréviation.

Après une description des différents modules nous avons eu droit à la démonstration d’un portail en self service à l’usage des entreprises pour la dématérialisation (signature de document).

Enfin, le goody offert était LinShare , un outil de partage de fichiers qui nous évite d’utiliser les services d’un dl.free.fr ou équivalent. LinShare peut se connecter au LDAP de l’entreprise ou prendre en compte des utilisateurs externes sur la base de l’email de l’utilisateur. Ce dernier reçoit alors un mail avec un lien qui permet de se connecter sur la plate-forme et de télécharger le fichier.

L’interface est plus conviviale qu’un serveur ftp et le logiciel peut être installé sur un serveur de l’entreprise (enfin un goody utile ! ndlr)

Le DNS non plus n’est pas ce que vous croyez !

DNS n’est pas ici l’acronyme d’un serveur de nom mais celui des Directives Nationales de Sécurité. Après avoir reçus tout un tas d’acronymes dont je ne certifie pas la bonne retranscription (Ordonnance de 58, instruction générale interministérielle 1300 SGDN, mise en place d’un PSO, décret SAIV, Système de protection ISPS, etc…), nous avons vite compris qu’il s’agit là avant tout d’un contexte militaire : l’on cherche à prémunir la Nation contre toutes les formes de menaces sur ses ressources vitales. Mais beaucoup de choses sont toutefois transposables à notre métier.

Pour faire le parallèle, je retiendrais un slogan très significatif que chacun d’entre nous peut utiliser :  » notre job est de prévoir des imprévus et de faire face à l’imprévisible « .

Nous devons ainsi être capable d’accélérer notre boucle de décision ou de ralentir celle de l’adversaire. Pour cela nous avons besoin de leaders qui seront les patrons de crise, que nous devrons sélectionner suivant cinq critères :

Le courage

L’endurance (il faut tenir physiquement…)

L’humilité (savoir se remettre en cause et rester discret pour assurer la confidentialité)

La sociabilité (il faut être conscient que nous avons besoin des autres)

La sécurité (quelque soit le niveau de tension la personne doit être capable de maîtriser sa propre sécurité physique).

Au-delà des critères il faut également 5 talents :

Le discernement (faire preuve d’ouverture d’esprit, penser autrement)

L’anticipation du changement (savoir où l’on conduit les personnes de l’équipe, savoir ne pas trop « tendre le ressort », qui ne reviendra pas à son état initial)

L’adaptation (aux situation nouvelles)

La planification (avoir un fil conducteur pour pouvoir passer à l’étape suivante)

La connaissance de soi (avoir une bonne connaissance de ses défauts et pas juste de ses qualités).

Ensuite un psychiatre a pris le relais pour repositionner la notion de stress.  » Le stress c’est la capacité d’éliminer des contraintes extérieures, ce n’est pas une pathologie « . Il est toujours bon de rappeler que notre société a tourné de façon très négative la notion de stress et que si nous ne sommes pas en situation de stress dépassé alors celui-ci est bénéfique.

Face à une situation de crise, le stress nous permet en effet de nous focaliser sur ce qui nous contraint, le stress donne envie d’agir et agit lui-même sur notre capacité musculaire pour utiliser au maximum notre énergie.

Lors d’une situation de stress dépassé, en revanche, on ne peut plus penser, on est tétanisé, on ne peut plus raisonner et on ne fait que ce qu’on a appris de façon mécanique. On agit sans prendre de la distance car cela nous rassure.

Alors quelles sont les recettes pour résister au stress (dépassé) ? Il faut rappeler que la capacité de résister au stress est individuelle mais que si les gens comprennent le sens de ce qu’ils font, qu’ils ont des perspectives alors ils auront une meilleure résistance au stress.

Il n’y a pas de test-type pour savoir si l’on est résistant au stress ou pas. Ce qui est important c’est la connaissance de soi, l’expérience et la personnalité des individus.

Cette conférence insiste finalement surtout sur la nécessité d’avoir des valeurs et des référentiels afin de mieux faire face aux urgences et aux exigences de la SSI.

A l’écoute d’Alex Turk, président de la CNIL

La conférence plénière de cette neuvième édition des Assises a pour thème  » l’éthique à l’ère du tout numérique « . Comme à son habitude Eric Dommage a fait une introduction à la hauteur des participants. Alex Turk, premier à entrer en scène, a énuméré les défis auxquels notre société doit faire face :

La globalisation : le droit est étroit par rapport aux évolutions de la technique. En effet en 1978 (vote de la loi, ndlr) il n’y avait pas d’ordinateurs portables, par exemple

L’accélération constante du progrès technologique

L’usage des technologies : une technologie en soi n’est ni bonne ni mauvaise, c’est son usage qui peut se révéler catastrophique

L’invisibilité des phénomènes : le juriste n’a pas « de lunettes assez grosses » pour voir l’objet de sa réflexion

Pour faire face à ces défis les missions de la CNIL ont évoluées en se développant selon 4 axes :

Les contrôles

Les amendes et le contentieux

Les correspondants Informatiques et Libertés et les associations telle l’AFCDP

L’expertise technologique

La CNIL est devenu compétente sur tous les sujets. Elle est capable d’être une vigie pour le parlement afin qu’il se prépare aux évolutions.

Enfin, elle a identifié trois enjeux majeurs pour aujourd’hui et demain :

Les volontés de contrôle au travers de fichiers de police conçus depuis le 11/09/2001

La problématique de l’Internet et des réseaux sociaux dont les objectifs ne sont pas honteux mais plutôt obscurs. L’Internaute n’a pas le contrôle de ses données personnelles, le « droit à l’oubli » n’est pas respecté (les données confiées aux réseaux sociaux sont conservées à vie, ndlr). Il ne s’agit pas selon Alex Turk d’un problème technique secondaire, mais bien de la perte d’une liberté fondamentale.

Le traçage dans le temps par la vidéo-surveillance, la biométrie, la géo localisation et à terme par des nanotechnologies invisibles à l’oeil nu.

Alex Turk nous alerte sur le fait que si on a le sentiment de n’être plus jamais dans une sphère d’intimité alors on va contrôler son langage et ses actions à tout moment, et nous serons alors à terme tous formatés. Et si l’on renonce ainsi à son intimité, et que l’on détruit le patrimoine personnel, alors on mutile le patrimoine naturel. Va-t-on attendre vingt ans pour réagir ?

Ensuite, Serge Tisseron (psychiatre) met en avant le paradoxe des réseaux sociaux : « je veux que l’on me voit, mais je veux garder mon intimité ». En entreprise il faut apprendre à nos collaborateurs à faire une nette séparation entre vie privée et vie professionnelle. Il faut apprendre aux gens à se poser des questions : que se passerait-il si telle ou telle information concernant mon intimité ou celle de mes amis (ou de mon entreprise ! ndlr) devenait publique ? Il faut montrer à tous les dégâts collatéraux que cela pourrait entraîner.

La suite de la visite de notre RSSI mystère : gestion des logs, SaaS et petites phrases, c’est ici !