White Paper : Protection des données personnelles et professionnelles                                                     ...
White Paper : Protection des données personnelles et professionnellesProtection des données personnelles et professionnell...
White Paper : Protection des données personnelles et professionnelles    Introduction :    Depuis quelques années, les ent...
White Paper : Protection des données personnelles et professionnellesLes menaces qui visent les données prennent de nombre...
White Paper : Protection des données personnelles et professionnelles    Le problème des frontières    Une partie fondamen...
White Paper : Protection des données personnelles et professionnellesLes entreprises doivent prendre en compte le cycle de...
White Paper : Protection des données personnelles et professionnellesConclusion : ne soyez pas le maillon faibleAssurer la...
White Paper : Protection des données personnelles et professionnelles    Bureaux    EUROPE    SIEGE                       ...
A propos de Symantec.cloudPlus de 55 000 entreprises dans une centaine de pays,des PME aux grandes entreprises répertoriée...
Comment protéger les données d’entreprise ?
Comment protéger les données d’entreprise ?
Prochain SlideShare
Chargement dans…5
×

Comment protéger les données d’entreprise ?

1 633 vues

Publié le

Fuite ou vol d’information : pas une semaine sans qu’une divulgation volontaire ou involontaire d’informations confidentielles fasse la une des journaux. Quelles sont les questions à vous poser quant à la protection des données de votre entreprise tout au long de leur cycle de vie ?

Publié dans : Technologie
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 633
Sur SlideShare
0
Issues des intégrations
0
Intégrations
77
Actions
Partages
0
Téléchargements
23
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Comment protéger les données d’entreprise ?

  1. 1. White Paper : Protection des données personnelles et professionnelles Protection des données personnelles et professionnelles Un enjeu financier majeur
  2. 2. White Paper : Protection des données personnelles et professionnellesProtection des données personnelles et professionnelles Sommaire Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Perte de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Pratiques dexcellence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Le problème de frontières. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Conclusion : ne soyez pas le maillon faible. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
  3. 3. White Paper : Protection des données personnelles et professionnelles Introduction : Depuis quelques années, les entreprises sont amenées à traiter et stocker une quantité de données électroniques toujours plus grande. Dans un contexte de recherche defficacité où le format électronique devient un élément incontournable (avec la communication par messagerie notamment), elles se doivent de gérer efficacement les risques et exigences du stockage des données tout en équilibrant les coûts associés. Ce document étudie les problématiques et les risques inhérents à la gestion dune "montagne de données", puis passe en revue les pratiques dexcellence à adopter pour relever ce défi. Perte de données Chaque semaine, une nouvelle entreprise fait la une des journaux suite à une intrusion dans son système informatique et au vol dinformations perpétré par des pirates. Les entreprises ont lobligation de protéger les informations personnelles quelles détiennent et de les traiter selon certaines règles. Un manquement à cette obligation peut entraîner de lourdes sanctions. Au Royaume-Uni, lInformation Commissioner’s Office (ICO) peut infliger une amende de 500 000 £ aux entreprises en défaut.1 Les données financières sont tout aussi protégées. La norme PCI DSS (Payment Card Industry Data Security Standard) édicte les règles que les entreprises doivent respecter dans le cadre du traitement ou de la conservation des données de carte de crédit.2 Le non-respect de cette norme peut être sanctionné par une amende ou par linterdiction pure et simple de traiter des cartes de crédit. Parmi les entreprises qui ont récemment manqué à leur obligation de protéger les données, on dénombre : • Un détaillant dont le site Web a été piraté, exposant les données financières de 5 000 clients à un vol potentiel.3 • Un service judiciaire qui a envoyé un document confidentiel par courrier électronique à une adresse incorrecte.4 • Une société de bingo qui a perdu les données de 65 000 joueurs ; fait qui na été révélé que lorsquun professionnel malhonnête a gagné 25 000 £ en revendant ces informations.5 1 Information Commissioner’s guidance about the issue of monetary penalties prepared and issued under section 55C (1) of the Data Protection Act 1998. www.ico.gov.uk/~/media/documents/library/data_protection/detailed_specialist_guides/ico_guidance_monetary_penalties.ashx 2 PCI SSC Data Security Standards Overview. www.pcisecuritystandards.org/security_standards/ 3 Online security must be a priority for retailers, says ICO. www.ico.gov.uk/news/latest_news/2011/online_security_must_be_a_priority_for_ retailers_says_ico_09082011.aspx 4 Children’s case files found in second-hand furniture shop. www.ico.gov.uk/news/latest_news/2011/childrens-case-files-found-in-second-hand- furniture-shop-02092011.aspx 5 Gambling worker guilty of selling 65,000 bingo players’ details. www.ico.gov.uk/news/latest_news/2011/gambling-worker-guilty-of-selling- 65000-bingo-players-details-10112011.aspx 6 Anonymous speaks: the inside story of the HBGary hack. www.arstechnica.com/tech-policy/news/2011/02/anonymous-speaks-the-inside-story- of-the-hbgary-hack.ars/ How one security firm tracked anonymous and paid a heavy price. www.arstechnica.com/tech-policy/news/2011/02/how- one-security-firm-tracked-anonymousand-paid-a-heavy-price.ars/ 7 Qakbot family of malware blamed for data breach. www.thetechherald.com/article.php/201120/7173/Qakbot-family-of-malware-blamed-for- data-breach1
  4. 4. White Paper : Protection des données personnelles et professionnellesLes menaces qui visent les données prennent de nombreux visages. Si les pirates malveillants sontles plus connus et redoutés, dautres types dacteurs peuvent causer des dommages aux donnéesdes entreprises. Type de Activités externes malveillantes menace : Acteurs : Pirates, auteurs de logiciels malveillants Motivation : Criminels professionnels motivés par lappât du gain ou cherchant à causer des problèmes à la cible pour des motifs personnels Mode de • Auteurs de logiciels malveillants : diffusent des logiciels malveillants par courrier fonctionnement : électronique ou via des sites Web compromis pour rechercher des informations monnayables dans les ordinateurs infectés. • Pirates : identifient les points faibles à exploiter pour accéder aux systèmes et rechercher, dans les ordinateurs compromis, des informations à vendre ou à diffuser au grand public. Exemples : Le groupe de pirates informatiques "Anonymous" attaque HBGary Federal et diffuse plus de 40 000 messages électroniques internes.6 Un logiciel malveillant se déploie dans un organisme gouvernemental et conduit à la violation des données personnelles de plus de 180 000 personnes.7 Type de Activités externes non malveillantes menace : Acteurs : Clients, fournisseurs, partenaires Motivation : Aucune Mode de Par défaut de respect des pratiques dexcellence, un tiers réputé comme fiable transmet des fonctionnement : informations confidentielles qui sont alors compromises. Exemples : Un hôpital fait appel à un sous-traitant et lui confie des données confidentielles. Ce dernier les utilise dans le cadre dun test de compétences pour des candidats à un poste. Suite à cela, ces données se retrouvent mises en ligne sur un site Web public daide aux devoirs.8 Type de Employés malveillants menace : Acteurs : Employés indélicats ou en fin de contrat Motivation : Appât du gain ou désir de vengeance à légard dun employeur Mode de Utilisation de la connaissance des systèmes pour y accéder de façon non autorisée et détourner fonctionnement : des données. Exemples : Les employés dun opérateur de téléphonie mobile vendent à la concurrence les informations relatives aux clients dont les contrats arrivent à expiration.9 Type de Employés non malveillants menace : Acteurs : Employés et sous-traitants actuels Motivation : Aucune Mode de Une sensibilisation insuffisante à la sécurité des données ou le non-respect des normes établies fonctionnement : aboutit à la perte de données. Lutilisation de clés USB pouvant facilement être égarées et lenvoi accidentel de données confidentielles par courrier électronique sont les cas les plus courants. Exemples : La perte de périphériques contenant des données confidentielles est malheureusement chose courante. Le conseil dun comté a récemment égaré une clé USB sur laquelle étaient stockées les informations relatives à 18 000 personnes, tandis quun avocat écossais sest fait voler un ordinateur portable qui contenait les détails de plusieurs affaires, à son domicile pendant ses congés.10 Le conseil du comté de Surrey sest vu infliger une amende de 120 000 £ pour avoir transmis des données personnelles de nature confidentielle à des adresses électroniques erronées.118 Stanford Hospital blames contractor for data breach. www.computerworld.com/s/article/9220626/Stanford_Hospital_blames_contractor_for_data_breach9 T-Mobile staff sold personal data. http://news.bbc.co.uk/2/hi/uk_news/8364421.stm10 Council lost memory stick containing 18,000 residents’ details. www.ico.gov.uk/news/latest_news/2011/council-lost-memory-stick-containing-18000-residents-details-03112011.aspx Advocate’s legal files lost after unencrypted laptop theft www.ico.gov.uk/news/latest_news/2011/advocates-legal-files-lost-after-unencrypted-laptop-theft-16112011.aspx11 ICO issues monetary penalty over misdirected emails. http://www.ico.gov.uk/news/latest_news/~/media/documents/pressreleases/2011/monetary_penalty_surrey_council_release_20110609.ashx 2
  5. 5. White Paper : Protection des données personnelles et professionnelles Le problème des frontières Une partie fondamentale de la stratégie militaire consiste à éviter d’attaquer le centre dune formation, sachant que la défense risque dy être renforcée. Lattaque doit plutôt se concentrer sur les frontières entre les unités, là où les défenses sont normalement plus ténues et où la mise en place des troupes peut entraîner une certaine confusion. Les pirates emploient la même méthode. Lors de leur transfert entre des applications ou des entreprises, les données sont extrêmement vulnérables. En 2007, le gouvernement britannique a perdu les données personnelles de 25 millions dindividus lorsque deux CD-ROM envoyés à un service de lEtat ont été égarés pendant leur transfert.12 Il est naturellement déconseillé dutiliser des disques physiques pour transférer des données. Exposés à une perte éventuelle, les disques physiques peuvent également être consultés subrepticement lors de leur transfert, ce qui est impossible à détecter. Ils peuvent aussi être échangés avec dautres disques susceptibles de contenir des données anciennes ou incorrectes, que ce soit par accident ou suite à un acte malveillant. Le transfert de fichiers par voie électronique sur un réseau élimine les problèmes liés à lenvoi et à la réception des données. Outre les données proprement dites, la connexion par lintermédiaire de laquelle sopère le transfert peut elle aussi être chiffrée, soit en mode standard soit à laide de règles reposant sur le type de données transférées. Lémetteur est ainsi assuré que le transfert des données a été effectué de façon sécurisée. Le chiffrement des communications électroniques combat les attaques qui visent à compromettre les données à la dérobée, en les copiant silencieusement lors de leur transfert ou en se faisant passer pour le destinataire dorigine afin dintercepter les données avant de les transférer au destinataire prévu, technique dattaque appelée "man in the middle". Pratiques dexcellence La discipline émergente dassurance des informations vise à garantir le traitement sécurisé des données en continu. Son objectif : offrir aux responsables de la sécurité des informations et aux dirigeants dentreprise la certitude que les données sont gérées et manipulées conformément aux dispositions, à tout moment. Garantir une utilisation pertinente des informations ne savère pas nécessairement difficile ni onéreux dans la mesure où les cadres de lentreprise savent où et comment les données sont créées et consultées dans leur environnement. Quatre stratégies de limitation des risques simples, susceptibles de bloquer 85 % des attaques, ont été identifiées.13 En voici la description : • Assurer la mise à niveau des systèmes dexploitation : mise à jour immédiate des systèmes avec les dernières versions des systèmes dexploitation. • Assurer la mise à niveau des logiciels tiers  : mise à jour immédiate des systèmes avec les dernières versions de léditeur. • Contrôler les droits dadministration : le nombre de comptes disposant dun accès complet aux données doit rester très limité dans les systèmes. • Etablissement de "listes blanches" des applications : empêche linstallation et lexécution de logiciels autres que ceux expressément autorisés au niveau des systèmes. Les entreprises doivent également faire preuve de vigilance à légard du mode daccès à leurs données. En connaissant les critères dune utilisation normale, elles sont à même didentifier rapidement un accès anormal ou inhabituel. Par exemple, le fait que des données soient consultées au milieu de la nuit ou que des utilisateurs accèdent à lintégralité de la base de données clients sont des signes qui ne doivent pas être négligés. 12 Review of information security at HM Revenue and Customs. http://webarchive.nationalarchives.gov.uk/+/http://www.hm-treasury.gov.uk/ media/0/1/poynter_review250608.pdf 123 Top Four Mitigation Strategies to Protect Your ICT System. http://www.dsd.gov.au/publications/Top_4_Mitigation_Strategies_to_Protect_Your_3 ICT_System.pdf
  6. 6. White Paper : Protection des données personnelles et professionnellesLes entreprises doivent prendre en compte le cycle de vie des données :Création des données -> Stockage des données -> Manipulation des données -> Transfert desdonnées -> Destruction des données Etape du cycle Questions à poser Règles Création des Où sont créées les données ? Collectez le minimum de données. Si vous ne les enregistrez données pas, vous ne les perdrez pas. Les données sont-elles Limitez la collecte de données en établissant des liens avec nécessaires ? dautres sets de données (un lien à la base de données clients existante évite, par exemple, de créer plusieurs fois la même fiche client). Stockage des Où sont stockées les données ? Stockez les données de type mot de passe avec un hachage données à sens unique. Ainsi, le texte original ne pourra pas être récupéré par des acteurs malveillants. Comment les données sont-elles protégées ? Dans la mesure du possible, chiffrez les données pour éviter quelles ne soient compromises Comment le système de stockage Verrouillez les systèmes pour limiter lexécution aux des données est-il protégé ? logiciels autorisés. Un logiciel malveillant aura ainsi bien plus de difficultés à sexécuter. Qui a accès aux données ? Configurez et vérifiez lidentité des utilisateurs qui ont accès aux clés de chiffrement et qui disposent de droits dadministration sur les systèmes de stockage de données. La suppression des droits daccès inutiles limite lexposition des données aux employés malveillants. Manipulation des Où sont manipulées les Limitez le nombre demplacements dans lesquels les données données ? données sont manipulées. Cela réduit lexposition aux menaces et permet de concentrer les ressources de sécurité. Comment sont protégés ces Verrouillez les systèmes ou surveillez étroitement lexécution processus ? des logiciels pour limiter la possibilité dexécution dun code malveillant. Qui a accès à ces données ? Configurez et contrôlez laccès Administrateur aux systèmes dans lesquels des données sont manipulées. Cela réduit lexposition des données aux employés malveillants. Transfert de Entre quels systèmes les Pour déjouer une surveillance éventuelle, veillez à ce que les données données sont-elles transférées ? données soient chiffrées lors de leur transfert. Comment les données sont-elles Veillez à ce que lidentité du système du destinataire soit protégées lors de leur transfert ? contrôlée pour éviter dêtre victime dun attaquant se faisant passer pour le destinataire légitime. Destruction des Conservez-vous plus de données Appliquez des règles visant à garantir la destruction des données que nécessaire ? données qui ne sont plus utilisées. Les données que vous ne conservez pas ne peuvent pas être dérobées. Veillez à ce que les données détruites ne puissent pas être récupérées à laide de techniques dinvestigation.13 Review of information security at HM Revenue and Customs. http://webarchive.nationalarchives.gov.uk/+/http://www.hm-treasury.gov.uk/me-dia/0/1/poynter_review250608.pdf 4
  7. 7. White Paper : Protection des données personnelles et professionnellesConclusion : ne soyez pas le maillon faibleAssurer la sécurité des informations na rien de compliqué. En appliquant des mesures élémentaireset en réfléchissant à la façon dont leurs données doivent être protégées, les entreprises peuventlimiter le risque dêtre victimes dune fuite aux lourdes conséquences financières et inspirer uneplus grande confiance à leurs clients et fournisseurs.Elles doivent montrer à leurs fournisseurs, à leurs clients et aux autorités quelles accordent delimportance à la sécurité des informations et quelles appliquent des pratiques dexcellence. Danscette optique, elles doivent notamment porter leur attention sur le mode de traitement des donnéeset la résistance de leurs systèmes aux infections par des logiciels malveillants.Par ailleurs, la protection des systèmes peut être renforcée grâce au déploiement de couches dedétection antivirus permettant de vérifier que les systèmes sont intégralement mis à niveau et quetous les logiciels dont ils sont équipés sont autorisés. Pour éliminer les menaces avant quellesnatteignent les réseaux des clients, Symantec.cloud propose des contrats de niveau de service sanséquivalent pour le filtrage du trafic Web et du courrier électronique. Les services Symantec EndpointProtection.cloud et Critical System Protection détectent et neutralisent les menaces qui ciblent leterminal client (lordinateur portable de lutilisateur, par exemple), tout en étant capables de vérifierque seuls les logiciels autorisés sont actifs.Seules les données nécessaires doivent être créées, recueillies et conservées dans une entreprise,avec une protection par chiffrement dans la mesure du possible. Les solutions de Symantec.cloudpermettent de chiffrer les données lors de leur envoi par courrier électronique. Pour cela, il estpossible de chiffrer la connexion entre deux serveurs de messagerie (Boundary Encryption.cloud)ou de définir, au niveau de lentreprise, les messages électroniques à chiffrer en fonction de leurcontenu (Policy Based Encryption.cloud).Pour protéger les informations confidentielles dune fuite accidentelle, vous pouvez mettre enœuvre des filtres de contrôle du contenu qui vont empêcher les messages électroniques contenantle terme "confidentiel" ou les feuilles de calcul dépassant une taille donnée de quitter lentreprise,ou nautoriser leur envoi quaprès vérification par un administrateur.Pour découvrir comment Symantec.cloud peut contribuer à protéger les informations de votreentreprise, rendez-vous sur www.symanteccloud.com ou envoyez un message électronique àladresse cloud_info@symantec.com. 4
  8. 8. White Paper : Protection des données personnelles et professionnelles Bureaux EUROPE SIEGE ALLEMAGNE, SUISSE, AUTRICHE PAYS-BAS 1270 Lansdowne Court Wappenhalle, WTC Amsterdam Gloucester Business Park Konrad-Zuse-Platz 2-5, Zuidplein 36/H-Tower Gloucester GL3 4AB 81829 Munich, NL-1077 XV Royaume-Uni Allemagne Amsterdam Tél. : +44 (0) 1452627 627 Tél. : +49 (0) 89 94320 120  Pays-Bas Fax : +44 (0) 1452627 628 Support : +44 (0) 870 8503014 Tél. : +31 (0) 20 799 7929 Numéro gratuit : Fax : +31 (0) 20 799 7801 +44 (0) 800917 7733 READING PAYS SCANDINAVES BELGIQUE/LUXEMBOURG 350 Brook Drive St. Kongensgade 128 Symantec Belgium Green Park 1264 Copenhague Astrid Business Centre Reading Danemark Is. Meyskensstraat 224 RG2 6UH Tél. : +45 33 32 37 18 1780 Wemmel Royaume-Uni Fax : +45 33 32 37 06 Belgique Tél. : +44 (0) 870 243 1080 Support : +45 88 71 22 22 Tél. : +32 2257 1300 Fax : +44 (0) 870 243 1081 Fax : +32 2257 1301 Numéro gratuit : +44 (0) 800 917 7733 AMERIQUE ASIE-PACIFIQUE ETATS-UNIS HONG KONG AUSTRALIE 512 Seventh Avenue Room 3006, Central Plaza Niveau 14 6ème étage 18 Harbour Road 207 Kent Street New York, NY 10018 Tower II Sydney NSW 2000 Etats-Unis Wanchai Australie Numéro vert : +1 866 460 0000 Hong Kong Tél. : +61 2 8220 7000 Tél. : +852 2528 6206 Fax : +61 2 8220 7075 Fax : +852 2526 2646 Support : 1 800 088 099 Support : + 852 6902 1130 CANADA SINGAPOUR JAPON 170 University Avenue 6 Temasek Boulevard Akasaka Intercity Toronto ON M5H 3B3 #11-01 Suntec Tower 4 1-11-44 Akasaka Canada Singapour 038986 Minato-ku Numéro vert : +1 866 460 0000 Tél. : +65 6333 6366 Tokyo 107-0052 Fax : +65 6235 8885 Japon Support : +800 120 4415 Tél. : + 81 3 5114 4540 Fax : + 81 3 5114 4020 Support : +531 1219175
  9. 9. A propos de Symantec.cloudPlus de 55 000 entreprises dans une centaine de pays,des PME aux grandes entreprises répertoriées dans leclassement Fortune 500, utilisent les services MessageLabsde Symantec.cloud pour administrer, surveiller et protégerleurs ressources informatiques plus efficacement. Ellespeuvent faire leur choix parmi 15 applications préintégrées,conçues pour les aider à protéger et gérer leur activité,indépendamment de lapparition de nouvelles technologieset de nouveaux périphériques, dans un milieu de travailoù les frontières traditionnelles tendent à disparaître. Lesservices sont mis à disposition dans une infrastructureglobale hautement évolutive, fiable et dune grande efficacitéénergétique, basée sur 15 datacenters disséminés dans lemonde entier. Division de Symantec Corporation, Symantec.cloud offre aux clients la possibilité de travailler de manièreplus productive dans un monde connecté. Pour connaître les Siège mondial Copyright © 2012 Symantec Corporation. Tous droits réservés. Symantec et le logo Symantec coordonnées des bureaux MessageLabs sont des marques commerciales ou des marques déposées de Symantec Corporation dans un pays spécifique, 1270 Lansdowne Court ou de ses filiales aux Etats-Unis et dans dautres pays. Les autres noms peuvent être rendez-vous sur Gloucester Business Park des marques commerciales de leurs détenteurs notre site Web : Gloucester, GL3 4AB respectifs. 2/2012 WP-00266-FR www.symanteccloud.com Royaume-Uni +44 (0) 1452 627 627

×