Il y a encore deux ans nous pensions que pour assurer la confidentialité des données il suffisait de les chiffrer. Les fournisseurs de services sur Internet étaient dignes de confiance et jamais personne n'accéderait à nos données à notre insu. Nous pensions aussi que ces grandes sociétés étaient tellement attachées à leur réputation qu'elles n’auraient jamais autorisé un gouvernement à consulter les données que nous leur confions.

Pourtant il y a toujours eu des voix pour nous mettre en garde, nous prévenir que nos “alliés” américains ne s'embarrassaient pas de morale lorsqu’il s’agit de business ou de préférence nationale ou bien que nos “partenaires” chinois ne reconnaissent pas la propriété intellectuelle. Mais il était plus confortable d’ignorer ces voix. Après tout, nous n’avions jamais subi de tels préjudices alors pourquoi s’en préoccuper...

Pourtant les révélations d’Edward Snowden concernant la NSA et son programme Prism (espionnage sur Internet permettant d’exploiter nos données, en place depuis plus de sept ans) nous ont ramené à une réalité dure et concrète, nous mettant face à nos contradictions.

Les grands éditeurs de logiciels et de services américains collaboraient avec les services de renseignements, mettant nos données à la disposition de l'administration américaine.

Alors pour les entreprises qui n'avaient pas encore franchi le pas, nous avons déployé du chiffrement à tous les étages : chiffrement de surface pour protéger l’ensemble des supports de stockage de données, chiffrement de données pour protéger les informations les plus sensibles, chiffrement des communications et réseaux pour pouvoir échanger nos données sans crainte de détournement ou d’écoute.

Un grand nombre de ces solutions de chiffrement sont basées sur des logiciels Open Source dont on disait le code plus sûr car partagé librement avec la communauté et donc analysé et audité par des milliers de développeurs indépendants. Et voilà qu’une avalanche de vulnérabilités est découverte dans ces solutions : Heartbleed, failles dans OpenSSL, TrueCrypt : autant d’incidents qui viennent saper la confiance que nous tentions de retrouver dans nos systèmes.

Le doute s'est emparé de nous, quelle confiance pouvons-nous accorder aux solutions de sécurité (libres ou commerciales) ? De même, quelle confiance pouvons-nous accorder aux services externalisés ou dans le Cloud ?

La confiance serait-elle une cause perdue ?

Comment faire alors pour garder nos secrets secrets ? Comment puis-je en tant que professionnel de la sécurité garantir à mon comité de direction que nos données sont en sécurité ? Faut-il créer une autre voie, changer notre logiciel et penser différemment, out of the box ?

Une des approches est de remettre toutes les informations à plat, la sécurité étant assurée par la méthode de recherche de l'information. En effet, devant des milliards de données, sans hiérarchisation, bien malin celui qui trouvera l'information sensible. Cela impose pour l’entreprise une conception très pointue des moyens de recherche dans toutes ces données, une gestion très mature de la donnée et de sa description. A mon sens, la majorité des entreprises n’ont pas cette maturité, faute d’une volonté forte de changer le mode de travail de leurs collaborateurs.

Une autre voie est de limiter le nombre de personnes détenant l’information sensible. Ne dit-on pas qu'un secret ne l'est plus quand il est partagé par plus de 10 personnes ? Dans une entreprise de taille intermédiaire ou un grand groupe, il n’est pas simple de s'assurer que moins de 10 personnes ont accès à une donnée.

La voix extrême serait de ne pas écrire l'information, mission impossible au 21ème siècle...

En résumé, la donnée est numérique, elle est stockée sur de multiples supports, partagée entre plusieurs personnes (pas toujours les mêmes), jamais au même endroit. Elle a un cycle de vie plus ou moins long (proposition commerciale, fusion- acquisition, cession d’activité, programme de recherche, plan marketing, etc.). Nous ne pouvons plus faire confiance aux éditeurs des logiciels que nous utilisons au quotidien, pas plus qu’aux éditeurs de logiciels de sécurité.

Alors quelle est la solution ?

Se tourner vers des acteurs nationaux ? Un moindre mal sans doute. Encore faut-il que la qualité de service et le coût soient au rendez-vous.

Accélérer le business pour réduire le temps d’exposition des données ? Mais certains délais restent incompressibles.

Ne rien changer, protéger les données, contrôler les accès et assurer la traçabilité des données et des usages qui en sont fait. Les mesures les plus simples sont parfois les meilleures...

Inventer un système différent, trouver cette fameuse autre voie, y former les utilisateurs. Même si la proposition est tentante, la dépense serait sans doute bien trop élevée pour une entreprise seule. Pourquoi alors ne pas mutualiser les efforts d'entreprises ayant des intérêts communs (sectoriels ou verticaux) ? Partage de bonnes pratiques, d’efforts de R&D mais également d’incidents de sécurité afin d'enrayer au plus vite la propagation d'une attaque. La co-construction ne serait-elle pas cette nouvelle voie à envisager ?