4 mai 2012

Lutter contre la fuite d’information

conformite securite

L’évolution des technologies et des pratiques utilisateurs engendrent de nouveaux risques pour l’entreprise. L’exposition de l’entreprise doit être analysée dans son contexte pour permettre de formaliser le plan d’action adéquat.

On constate que les outils de protection informatique traditionnels (type Firewall, Antivirus, IDS,..) ne suffisent plus à se protéger. Ceux-ci se préoccupent uniquement du contenant (Flux, Type de fichier, protocole,…) sans prendre en compte le contenu (cette information a-elle de la valeur pour mon entreprise ?).

La mise en œuvre d’un projet de lutte contre la fuite d’information doit être vue comme une démarche d’entreprise avec une adhésion du management. Les enjeux doivent être identifiés et les objectifs partagés.

On distingue la fuite d’information non-intentionnelle (Erreur, méconnaissance, perte,…) de la fuite d’information intentionnelle (malveillance, attaque ciblée, vol ciblé,…). Les mesures de protection que l’entreprise devra mettre en œuvre devront être cohérentes et ciblées pour lutter contre chacune des ces deux menaces.

 

Pré-requis

Lutter contre la fuite d’information nécessite la mise en œuvre :

– D’une gestion fine des accès aux ressources :

« On ne divulgue pas une information à laquelle nous n’avons pas accès »

– D’une démarche de classification des données :

«  Quelles sont les informations sensibles de mon entreprise »

 

Démarche

Vecteurs standards de fuite d’information :
Support amovible, mail, impression papier, internet, ordinateur portable, téléphone portable…

 

Il faut s’attaquer à la fois à l’ensemble des vecteurs de fuite d’information (démarche cohérente) et en particulier empêcher que les informations les plus sensibles ne soient pas divulguées (démarche pragmatique).

Cette démarche cohérente et pragmatique passe par les étapes suivantes  :

• Identifier l’ensemble des vecteurs de fuite d’information au sein de l’entreprise.

• Lister les mesures techniques à mettre en œuvre sur chacun de ces vecteurs et identifier le planning associé

• Impliquer les différentes directions afin de protéger en particulier les informations qui ont été classifiées comme étant les plus sensibles.

• Sensibiliser les utilisateurs à la démarche et aux outils : Permet à la fois de les impliquer et de dissuader certains comportements.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *