Pourquoi les fuites de données infonuagiques arrivent?

Dans le premier article de cette série, nous avons vu en quoi consiste une perte de données infonuagique et ce qui les distingue des autres types d’attaques. Nous avons fait un bref survol des raisons derrières ces pertes de données. Dans cet article, nous allons explorer d’avantage le pourquoi et le comment de ces pertes de donnés.

Pour comprendre pourquoi des données sont perdues, il faut comprendre comment les données sont générées, manipulées, modifiées et utilisées. Il existe une acceptation commune, dans un spectre assez large, que les entreprises collectent et analysent ces données pour différentes raisons, que ce soit pour augmenter les ventes en comprenant d’avantage ses clients, améliorer ses processus, améliorer le produit et ainsi de suite. Ainsi, il devient nécessaire de corréler, manipuler les données pour en faire ressortir l’information recherchée. Ces modifications peuvent être très complexes. Voilà pourquoi il existe plusieurs copies des mêmes données. L’environnement de production ou les nouvelles données sont stockés et ou les analystes peuvent faire des recherches, les copies de sauvegarde, l’environnement de développement, de test, un analyste qui a copié les données sur son ordinateur personnel pour pouvoir travailler de la maison et j’en passe. Le cout du stockage est 6 fois moins cher aujourd’hui qu’il ne l’état en 2010. Faire des copies des données est peu dispendieux et très pratique. Toutefois, en augmentant le nombre d’endroits ou les données existent, le risque augmente aussi puisque l’ensemble de ces endroits doivent être protégés adéquatement.

Les données passent au travers d’une multitude de contrôles et de point de sécurité. C’est ce qu’on appelle la chaine de confiance. Que ce soit des logiciels de DLP, des unités de stockage encryptées, des pares-feux, des ordinateurs, des clé USB et très souvent dans un nuage. Une chaine n’est aussi forte que son maillon le plus faible.

Cette méthode est très rependue dans la plupart des entreprises. Il ne s’agit pas seulement d’entreprises de télécommunications, de fournisseurs de la défense nationale, mais toutes les entreprises. Le virage numérique est un changement fondamental qui affecte toutes les entreprises dans la façon dont elles interagissent avec leurs clients, leurs façons de faire. Certaines entreprises ont l’expertise pour gérer leurs données et extraire les métriques qui leurs importent, d’autres choisissent de faire affaire avec des entreprises spécialisées dans le domaine. Une nouvelle économie des données existe avec ces entreprises spécialisées qui ont les compétences et les outils nécessaire pour gérer ces informations.

La facilité de copier ces données multipliées par la valeur des métriques extraites des données poussent les entreprises à les utiliser davantage. Ainsi des investissements majeurs en infrastructure en nuage sont faits pour mieux performer en termes de rapidité et de volume. Toutefois, pas autant d’attention et d’investissement ont été fait à analyser les risques potentiels d’affaire et encore moins à mitiger les risques que posent ces données facilement accessible, copiables et distribuables.


L’attrait du nuage :

Les avantages des infrastructures en nuage sont bien connus. En moins de 10 minutes vous avez à votre disposition l’équivalent de centaines de milliers de dollars de serveurs sans avoir à vous soucier de la configuration. Ils ne requièrent pas de capitalisation d’équipement, ils sont élastiques, c’est-à-dire qu’ils grossissent et rapetissent avec vos besoins, ils sont facilement automatisables. Cette automatisation peut parfois laisser des angles morts opérationnels. Ces angles morts peuvent, bien que petits, peuvent laisser des données personnelles exposées publiquement; peu importe la plateforme. Que ce soit Google Cloud Platform, Amazon Web Services, Microsoft Azure, IBM BlueMix, en fait n’importe quelle infrastructure exposée à internet est susceptible d’être la cible d’une erreur humaine ou d’un accident et d’ainsi exposer vos données. Il est important de noter que les plateformes mentionnées ci-haut ont leurs paramètres privés par défaut. Les fuites de données ne sont pas spécifiques à une plateforme en particulier mais plutôt aux processus et aux manques de contrôles de sécurité en général.


Gestion des données personnelles :

Certains pays ont commencé à mettre en place des procédures de gestion de données personnellement identifiables (PII) telles que le GDPR en Europe, HIPAA aux États-Unis. D’autres organisations ont déjà depuis plusieurs années mis en place une politique similaire telles que PCI DSS. Au Canada et au Québec, certains projets de loi sont en cours, mais rien de concret n’est encore mis en place. Il faut comprendre que ces politiques sont généralement des cadres plutôt que des instructions spécifiques sur la sécurisation des données.