Close
  • Français
  • English

08/09/2015La sécurité des VIP : un défi pour les RSSI [par Guillaume Tissier, CEIS]

La sécurité des données des VIP représente un véritable défi pour les RSSI et experts sécurité en entreprise. Les VIP sont en effet particulièrement exposés du fait de leurs fonctions et de la concentration d’informations stratégiques qu’ils possèdent  et en même temps très vulnérables en raison des exceptions de sécurité qu’on leur accorde afin de satisfaire leurs exigences de mobilité, de productivité et de réactivité.

Quels besoins de sécurité ?

Les besoins et cas d’usage sont nombreux. Il s’agit tout d’abord de besoins récurrents (par exemple la sécurisation des échanges téléphoniques ou mail avec les principaux collaborateurs de l’entreprise) mais également ponctuels (projet sensible de type fusion-acquisition, conseil d’administration ou réunion de direction).

Dans ces différents cas de figure, l’enjeu sera de créer une sorte de bulle de sécurité ponctuelle ou permanente, interne et/ou externe, autour des « C-levels » et des partenaires clés de l’entreprise avec le souci permanent de concilier sécurité et productivité.

Parmi les besoins fréquemment recensés, on peut notamment identifier :

– La traçabilité et l’intégrité des documents ;
– La sécurisation des échanges email (intégrité et confidentialité) ;
– Le partage sécurisé de documents (intégrité et confidentialité) ;
– La surveillance des boites email ;
– L’authentification de la signature électronique et de son utilisation dans de cadre de la dématérialisation des processus contractuels;
– La sécurisation des échanges téléphoniques ;
– La sécurité des supports mobile ;
– La sécurité des réunions.

Quelles fonctionnalités ?

Pour répondre à ces besoins, plusieurs types de fonctionnalités peuvent être identifiés :

– Watermarking / tatouage numérique (ou filigrane numérique). Cette fonctionnalité permet d’ajouter des informations dans un fichier à des fins de traçabilité, de protection des copyrights, de vérification de l’intégrité. L’affichage peut être statique ou dynamique (par exemple affichage de l’utilisateur courant pour dissuader l’utilisateur de rediffuser un document sensible portant son nom). Ce marquage peut enfin être visible ou invisible (il s’agira dans ce cas au plan technique de stéganographie). Les solutions proposant des fonctionnalités de ce type viennent principalement soit du monde des médias  qui l’utilise pour protéger les copyrights soit de la finance pour le traçage des documents contractuels.
– Security Dataroom. L’objectif de cette fonctionnalité est de partager des documents (soit dans une infrastructure interne, soit dans une infrastructure externe) au sein d’une communauté en proposant diverses fonctionnalités de travail collaboratif (workflow, gestion des modifications…) en y incluant des fonctions de sécurité (gestion des droits, traçabilité, watermarking…). Les solutions logicielles  associées sont en général issues du monde de la finance car elles permettent de dématérialiser les processus de dataroom lors des opérations de fusion-acquisition.
– Sécurisation des équipements mobiles (mobile device management). L’objectif est de gérer la sécurité des flottes de terminaux maitrisés mais également souvent non maitrisés (BYOD ou Bring Your Own Device), via des fonctionnalités de sauvegarde, de mise à disposition de bibliothèques d’application, de mise à jour des terminaux, de monitoring, de prise de contrôle à distance etc.
– Chiffrement. Il peut s’agir de chiffrement des données résidentes sur un équipement ou support numérique (mobile, fixe, clé USB, disque…), des données échangées par mail ou bien encore des communications téléphoniques.
– Surveillance de boite email. Le dirigeant peut vouloir s’assurer de la non-consultation de sa boîte email tant en interne qu’en externe en mettant en place un dispositif de surveillance discret autour de sa boîte.
– Brouillage. L’objectif est de brouiller de façon temporaire et localisée (attention au cadre juridique) les communications pour assurer la confidentialité de discussions très sensibles. Les moyens utilisés sont dans ce cas des moyens électroniques et non informatiques.

Pour être utilisées par les VIP, ces fonctionnalités (à l’exception du brouillage) devront être les plus transparentes et ergonomiques possibles. Cette spécificité fait que  les solutions mises en œuvre  ne seront donc pas forcément des solutions de sécurité à proprement parler mais parfois des solutions plus globales apportant la fonctionnalité « métier » et  intégrant de façon native certaines fonctionnalités de sécurité.

Quelles solutions au plan applicatif ?

Au plan applicatif, plusieurs solutions de datarooms virtuelles proposent tout ou partie de ces fonctionnalités.

OOdrive (France) propose par exemple ses solutions IExtranet, Dilroom (pour partager des informations sensibles dans le cadre d’opérations de fusion-acquisition ou de procédures collectives) ou BoardNox[1] pour faciliter l’organisation de réunions de direction, de conseils d’administration ou de surveillance. BoardNox gère ainsi tout le cycle de vie de la réunion depuis l’envoi des invitations, la consultation des documents préparatoires jusqu’à la diffusion du compte rendu. Point important : ces différents produits fonctionnent sur tablette et smartphone et intègrent un module de sécurité dédié aux applications mobiles (chiffrement des données stockées, effacement des données à distance…). Oodrive propose par ailleurs en option un boîtier HSM (Hardware Security Module) permettant de générer, stocker et protéger les clés cryptographiques, ce qui garantit qu’aucune administration n’aura la possibilité technique de récupérer les clés de chiffrement sans leur accord et leur autorisation.

Autre solution dédiée à la productivité des réunions de dirigeants : MeetX de Boardvantage[2] (Etats-Unis), qui intègre notamment un modèle de validation et de signature et fonctionne aussi sur tablette.

oodrive

Source : http://www.oodrive.com/fr/solutions-de-partage-de-fichiers-en-ligne/boardnox/show

Les fonctionnalités de marquage ou de tatouage permettant d’assurer la traçabilité des documents sont aujourd’hui moins répandues pour les documents textes que pour les contenus multimédias. On les retrouve pour le moment principalement dans les solutions d’Intralinks[3] (Etats-Unis) ou de RRDonnelley (Etats-Unis). Intralinks propose notamment Intralinks Dealspace pour gérer les échanges documentaires dans le cadre de fusion-acquisition, Intralinks Dealspace pour gérer les échanges documentaires « beyond the firewall ». L’entreprise a d’ailleurs racheté la start-up française Doctrackr en 2014, ce qui lui permet aujourd’hui d’offrir la solution « IRM by design » (information right management) qui associe chiffrement et traçabilité. Chaque document possède une clé de chiffrement unique. La solution offre ensuite la possibilité de gérer les droits de façon très fine pour chaque utilisateur. RRDonnellley propose de son côté Venue[4], une solution dédiée au secteur financier qui permet notamment d’intégrer dans les documents PDF consultés un filigrane comportant l’identité de l’utilisateur courant et l’heure d’accès, ce qui dissuade l’utilisateur d’imprimer et de rediffuser le document.

La surveillance des boîtes mail des VIP est un autre besoin souvent émis, principalement par les intéressés eux-mêmes. On trouve sur ce créneau la solution Idecsi Access Analyser développée par Idecsi[5] (France). L’objectif est de surveiller en permanence les boîtes mail des dirigeants, d’analyser leurs comportements grâce à des technologies d’analyse sophistiquées, de détecter et stopper les événements anormaux.

Quelles solutions  sur le plan des infrastructures pour les mobiles ?

Au plan infrastructurel, il est indispensable de mettre en place une bonne solution de Mobile Device Management (MDM) pour gérer la flotte de terminaux mobiles (tablettes et smartphone). D’autant que la plupart des applications demandées en mode SaaS comprennent maintenant une version tablette, notamment pour permettre aux dirigeants d’accéder aux tableaux de bord émis par les CRM, ERP et autres progiciels. Quelques exemples de solutions MDM : Good Technology, Airwatch, CheckPoint, MobileIron, Symantec.

Ces solutions assureront ainsi la sécurité des échanges de données vers les terminaux mobile et des terminaux eux-mêmes[6]. En revanche, elles n’assureront en général pas le chiffrement de la voix qui nécessitera l’utilisation de terminaux spécialisés. Plusieurs solutions (soit logicielles, soit matérielles et logicielles) sont aujourd’hui disponibles sur le marché :

– Teopad (Thales)[7]. Solution logicielle fonctionnant sur les terminaux Android. Elle se présente sous la forme d’un bureau professionnel contenant les applications sécurisées contenues sur le téléphone. Elle permet de chiffrer les données mais également la voix.
– Hoox (Bull Atos)[8]. Solution matérielle et logicielle basée sur Android. Elle assure le chiffrement bout en bout des sms, de la voix, des mails et des données via un composant matériel. L’entreprise peut garder la maitrise totale et gère elle-même sa flotte grâce à une fonction MDM disponible avec la solution. La solution utilise la technologie Cyptosmart d’Ercom qui est certifiée EAL5+ pour la partie cartes à puce et qui est notamment déployée dans les administrations françaises.
– Uhuru mobile de Nov’ITsécurité[9]. Cette solution basée sur Android assure le chiffrement des données, des conversations, des SMS ainsi que la protection contre les codes malveillants. Elle propose en outre un contrôle des applications proposées et un management centralisé via une console MDM. La solution est issue des travaux cofinancés par le FSN dans le cadre du projet d’antivirus DAVFI.
– BlackPhone 2 de Silent Circle[10]. Dévoilé en août 2015 lors du Mobile World Congress 2015, cet appareil fonctionne avec SilentOS, un Android modifié et sécurisé. Contrairement aux précédents terminaux, celui-ci cible cette fois les entreprises et permet des appels sécurisés de bout en bout avec le protocole ZRTP.

Conclusions

L’hyper connexion des dirigeants impose donc  aujourd’hui une prise en compte spécifique de leurs besoins de sécurité, à la fois grâce à des applications de sécurité dédiée ou à l’intégration de fonctionnalités spécifiques dans des solutions génériques et par la mise  en place d’un socle d’infrastructure pour leurs mobiles.

 

Références:

[1] http://www.oodrive.com/fr/solutions-de-partage-de-fichiers-en-ligne/boardnox/show

[2] http://www.boardvantage.com/

[3] https://www.intralinks.com/

[4] http://www.rrdonnelley.com/venue/

[5] http://www.idecsi.com/en/

[6] Elles proposeront en outre un « store » permettant de mettre à disposition des utilisateurs des applications qui auront été vérifiées. Voir à ce propos les solutions d’analyse développées par Pradeo (http://pradeo.net/fr-FR/), lauréat du prix de la PME innovante au FIC 2015.

[7] https://www.thalesgroup.com/fr/teopad-solution-de-securite-pour-smartphones-et-tablettes

[8] http://www.bull.com/fr/hoox

[9] https://www.uhuru-mobile.com/

[10] https://silentcircle.com/products-and-solutions/devices/