Comment éviter la fuite de l’information?

Sebastien Bombal (EPITA 04), Security Manager chez Areva, dirige la majeure « Systèmes, réseaux et sécurité » (SRS) de l’EPITA.

Comment expliquer ces derniers temps la multiplication des piratages spectaculaires de données enregistrées dans des systèmes d’information sous haute surveillance: affaire wikileaks, piratage de Bercy etc.?

Il s’agit souvent d’une exploitation d’une vulnérabilité technique et humaine. Il semble que dans le cas de Bercy, ce soit un PDF embarquant un cheval de Troie reçu par mail, dans le cas de « Stuxnet » une propagation virale essentiellement par une clé USB, dans le cas du Pentagone (en 2010) une clé USB contenant un cheval de Troie. Et les exemples ne manquent pas.

Le dénominateur commun pour que ces attaques réussissent est une intervention humaine ! Un click sur un PDF, l’insertion d’une clé USB… Il faut être conscient que le risque zéro n’existe pas sur des systèmes d’information de cette ampleur : Bercy, c’est un parc de 170 000 ordinateurs à gérer pour 150 ordinateurs compromis dans cette attaque (moins de 0,01%…).

Le fait que ces problèmes soient plus médiatisés vient d’une prise de conscience : chacun aujourd’hui est confronté dans sa vie professionnelle ou privée à la problématique de la protection des données.

2pentagone.jpg
Comment faire en sorte que les systèmes d’information soient mieux protégés contre ces intrusions?

Pour répondre à la question, le seul moyen est de maîtriser son patrimoine informationnel et via la gestion des risques mettre en œuvre des mesures organisationnelles, contractuelles et technologiques adaptées.

Aujourd’hui, une grande préoccupation dans la protection des systèmes d’information est liée à la localisation des données. Avec le cloud computing, on ne sait plus où elles sont localisées puisque tout est virtualisé. Une autre problématique est le respect de la réglementation. Les obligations ne sont pas traitables de la même manière dans chaque pays, or certains systèmes d’informations s’étendent à une échelle internationale. Le métier est complexe, mais très passionnant !

Comment prendre en compte ces évolutions dans la formation des futurs ingénieurs spécialistes de la sécurité et des systèmes d’information?

Nous cherchons à faire prendre conscience aux étudiants que les problématiques posées par les systèmes d’information ne se résument pas à des connaissances techniques. Gestion des contrats, analyse des risques, respect de la vie privée et cyber-surveillance… les problématiques sont nombreuses et s’entremêlent.

Il faut surtout apprendre aux étudiants à avoir les bons réflexes et une logique pour traiter correctement et systématiquement ces problématiques. Des nouveautés vont encore s’ajouter dans le cursus des étudiants : on va notamment insister davantage à l’avenir sur la connaissance des infrastructures critiques, sur la sécurité des datacenters, et sur la partie réglementaire.