ImmuniWeb® by High-Tech Bridge


High-Tech Bridge Newsletter

Subscribe to our newsletter and receive some or all of our corporate news, invitations to security events or HTB Security Advisories – you choose what you want to receive.

Pourquoi les fuites de données continuent-elles ?

Le Matin Dimanche - Dimanche, 22 juillet 2012

Les banques cherchent la parade pour contrer les voleurs de fichiers. La tâche est ardue dans un milieu où loyauté et confiance ont disparu.

Deux CD en une semaine. Volés à la succursale zurichoise de la banque Coutts et à «une grande banque suisse». Tous deux proposés au Lan de Rhénanie-du-Nord-Westphalie (Allemagne). Rien, semble-t-il, ne peut empêcher un employé de sortir des informations ultra confidentielles. Il y a quatre ans, Hervé Falciani avait transféré les fichiers de milliers de clients d’HSBC sur son ordinateur portable.
Plus récemment, l’employé de Vontobel qui a sorti les informations fatales à l’ancien directeur de la BNS Philipp Hildebrand les avait simplement photographiées avec son smartphone sur l’écran de son PC. «Il arrive même que des gens gravent sur CD des dossiers confidentiels, à leur place de travail», constate Frédéric Bourla, responsable du secteur Ethical Hacking, chez High-Tech Bridge.
L’entreprise compte parmi ses clients bons nombre d’établissements bancaires, sociétés pharmaceutiques et institutions publiques. Outre les mesures basiques qui consistent à condamner les chariots à CD et ports USB ou de bloquer l’utilisation de certains périphériques réseaux, High-Tech Bridge est parfois appelée pour des exercices spécifiques: «Nous faisons des simulations de fuites à l’interne.»

En une décennie, la multiplication des supports a rendu impossible une sécurité à 100%. Pour Stéphane Koch, conseillé en intelligence économique, il ne manque pas d’astuces: «Pas besoin d’être un spécialiste. Internet propose des gadgets auxquels vous n’auriez pas pensé. Récemment, un site faisait la promotion de caméras- stylos. Se procurer des lunettes avec caméra embarquée est un jeu d’enfant.» En attendant, KB’s, Pictet, Vontobel adaptent leurs systèmes informatiques en conséquence. «Tous les spécialistes soulignent un élargissement avéré des risques opérationnels induits par la disparition progressive d’une limite claire entre les sphères privée et professionnelle», constate Marie-Laure Schaufelberger, porte-parole chez Pictet, à Genève. Des grands moyens, mais qui nécessitent de gros investissements. Raison pour laquelle SIX Group est en train de mettre au point un outil pour les établissements qui ne peuvent supporter de tels coûts. Les banques n’entrent évidemment pas dans le détail des mesures prises. Citons, au chapitre des moyens préventifs, les clefs USB qui permettent uniquement d’entrer des données dans l’ordinateur et non d’en sortir, ou encore le cryptage des mails, dont seul le destinataire final possède le code.

Sécuriser sans entraver le travail du collaborateur et surveiller sans enfreindre la loi. Car le contrôle a ses limites: «La protection de la sphère privée est réglementée», rappelle Eliane Schmid, porte-parole du Préposé fédéral à la protection des données. Il est possible pourtant de pousser la surveillance assez loin, explique Frédéric Bourla: «A condition que l’employé en soit clairement averti, et que cela figure dans son contrat de travail. En France, ce serait impensable.» Un employé peut être filmé, et son poste de travail placé sous contrôle. «Nous pouvons installer des keyloggers qui gardent en mémoire chaque frappe faite sur un clavier, et détecter des flux anormaux, que ce soit un nombre élevé de mail soude grosses quantités de gigas téléchargés», confirme Frédéric Bourla. Mais il reste difficile d’interdire les smartphones privés. «Si vous demandez aux employés de déposer leur appareil avant d’entrer, ils vont sentir de la défiance, ce qui est mauvais», explique un cadre qui préfère rester anonyme.

Après quatre ans de crise, de scandales et de vagues de licenciements, les tentations sont grandes de se mettre à l’abri. Un solide fichier de clients, qui permettra au fisc allemand de récupérer des centaines de million, peut se négocier plusieurs millions. «La façon dont certaines banques sacrifient froidement leurs employés en les livrant à la justice américaine en fait réfléchir plus d’un, souligne Stéphane Koch. A terme, la meilleure protection passe par la restauration de la confiance et de l’identification à l’entreprise.»

Auteur: Ivan Radja