[Helpc] "La France n'est pas assez protégée contre l'espionnage industriel"
- From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
- To: <helpc@xxxxxxxxxxxxx>
- Date: Sun, 6 Oct 2002 20:07:33 +0200
Cyril Autant
Directeur du Pôle Intégration
Thales Secure Solutions
"La France n'est pas assez protégée contre l'espionnage industriel"
Cyril Autant a présidé mardi dernier un séminaire sur les problématiques
de sécurité intérieure devant une brochette de DSI - et autres RSSI. Ce
cadre de la filiale de services en sécurité informatique du grand groupe
de défense Thalès maîtrise bien les problématiques d'espionnage et de
destruction de données. Le danger vient de l'intérieur, mais il existe
des remèdes.
Propos recueillis par Nicolas Six le 07 octobre 2002 .
Faut-il prendre l'espionnage industriel au sérieux ?
Cyril Autant. Assurément : c'est une réalité à laquelle toutes les
grandes entreprises sont confrontées d'une manière ou d'une autre. Je
peux vous donner un exemple édifiant : il y a quelques années, le
contre-espionnage avait accès à des informations très précises sur
l'activité des services étrangers d'espionnage industriel, pays par pays
et secteur par secteur. J'ai été en contact avec une entreprise
pharmaceutique française employant plusieurs milliers de personnes : les
responsables de la sécurité avaient eu accès à ces données, et ils
s'étaient livrés à une petite extrapolation sur la base des budgets des
différents pays. Ils avaient ainsi pu estimer le nombre d'espions russes
dans leurs murs à une dizaine : je peux vous dire que cette firme
prenait l'espionnage industriel très au sérieux. Autre exemple, plus
concret : j'ai moi même travaillé dans un service de recherche qui a
reçu un post-doctorant russe - une fois de plus - pour un stage. Nous
nous sommes rendu compte que son soi-disant doctorat n'était en réalité
que la copie d'un travail de recherches fort connu. Une fois démasqué,
l'individu en question n'est pas réapparu. Je pourrais encore vous citer
bien d'autres exemples, plus récents et plus parlants, mais je suis tenu
par le secret professionnel.
Les "espions" agissent-ils en interne ou en externe ?
Le plus souvent, le danger vient de l'intérieur. C'est d'autant plus
gênant que les enteprises sont très bien protégées contre les virus et
contre les "hackers", mais qu'elles négligent souvent d'accorder toute
leur attention aux pirates qui opèrent de l'intérieur.
Quels sont les principaux dangers qu'il faut craindre ?
La destruction de données et le vol d'informations confidentielles.
Prenons deux exemples : comment vais-je réagir si l'on efface toutes les
données relatives aux recherches de mon service R&D ? Quelles seront les
conséquences pour moi si mon fichier client atterrit sur le bureau de
mon principal concurrent, agrémenté de quelques informations sur les
appels d'offres en cours ? Il existe une foule d'entreprises qui ont des
données stratégiques et qui les protègent mal. Le fichier client est
l'exemple type du document que l'on laisse traîner partout sur un
système d'informations alors qu'il faudrait le protéger avec beaucoup de
soin.
Comment reconnaître un espion ?
C'est impossible : il n'y a pas de portrait type. D'ailleurs, il y a des
espions qui sont entrés dans l'enteprise dans un but précis, mais aussi
des espions plus tardifs qui se sont laissé soudoyer par un concurrent
après des années de bons et loyaux services. Je dirai même qu'il existe
des espions malgré eux, qui divulguent des informations stratégiques
sans le savoir à des oreilles indiscrètes, en parlant tout haut dans les
transports en commun ou dans un club de sport par exemple. Je ne compte
plus les exemples de clients qui ont glané çà et là des informations
stratégiques malgré eux, en laissant seulement traîner une oreille au
bon moment. Quant aux collaborateurs de l'entreprise - ou aux employés -
qui détruisent des informations stratégiques sur le système
d'information, ils ne le font pas toujours intentionellement. Le vol et
la destruction d'information peuvent être intentionnels ou pas : un
copier coller accidentel peut suffire à semer le trouble dans un SI. Il
faut donc pouvoir parer aux dangers qui émanent en permanence de tous
les employés et les collaborateurs d'une entreprise.
Les entreprises prennent-elles la sécurité suffisamment au sérieux ?
Il y a une forte culture de la protection contre les agressions
extérieures, c'est incontestable. Mais je vois encore trop souvent des
enteprises de taille respectable dépourvues des protections les plus
élémentaires. Ces problématiques sont négligées la moitié du temps.
Comment se protéger contre la perte et le vol d'informations
stratégiques si l'on ne dispose pas d'un contrôle d'accès minutieux, et
que l'on ne sensibilise pas ses effectifs aux règles élémentaires de la
sécurité ?
Comment construire un bon contrôle d'accès ?
Tout comence par la définition des documents que l'on souhaite protéger,
et du niveau de protection dont ils doivent bénéficier. Ensuite, il faut
absolument en passer par un long et complexe travail de catégorisation
des utilisateurs, afin de savoir dans le détail quelle famille
d'employés peut avoir accès à quelle famille de documents. C'est la
seule solution pour limiter la fuite d'informations : chaque utilisateur
doit avoir accès aux données dont il a besoin, et à rien d'autre. Tout
doit être abondamment cloisonné. Car lorsqu'un utilisateur dispose d'une
information stratégique, plus rien ne l'empêche de le faire sortir de
l'enteprise. Puis il faut mettre en place des solutions techniques qui
permettent de contrôler efficacement chaque accès. Il existe sur le
marché beaucoup de produits, qui répondent à tous les usages.
Pourquoi ne pas tracer les actions des utilisateurs ?
C'est une solution très efficace lorsque l'on a besoin d'un haut niveau
de protection. Les produits de traçage sont bien au point, et ils
permettent de savoir avec précision qui a agi sur les silos
d'information les plus sensibles. Si une information est détruite, on
peut demander des comptes au responsable. Si un utilisateur tente
d'outrepasser ses droits pour accéder à une information normalement hors
de portée, on peut aussi le détecter gràce à des outils assez proches
des IDS. Ce qui permet de mener une enquête sur un utilisateur X ou Y
qui est parvenu à accéder à un serveur sensible en mode administrateur
alors qu'il opérait depuis un banal poste client.
Comment mieux sensibiliser les effectifs ?
C'est la deuxième règle d'or de la protection des données. La solution
est fort simple : il faut former chaque utilisateur et le faire signer
une charte lui interdisant de divulguer des informations. J'ai remarqué
qu'il y avait une méthode très efficace, qui consiste simplement à citer
des exemples d'espionnage industriel. Il faut que chaque employé intègre
bien le fait que ces informations sont une richesse, et que comme toute
richesse il faut la protéger.
Une dernière clé pour le succès ?
La pérennité ! Il faut absolument suivre le système de sécurité au jour
le jour, le mettre à jour, former les nouveaux arrivants à la sécurité,
etc ... Car sans ça la sécurité se dégrade automatiquement chaque jour
un peu plus.
--->
Shaka( Rudy)
Helpc list owner
<mailto:shaka.rudy@xxxxxxxxx> shaka.rudy@xxxxxxxxx
Other related posts:
- » [Helpc] "La France n'est pas assez protégée contre l'espionnage industriel"
