Speaker #0critique acerbe du monde du travail actuel et du sens profond de nos actions, cette série illustre de façon brillante Merci. L'un des problèmes de cybersécurité les plus complexes à résoudre. La protection contre les fuites des données, ou Data Leakage Prevention en anglais. Effectivement, tout le monde doit accéder à des données pour accomplir son travail. Et contrairement à ce qui se passe dans la série, ces données ont du sens pour les personnes qui les traitent. Mais au-delà de ce sens, elles peuvent aussi avoir une valeur considérable. Or, comme toute chose ayant de l'importance, il est essentiel de les protéger. Protéger les données est une chose, mais empêcher leur fuite. fuite en est une autre. Car, comme nous allons le voir, il est bien souvent impossible d'éviter complètement ces fuites de données. Avant de rentrer dans le vif du sujet, je pense qu'il est nécessaire de faire la distinction entre fuite de données volontaire et involontaire. Mais avant toute chose, il faut définir ce qu'est une donnée importante, susceptible d'avoir de la valeur. Et c'est bien là le premier challenge. Car la valeur d'une donnée peut largement dépendre de celui qui l'exploite. Ce qui peut vous sembler une simple information anecdotique peut être perçu comme une information. capital pour d'autres. C'est là qu'est la première difficulté dans ce défi qu'est la prévention des fuites de données, la classification des données. Car sans cette classification, il est impossible d'adopter la bonne posture en matière de cybersécurité. La nature même de l'information peut être compliquée à déterminer de manière automatique et en plus elle peut changer avec le temps. Par exemple, un communiqué de presse annonçant un changement important concernant une entreprise, qui aura très probablement un effet significatif sur le cours de bourse, sera classé comme confidentiel, voire secret. Alors qu'une fois l'annonce faite, l'information deviendra définitivement publique. Il y a un autre exemple qui a fait couler beaucoup d'encre, l'affaire Strava. Elle illustre parfaitement comment des données apparemment anodines peuvent constituer une véritable fuite d'informations sensibles. En 2018, cette application de suivi sportif a révélé involontairement l'emplacement de bases militaires secrètes et les habitudes des personnalités protégées. Pourquoi s'agit-il d'une fuite de données ? Car des informations qui auraient dû rester confidentielles se sont retrouvées accessibles publiquement, même si personne n'a volontairement divulgué ces secrets. Des gardes du corps et membres de services de sécurité, utilisant innocemment l'application pour suivre leur course à pied, ont ainsi exposé des informations critiques, résidences secrètes, parcours réguliers et déplacements de hauts responsables, dont des chefs d'État. Le problème est que ces données GPS, prises isolément, semblent inoffensives. Un simple trajet de jogging, Qu'y a-t-il de bien confidentiel là-dedans ? Mais en analysant les métadonnées, horaires récurrents, points de départ systématiques, zones d'activité concentrées, il devenait possible de reconstruire des informations hautement sensibles où vivaient les personnes à protéger, leur horaire de déplacement et même d'identifier des lieux sécurisés non répertoriés publiquement. Cette affaire montre la nature insidieuse des fuites de données. Personne n'a divulgué de documents classifiés. Personne n'est trahi de secrets d'État consciemment. Pourtant, par agrégation et corrélation, des données banales sont devenues des renseignements exploitables par des acteurs malveillants. C'est exactement ce qui définit une fuite de données, l'exposition non intentionnelle d'informations qui, même indirectement, compromet la sécurité et la confidentialité. Il en va de même pour les entreprises, où des employés peuvent inconsciemment infiltrer des données sensibles. C'est le cas par exemple des sites de traduction en ligne, qui mécaniquement vont recueillir une partie des informations sur lesquelles travaillent les employés. Imaginez un salarié qui traduit un contrat confidentiel via Google Translate ou Dipple. Ces données transitant par des serveurs externes peuvent être conservées, analysées ou potentiellement compromises. Il en va de même pour des informations qui peuvent être divulguées sur les réseaux sociaux professionnels comme LinkedIn. Cela peut être l'annonce d'une certification dans telle ou telle technologie, révélant ainsi les orientations stratégiques de l'entreprise, la signature d'un contrat avec un fournisseur important, mentionné fièrement sur un profil, peut alerter la concurrence, ou tout simplement les déplacements d'un dirigeant, géolocalisé via ses postes, qui expose son agenda et ses rendez-vous stratégiques. Il en va de même avec le statut des employés. Certains affichent clairement sur leur profil leur volonté de quitter l'entreprise, en activant le mode « Open to work » ou en multipliant les interactions avec les recruteurs. Mais quelle information sera échangée lors d'un entretien d'embauche avec un concurrent ? Quels détails sur les projets en cours, les faiblesses internes ou les stratégies commerciales seront involontairement partagées ? Toutes ces informations, délibérément exposées à l'extérieur sans intention malveillante, peuvent avoir de très grosses conséquences pour l'organisation. Elles permettent à la concurrence de reconstituer la stratégie de l'entreprise. d'anticiper ses mouvements ou même de débaucher ses talents clés au moment opportun. C'est une forme de fuite de données particulièrement difficile à contrôler, car elle relève du comportement humain normal dans un contexte professionnel connecté. Mais au-delà des actes involontaires, il y a aussi les actes parfaitement intentionnels, le cas le plus connu est bien entendu celui d'Edward Snowden, qui a consciemment exsultré des données stratégiques de la NSA. Il y a aussi toutes ces personnes qui, à certaines occasions, souhaitent sortir des informations de l'entreprise, Liste de clients avant de rejoindre un concurrent, documents stratégiques pour démarrer leur propre société, code source développé en interne, ou base de données commerciales contenant des années de prospection. Les méthodes d'exfiltration sont multiples et de plus en plus sophistiquées. Bien évidemment, la solution la plus simple reste d'envoyer ces documents par mail, vers une adresse personnelle. Certains chercheront à couvrir leurs traces en chiffrant les documents avant l'envoi, en utilisant des archives protégées par mot de passe. ou en passant par des services de messagerie comme WhatsApp disponibles sur le web. D'autres, plus astucieux, utiliseront la messagerie instantanée de certains webs professionnels, comme celle de LinkedIn, qui échappe souvent à la surveillance des systèmes de sécurité traditionnels de l'entreprise. Mais il y a aussi tous les services disponibles dans le cloud, qui paradoxalement sont aussi utilisés dans le cadre professionnel légitime. Prenons l'exemple de OneDrive, Google Drive, Dropbox ou WeTransfer. Ces outils sont souvent autorisés, voire encouragé pour le travail collaboratif et le partage de fichiers avec des partenaires externes. Le problème devient alors redoutable. Comment faire pour différencier une connexion légitime dans le cadre professionnel d'une connexion personnelle destinée à exfiltrer des données ? Un employé peut parfaitement uploader des fichiers sensibles sur son compte personnel OneDrive à 14h un mardi et au bon milieu de sa journée de travail. Il peut créer un lien Google Drive partageable et l'envoyer à son adresse personnelle. Il peut même synchroniser progressivement, sur plusieurs semaines, des dossiers entiers sans éveiller la moindre soupçon. Les techniques deviennent encore plus subtiles. Certains utilisent des clés USB camouflées en objets anodins. D'autres prennent simplement des photos de leur écran avec leur smartphone personnel. Une méthode qui échappe totalement au contrôle des systèmes informatiques. Certains emploient même des techniques de stéganographie, dissimulant des données dans des images apparemment innocentes. Et que dire de l'impression massive de documents pour... consultation hors ligne qui sort physiquement de l'entreprise dans un simple sac à dos. La détection est un véritable casse-tête. Comment distinguer un transfert légitime d'une exfiltration malveillante ? Un commercial qui télécharge la base client pour travailler en déplacement fait exactement les mêmes actions qu'un commercial sur les départs qui va emporter ses contacts chez un concurrent. Un développeur qui synchronise du code GitHub pour du télétravail utilise les mêmes outils qu'un développeur qui prépare sa future start-up. C'est là toute la complexité de la prévention des fuites intentionnelles. Les canaux légitimes deviennent des vecteurs d'exfiltration quasi impossibles à détecter, sans une surveillance invasive, qui poserait elles-mêmes des problèmes éthiques, légaux, et de connaissances au sein de l'organisation. On touche ici à l'équilibre délicat entre la sécurité et le respect de la vie privée, entre la protection des actifs et un maintien de climat de confiance avec les employés. Alors comment faire ? Face à la complexité des fuites de données, Il n'existe pas de solution miracle. La protection contre les fuites de données nécessite une approche en couche, combinant technologie, processus et facteurs humains. Explorons les principales solutions possibles avec leurs forces et leurs faiblesses. Les solutions de DLP sur le poste de travail directement. Ce sont des agents logiciels installés sur chaque ordinateur, smartphone ou tablette, surveillant en temps réel les actions des utilisateurs. Ces solutions analysent les fichiers copiés sur USB, les mails envoyés et même les captures d'écran. L'avantage de ces outils, c'est qu'ils peuvent bloquer instantanément une tentative de copie d'un fichier confidentiel sur une clé USB ou l'envoi d'un mail suspect. Ils fonctionnent même hors ligne et suivant les données jusqu'au bout, peu importe où l'utilisateur se trouve. Ils offrent aussi une visibilité complète de ce qu'ont fait réellement les employés avec leurs données sensibles. Le principal problème, c'est la gestion de la complexité. Installer et maintenir des agents sur des milliers de postes, gérer les mises à jour, supporter différents systèmes d'exploitation, etc. C'est un véritable casse-tête opérationnel, sans parler du ressenti des employés qui peuvent se sentir espionnés. ce qui crée une atmosphère de méfiance. Et puis, il y a aussi le fléau des faux positifs. Combien de fois un commercial légitime sera-t-il bloqué avant que l'IT ne désactive certaines règles par frustration ? Enfin, ces solutions consomment des ressources systèmes qui peuvent ralentir les machines. Il existe aussi des solutions au niveau du réseau. Positionnées au point de sortie du réseau de l'entreprise, ces solutions analysent tout le trafic qui en sort et qui en rentre. E-mail, navigation web... transferts de fichiers, messagerie instantanée. Elles inspectent les contenus des communications pour détecter des données sensibles. L'approche est centralisée, donc plus facile à gérer qu'un agent sur chaque poste. Ces solutions offrent une vue d'ensemble des flux de données et peuvent bloquer les transferts suspects avant qu'ils ne quittent l'entreprise. Elles ne dépendent pas de la coopération des appareils individuels et fonctionnent même pour les visiteurs ou sur les réseaux d'invités. En revanche, avec la génération du chiffrement HTTPS, Ces solutions peuvent inspecter le contenu des communications web sans casser le chiffrement, ce qui pose des problèmes de sécurité et de confidentialité. Parfois, il ne sera pas non plus possible de réaliser cette inspection pour des raisons techniques, mais le chiffrement des données peut aussi être une alternative. Le principe est assez simple. Chiffrez les données en repos, sur les disques durs, les serveurs par exemple, et entre aux hits, lors du transfert. Même si les données sont exfiltrées, elles resteront illisibles sans la clé de déchiffrement. C'est une protection robuste et éprouvée. Si des données chiffrées tombent entre de mauvaises mains, elles sont inutilisables. Le chiffrement protège aussi contre les pertes de matériel. Un ordinateur portable volé avec un disque chiffré ne compromet pas les données. Mais le chiffrement ne résout pas tout. Une fois que l'utilisateur légitime a déchiffré les données pour travailler dessus, elles redeviennent vulnérables. Un employé autorisé peut toujours exfiltrer les données déchiffrées. La gestion des clés de chiffrement est complexe et critique. Perdre les clés signifie perdre l'accès aux données. Et le chiffrement peut impacter les performances et compliquer certaines opérations, comme l'indexation ou la recherche de contenu. Les solutions de type CASB, CASB pour Cloud Access Security Broker, sont des passerelles de sécurité qui se placent entre l'utilisateur et les applications cloud, comme Office 365, Google Workplace ou Salesforce. Elles contrôlent qui accède à quoi, détectent les comportements anormaux et appliquent des politiques de sécurité. Parfaitement adaptées au monde moderne du cloud et du SaaS, ces solutions offrent une visibilité sur l'utilisation des applications cloud, y compris ce qu'on appelle le Shadow IT, c'est-à-dire les applications non autorisées. Elles peuvent bloquer les partages externes de fichiers sensibles, détecter les comptes compromis, et peuvent s'adapter aux nouveaux services cloud sans refonte complète de l'infrastructure. Cependant, cela ajoute de la latence aux accès cloud, ce qui peut frustrer les utilisateurs. La configuration des politiques est complexe, trop stricte, Elle bloque le travail légitime, trop permissive, elle laisse passer les fuites. Et elle ne couvre que le cloud. Les applications on-premises ou les transferts hors cloud leur échappent totalement. Sans oublier le coût, souvent proportionnel au nombre d'utilisateurs et d'applications surveillées. Il y a aussi les systèmes d'analyse comportementale, UEBA pour User and Entity Behavior Analytics. Ce sont des systèmes d'intelligence artificielle qui apprennent le comportement normal de chaque employé, puis détectent les anomalies. Par exemple, pourquoi ce comptable télécharge-t-il soudainement des fichiers RH ? Pourquoi ce développeur accède-t-il à des bases clients à 3h du matin ? Ces solutions peuvent détecter des menaces que les règles traditionnelles manqueraient. Elles s'adaptent automatiquement aux évolutions de l'organisation, identifient les menaces internes, les fameux « insider threats » , avant qu'un dommage ne soit fait. Elles détectent aussi les comptes compromis, en repérant les comportements inhabituels. Malheureusement, le taux de faux positifs peut être élevé, surtout au début. Un employé qui change de poste ou de responsabilité peut déclencher des alertes légitimes. Ces systèmes nécessitent une période d'apprentissage et de ressources analytiques pour trier les vraies menaces du bruit. Et il soulève la question éthique, jusqu'où peut-on surveiller le comportement des employés ? Une autre alternative réside dans la surveillance et le monitoring des employés à risque. Cela revient à identifier et à surveiller plus étroitement des employés présentant des signaux faibles, démissions annoncées, conflits avec la hiérarchie, problèmes financiers personnels, ou accès à des données particulièrement sensibles. Le patron continue à se renseigner discrètement sur ses employés. Eh les gars, avec qui je pourrais faire équipe ? pour ne vraiment, mais vraiment, rien prendre. Ou un type qui pique des fournitures de bureaux. Ah, euh... Aziz ? Ah non, pas Aziz. Ah bon ? Christiane ? Ah pas Christiane. Aziz ? Aziz, tu l'as déjà dit ? Oui. C'est Aziz. Je ne sentais pas le vendeur de tapis. Non, ce n'est pas un délit de faciès. Non, c'est trop facile. Non, non, non, non, non. Allez, Ali Baba, retour à Babouchland. Ciao, Aladin ! Non, attendez, on déconne, on déconne. Cela permet de concentrer les ressources de sécurité là où le risque est le plus élevé. Les statistiques montrent que la plupart des fuites intentionnelles surviennent dans les semaines précédentes Merci. ou suivant le départ de l'entreprise. Une surveillance ciblée peut prévenir des dommages majeurs. Et ce type de contrôles sont éthiquement et légalement problématiques. Comment surveiller quelqu'un sans créer un atmosphère toxique ? Quels critères utiliser pour identifier un employé à risque sans tomber dans la discrimination ? Et si cette surveillance est découverte, elle peut détruire la confiance et la réputation de l'entreprise, sans parler de l'implication RGPD et du droit du travail. Mais comme toujours en cybersécurité, La clé du succès réside dans l'équilibre. Trouver le juste milieu entre sécurité et productivité, entre protection et confiance, entre contrôle et autonomie. Une entreprise qui blinde toutes ses données et paralyse ses équipes n'a rien à gagner. A l'inverse, une liberté totale, sans aucun contrôle, est une invitation au fit. Chaque organisation doit donc construire sa propre stratégie DLP en fonction de son secteur d'activité, de sa culture, de ses risques spécifiques et de ses contraintes opérationnelles. Ce qui fonctionne pour une banque ne conviendra pas forcément pour une startup, et vice versa. L'essentiel est de comprendre que la protection contre les fuites de données est un processus continu d'amélioration, pas une solution unique à déployer une fois pour toutes. Ce qui est particulièrement significatif dans la série Severance, c'est que la dissociation des employés va bien au-delà d'une simple mesure de sécurité. En neutralisant complètement la mémoire des employés, en les privant de toute conscience du sens de leur travail, l'human industry, résout radicalement le problème des fuites de données, car il est impossible de divulguer ce dont on ne se souvient pas. Mais cette solution dystopique soulève une question fondamentale. La seule chose que personne ne peut vraiment contrôler, c'est ce que vous pensez. Du moins, c'est ce qu'on pourrait croire, car c'est précisément le thème d'un ouvrage majeur qui traite de ce sujet, 1984, de George Orwell. Dans le roman d'Orwell, le régime totalitaire de Big Brother ne se contente pas de surveiller les actions et les paroles des citoyens, Ils cherchent à contrôler jusqu'à leur pensée, à travers la police de la pensée et le concept de crime par la pensée. L'objectif ultime n'est pas simplement d'empêcher la dissidence, mais de rendre impossible la formation même de pensées subversives. C'est une forme extrême de ségrégation de l'information, poussée jusqu'à sa conclusion logique la plus terrifiante. Et cela pose une question troublante pour notre monde réel. Jusqu'où sommes-nous prêts à aller pour protéger nos données ? La surveillance généralisée ? Le monitoring constant ? Les restrictions techniques ne sont-ils pas, à leur manière, des pas vers cette dystopie où l'humain devient une simple variable de sécurité à contrôler ? C'est probablement la raison pour laquelle éviter et détecter la fuite de données est le challenge le plus dur en matière de sécurité. Dès février 2022, avant même la fin de la diffusion de la première saison, des rumeurs au sujet d'une deuxième saison commençaient à circuler, notamment à la suite de fuites sur le tournage qui devait débuter le 14 mars suivant. L'ironie d'histoire est qu'Apple TV Plus produisait une série dont le concept même repose sur le contrôle absolu de l'information et de la prévention des fuites de données, et n'arrivait pas à empêcher que la dette de tournage et les plans de production ne se retrouvent dans la nature. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Et surtout n'oubliez pas... Pour certains, la cybersécurité étant un enjeu de vie de mort, c'est bien plus sérieux que ça.
