Bonjour,
On 16.06.20 11:59, Grégoire Métral wrote:
J'ai une demande de ma hiérarchie pour mettre en place un "coffre-fort
numérique" afin d'y stocker des données sensibles (mots de passe,
données de carte de crédit ou autre).
Avant de choisir une solution plutôt qu'une autre, il convient de bien
cerné le type de données qui sera détenu. Il y a une législation en
place à ce sujet en Suisse et un très grand nombre de petites
entreprises ne sont pas au courant de ces lois (LPD) et de ces exigences
(nul n'est censé ignorer la loi).
https://www.admin.ch/opc/fr/classified-compilation/19920153/index.html#:~:text=Les%20organes%20f%C3%A9d%C3%A9raux%20ne%20sont,il%20existe%20une%20base%20l%C3%A9gale.&text=Des%20donn%C3%A9es%20sensibles%20ou%20des,pr%C3%A9voit%20express%C3%A9ment%2C%20ou%20si%20exceptionnellement%3A&text=a.,-l'accomplissement%20d
https://libguides.graduateinstitute.ch/c.php?g=652466&p=4675641
https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/generalites/protection-des-donnees.html
Il s'agit là seulement de ce qui a trait à la loi sur la protection des
données.
Vous mentionnez aussi des données de carte de crédit. Là aussi, il
s'agit d'informations très sensibles car financières et liées à des
personnes. En général, le stockage de ce genre d'information est
clairement réglementé par les société émettrices de cartes. Vérifier que
ces émetteurs n'exigent pas une certification particulière pour le
stockage de cette information. En cas de vol, si les certifications ne
sont pas en place et officielles, attendez-vous à ce que ces sociétés se
retournent contre vous et vous fasse payer l'intégralité des dommages,
en plus de frais de justice et d'avocats. Si vous avez besoin de faire
un site marchant, il existe des plateformes qui gèrent les transactions
de paiement et vous mettent à l'abri de ce genre de situation; en vous
évitant de devoir stocker ce genre d'information sensible.
Les données devront être visibles par plusieurs personnes (direction,
administration). Nous avons à disposition des serveurs GNU/Linux (que
nous pouvons configurer à notre goût), et les clients qui y auront accès
sont variés (GNU/Linux, Windows et Mac).
Le niveau de confidentialité des informations doit être clairement
défini et documenté (confidential, private, public, etc.). Ensuite, les
rôles et droits d'accès doivent aussi être maîtrisés. Malheureusement, à
ce stade, on ne peut plus compter sur les simples droits d'accès de
fichiers Linux. Il s'agit là de ce que l'on appelle Identity & Access
Management (IAM). Il faut aussi (normalement) mettre en place des
systèmes appelés Data Loss Prevention System (DLPS). Ceci est destiné à
éviter qu'une personne non-autorisée puisse accéder à des données
sensibles auxquelles elle n'est pas censé avoir accès. Par exemple,
certains fichiers ou données ne doivent pas pouvoir être envoyé par
mail, imprimées, stockées sur une clef USB, etc.
Je n'ai pas l'impression qu'il faille être paranoïaque:
Détrompez-vous ! L'accès aux données est devenu un véritable business
qui rapporte de l'argent. C'est l'un des principales activités des
pirates aujourd'hui; afin de pouvoir les revendre sur internet (# de
carte de crédit par exemple). Il faut justement se montrer très stricte,
mais pas besoin de se déguiser en Ninja pour se rendre au bureau non plus.
un système crypté et des mots de passe pour y
accéder devraient faire l'affaire.
Plus vraiment. La tendance est au certificats et a l'authentification à
deux facteurs pour un contrôle d'accès à distance.
On ne peut plus vraiment se contenter d'un simple MDP (il existe de
nombreux moyens aux pirates pour obtenir ces MDP, les détourner ou
abuser les serveurs). Les attaques deviennent de plus en plus
sophistiquées et le moyen le plus utilisé par les pirates est le
"phishing" pour obtenir des informations personnelles (CERT). De plus,
vous seriez étonné du pourcentage de gens qui ne respectent pas les
attitudes et procédures de sécurité minimum. Il n'est pas rare d'avoir
30% d'utilisateurs qui ouvrent des pièces-jointes ou répondent aux
sollicitations des pirates par phishing. Il existe des sociétés
spécialisées dans ce genre de test et il n'existe aucune société dans le
monde qui soit arrivé à un score de 100% de comportement correcte de la
part de ses utilisateurs. Ces tests doivent normalement être menés une
fois par an.
https://blog.knowbe4.com/phishing-remains-the-most-frequent-attack-vector-used-for-initial-access
https://www.zdnet.com/article/ransomware-attacks-weak-passwords-are-now-your-biggest-risk/
https://www.balbix.com/insights/attack-vectors-and-breach-methods/
J'ai l'expérience de encFS, qui me convient bien, mais la version 1.8
semble avoir encore des vulnérabilités. Est-ce que vous recommanderiez
une solution de ce type? Ou un cryptage au niveau fichier? Faire
attention plutôt au contrôle d'accès?
Il y a une grande différence entre sécurisé son ordinateur
personnel,avec des données perso dessus, et le faire à l'échelle d'une
entreprise. Une entreprise détient forcément de multiples données
personnelles et est donc soumise à la LPD ! C'est donc tout de suite un
autre monde.
Je n'ai cité que quelques références dans ce mail, mais il est évident
qu'il existe des milliers d'autres sources d'information sur ce sujet
sur internet. A vous de faire vos recherches pour savoir ce dont vous
avez besoin. Une fois que vous aurez clairement identifié ces besoins,
vous pourrez vous consacrer à la recherche des solutions qui vous
permettront de les satisfaire.
dc
_______________________________________________
gull mailing list
[email protected]
https://forum.linux-gull.ch/mailman/listinfo/gull
