Trois principaux éditeurs de logiciels se battent sur le terrain de la sécurité des données. Il ne s’agit pas seulement d’accès aux applications mais des données qui sont stockées en toute liberté sur les disques durs des serveurs et des NAS.
Paradoxalement, l’accès aux données est souvent complètement libre pour peu que l’on fasse partie des utilisateurs du réseau et identifié dans l’annuaire de l’entreprise. Mais les vols de fichiers stratégiques, sans compter ceux comportant des références de carte bleues des clients, sont devenus assez courants pour que les soupçons finissent parfois par remettre en causes certains membres de l’entreprise. Et dans ce cas, la diffamation peut conduire à des démissions ou à des licenciements qui n’auraient pas eu lieu si les données confidentielles avaient étés mieux protégées. Toutes les semaines les grandes entreprises, les partis politiques, les gouvernements voient leurs pratiques discutables dévoilées en grandeur nature faute de précautions. On ne compte plus les documents de préventions dans les grandes entreprises pour éviter cela; même le MEDEF propose des solutions !
La responsabilité des entreprises lors de divulgations involontaires d’informations personnelles, en particulier sur la santé, a favorisé l’adoption de logiciels de sécurité qui s’adressent aux données.
Dans ce domaine Tripwire, Imperva et Varonis fournissent des logiciels pour identifier les utilisateurs des données sensibles et analyser qui accède régulièrement aux données et à quel contenu précisément. Les différentes solutions se concurrencent sur la cible principale, celle des données mais chacune offre des extensions originales. On peut tenter de suivre les agissements des utilisateurs distants, identifier qui fait quoi sur le réseau ou carrément chiffrer les données pour que les seuls utilisateurs autorisés puissent y avoir accès.
Une étude de Varonis sur les attentes des utilisateurs
Prés de 300 visiteurs professionnels des salons de sécurité RSA Conference en février et Infosecurity Europe en avril dernier ont été interrogés par Varonis sur ce qui ralentissait l’adoption d’outils de recherche de documents en entreprise. 68 % des personnes interrogées ont mentionné le risque de voir des collaborateurs découvrir et de copier des fichiers auxquels ils ne devraient pas avoir accès.
Même si un logiciel de recherche peut filtrer parfaitement les résultats en fonction des permissions, la majorité des personnes interrogées doutait de l’actualisation des permissions d’accès en place. Les trois autres principales réticences les plus fréquemment citées étaient l’inexactitude des résultats (36 %), la difficulté d’adoption par les utilisateurs finaux (29 %) et l’incapacité des logiciels à évoluer suffisamment pour indexer l’intégralité des données (24 %).
Cette étude qui sert à Varonis pour vendre son programme de recherche en entreprise Dat answers souligne les limites actuelles des autres outils de sécurité et montre le coeur du sentiment des RSSI. « Le danger provient de l’intérieur. On a l’habitude de surveiller les attaques externes mais l’essentiel des dangers importants provient souvent des applicatifs partagés, des données stockées en commun sur les disques de serveurs ou des NAS ; dans tous les cas les documents essentiels doivent être protégés, c’est une obligation légale.
Si Varonis, firme cotée en bourse depuis mars a choisi de suivre dans le détail l’évolution des documents, une autre société israélienne, Imperva, vise aussi la fuite d’informations, la gestion des risques et les exigences de mise en conformité vis-à-vis des régulations liées aux données. Créée en 2002 par Shlomo Kramer, le co fondateur de la société Check Point, cette firme désormais l’une de plus grandes dans ce secteur assez spécialisé de la sécurité, emploie 693 personnes Elle aussi se préoccupe aussi des données, des utilisateurs et des applications qui accèdent aux ressources afin de protéger les actifs sensibles sur lesquels reposent l’activité de l’entreprise.
Le troisième larron s’appelle Tripwire
La firme américaine Tripwire, la plus ancienne dans le domaine de la gestion des documents sécurisés, elle aussi assure que si l’un des fichiers sensibles sur l’un des serveurs est modifié, cela déclenchera une alerte.
Sur le principe de fonctionnement le suivi des fichiers est dans les trois sociétés à peu prés le même. Chaque fichier possède une sorte de signature électronique associée à un utilisateur ou à un groupe d’utilisateurs. L’ensemble des signatures est conservé dans une base de données et dés qu’un de fichier est modifié, on peut identifier son utilisateur. Les trois éditeurs se différencient sur la manière d’afficher le suivi des fichiers et les rôles des utilisateurs, chacun mettant en avant les exigences de mise en conformité vis-à-vis des régulations liées aux données. D’autres grands éditeurs comme Check Point ou Symantec proposent aussi des moyens de contrôler les accès aux fichiers mais peu s’impliquent autant dans le suivi des documents. Des spécialistes de la gestions de documents ( Geide) propose aussi des solutions mais qui reposent sur des techniques moins ouvertes au Cloud.
le point de vue d’un des principaux acteur
Pour Norman Girard, directeur des ventes Europe pour Varonis, la force principale de son logiciel vedette Datadvantage ( capture ci dessous) est de s’adapter à la plupart des systèmes de stockage et de serveurs. Il cible l’essentiel, les fichiers bureautiques Microsoft et en particulier ceux de SharePoint. « On a plus de 2600 clients en Europe qui nous ont choisi pour la simplicité de mise en œuvre. Au départ nous ciblions les très grandes entreprises mais au fur et à mesure on s’est mis à vendre aux PME, on dispose même d’une version 25 utilisateurs ». L’évolution récente de Varonis a été d’investir les offres de Cloud pour répondre à l’évolution des mœurs et d’offrir une solution DatAnywhere, très ouverte aux mobiles, une sorte deDropbox d’entreprise pour sécuriser les documents. DatAnywhere reprend les principes du logiciel maison et transforme instantanément les fichiers partagés d’une entreprise en une sorte de cloud privé sécurisé et offre aux collaborateurs, partenaires et clients un accès mobile et une synchronisation aux fichiers stockés en interne. DatAnywhere peut transformer des téraoctets de données en cloud privé sans les déplacer. La firme a aussi développé des partenariats avec EMC et Netapp pour offrir des solutions sécurisées de stockage. Selon Norman Girard le prix du logiciel revient à peu prés par mois à 2,5 euros par utilisateur sur la base d’une entreprise de 1000 personnes sous contrat de 36 mois.
La progression du Cloud et la dématérialisation des documents a crée de nouvelles contraintes sécuritaires et la gestion ‘rapprochée ‘ des documents sensibles va devenir de plus en plus importante.