Comment se passe une fuite de données ?
Le risque lié aux fuites de données et plus généralement aux incidents cyber (piratage, hameçonnage, rançongiciel) est, depuis quelques années, classé dans les principaux risques pour les entreprises. En France, la cybersécurité est d’ailleurs à prendre en compte devant des événements redoutés plus classiques, telles que les interruptions d’activité, les évolutions législatives voire les évolutions du marché (Source : Baromètre des risques Allianz 2020).
Les entreprises prennent conscience que la sécurité des échanges et des informations doit être au centre de leurs systèmes.
Ce billet présente une fiction illustrant de façon réaliste un scénario d’une entreprise faisant face à une crise liée à un tel risque.
(Note : Les personnages et les situations de ce récit étant purement fictifs, toute ressemblance avec des personnes ou des situations existantes ou ayant existé ne saurait être que fortuite… ou pas ?)
Présentation : avant la fuite de données
George Van Brugel est à la tête d’une entreprise Belge, Les films du plat pays, produisant des films pour le cinéma. L’entreprise se porte bien, et a effectué sa transition numérique. François Pignon, responsable du parc informatique de l’entreprise, en est ravi. Grâce au budget débloqué dans cette transition, il a pu installer de nombreux outils de collaboration, permettant à chaque collaborateur de travailler dans un environnement à la pointe de la technologie :
- Partage de fichiers dans le cloud ;
- Centralisation des emails et des échanges, gérée par un des géants de l’Internet ;
- Gestion centralisée du parc informatique et gestion électronique des documents ;
- Le site Internet de l’entreprise est fait avec des technologies permettant un référencement très avantageux sur les moteurs de recherche.
Ces nouveautés sont telles que l’innovation numérique est désormais dans les gènes de l’entreprise. Ainsi François Pignon a été intégré au Comité Exécutif de l’entreprise.
Une découverte incongrue : la fuite de données
George Van Brugel, le PDG de l’entreprise, n’est pas informaticien, mais comme tout le monde, il s’est mis à l’outil informatique. Par curiosité, il tape son nom sur son moteur de recherche favori, et tombe sur un fichier pour le moins surprenant. Ce fichier est nommé Les films du plat pays — ComEx 2018 — Compte rendu et budget.docx, et est hébergé sur un site nommé free-anonymous-upload.com.
Ce fichier étant hautement confidentiel, George Van Brugel est intrigué que ce fichier soit disponible sur Internet et appelle directement François Pignon pour savoir d’où cela peut provenir.
François Pignon ne sait que répondre à son patron. Ce fichier n’est pas censé être disponible à tous sur Internet. François est en train de vivre sa première fuite de données.
Pire que ça, de nombreuses questions trottent dans l’esprit de François :
- Comment ce fichier a-t-il pu sortir de l’enceinte de l’entreprise ?
- D’autres fichiers sont-ils affectés ?
- L’entreprise s’est-elle faite hacker ?
- A-t-il une part de responsabilité ?
- Son poste est-il en jeu ?
François Pignon a besoin d’aide, il ne peut résoudre seul cette crise. Il va donc faire appel à un cabinet spécialisé en cybersécurité afin de l’aider à résoudre ce problème.
Et là, c’est le drame
François Pignon a demandé l’aide du cabinet JustWhite Security, expert dans le domaine depuis plus de 20 ans. Leur prestation coûte très cher, mais l’enjeu et les inconnues liés à cette crise sont tels, qu’il a pu débloquer le budget rapidement.
Lucien Cheval, expert en cybersécurité, arrive le jour même, et travaille avec François Pignon afin de faire le point. Lucien explique qu’il va devoir auditer tout le parc informatique de l’entreprise, afin de voir si une éventuelle faille de sécurité est présente, et analyser d’où cela peut venir.
Deux semaines s’écoulent, et François Pignon reçoit enfin le rapport d’audit de sécurité de JustWhite Security. L’auditeur n’a pu donner la source exacte de la fuite, mais a cependant relevé de nombreuses sources plausibles qui peuvent être autant de cybermenaces.
- Plusieurs employés de l’entreprise sont inscrits, à titre personnel, sur des sites qui se sont fait pirater. Sur ces sites, ils avaient le même mot de passe que leur mot de passe d’entreprise. Des pirates ont pu craquer ces mots de passe, et se connecter à l’espace Cloud de l’entreprise ;
- Certains employés (même haut placés) utilisent leur téléphone personnel pour lire des emails professionnels. On ne sait pas ce qui peut se passer avec de tels usages ;
- La société de Cloud utilisée a subi une attaque récemment, il est possible que les données proviennent de cette attaque.
Plus grave encore, Lucien a effectué une recherche plus approfondie sur le Dark Net, une partie cachée de l’Internet, et c’est tous les documents internes de l’entreprise, incluant :
- Fichier des salaires des employés ;
- Échanges d’emails entre les managers de l’entreprise ;
- Liste des clients ;
- Réponses à appels d’offre ;
qui ont pu être récupérés. De plus, ces fichiers sont présents depuis plusieurs mois, et personne dans l’entreprise n’était au courant !
Blême, François Pignon demande au cabinet en cybersécurité ce qu’ils peuvent faire, et le bilan est dramatique :
- Suite au dispositif RGPD, l’ensemble des personnes affectées doivent être notifiées de l’incident ;
- Une fermeture immédiate des outils SI affectés doit être effectuée, en attendant d’avoir réglé les problèmes de sécurité ;
- Des mesures préventives telles que le chiffrement des données doivent être mises en place.
“Des mesures préventives ?”, demande François Pignon aux experts cyber sécurité, “Qu’est-ce ?”
“M. Pignon,”, répond Lucien Cheval du cabinet expert, “Il n’est malheureusement jamais possible de se protéger contre toutes les attaques informatiques. Cependant, il est possible, en cas de fuite de données, de limiter les dégâts, et de faire en sorte que les personnes malveillantes ne puissent rien faire des données volées.”
Que se serait-il passé, si l’entreprise avait Seald ?
Seald est une solution de sécurisation des données par le chiffrement (procédé cryptographique). Elle permet donc, principalement, de se prémunir contre le risque de fuite des données ou de vol de données telles que des documents ou des emails...
De plus, le format propriétaire sécurisé de Seald permet, en cas de tentative d’ouverture de fichier (notamment lors d’une fuite de données), de détecter l’événement, et d’être pro-actif sur les résolutions d’incidents.
Analysons ce qui se passerait si le scénario précédent était arrivé à une entreprise équipée de Seald pour assurer la sécurité de ses données.
Dans l’ombre, une fuite de donnée se produit
Imaginons qu’une fuite se produise. La plupart des fuites se font dans l’ombre, et il faut plusieurs semaines, mois ou années (voire jamais) à une entreprise pour se rendre compte qu’elle est victime d’une attaque. Cependant, les fichiers (documents et emails) protégés avec Seald sont au format .shtml.
Si l’attaquant ne possède pas Seald, ces fichiers s’ouvriront dans son navigateur. Un script JavaScript incorporé dans ce fichier envoie, à l’ouverture, une requête vers les services Seald.
Si l’attaquant possède Seald, à la tentative d’ouverture avec l’application Seald, et une requête similaire sera également envoyée au service Seald.
Cette tentative d’ouverture ne pourra aboutir à une lecture effective du document, et sera remontée dans les informations disponibles sur le tableau d’administration Seald. Il est donc possible de détecter une fuite. De plus, ces remontées d’événements peuvent également contenir des informations supplémentaires permettant d’engager des investigations sur la fuite d’information.
Des personnes malveillantes ont des données
Comme l’explique Lucien Cheval, il n’est pas possible d’avoir un système infaillible. Donc que faire pour se protéger une fois que l’on sait que nos données ont fuité ?
Grace à Seald, vous pouvez protéger vos documents et utiliser la version protégée comme document de travail. Ainsi, en cas de fuite de données, les attaquants ne pourront récupérer que des fichiers protégés (donc inaccessibles).
L’avantage de travailler avec des documents protégés avec Seald est qu’en cas de fuite (piratage d’email, fuite du cloud, employé qui perd une clé USB…), les fichiers compromis ne pourront pas être ouverts par des personnes non autorisées. En effet, pour ouvrir un document protégé, il faut :
- Une clé cryptographique, installée lors de la mise en place du logiciel Seald ;
- Le fichier Seald à ouvrir ;
- Que la clé cryptographique soit autorisée à ouvrir le fichier.
La clé cryptographique ne sort jamais de l’ordinateur qui l’a générée. Elle est donc moins exposée aux fuites que les emails et documents de travail, dont l’échange (privé) est nécessaire à la collaboration. Cela permet à Seald de garantir qu’en cas de fuite des documents de travail, les données restent protégées et les accès sont contrôlés.
Un ordinateur est compromis
Cependant, malgré toutes les mesures que nous avons mises en place, l’adage de Lucien Cheval sur l’impossibilité d’obtenir une sécurité totale s’applique également à la clé cryptographique de Seald. Il existe de rares cas dans lesquels la clé cryptographique peut être considérée comme compromise, par exemple :
- Si un ordinateur, avec une session ouverte, se fait voler ;
- Si un poste est infecté par un virus très avancé, pouvant récupérer la clé cryptographique de l’ordinateur.
Dans ces cas, une mesure est mise à disposition de l’équipe informatique pour cloisonner l’incident.
Comme expliqué précédemment, chaque appareil possède sa propre clé cryptographique, et cette clé doit être autorisée pour ouvrir des fichiers. La technologie Seald est conçue de manière à ce que cette permission soit faite en ligne. Cela permet, même après avoir envoyé un document, de modifier les droits de lecture de ce document et d’assurer après l’envoi la sécurité du réseau.
Ainsi, en cas de compromission d’un appareil, il est possible de révoquer l’accès à tous les documents accessibles par l’appareil compromis. Il est donc possible de réagir et de minimiser les dégâts en cas de cyberattaque.
Conclusion
Évidemment, même si cette histoire reste de la fiction, si l’entreprise Les films du plat pays était équipée de Seald, François Pignon aurait passé cette crise de façon beaucoup plus sereine. Cependant, nous sommes, à l’heure de la rédaction de ce billet, en 2019, et des fuites arrivent tous les jours ! Environ 18.5 millions de documents par jour, et seulement 3 % de ces données sont chiffrées (Source : BreachLevelIndex pour 2018).
Des solutions existent, mais sont souvent contraignantes (destinées à des techniciens, incompatibles avec certains cas d’usage, compliquées à mettre en place…). C’est pourquoi chez Seald, nous nous sommes efforcés de créer un produit :
- Sécurisé ;
- Simple et à la portée de tous ;
- Ne nécessitant pas d’action lourde, ou engendrant une friction à l’usage, pour des personnes n’ayant pas l’application.
Si ces enjeux vous tiennent à cœur, nous serions ravis de vous faire une démonstration de notre solution, et de vous montrer ce qu’elle pourrait vous apporter.
Better Seald than sorry.