PRISM : Au delà du Scandale !

Dans mon dernier billet je vous parlais du « scandale » actuel occasionné par la publication de documents classés « top secret » de la NSA par un ancien employé de son sous traitant Booz Allen Hamilton dénommé Edouard Snowden. Actuellement toujours dans sa quête d’un asile politique et du moyens de jouir de l’asile qui lui est proposé en Amérique Latine, son sort reste pour le moins incertain. [1]

Loin du débat autour des raisons et frontières de l’espionnage électronique (qui n’est qu’un pan du phénomène), loin de la polémique autour de la méthode utilisée par Snowden pour divulguer l’information, loin des récupérations politiques et du tapage médiatique occasionnés par ce dossier, quelques détails semblent tout de même assez instructifs et révélateurs : le « comment » de l’exfiltration de ces données normalement gardées sous haute surveillance (électronique et physique) !

Dans le principe général de sécurité périmétrique on a plus tendance à traiter tout ce qui est hors du réseau comme élément (potentiellement) « hostile » tandis que ceux à l’intérieur jouissent facilement de plus de privilèges et d’une certaine relation confiance. Mais voilà que faire lorsque le mal se trouve plutôt à l’intérieur ?! Ce phénomène est représenté par l’appellation, en anglais,  « Insider Threat » !

Le scandale occasionné par les révélations sur l’affaire PRISM est un cas pratique d’Insider Threat. Les mesures de sécurité de nos entreprises prennent-elles suffisamment en compte la protection contre les menaces (fraude, malversation, déstabilisation,…) internes ?! Quels sont les mécanismes qui sont mis en œuvre pour prévenir, détecter et limiter leur impact ?!

Dans le même ordre d’idée la gestion des utilisateurs avec privilèges élevés pose aussi problème ; Comment s’assurer qu’un utilisateur, avec ses droits d’accès élevés, à l’exemple des Administrateurs systèmes et réseaux, n’est pas entrain d’en profiter pour bypasser certaines mesures de sécurité et mettre la main sur des données hautement sensibles tant pour l’entreprise que pour ses partenaires et même de l’Etat, comme ce fut le cas ? Et que dire de tous ces Patrons, chefs d’entreprises et autres Managers (pas toujours réputés pour savoir protéger les identifiants) qui ont généralement (du moins dans la plupart des PME) un accès total à TOUT dans l’entreprise que ce soit technique, financier ou managérial, au cas où leur credentials seraient compromis (et rassurez vous, ça arrive bien des fois ) à l’exemple de Snowden qui a cloné les accès d’une personne hiérarchiquement mieux placée pour avoir accès à ces informations, que faire face à ce type de situation ?! [2]

C’est dans ce genre de scénario qu’interviennent les solutions de gestion d’identité et d’accès (IAM = Identity and Access Management). Grosso-modo, elles permettent de gérer qui a droit à quoi ainsi que les limites d’usage de ce droit. Ce serait bien naïf de penser qu’une boite du calibre de la NSA ne possède pas de solution d’IAM. Toutefois, leur Système Informatique bien qu’étant bien outillé, hautement sécurisé et tout a quand même permis à un individu d’accéder, à plusieurs reprises, sans attirer l’attention de personne, à certains dossiers très sensibles, sous la cape d’une autre personne (ID Theft. Il a certes utilisé les accès d’un utilisateur avec privilège mais n’empêche que l’accès à toute donnée plus ou moins sensible dans un Système d’Information qui se respecte doit TOUJOURS être journalisé et les logs sauvegardés de façon non altérable. [3]

C’est assez curieux qu’une agence dont l’une des missions principales est de TOUT collecter sur TOUT pour ensuite analyser n’ait pas appliqué la même formule pour ses affaires internes, pas assez en tout cas. Il y’a quelque temps le Général Keith Alexander, patron de la NSA, à l’issu de ce scandale à annoncé qu’ils allaient mettre sur pieds un nouveau procédé nécessitant la combinaison de deux personnes (au lieu d’un seul comme c’est le cas actuellement) afin d’avoir accès à des données critiques. Comme l’ont relevé plusieurs Experts du domaine, c’est peux être bien (mieux que rien en tout cas) dans un début mais que faire en cas de complicité des deux ou de menaces (chantage et autres) du second membre du binôme ? D’où la nécessité de trouver une solution pérenne pour ce genre de problématique.

A mon avis, quelque soit la solution, elle devra prendre en compte le fait de déjà limiter le nombre d’intervenants potentiels car moins il y’a de personnes pouvant avoir accès plus le risque de fuite est réduit. A notre tour, dans nos entreprises quelles sont les personnes pouvant avoir accès aux informations sensibles ?! De quel type de privilège d’accès jouissent ces personnes ?! Pouvons nous avec exactitude savoir qui à eu accès à quoi ? quand ? depuis où ? et quel type d’accès (copy, ecriture, modification, suppression, …) est ce que la personne à eu ? Quid des dispositifs de DLP (Data Leak Prevention) ? Avons nous des moyens de monitorer toute l’activité de nos utilisateur (ou du moins celle en relation avec les données sensibles) ? Pareil pour les logs de nos applications, sont-ils eux aussi archivés et analysés ?

Quelques piste qui réduiront considérablement les risques de fuite de données interne :

  • Identifier les données sensibles ainsi que leur(s) emplacement(s)
  • Elaborer les process : c’est à dire définir qui à droit à quoi, quand et depuis quel Poste / Segment du réseau / Type de connexion / Adresse / ..
  • Implémenter une solution d’Identity and Access Management permettant d’appliquer les workflows de l’entreprise (tel que défini dans le précédent point) et une gestion plus flexibles des droits et accès.
  • Journaliser, Monitorer et Analyser (Applicatifs, Systèmes, Réseaux,…): cette étape est doublement utile, premièrement dans la détection d’un incident éventuel, et deuxièmement en cas d’enquête ou de reconstitution des faits. [4]

Nul besoin de préciser ici qu’avoir un personnel compétent et régulièrement recyclé est de rigueur. Soyons clair, ceci ne nous mettra pas à 100 % à l’abri des risques de fuite de données, mais nous épargnera d’un quantité considérable de risques potentiels ; car rappelons-le une fois de plus, la Sécurité des Systèmes d’Informations, loin d’être un produit en soi, est avant tout une démarche marquée par plusieurs jalons.

Valdes T. Nzalli

Liens utiles :

[1] Je m’appelle Edouard Snowden, j’ai voulu un monde juste !
[2] Insider Threat Sheet (PDF)
[3] Network Security Fundamentals: Monitor Everything
[4] Six tips for building a successful SIEM strategy

About these ads

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s