Le risque informationnel en question

Cela ne fait plus de doute, l’information d’entreprise est une richesse. À l’instar d’un gestionnaire de comptes bancaires, l’entreprise doit pouvoir mesurer l’étendue de sa richesse informationnelle, la gérer en bon père de famille, l’exploiter judicieusement et en contrôler les entrées et les sorties. Si la gestion financière est un exercice de haut vol, elle est sans commune mesure avec la gestion de l’information, dont le caractère protéiforme, dans sa nature comme ses modalités de création et d’usage, en fait un domaine délicat à manipuler.
Les récentes réglementations européennes sur la protection des données personnelles ont eu l’avantage de remettre sur le devant de la scène l’exigence de sécurité et de plus de contrôle de l’exploitation que l’entreprise fait de ces données. Elles invitent en outre à mieux intégrer les process et à chasser les silos existants. C’est une bonne chose pour l’ensemble du patrimoine informationnel, car il existe une part importante de l’information d’entreprise qui mérite au moins autant de protection et de contrôle que les données personnelles des individus.

Certes, le risque informationnel n’est pas une nouveauté. Les entreprises disposent déjà de processus et de règles internes destinés à organiser la disponibilité de l’information et à en assurer l’intégrité et la confidentialité. De là à affirmer que chaque document possède bien les attributs de confidentialité adéquats, est précisément localisé et relève de contraintes de diffusion adaptées, c’est un pas que beaucoup ne franchiraient pas.

Réflexion globale et extension ad hoc

C’est une situation d’autant plus répétée que la consommation de nouveaux outils de stockage s’est largement démocratisée, multipliant d’autant les localisations et copies de la donnée. Les entreprises doivent pouvoir contrôler leurs informations dans des environnements qu’elles maîtrisent également moins bien. C’est pourquoi, si ce n’est déjà le cas, la problématique de l’extension de sa politique DLP (Data Loss Prevention) au Cloud sera rapidement un enjeu majeur.

Or, la tendance de ces dernières années est à la consommation de solutions très diverses, chacune offrant sa propre méthode de protection, à divers degrés. L’entreprise jongle alors avec une solution de filtrage pour la messagerie, une solution pour le stockage, une autre pour le poste de travail, plusieurs solutions réseaux, auxquelles s’ajoute une solution spécifique au Cloud adopté. Soit un environnement composé d’une multitude d’outils adressant des problématiques similaires comme l’identification et la fuite d’information sans interaction entre eux et nécessitant une réécriture démultipliée des politiques.

Devoir établir autant de politiques de contrôles qu’il existe de points d’intégration est intenable, pèche par la confusion que cela induit et alimente le risque d’un mauvais usage de la donnée. L’objectif est bien de définir et d’atteindre une politique unique de reconnaissance de l’information, de définition des règles d’utilisation et de stockage et de l’appliquer sur l’ensemble des canaux, traditionnels d’une part, et grâce aux API, pour le Cloud, d’autre part.

La réflexion doit être globale parce qu’une information est destinée à être traitée, exploitée et corrélée. Elle sera par nature transmise et échangée, par des collaborateurs qui n’entendent pas figer dans le temps et l’espace les données qu’ils créent.

Redonner la maîtrise de l’information à ceux qui la génèrent

En autres difficultés, s’ajoute ainsi une certaine déresponsabilisation de fait du collaborateur, dont le rôle vis-à-vis de l’information qu’il conçoit n’est pas assez revendiqué dans l’entreprise.

Sur ce point, deux écoles s’affrontent classiquement. D’un côté, les défenseurs d’un rôle majeur donné à l’utilisateur considèrent que lui seul est en mesure de déterminer avec subtilité la criticité d’une information. De l’autre, ses opposants rappellent que l’humain est et restera le maillon faible de la chaîne sécuritaire et qu’il faut lui préférer l’automatisation. Il est entendu qu’il ne s’agit pas de choisir l’une ou l’autre position, ce qui serait absurde.

Les deux approches sont très complémentaires et offrent l’avantage de réintroduire le rôle des collaborateurs dans la politique de protection du patrimoine informationnel de l’entreprise. Si la détermination des règles et de la matrice de classification reste du ressort de la direction générale, le marquage est entre les mains du détenteur de l’information. L’analyse humaine, quoi que l’on en dise, diminue les risques de faux positif inhérents à l’automatisation, tout particulièrement dans les cas de données non structurées. L’automatisation, de son côté, enrichie d’intelligence artificielle, saura retrouver les informations similaires et leur étendre le marquage ad hoc, grâce aux modèles d’information engendrés. C’est notamment indispensable pour toute la donnée produite dans le passé, sur laquelle on saura revenir de manière mécanique.

Il y a donc tout lieu d’opter pour un système de tag facile à utiliser et intuitif, à disposition du personnel, car la classification est à la base d’une politique de diffusion adaptée. C’est aux niveaux de confidentialité fixés que pourront se greffer l’ensemble des politiques de contrôle, de diffusion de l’information comme de révocation des droits d’accès.

Protection Vs accès et usages autorisés

Une information protégée n’est pas nécessairement une information cadenassée. Il ne faut jamais perdre de vue ses objectifs business, les missions de ses collaborateurs et les raisons pour lesquelles l’information est créée. C’est d’autant plus vrai dans les entreprises ayant opté pour le Cloud, dont la raison d’être est le partage de l’information.

Classification et contrôle ont donc pour objectif de veiller à ce qu’un fichier soit stocké là où il doit l’être, qu’il ne soit pas envoyé par messagerie à un interlocuteur externe non autorisé ou encore qu’il ne soit pas posté sur un espace de stockage tiers, notamment grand public. Au demeurant, la réponse ne serait pas complète si du fait d’une trop stricte confidentialité, un fichier client par exemple ne pourrait être transmis à un fournisseur pour des raisons légitimes.

De ce fait, le chiffrement de l’information a connu bien des évolutions, ceci en lien direct avec l’adoption du Cloud. Aujourd’hui les mécanismes de chiffrement permettent de travailler avec ses partenaires identifiés sur des documents confidentiels en acceptant la preuve de leur identité. Au-delà, le chiffrement donne à l’entreprise toute la visibilité nécessaire sur son information, du nombre de fois où le document a été consulté et par qui, à la révocation des droits.

Par Charles Gengembre, Responsable BU Sécurité & Réseaux - ‎SCC France