Perte de données en UK - Encore !

Le problème est qu'en France, rien n'oblige a déclarer cela...voir a déclarer un piratage et que de toute façon ce n'est pas dans nos moeurs

Cela démontre, encore une fois, que peu d'entreprises utilisent le chiffrement et des technologies DLP.

Pourtant il aurait été si simple de contrôler les périphériques USB...

Cela ne sera pas la dernière news de ce style !

@sylvain: peu sont enclin a boucher les port USB avec de la résine....vu qu'en plus les souris et les claviers sont quasi tous en USB maintenant....

C'est une solution très efficace......

Mais il existe des solutions logiciel très simple à mettre en œuvre. Je pense notamment à Sanctuary Device Control.

http://www.lumension.com/

Sylvain, précises tout de même que ta boite revend cette solution.

http://www.lumension.com/indexPartners. ... uId=123205

Restons indépendants autant que possible. C'est une solution qui fonctionne probablement bien puisque e-Xpert Solution l'a sélectionnée mais il en existe d'autres bien entendu que je vous laisse détailler.

Si un RSSI a un retour d'expérience là dessus (problématique USB, fuite de données etc.), qu'il n'hésite pas à me contacter, ca pourrait faire l'objet d'une interview/article intéressante.

Effectivement il existe d'autre solutions pour la protection des périphériques. Cela va dans le trend du DLP. L'idée de base est de contrôler l'entrée et la sortie des données de tous les devices, comme un firewall.

Certaines solutions offrent aussi des fonctionnalités de chiffrement. Je pense que dans un avenir très proche ces solutions seront inclus dans un client unique de protection du poste de travail.

Je confirme qu'au-delà des difficultés techniques, il y a d'abord un problème de moeurs. Une petite histoire qui illustre cela :

Un jour lors d'un audit, j'ai abordé cette question avec la cellule sécurité de mon client, dans le cadre de projet et d'infrastructure classifiés CD. La réponse d'un des membres du groupe de travail a été : "je ne vois pas à quoi ça sert, vu qu'il suffit d'inscrire CD sur la clé USB qui serait potentiellement utilisée sur les bécanes de l'infra CD".

No comment ! C'est une histoire vraie.

Plus largement je pense que c'est aussi dans la nature humaine. A mon avis, la législation est le vrai catalyseur pour faire avancer les choses.

just my 0.02€

Luis

Voila encore une perte d'informations...

http://sundayherald.com/news/heraldnews ... 25.0.0.php

@Luis : La réponse de ton client est malheureusement totalement logique quand tu connais les règles de gestion des documents CD.

Un document CD doit être identifié par son marquage, numéroté et chaque exemplaire doit être répertorié. L'avénement du photocopieur a sérieusement compliqué les choses et l'informatique moderne les a transformées en casse-tête chinois !

Pour la perte relatée par le Sunday Herald, c'est encore un peu flou:

http://www.lesnouvelles.net/articles/at ... -identites

Tu as raison Manudupont ! mais pour véritablement sécuriser des données, il ne suffit pas de respecter des règles vieilles de plusieurs décennies et non adaptées aux technologies actuelles.

Les personnes, non habilitées, qui accèderont par erreur (ou par malveillance) à cette clé marquée CD; apprécieront.

Pour moi, lorsque les règles ne permettent pas de sécuriser des données, il faut aller au delà.

C'est un sujet essentiel. Et qui mérite une véritable attention des différents RSSI.

Je suis assez d'accord avec Luis, je pense que les règles sont nécessaire et très importantes (Politique de sécurité). Mais ces règles ne sont plus suffisantes. Il est si facile maintenant de sortir des données très confidentielles du système d'information.

Je parle d'expérience, notamment dans le milieu bancaire ou il existe vraiment une très grande sensibilité à la protection des données secrètes...

La plupart des banques aujourd'hui utilise des solutions" DLP", de type chiffrement, contrôle des périphériques (USB, etc.), contrôles des emails entrant et sortant, authentification forte (smartcard, biométrie), etc...

Mais cela n'est qu'une approche technologique qui résout une partie du problème. Le maillon faible restera l'humain. Je pense notamment à une certaine affaire dans un petit pays près de la suisse....

Une information intéressante: "La majorité des données sensibles sur les portables des organismes gouvernementaux américains n'est pas chiffrée"

http://securite.reseaux-telecoms.net/ac ... 18594.html

Certains organismes étatiques sont allés plus loin que le DLP... ne pas acheter de lecteurs CD/DVD/D7 et juste un coup de pince sur les ports USB. Pas très esthétique mais moins onéreux.

Concernant la protection des données dans le milieu bancaire, assez paradoxalement au soucis permanent de confidentialité des données sensibles règne également la confiance qui veut que tout employé de l'établissement financier est considéré comme "être" du périmètre de confiance... aux vus des arguments développés, que je partage par ailleurs, c'est encore une belle preuve que la sécurité périmètrique est un concept dépassé et qu'il était de toute évidence le premier quick win à la démarche sécurité.

@Luis.

Certes les règles de gestion des documents classifiés ont été écrites avant la préhistoire et ne tiennent aucun compte des progrès technologiques.

Mais lors de ma (longue ?) expérience militaire, j'ai également pu constater que le problème est également comportemental.

Le PC (et tous ses périphériques) est entré dans les foyers comme un objet ludique bien avant de faire son apparition dans les milieux professionnels. Et, bien que cela semble incroyable, des gens capables de la plus grande rigueur lorsqu'ils manipulent des armes ou d'autres matériels sensibles, perdent tout sens professionnel et ne respectent plus aucune règle une fois installés devant un clavier...

Et encore une fois, il va falloir que la technologie comble une faille humaine.

@Manudupont : ta reflexion est fort juste concernant la perception de la clé USB. Pourquoi donc ne pas choisir une clé USB version PRO qui la différencie dans son usage. Du fait que cette clé soit perçue comme "pro" on induit un comportement différent de l'utilisateur.

Par exemple des produits comme la Stealth MXP http://www.beyondifsolutions.com/html/s ... hmxp_.html (non Acz, je ne suis pas revendeur
1) on protège le contenu et

2) ces fonctionnalités de sécurité rappellent à tout moment à l'utilisateur: "ce qu'il y a sur cette clé est sensible".

Cela ne changera pas le "facteur humain" mais on limite la casse, non ?

Bonne idée ! Je ne donne pas de nom de produit ...... Même si j'en connais et que je les propose à mes clients du monde de la finance

Soyons réalistes, la majeure partie des dirigeants ( publics et privés ) ne sont pas sensibilisés à la perte d'information...donc pour sensibiliser les salariés..bonjour le boulot

Comme le dit @manudupont, la faille est humaine !

Je dirais même plus : "Quis custodiet ipsos custodes?"

J'inviterais plus raisonnablement l'ensemble des acteurs a d'avantage identifier ce qu'ils doivent protéger! La maîtrise de l'information passe avant tout par l'identification du patrimoine informationnel de l'entreprise: savoir ce que l'on doit protéger avant de savoir comment le protéger: l'acteur premier est donc bien l'utilisateur qui crée ou manipule de l'information qu'il doit pouvoir identifier comme sensible!

La politique de sécurité doit ensuite définir les procéssus permettant de garantir une protection optimale de cette information (idéalement identifiable comme sensible à tout les instants de sa vie- creation accés diffusion destruction)

La déclinaison technique ne vient qu'apres je pense!

Idéalement le chiffrement et l'utilisation de gestion d'accés aux données assure une certaine garantie (si on vole des données "correctement" chiffrées il n'y a techniquement pas de compromission).

Maintenant j'admets que ce n'est pas forcement simple à mettre en oeuvre!

Sages paroles.

J'aimerais rebondir sur la réaction de notre cher et respecté "Oswap guru" (et ceci sans la moindre ironie ou moquerie).

Couler de la résine N'EST PAS UNE SOLUTION.. pas plus qu'arracher un cable ou souder un capuchon quelconque. Il faut moins de 2 minutes pour ouvrir un PC (ou un mac, voir une station diskless) et poser une dérivation USB sur la carte mère. Et quand bien même aurait-on consciencieusement coupé les broches de la prise en question, voir dessoudé le contrôleur (svp, avec un fer à air chaud... pitié, pas de fer à souder !) qu'il serait encore possible de fabriquer une sortie "host usb", soit sur la ressortie interne d'une mémoire "ready boost" intégrée, soir en amont d'une interface MiniPCI pour carte WiFi interne (encore de l'USB) etc etc.

Mon coeur d'électronicien d'opérette souffre souvent lorsque l'on suggère des contournements faussement hardwares à des problèmes de sécurité. C'est sous-estimer l'inventivité des personnes qui précisément cherchent à contourner à leur tour une limitation ou une entrave qui leur fait se titiller les méninges.

Reste que l'approche sécurité "hard" est malheureusement trop souvent négligée, car considérée comme "irréaliste et impraticable". Que nenni ! C'est en pensant trop avec une approche informaticienne des choses que l'on crée des zones d'ombre, de non-controle absolu. Les "hack wifi" ne sont que la partie émergée d'un iceberg monstrueux

Bon, je m'échauffe le sang... je retourne à mon fer à souder et à l'eavedroping large bande.

Marc