l’information n’a pas de prix
Depuis de nombreuses années les nations utilisent leurs agences très spéciales (NSA, DGSE, KGB, etc.) afin d’obtenir un maximum d’informations sur leurs ennemis et leurs amis (on ne sait jamais…). Alors qu’en France nous utilisons le terme « renseignements » pour décrire les informations que ces agences collectent, les anglophones utilisent un terme beaucoup plus révélateur : « intelligence ».
Si on zoom sur les entreprises et la guerre qu’elles se livrent pour réussir, on remarque que pour elles aussi l’information est capitale. Aussi bien les informations sur leurs concurrents, que sur leurs clients ou sur elles-mêmes. Toutes ces informations sont des données.
Les entreprises ont toujours cherché à protéger leurs données les plus sensibles (les secrets de fabrication…). Mais les évolutions digitales engendrant des environnements IT plus complexes (Cloud, BYOD…) les données des entreprises sont aujourd’hui plus exposées que jamais aux cyberattaques. Si le vol ou la perte de ces données n’exposent pas aux mêmes risques, les conséquences de l’un comme de l’autre peuvent être particulièrement graves.
que fait L’AUTORITÉ compétente ?
Nous avons tous, particuliers et entreprises, un capital informationnel à défendre : nos données personnelles. En France, dès 1978 ces données étaient prises en compte et protégées par la loi Informatique et Libertés. Quarante ans après (on peut saluer la réactivité !), l’Europe prend le problème à bras le corps en renforçant la protection des données personnelles par l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) le 25 mai 2018.
Un renforcement qui n’est pas sans risques pour les professionnels qui ne souhaitent pas s’en préoccuper. Des sanctions pouvant aller jusqu’à 4 % du CA mondial de la société sont là pour les inciter à jouer le jeu. Cette nouvelle dynamique a pour objectif d’inverser les rapports de force entreprises/clients, dont les droits d’accès, de modification, de portabilité et de suppression de leurs données du système d’information des entreprises sont désormais beaucoup plus stricts.
En pratique, le RGPD apporte tellement de modifications au sein des entreprises que certaines semblent perdues face à l’immensité de la montagne à gravir pour être conforme. Car être en mesure de répondre quotidiennement aux nouvelles exigences du règlement n’est pas facile pour les entreprises qui ne sont pas spécialistes en gestion de données.
Un bastion, une des briques de réponses du RGPD
Il existe des solutions permettant de gérer les données et répondant techniquement et juridiquement à certaines des exigences du RGPD. Ici je souhaite vous parler du Bastion.
Un bastion est comparable à un sas d’entrée où se retrouve utilisateurs et serveurs cibles. Par l’intermédiaire de ce sas on va savoir en temps réel (et différé), qui fait quoi, quand, où et comment. L’objectif est de détecter et de bloquer les attaquants éventuels. Tout ceci se fait via une interface web dynamique plutôt intuitive, pour la technologie Wallix que j’utilise.
Avec un Bastion il est possible de répondre aux exigences RGPD de traçabilité et de brèches de sécurités :
- contrôler les accès des sous-traitants et des collaborateurs
- gérer des comptes à privilèges et des utilisateurs à risques
- créer des stratégies de mots de passe
- enregistrer des sessions de travail et de les visionner depuis l’interface
- tracer les connexions
- mettre en place des règles d’accès et d’alertes sur des événements ciblés
- surveiller et enregistrer des sessions en temps réel et en différé
- analyser les flux SSH
- obtenir des statistiques, des rapports d’activité et exporter des métadonnées
- déléguer l’administration
La maîtrise de l’information que propose un Bastion est telle, qu’il est possible de mettre en place une véritable politique de sécurité répondant aux besoins de traçabilité par la maîtrise et l’authentification des utilisateurs sur les serveurs, ainsi qu’aux besoins de protection par la prévention des risques de brèches de sécurités.
Au delà du Bastion, la maîtrise du patrimoine informationnel passe aussi par une meilleure connaissance du contenu des données, tant au niveau personnel que professionnel.