Restez connectés aux idées qui comptent
Recevez nos émissions en avant-première, accédez aux coulisses des débats, et rejoignez les professionnels qui façonnent l’écosystème Cyber, Tech et Défense.
S’inscrire à la newsletter
Flèche violet foncé pointant vers le haut sur un fond blanc.

Derrière chaque arnaque en ligne se cache une fuite de données, et derrière chaque fuite, une mauvaise gestion de la donnée. Lors d'un Angle d'Attaque animé par Yasmine Douadi, Jean-Michel Tavernier, directeur commercial Europe du Sud chez Cyera, revient sur les nouveaux visages de la menace, externe comme interne, et sur les stratégies permettant aux entreprises de reprendre le contrôle sur ce qui est devenu le nouvel or noir : leur donnée.

Jean-Michel Tavernier et Yasmine Douadi / Photo : David Marmier

En cybersécurité, la donnée est souvent abordée en aval. On parle de fuites à répétition aux répercussions toujours plus importantes les unes que les autres. On parle d’amendes attribuées par la CNIL aux organisations qui ont failli à leurs responsabilités en matière de protection des données. Ce qui a tendance à être ignoré, ce sont les solutions qui existent et les stratégies qui peuvent être développées afin de sécuriser ce qui est considéré comme le nouvel « or noir ».

La protection des données n’est pas un enjeu récent mais elle a gagné en visibilité au cours des dernières années, notamment avec la hausse des fuites de données en France et, en parallèle, l’adoption de réglementations à l’échelle européenne afin de limiter de potentielles attaques. Jean-Michel Tavernier revient sur cette difficile prise de conscience, ainsi que l’évolution du panorama des menaces, avant d’expliquer comment des entreprises comme Cyera accompagnent les organisations pour mieux gérer leurs données.

Une prise de conscience graduelle mais réelle

Malgré une visibilité accrue des problématiques liées à une mauvaise gestion des données, les organisations peinent encore à saisir l’ampleur du problème et des implications qu’il peut engendrer. « Certaines sociétés, quand je leur parle de protéger leurs données, explique Jean-Michel Tavernier, disent qu’elles s’en moquent parce que “tout est public”. Mais après quand on commence à creuser un peu plus, on s’aperçoit qu’elles avaient forcément des fiches de paye, des numéros de passeport, des contrats avec telle ou telle société, des données militaires, etc. Et ces données ne peuvent pas sortir vers l’extérieur ». Une prise de conscience opère néanmoins depuis plusieurs années, notamment en réaction aux nombreuses fuites de données qui servent d’électrochocs pour les organisations, qu’elles aient été directement ou indirectement touchées. 

À lire aussi : SASE et IA en entreprise : pourquoi voir le trafic est la condition pour le contrôler

Cette prise de conscience et l’investissement qui s’ensuit en matière de protection des données découlent également des réglementations introduites au cours des dernières années par l’Union européenne. « Jusqu’à récemment, décrit Jean-Michel Tavernier, la réglementation, c’était des cases à cocher. Les sociétés embauchaient plusieurs personnes, voire plusieurs centaines de personnes pour répondre à la réglementation de tous les pays, surtout si les personnes travaillaient au niveau international. Il fallait cocher des cases, fournir des rapports, etc. Aujourd’hui, avec l’IA et avec les nouvelles méthodes de travail, on vous demande de prouver. On vous demande vraiment de prouver que vous êtes RGDP, on vous demande de prouver que vous êtes DORA, que vous êtes NIS2, etc. Donc c’est à vous de soit utiliser une société externe qui va faire un audit, mais un véritable audit, soit vous prenez un logiciel qui va permettre de vérifier que vous êtes vraiment conformes et vous donnez la preuve par rapport à ce logiciel au niveau de la conformité. Donc aujourd’hui, on est passés d’une période où on avait coché toutes les cases à une période où il faut démontrer que les cases que j’ai cochées, c’est vraiment la réalité ». La prise de conscience autour des enjeux liés à la protection des données est donc graduelle mais réelle.

Under threat toujours plus présente

Le panorama de la menace a également évolué, notamment avec une diversification de l’origine des failles. Comme l’explique Jean-Michel Tavernier, les fuites ont longtemps été l’œuvre d’acteurs extérieurs. « Le dernier cas en date, se remémore-t-il, c’était un directeur général qui s’apercevait qu’il y avait des fuites de données parce qu’il avait annoncé qu’il arrêtait de travailler avec la Russie suite à la guerre, donc ça remonte il y à quelques temps. Et il s’est aperçu que quelqu’un s’était aperçu qu’il y avait toujours quelques usines en Russie qui n’avaient pas encore fermé, qu’ils n’avaient pas eu le temps. Et une personne malveillante a donné ces informations aux journalistes en disant “regardez, il a menti” ».

Jean-Michel Tavernier / Photo : David Marmier

Les fuites viennent donc historiquement de l’extérieur, mais elles viennent aussi et de plus en plus de l'intérieur. C’est ce qu’on appelle l’insider threat, ou « menace interne ». Jean-Michel Tavernier évoque un cas client que son entreprise a eu récemment : « ils avaient licencié quelques prestataires externes, ils avaient arrêté les contrats, on va dire, de quelques prestataires externes, et la personne a fait Ctrl-Alt-Del sur tout le serveur avant de partir. Il n’y avait pas de solution de protection de la donnée ni de cartographie de la donnée, donc ils ont perdu vingt-quatre heures de travail parce qu’ils avaient le backup de la veille qu’ils ont remis le lendemain. Le seul problème, c’est que pendant ces vingt-quatre heures, c’était une nouvelle collection et il y avait 150 personnes qui avaient travaillé dessus pendant une journée. Donc vous perdez une journée de travail à 150 personnes, plus une journée le lendemain à refaire ce qui avait été fait. Donc vous perdez 500 000-600 000 €, tout ça pour un simple Ctrl-Alt-Del malveillant ».

Bien que le mécontentement soit la première motivation envisagée de le cas d’une insider threat, les motivations peuvent varier selon les cas. L’employé peut agir de manière volontaire en faisant l’objet de pressions ou d’une rémunération, mais il peut aussi être conscient du rôle qui joue. Les mauvaises pratiques et le manque d’hygiène numérique peuvent en effet être exploités par l’attaquant pour accéder au réseau, sans même que l’employé visé n’en soit conscient.

Alors que les fuites venant de l’extérieur représentaient auparavant une écrasante majorité des cas, la tendance a évolué : « par mon retour d’expérience, estime Jean-Michel Tavernier, je ne dirais pas que c’est 50-50, mais on s’en approche malheureusement ».

Une priorisation des atouts plutôt qu’une défense semi-hermétique

La gestion des données repose sur un constat clair : la sécurité absolue est une illusion. Tout ce que les organisations peuvent faire, c’est anticiper le risque et se préparer au maximum en sécurisant ce qui compte pour elles. Selon Jean-Michel Tavernier, « aujourd’hui, le problème n’est pas de savoir si vous allez vous faire attaquer, c’est plus ou moins quand. Et donc quand vous vous faites attaquer, il faut essayer de contrôler au maximum ce que va faire le hacker, ou essayer de contrôler au maximum là où il va rentrer dans vos données et ce qu’il va exfiltrer ». Il s’agit donc de classifier et cartographier l’ensemble des données de l’organisation afin d’obtenir une vue d’ensemble et éviter les mauvaises surprises. Comme le résume Yasmine Douadi, PDG et cofondatrice de Riskintel Media, « le pire, c’est d’ignorer ce qu’on ignore ».

À lire aussi : « On ne sait pas ce qui se passe entre Paris et Brest » : pourquoi la visibilité réseau devient le nouveau défi de la cybersécurité

La classification de la donnée est une étape primordiale. Sans elle, impossible de connaître sa donnée et d’utiliser à bon escient des outils de cybersécurité. « Un client veut mettre en place une solution DLP (data loss prevention, ou “protection contre la perte de données”), très bien, reconnaît Jean-Michel Tavernier, c’est nécessaire, mais si derrière, vous ne connaissez pas la donnée que vous avez, ça ne sert strictement à rien. Vous prenez un SOC, par exemple, vous avez au niveau de la donnée avec les solutions actuelles, 98% de faux positifs, donc c’est à vous de trier, à vous de faire le point et à vous de vérifier (uniquement au niveau de la data, pas au niveau du SOC en général). C’est à vous de comprendre exactement quelle est la problématique ».

La classification de la donnée ne représente cependant qu’une étape au sein d’un processus bien plus complexe. « Une fois qu’on a classifié la donnée, Jean-Michel Tavernier explique, une fois qu’on sait si cette donnée est très importante pour la société par rapport au contexte, on va s’interconnecter avec les logiciels du marché. On a passé des accords avec Abnormal, par exemple, pour tout ce qui est email. On a passé des accords avec Cohesity, on a passé des accords avec Saviynt pour tout ce qui est identité et access management. Et on va leur dire : “cette donnée-là ne peut pas être attachée à un email, cette donnée-là ne peut pas être exfiltrée, celle-là il n’y a aucun souci, allez-y, etc.” Donc on va vraiment donner toute l’information, on a à peu près une centaine de sociétés partenaires avec lesquelles on travaille pour justement gérer cette partie de donnée attachée ou pas attachée à un fichier, ou lue ou pas lue par un nombre de personnes ».

À lire aussi : Fuites de données : quand le cybercrime alimente le crime organisé

L’IA, comme pour n’importe quel sous-domaine de la cybersécurité, est à double tranchant en matière de protection de données. Elle peut permettre une meilleure cartographie et identification des vulnérabilités, autant pour l'attaquant que pour le défenseur. En l’absence d’un cadre de gouvernance régissant son usage au sein des organisations, l’IA peut également permettre aux employés d’accéder à des informations potentiellement confidentielles (par exemple, des fiches de paye, un futur plan de licenciement, etc.). Ce risque souligne à nouveau l’importance de la classification des données afin de déterminer celles qui peuvent être utilisées par l’IA. Selon Jean-Michel Tavernier, « si vous avez une gestion parfaite, et tout ça grâce à l’IA, au niveau de la donnée, vous êtes capables soit de bloquer l’extraction de données si vous avez intégré avec les partenaires, soit de savoir exactement quelles données ont été infiltrées. Si c’est des petites données, ce n’est pas gênant, on mettra à jour les accès. Si c’est des données très importantes, il faut absolument corriger ça et mettre le DLP au bon endroit ou avoir le bon produit par rapport à cette donnée ».

Jean-Michel Tavernier / Photo : David Marmier

La cybersécurité demeure un centre de coûts indéniable, mais elle constitue une assurance non-négligeable pour les sociétés et leurs clients. Les budgets vont bien entendu dépendre des priorités des organisations et de la manière dont ils perçoivent le risque. Comme l’affirme Jean-Michel Tavernier, « la cybersécurité n’est pas une chance ou une malchance, c’est une question de moyens par rapport à vos enjeux et par rapport à votre métier ». Il le rappelle : il n’existe pas de solution miracle pour protéger les données d’une organisation : il faut investir dans un ensemble d’outillage afin de créer un écosystème sécurisé et sécurisant qui ne fait pas disparaître le risque mais qui le limite considérablement.

Lili-Rose Tardot
Journaliste RISKINTEL MEDIA