Ceci est le troisième billet d'une série consacrée aux risques et opportunités de la consumérisation de l'IT

  • L'introduction sur la consumérisation est ici
  • La seconde partie consacrées aux smartphones est ici

Dans cet article, je vais traiter des problématiques des données d’entreprises stockées sur des périphériques de stockage personnels ou dans des services de Cloud

Situation actuelle

Avec la démocratisation des supports de stockage amovibles, jamais autant de périphériques personnels n’ont été connectés aux Systèmes d’information d’entreprise et utilisés à des fins professionnelles (mais aussi privées).

L’usage principal de ces clés USB et autres disques durs externes est l’échange de données entre ordinateurs et/ou utilisateurs. Ce sont donc de réels outils de collaboration alternatifs à des solutions de type serveurs d’entreprise (serveurs de fichiers, CMS, solutions de travail collaboratif…)

Depuis 2 ou 3 ans un ensemble de services dans le Cloud offrant des capacités de stockage gratuit assez importante (par exemple 25 Go pour Windows Live Skydrive, 5 Go pour Box.net, 2 Go pour Dropbox…) est apparu, offrant à chacun à chacun la possibilité de copier, synchroniser, sauvegarder ou échanger des fichiers. L’amélioration permanente des bandes passantes et le développement des connexions mobiles sont également des facteurs accélérant l’adoption de ce type de services.

Informations complémentaires :

Risques associés

Ce qui aurait pu paraitre au premier abord comme une économie (l’utilisateur “se paie” son stockage amovible Winking smile) est surtout perçu aujourd’hui par la majorité des responsables informatique comme une vraie problématique de sécurité car le Cloud comme les périphériques amovibles ont un caractère ubiquitaire assez incompatible avec un bon contrôle de l’information. A la question “où sont stockées les données de mon entreprise ?”, je pense qu’aujourd’hui, aucun responsable informatique ou sécurité n’est capable d’apporter une réponse complète.

Si un utilisateur pert ou se fait voler son périphérique de stockage externe (ou se fait voler ses crédentiels d’accès à son stockage en ligne), il y a peu de chances que celui-ci préviennent son IT d’entreprise et ce, même si certaines données stockées concernent l’entreprise.

Informations complémentaires :

Avec la navigation Web et la messagerie électronique, la connexion de périphériques de stockage externes est un des vecteurs majeur de propagation de code malveillant sur les postes de travail. Replaçant de la disquette historique, la clé USB (et son “grand frère”, le disque dur externe) sert le plus souvent pour échanger des fichiers entre personnes ou machines. Du fait de la nature furtive (car difficilement contrôlable) de ces échanges, la propagation d’un code malveillant au sein d’un système d’information peut être extrêment rapide et difficilement stoppable.

Infectée à l’extérieur du système d’information sur un PC personnel, d’un partenaire ou “pré-infectée” par des cybercriminels, la clé USB est un véritable cheval de Troie que vos utilisateurs font entrer dans le système d’information. Couplé à un peu social engineering, une clé USB pré-infectée devient un sésame pour entrer n’importe quel système d’information même le plus isolé au monde (par exemple une usine d’enrichissement d’uranium non connectée à Internet dans le cas de Stuxnet)

Informations complémentaires :

Les clés USB sont également bien utiles pour certaines populations tendances geek ou simplement technophiles qui veulent utiliser d’autres applications que celles proposés sur leur poste de travail d’entreprise. En effet, le plus souvent (c’est en tout cas une recommandation) les utilisateurs en entreprise ne disposent pas des privilèges d’administrateur limitant de fait la possibilité d’installer des applications sur le socle standardisé par l’IT et c’est là qu’interviennent les clés USB type U3. Celles -ci permettent d’utiliser des applications spécialement prévues pour fonctionner depuis une clé USB sans nécessiter d’installation sur le système d’exploitation.

Ces clés USB particulières ont plusieurs inconvénients pour les administrateurs et la sécurité du SI en général :

  • Elles laissent peu ou pas de traces sur l’ordinateur hôte
  • La mise à jour des logiciels présents n’est pas toujours possible ou faite, exposant ainsi la machine aux vulnérabilités de l’application (ex : un navigateur Web et ses plug-ins)
  • Le stockage d’informations potentiellement sensibles (cookies, mots de passe stockés d’applications Web d’entreprise dans le navigateur installé sur la clé)

Informations complémentaires :

Les services de stockage dans le Cloud quand à eux peuvent exposer de manière involontaire les données de leurs utilisateurs suite à  :

  • Une mauvaise configuration du fournisseur de Cloud
  • La découverte et l’exploitation de vulnérabilité(s) sur le service par des pirates
  • Le vol des crédentiels de l’utilisateur via attaque sociale (mail de phishing) ou infection préalable d’un de ses ordinateurs ou équipements mobiles
  • Une malveillance d’un des employés (ou sous-traitant) du fournisseur de Cloud

Informations complémentaires :

Réponses techniques

L’usage de mécanismes de chiffrements ou de contrôle d’accès (par mot de passe ou biométrie) sur ces périphériques amovibles personnels reste aujourd’hui marginal pour la majorité des utilisateurs. Les plus technophiles quand à eux ont déjà opté pour différentes solutions de chiffrement ou des clés avec chiffrement intégré

Si le poste de travail d’entreprise est un Windows 7 Entreprise ou Intégrale, je conseille fortement l’usage de BitLocker To Go qui permet de chiffrer l’intégralité des volumes des périphériques externes (clé USB ou disque) avec une protection par mot de passe et/ou carte à puce.

En utilisant les stratégies de groupe Active Directory et Microsoft BitLocker Administration Manager (disponible dans le pack MDOP 2011 R2), il devient possible aux équipes IT d’imposer le chiffrement obligatoire de tous les périphériques de stockage externes y compris ceux personnels (la technologie BitLocker To Go n’a qu’un seul pré-requis : le volume à chiffrer doit être supérieur à 64 Mo)

Si les postes utilisés dans l’entreprise ne sont pas encore en Windows 7 (ou alors uniquement en version Professionnelle), il est possible de passer par d’autres solutions de chiffrement soit :

  • Sous la forme de logiciels (exemple : TrueCrypt)
  • Sous la forme de clés / disques incluant des mécanismes de sécurité  : chiffrement, authentification

Dans tous les cas, la solution de chiffrement retenue doit pouvoir être configurable de manière centralisée et s’appliquer sur des périphériques non connues de l’IT.

L’autre option consiste à fournir aux employés des périphériques de stockage externe d’entreprise incluant les mécanismes adéquats et administrables de manière centralisée. Bien entendu, il convient d’évaluer les besoins en terme de stockage des employés (une clé USB de 128 Mo est rarement utile de nos jours Winking smile). Ceci a un coût certain mais au final quel serait le coût de la perte / du vol des données relatives à vos clients, secrets industriels ? A méditer…

Exemple de clé USB sécurisée (ici une clé Gemalto) intégrant des mécanismes de chiffrement, d’authentification…

Autre approche technique pour limiter le risque d’usage de périphériques externe sur des postes Windows  : bloquer via les stratégies de groupes l’installation et l’usage des clés et disques.

Détails techniques dans ce billet : Contrôle des stockages amovibles en entreprise – Partie 2 – Autoriser ou bloquer certains périphériques

Cette approche un peu extrême est efficace si elle est couplée à un contrôle des accès Internet. En effet, les services de stockage dans le Cloud sont la clé USB 2.0 Winking smile.

Si l’utilisateur n’a plus la possibilité d’échanger via des supports externes, il va se tourner :

  • Vers la messagerie d’entreprise ou une messagerie privée en ligne pour envoyer les fichiers de taille modeste (quelques Mo)
  • Vers un espace de stockage en ligne pour les fichiers de taille supérieure

Si le poste de l’utilisateur est connecté depuis le réseau d’entreprise, il est relativement aisé de filtrer les sites de stockage en ligne ou les messageries personnelles via des mécanismes de filtrage d’URL sur les proxies Web.

Exemple de proxy web avec filtrage par catégorie : Microsoft Forefront TMG 2010

Pour vérifier la catégorisation d’une URL à filtrer avec TMG, il est possible de tester cette URL sur le portail Microsoft Reputation Service (MRS) :

Reste qu’aujourd’hui, la majorité des PC d’entreprise sont des portables qui, une fois sortis du périmètre physique de l’entreprise, sont connectés directement sur Internet sans filtrage.

Une approche technique pour contrôler l’ensemble des connexions Web y compris quand le poste de travail est en situation de mobilité est de forcer la connexion distante au Système d’information et d’imposer l’usage du proxy d’entreprise.

Ceci est réalisable avec des postes Windows 7 (édition Entreprise ou Intégrale) connecté en DirectAccess avec le mode tunneling forcé.

Finalement, le mieux pour éviter l’usage de clés personnelles et de services Cloud de stockage personnel c’est de fournir aux utilisateurs professionnels des outils de collaboration et d’échanges adaptés.

Office Sharepoint Workspace (ex Groove) couplé à un serveur Sharepoint 2010 peut être une excellente solution de partage de fichiers fonctionnant à la fois en interne et sur Internet. Le choix d’une solution de collaboration dans le Cloud public telle que Office 365 (qui inclus Sharepoint Online) est également une très bonne option pour collaborer avec des personnes externes à l’entreprise.

Réponses sociales

Dans les actions de sensibilisation auprès des employés, il est donc fortement recommandé de passer le message suivant “la valeur du matériel volé/perdu n’est rien en regards de la valeur du contenu

Donc si vous (administrateur IT) ne mettez pas en place de solutions techniques pour limiter ces risques de perte ou de vol de périphériques / informations, il est fortement recommandé d’encourager les utilisateurs à :

  • Faire usage de clés incluant des mécanismes de sécurité (chiffrement intégré, mot de passe, biométrie…)
  • Ne pas stocker de données sensibles de l’entreprise sur des stockages de type cloud

Ne pas hésiter à rappeler qu’en protégeant les informations sensible de l’entreprise, les employés protègent aussi leur poste….

Opportunités

L’usage de périphériques de stockage personnels offre quand même des avantages :

  • l’IT n’a pas à payer ni gérer ces consommables !
  • Les utilisateurs prennent plus de précaution avec du matériel qu’ils ont payé de leurs deniers
  • Les utilisateurs collaborent mieux et sont donc plus productifs

L’usage de stockage dans le Cloud offre :

  • Plus d’agilité et une certaine garantie de disposer facilement des données que ce soit depuis un poste traditionnel ou depuis un équipement mobile (smartphone, tablette)
  • De mieux collaborer avec ses partenaires ou clients externes

En conclusion, plutôt que de subir cet aspect de la consumérisation de l’IT, les entreprises devraient toutes mettre en oeuvre un chantier concernant le stockage et l’échange de données.

- Stanislas Quastana – aussi sur Facebook (consumérisation oblige Winking smile)