[gull] Données sensibles en entreprise

[Daniel Cordey]

Bonjour,

On 16.06.20 11:59, Grégoire Métral wrote:

> J'ai une demande de ma hiérarchie pour mettre en place un "coffre-fort
> numérique" afin d'y stocker des données sensibles (mots de passe,
> données de carte de crédit ou autre). 

Avant de choisir une solution plutôt qu'une autre, il convient de bien 
cerné le type de données qui sera détenu. Il y a une législation en 
place à ce sujet en Suisse et un très grand nombre de petites 
entreprises ne sont pas au courant de ces lois (LPD) et de ces exigences 
(nul n'est censé ignorer la loi).

https://www.admin.ch/opc/fr/classified-compilation/19920153/index.html#:~:text=Les%20organes%20f%C3%A9d%C3%A9raux%20ne%20sont,il%20existe%20une%20base%20l%C3%A9gale.&text=Des%20donn%C3%A9es%20sensibles%20ou%20des,pr%C3%A9voit%20express%C3%A9ment%2C%20ou%20si%20exceptionnellement%3A&text=a.,-l'accomplissement%20d
https://libguides.graduateinstitute.ch/c.php?g=652466&p=4675641
https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/generalites/protection-des-donnees.html

Il s'agit là seulement de ce qui a trait à la loi sur la protection des 
données.

Vous mentionnez aussi des données de carte de crédit. Là aussi, il 
s'agit d'informations très sensibles car financières et liées à des 
personnes. En général, le stockage de ce genre d'information est 
clairement réglementé par les société émettrices de cartes. Vérifier que 
ces émetteurs n'exigent pas une certification particulière pour le 
stockage de cette information. En cas de vol, si les certifications ne 
sont pas en place et officielles, attendez-vous à ce que ces sociétés se 
retournent contre vous et vous fasse payer l'intégralité des dommages, 
en plus de frais de justice et d'avocats. Si vous avez besoin de faire 
un site marchant, il existe des plateformes qui gèrent les transactions 
de paiement et vous mettent à l'abri de ce genre de situation; en vous 
évitant de devoir stocker ce genre d'information sensible.

> Les données devront être visibles par plusieurs personnes (direction,
> administration). Nous avons à disposition des serveurs GNU/Linux (que
> nous pouvons configurer à notre goût), et les clients qui y auront accès
> sont variés (GNU/Linux, Windows et Mac). 

Le niveau de confidentialité des informations doit être clairement 
défini et documenté (confidential, private, public, etc.). Ensuite, les 
rôles et droits d'accès doivent aussi être maîtrisés. Malheureusement, à 
ce stade, on ne peut plus compter sur les simples droits d'accès de 
fichiers Linux. Il s'agit là de ce que l'on appelle Identity & Access 
Management (IAM). Il faut aussi (normalement) mettre en place des 
systèmes appelés Data Loss Prevention System (DLPS). Ceci est destiné à 
éviter qu'une personne non-autorisée puisse accéder à des données 
sensibles auxquelles elle n'est pas censé avoir accès. Par exemple, 
certains fichiers ou données ne  doivent pas pouvoir être envoyé par 
mail, imprimées, stockées sur une clef USB, etc.

> Je n'ai pas l'impression qu'il faille être paranoïaque:

Détrompez-vous ! L'accès aux données est devenu un véritable business 
qui rapporte de l'argent. C'est l'un des principales activités des 
pirates aujourd'hui; afin de pouvoir les revendre sur internet (# de 
carte de crédit par exemple). Il faut justement se montrer très stricte, 
mais pas besoin de se déguiser en Ninja pour se rendre au bureau non plus.

> un système crypté et des mots de passe pour y
> accéder devraient faire l'affaire.

Plus vraiment. La tendance est au certificats et a l'authentification à 
deux facteurs pour un contrôle d'accès à distance.

On ne peut plus vraiment se contenter d'un simple MDP (il existe de 
nombreux moyens aux pirates pour obtenir ces MDP, les détourner ou 
abuser les serveurs). Les attaques deviennent de plus en plus 
sophistiquées et le moyen le plus utilisé par les pirates est le 
"phishing" pour obtenir des informations personnelles (CERT). De plus, 
vous seriez étonné du pourcentage de gens qui ne respectent pas les 
attitudes et procédures de sécurité minimum. Il n'est pas rare d'avoir 
30% d'utilisateurs qui ouvrent des pièces-jointes ou répondent aux 
sollicitations des pirates par phishing. Il existe des sociétés 
spécialisées dans ce genre de test et il n'existe aucune société dans le 
monde qui soit arrivé à un score de 100% de comportement correcte de la 
part de ses utilisateurs. Ces tests doivent normalement être menés une 
fois par an.

https://blog.knowbe4.com/phishing-remains-the-most-frequent-attack-vector-used-for-initial-access
https://www.zdnet.com/article/ransomware-attacks-weak-passwords-are-now-your-biggest-risk/
https://www.balbix.com/insights/attack-vectors-and-breach-methods/


> J'ai l'expérience de encFS, qui me convient bien, mais la version 1.8
> semble avoir encore des vulnérabilités. Est-ce que vous recommanderiez
> une solution de ce type? Ou un cryptage au niveau fichier? Faire
> attention plutôt au contrôle d'accès?

Il y a une grande différence entre sécurisé son ordinateur 
personnel,avec des données perso dessus, et le faire à l'échelle d'une 
entreprise. Une entreprise détient forcément de multiples données 
personnelles et est donc soumise à la LPD ! C'est donc tout de suite un 
autre monde.

Je n'ai cité que quelques références dans ce mail, mais il est évident 
qu'il existe des milliers d'autres sources d'information sur ce sujet 
sur internet. A vous de faire vos recherches pour savoir ce dont vous 
avez besoin. Une fois que vous aurez clairement identifié ces besoins, 
vous pourrez vous consacrer à la recherche des solutions qui vous 
permettront de les satisfaire.

dc