Les données : un actif essentiel qu’il faut savoir constituer mais aussi protéger
Les données sont devenues l’un des actifs les plus précieux de l’entreprise. Il peut s’agir de données internes relatives à la marche de l’entreprise, à son personnel, à ses procédés, à ses secrets de fabrication, à ses relations contractuelles avec des tiers, etc. Mais il s’agit de plus en plus de données sur l’environnement dans lequel l’entreprise évolue ou aspire à se développer : contexte concurrentiel, normatif, réglementaire, technologique, etc.
La possession au bon moment de données pertinentes est un élément clé du succès des entreprises. C’est un élément différentiateur au même titre que le savoir-faire, l’équipement industriel, le réseau commercial, la puissance financière. Il existe pour cela des outils, qui sont de plus en plus utilisés, pour assister les entreprises dans l’identification et la collecte des informations qui leur sont utiles. Ce sont les outils de veille qui, dans le respect de la réglementation et de la propriété intellectuelle de chacun, sont capables d’aller rechercher de façon automatisée l’information utile à l’entreprise au sein de medias de plus en plus en plus diversifiés : sites Internet et réseaux sociaux, articles, vidéos, podcasts, etc.
Il existe également des outils d’analyse et de synthèse de ces données. Le Big Data reste à la mode mais l’infobésité menace et il faut savoir choisir des outils d’analyse, de tri et de synthèse pour in fine être en mesure de proposer aux décideurs l’information qui leur est réellement utile.
Les entreprises, grandes ou petites, sont donc amenées à mettre en place des chaînes de collecte, de traitement et de valorisation des données qui leur permettront d’atteindre le stade du « Management by data »[1]. Mais c’est ici que la menace se fait jour : celle des cyber-attaques. La cybersécurité n’est plus désormais la seule préoccupation des gestionnaires de systèmes d’information (les IT), elle interpelle toute l’entreprise et en particulier la partie opérationnelle, celle des équipements et du procédé (les OT). Une cyber-attaque réussie peut conduire à la mise hors service de stations de travail ou de calculateurs mais c’est aussi de plus en plus souvent la perturbation ou l’arrêt de l’activité industrielle. La banalisation des équipements, l’intégration de plus en plus poussée entre le niveau IT et le niveau OT, le développement des connexions à distance, par l’Internet notamment, expliquent l’explosion des cyber-attaques qui ont pris des formes de plus en plus variées. Aujourd’hui les attaques en rançongiciels font légion : pour les attaquants, ce sont les plus rentables car elles n’exigent qu’un assez faible niveau de technicité pour être conçues et mises en œuvre et peuvent couvrir un spectre large de victimes potentielles. Mais il en existe bien d’autres : les attaques en déni de service qui inondent la victime d’un flux de message qui saturent ses capacités de traitement et de communication, l’attaque de l’abreuvoir qui détournent un visiteur d’un site Web vers un site malveillant, la prise de contrôle pure et simple d’un procédé par un opérateur distant, etc. Le premier réflexe doit être de surveiller et protéger les accès et plus généralement de mettre ses installations en conformité avec la norme internationale qui fait désormais autorité l’ISA/IEC 62443. Il faut protéger son procédé, mais il faut aussi protéger ses données et en particulier s’assurer que le professionnel – auquel on a pu confier la responsabilité de fournir un service de veille et par conséquent de collecter, traiter, stocker et mettre à disposition des données qui constituent le fluide vital de l’entreprise – a pris le maximum de précautions pour assurer l’intégrité et la non-divulgation de ces données.
Ce professionnel propose généralement un service en mode SaaS à partir d’un centre de données qu’il exploite en propre ou qu’il loue auprès d’un fournisseur d’infonuagique. C’est là que doit s’engager un dialogue entre l’exploitant et ses clients. On s’intéressera tout d’abord à la localisation physique des données. Sans faire preuve de paranoïa, on privilégiera un stockage sur le territoire national, avec bien entendu une redondance chaude, en temps réel, entre deux sites distants. On veillera à ce que, dans ces espaces de stockage, les données de chaque client soient cloisonnées dans des espaces compartimentés. On s’assurera que les données sensibles sont ou peuvent être chiffrées, si l’utilisateur l’estime opportun.
On attachera une grande attention aux conditions d’accès à ces centres données. Les point d’accès devront être limités au strict nécessaire et devront être sécurisés. La possibilité devra être donnée aux entreprises de doter l’accès donné aux veilleurs à un système de VPN et de double indentification. La formation à la cybersécurité des veilleurs et de tous ceux qui auront accès aux bases de données devra être organisée.
On s’interrogera sur l’aptitude des centres de données à résister à une attaque en déni de service, jusqu’à quelle intensité et pendant combien de temps.
Enfin, il faut, à des échéances périodiques, prévoir des tests d’intrusion par des sociétés tierces. Une installation cybersecure aujourd’hui, risque de ne plus l’être demain. De nouvelles failles sont régulièrement mises à jour sur des matériels réputés robustes et les techniques des criminels s’enrichissent quotidiennement de nouveaux exploits.
Tout cela crée des contraintes. Il faut les faire comprendre et les faire accepter. L’enjeu est considérable, les données sont un actif qu’il faut savoir constituer mais qu’il est vital de protéger.
[1] Management by data : marque déposée KB Intelligence.
Jean-Pierre Hauet
Chief Executive Officer de KB Crawl
Expert international en cybersécurité industrielle. Voting member du comité ISA/IEC 62443.