CAHIER DE LA SECURITE

Couv pour BAT:Mise en page 1
8/04/08
12:41
Page 1
Cahiers de la
sécurité
n°4
La sécurité
économique dans
la mondialisation
Éditorial de
Michèle Alliot-Marie
äÉë=ÉåàÉìñ=ÇÉ=ä~=
ê¨Åìé¨ê~íáçå=ÇÉ=Ççåå¨Éë
par
Alain BELLEFACE, Guillaume MUSCAT
avril-juin 2008
ité
im e
x
ro dox
p
et ara ier
e
ic le p olic
l
Po ou u p
d
Belleface:Mise en page 1
9/04/08
16:36
Page 1
Les enjeux de la récupération
de données
Alain BELLEFACE, Guillaume MUSCAT
Le sinistre informatique, caractérisé par la perte de
données, est un risque majeur pour les entreprises à une
époque où 99 % du patrimoine informationnel est
numérique. Gestion du risque, continuité de l'activité,
choix du prestataire chargé de la récupération,
évaluation du préjudice subi, chacun de ces critères
doit être formalisé dans une politique de sécurité
de l'information clairement énoncée et pilotée par les
responsables de la protection du patrimoine de
l'entreprise. Risque majeur pour les entreprises, enjeu
tout aussi important pour les prestataires spécialisés en
matière de récupération de données qui doivent être en
mesure de répondre aux attentes de leurs clients dans les
meilleures conditions. Précision du diagnostic, qualité et
rapidité du geste technique, expertise, déontologie et
sécurité des process d'intervention sont les clés de la
réussite de cette activité en pleine croissance où la
confiance entre client et prestataire est un préalable
indispensable.
© INHES
Recovering Lost Data
A system crash, characterized by the lost of data, is a major risk for businesses in an era when 99 % of a firm’s
information is electronic. Management of risk, continuation of business, the choice of a service provider to
recover data, the evaluation of the damage suffered: each of these factors must be integrated into an information
security policy elaborated and carried out by those responsible for the assets of the firm. This is not only a major
risk for companies, but also for firms specializing in the recovery of lost data and who must respond to the
expectations of their clients as effectively as possible. Accuracy in the diagnosis, quality and rapidity of the
technical response, evaluation, code of conduct and security of the repair process are all keys to success in this
new sector in full expansion -- where trust between customer and provider is an essential prerequisite.
Alain Belleface
Depuis 2007, il est responsable du développement de la société LMCI, spécialisée dans la maîtrise et la protection
de l'information. Auparavant, il était responsable du Pôle sécurité de l’information dans la société spécialisée dans
la gestion des risques, RISK&CO. De 1994 à 2006, il a travaillé au ministère de la Défense comme expert sur les
menaces liées aux technologies d'information et de communication, dans le cadre de missions relatives à la
protection et la sécurité de l'État.
Guillaume Muscat
Président fondateur de la société LMCI, spécialisée dans la maîtrise et la protection de l'information. Auditeur de
la 171e session régionale (Nantes-Poitiers) de l'Institut des hautes études de la Défense nationale.
1
Belleface:Mise en page 1
9/04/08
16:36
Page 2
Cahiers de la sécurité – n°4 – avril-juin 2008
A
vec le développement des technologies
d'information, la quantité d’information
gérée (produite en interne, reçue par
des tiers, traitée et stockée) au quotidien
par les entreprises croît chaque année
de manière exponentielle. À cette augmentation extrêmement forte du capital informationnel s'ajoute
l'obligation de conservation de volumes d'information
de plus en plus importants dans le cadre de nouvelles
réglementations financières, notamment (Loi de sécurité
financière et Sarbanes Oxley). Dans ce contexte, la problématique du stockage et de l'archivage du patrimoine
informationnel devient une priorité des services informatiques.
Au-delà d'une simple question technique, la conservation
des données numériques nécessite de prendre en compte
leur cycle de vie et d'identifier les menaces associées,
qu'elles soient internes, externes, d'origine accidentelle
ou malveillante :
- Une mauvaise manipulation, volontaire ou involontaire,
portera atteinte, ponctuellement ou durablement, au
fonctionnement du système d'information ;
- Un incendie, un dégât des eaux ou une panne portant
sur le matériel informatique immobilisera tout ou
partie de l'activité de l'entreprise ;
- Une intrusion dans le réseau informatique permettra
à une personne ou un programme malveillant de
modifier, altérer ou supprimer des données.
Un risque stratégique
Le sinistre informatique, caractérisé principalement par
la perte de données, est un risque bien réel avec des
conséquences économiques souvent importantes pour la
victime. Perte de compétitivité et/ou de savoir-faire, arrêt
d'exploitation, atteinte à l'image, aucun secteur d'activité,
que ce soit l'industrie, l'aéronautique, la banque, l'agroalimentaire, la recherche pharmaceutique n'échappe à cette
réalité. La dernière étude publiée par le Club de la sécurité de l'information français (Clusif) sur la sinistralité
informatique en France (2005) 1 dresse le bilan suivant :
- la dépendance perçue par les entreprises vis-à-vis de
leur informatique est considérée comme modérée pour
23 % d'entre elles et forte pour 75 % d'entre elles 2 ;
- l'étude de la typologie des incidents subis par les
entreprises fait ressortir que la majorité des sinistres
sont dus à des erreurs de conception (58 %), la perte
de services essentiels - électricité, télécoms - (47 %),
des erreurs d'utilisation (46 %), des pannes d'origine
interne (37 %) et des infections virales (36 %).
La récupération de données après sinistre est donc
un enjeu stratégique car d'un côté, le marché est en pleine
croissance, et de l’autre les sociétés spécialisées dans
cette activité manipulent des données souvent sensibles
et confidentielles (bases de données comptables, commerciales, salariales, boîtes de messagerie, documentation de
brevets, etc.).
Un marché déséquilibré
et immature
Aujourd'hui, le marché français de la récupération de
données reste immature et déséquilibré. D’une part un
acteur majeur, l’Américain Kroll 3, après son rachat
successif de deux sociétés spécialisées dans le domaine,
Ontrack et Ibas, occupe 80 % du marché. D’autre part
une dizaine de petites sociétés disséminées sur tout le
territoire français se partagent le reste sans pouvoir rivaliser
sur le plan commercial. Conscients du caractère stratégique de cette activité, les services du haut responsable
à l'Intelligence économique (HRIE) ont élaboré en mars
2007 une « Charte de bonnes pratiques relative à la
récupération de données contenues dans des supports
informatiques endommagés » 4, signée par six entreprises
françaises. Cette charte, qui devrait donner un peu de
cohérence au marché, propose sept points destinés à
fixer un cadre commercial et un niveau de confiance a
minima des prestations. Elle prévoit notamment que les
prestataires doivent :
- informer leurs clients de l'adresse où seront traités les
supports de stockage ;
- disposer de moyens de protection des locaux où
seront effectuées les opérations de récupération ;
- demander l'autorisation expresse aux clients pour
tout transfert de travaux dans un pays étranger ;
- assurer la traçabilité des opérations ou encore
ne conserver aucune trace ou copie des données
récupérées.
Du côté des entreprises susceptibles de subir une perte
de données, la problématique doit être prise en compte
(1) Étude réalisée auprès de 400 entreprises de plus de 200 salariés.
(2) Forte : une indisponibilité de moins de 24h a de graves conséquences sur l'activité,
Modérée : une indisponibilité jusqu'à 48h est tolérable.
(3) Leader mondial en matière d'investigation et de recherches de renseignement à caractère concurrentiel et financier.
(4) http://www.intelligence-economique.gouv.fr/article.php3?id_article=199
2
Belleface:Mise en page 1
9/04/08
16:36
Page 3
Alain BELLEFACE, Guillaume MUSCAT
par l'ensemble des acteurs chargés de la protection.
La perte d’information ne peut plus être du seul ressort
de la production informatique comme c'est encore trop
souvent le cas, que ce soit pour la gestion de l’incident
lui-même ou le choix de l’intervenant extérieur en charge
de la récupération. En matière de sécurité des systèmes
d’information, les entreprises ont pleinement pris
conscience qu’il fallait sécuriser les systèmes et réseaux
face aux malveillances internes et externes (piratage, vol
d’information, attaques virales). D’importants investissements ont été consentis en la matière par la mise
en place de mesures techniques et organisationnelles
efficaces (généralisation de la fonction RSSI 5, déploiement
de solutions de sécurité éprouvées, politiques de sécurité
efficaces, campagnes d’audits régulières).
Mais la problématique de la perte de données reste
encore floue. La gestion de ce type d’incident comporte
de nombreux paramètres qui vont de l’évaluation du
préjudice économique directement lié à la perte jusqu’au
risque de pillage ou de fuite des données contenues sur
les supports endommagés lors de l’acte de récupération
pratiqué à l’extérieur de l’entreprise.
Une perte de données démarre invariablement par une
atteinte directe sur le système primaire de stockage et un
dysfonctionnement du système de restauration. S'en suivent
alors des prises de décisions minimalistes et/ou inadaptées
dans un contexte de crise et bien souvent en marge des
procédures officielles, quand elles existent.
L'utilisateur ou le service informatique confronté à
l’incident, privilégie, dans la majorité des cas, une réaction
réflexe isolée aux dépens d’une action concertée, prenant
en compte le volet stratégique du sinistre et la situation
de soudaine dépendance à laquelle l’entreprise se trouve
confrontée. Les premières heures qui suivent la perte de
données sont mises à profit pour tenter une solution
interne qui repose sur des outils logiciels accessibles sur
Internet gratuitement ou pour quelques dizaines d’euros.
Ces actions de première urgence, menées sans expertise
ni savoir-faire, peuvent avoir un impact particulièrement
négatif sur les chances de récupération réelles.
Lorsque cette première tentative de récupération n’est
pas maîtrisée, la décision de faire appel à un prestataire
externe est finalement prise, avec comme objectif prioritaire
de faire réaliser une prestation rapide et économique,
après une consultation sommaire de quelques adresses de
sites Internet, recueillies sur les moteurs de recherche.
Or, c’est précisément dans ces circonstances que le
critère économique de l’intervention ne doit pas être
retenu comme prioritaire mais bien le niveau de compétence, l’intégrité et la qualité des processus d’intervention
du prestataire.
Les enjeux de la récupération de données
Seuls ces trois critères permettent d’envisager une récupération des données dans des conditions satisfaisantes,
tant sur le plan de la reprise d’activité que sur celui de la
confidentialité des données recouvrées.
Le coût de l’intervention reste quant à lui marginal, si
l’on prend le temps de s’interroger sur la valeur réelle des
données perdues pour l’entreprise, comparé au prix de la
prestation de récupération elle-même.
Les nombreux sites Internet qui présentent des services
de récupération de données, tantôt sans devis préalable,
tantôt selon des grilles tarifaires fixées a priori, sans tenir
compte des conditions opérationnelles du sinistre, de son
environnement et de la criticité des données affectées par
l’incident, entretiennent le flou sur cette activité qui peut
être assimilée, dans certains cas, à de simples services de
dépannage proposés par des sites marchands.
Améliorer la gestion
des risques
En complément des propositions du cadre proposé par
la « charte de bonnes pratiques » du HRIE, les sociétés,
qui sont susceptibles de subir une perte de données, doivent
travailler sur l'amélioration de la gestion du risque selon
trois axes :
En amont du sinistre
- faire auditer son système d’information afin de mesurer
sa tolérance à la récupération de données et choisir les
équipements en conséquence ;
- définir des procédures adaptées à la gestion d'une
perte de données (Plan de continuité et de reprise
d'activité) ;
- valider, sur des critères objectifs, son ou ses prestataires qui effectueront les opérations de récupération ;
- intégrer la perte de données dans le processus de gestion
de crise ;
- effectuer annuellement une simulation in situ afin de
valider les procédures mise en place ;
Pendant le sinistre
- activer la cellule de crise telle que définie dans le Plan
de continuité d'activité ;
- veiller à la sécurité du transport des supports de données
vers le prestataire ;
- valider la remise en production du système en étroite
collaboration avec le prestataire qui a effectué l'opération
de récupération.
(5) RSSI : Responsable de la sécurité des systèmes d'information.
3
Belleface:Mise en page 1
9/04/08
16:36
Page 4
Cahiers de la sécurité – n°4 – avril-juin 2008
Après le sinistre
- retour d'expérience, mesures correctives et mise à jour
des processus de gestion de crise ;
- reboucler sur les opérations « en amont du sinistre ».
Enfin, les acteurs français de la récupération de données,
ont encore beaucoup à faire. En effet, la plupart ne sont
pas prêts à intégrer dans leur structure la problématique
d'intelligence économique, pourtant intimement liée
à l'activité, dont les enjeux stratégiques les dépassent
culturellement et financièrement. De plus, beaucoup
4
ne fondent leurs prestations que sur le geste technique
stricto sensu qui repose, malheureusement trop souvent,
sur l’utilisation de solutions logicielles commerciales
certes efficaces, mais non maîtrisées. La recherche et
développement en la matière n’étant que très marginalement consentie sur un domaine qui, au contraire, exige
sans cesse de nouveaux développements.
Alain BELLEFACE
Guillaume MUSCAT