BlueFiles : Lorsque sécurité rime avec simplicité
octobre 2023 par Marc Jacob
Lors des Assises de la Cybersécurité, BluFiles avait convié Emmanuel DEBOFFLES, Responsable du département sécurité des systèmes d’information à la Caisse Nationale d’Assurance Maladie pour témoigner sur l’utilisation de la solution de transfert de fichiers de données sensibles de BlueFiles.
L’équipe de BlueFiles : Florian Jacquot (à gauche) et Emmanuel Solly (au centre) et Philippe Loudenot
En préambule, Philippe Loudenot, Cyber security Strategist de Bluefiles rappelle qu’il y a 18 ans les Assises prenaient leurs quartiers à Monaco. L’organisation avait entamé les débats concernant l’intelligence économique et la protection des données. Dans l’établissement d’un livre blanc par pierre Luc Refalo, les chiffres concernant la protection des informations montrent un consensus sur la nécessité de faire quelque chose. Nous allons essayer de voir au travers de cet atelier ce qu’il en est.
Puis, il a présenté Emmanuel DEBOFFLES, Responsable du département sécurité des systèmes d’information à la Caisse Nationale d’Assurance Maladie qui a expliqué qu’elle est composée de 5 branches avec des données sensibles mais pas que des données de santé. Il a présenté quelques chiffres clés sur la Caisse Nationale d’Assurance Maladie comme par exemple les 43 millions adhérents au compte ameli & les 2 millions de connexions/jr ou encore les 68 millions de bénéficiaires, soit 90 % de la population. Pour sécuriser des données une classification des données permettant de voir celles qui doivent être protégées en confidentialité a été mise en œuvre explique Emmanuel DEBOFFLES. Ainsi, il dénombre les données médicales et données de santé, dossiers de lutte contre la fraude, les éléments de sécurité du système d’information et les documents de stratégie d’entreprise sont classées secret. Les données à caractère personnel, les Informations financières et les éléments techniques SI sont pour leur part classés confidentiel. Les données générales à caractère personnel (qu’on peut obtenir facilement) et les données internes sont restreintes. Enfin les données publiques sont classé public. Parmi ces données certaines sont protégées par la réglementation mais beaucoup ne sont pas ou mal protégées lors des transferts. Ces besoins d’échanges doivent tenir compte des destinataires dont on ne connait pas nécessairement la maturité cyber voire numérique. Les échanges peuvent être effectuées avec l’envoi de pièces jointes d’un poids supérieur à ce qui est admis par les messageries (>10 Mo).
Pourtant toutes données sont échangées avec des structures diverses à commencer par l’Etat, les professionnels de santé, les établissements de santé et médico- le monde de l’entreprise, Les assurés et la société civile, les institutions et organismes publics, les collectivités locales, les établissements d’enseignements supérieur et professionnels… Pour Emmanuel DEBOFFLES les échanges pour améliorer le niveau de sécurité sont indispensables comme par exemple dans le domaine de la Gestion du risque il a des échanges avec les CAF, pour la lutte contre la fraude il échange avec des correspondants externes [URSSAF, Pôle emploi, CARSAT, DGFIP, Préfecture, CAF]… Pour que ces échanges se réalisent de façon convenable, le besoin de simplicité est majeur si l’on veut que les utilisateurs s’approprient une solution car, contrairement à différentes solution cyber que l’utilisateur ne voit jamais et dont il n’a pas nécessairement conscience, là, il doit être acteur de la cyber. Les chiffres montrent une nécessité de proposer cette simplicité et éviter des incidents induits par un manque de maîtrise. Pire, les utilisateurs peuvent ainsi amener des solutions qui échappent à la DSI, au RSSI et de facto à l’entreprise pouvant ainsi la mettre en danger. Par exemple toute embauche induit la demande de documents sensibles. Peu de structures mettent en œuvre des dispositifs pour échanger avec les postulants qui mettent ainsi leurs données en danger. Et on peut multiplier les exemples concrets comme sur 2 postes où il est demandé par retour de mail des pièces sensibles. Il faut garder à l’esprit que le mail n’est qu’une carte postale que l’on peut de façon légitime ou non retourner et prendre connaissance des informations contenues. Sans compter, si l’on va plus loin, une simple recherche sur internet, avec des mots clef choisis, permet de remonter des informations pourtant taguées comme confidentielles.
Philippe Loudenot considère que si l’on veut réussir le challenge d’embarquer les utilisateurs et d’avoir confiance dans les outils proposés, ces derniers doivent être simples afin de permettre leur appropriation : BlueFiles LA solution de transfert de données sensibles. Sa philosophie répond à 4 critères principaux :
- Sécurité : la solution dispose d’un visa de sécurité de l’ANSSI
- Simplicité : car comme déjà indiqué mais nous allons y revenir, seule la simplicité permet d’embarquer les utilisateurs et de les faire devenir acteurs de la sécurité
- Souveraineté car la confiance ne se décrète pas, elle se mérite. Une solution dont on a la maîtrise et permettant de garder une autonomie stratégique
- Sobriété car l’on doit réduire le coût énergie du numérique et BF permet de ne pas envoyer N fois N pièces jointes à N destinataires
En gardant conscience que si RSSI, DPO, DSI ne sont pas force de proposition pour des choses simples et sécurisées, les utilisateurs contourneront les règles et induiront du Shadow IT.
Dans le challenge que permet de relever BlueFiles, la simplicité est présente. L’utilisateur peut travailler sans changer ses habitudes de travail. Il poste depuis Outlook directement mais le destinataire peut lui répondre directement en bénéficiant du même niveau de sécurité (qu’il soit client ou non de la solution).
BlueFiles permet également de créer des boîtes de dépôt permettant ainsi à un tiers de déposer des documents sensibles en toute sérénité (Cf. exemple des pièces demandées lors d’un recrutement)
Philippe Loudenot annonce la grande nouveauté présentée aux Assises : le filigrane DYNAMIQUE. A l’instar d’Ange Leoni dans l’enquête Corse, qui indique sa position à ses « amis » avec, pour chacun, des adresses différentes. Il garde une vue sur les rues indiquées, il voit ainsi arriver les voitures de police par des rues toutes différentes lui permettant ainsi de connaître ceux qui l’ont trahi.
Il est ainsi possible de demander l’apposition d’un filigrane dynamique sur les pièces jointes PDF permettant d’identifier le destinataire qui aurait par négligence ou malveillance (ce cas étant d’école) diffusé des données sensibles.
Comme cela a été indiqué par une DPO ministérielle, BlueFiles est une solution simple d’utilisation qui permet sans remettre en question les habitudes de travail d’échanger des données confidentielles
Articles connexes:
- Maxime Alay-Eddine, Cyberwatch : les RSSI doivent mettre en place une approche proactive et globale de leur sécurité informatique
- Humeau, CrowdSec : les RSSI doivent anticiper les attaques car elles n’ont rien d’innovant depuis 10 ans
- Gilles Castéran, Memority : L’identity Factory, Memority pour unifier, démocratiser, rationaliser et automatiser la gestion des accès et des identités numériques
- Antoine Botte, Nucleon Security : Il est essentiel de briser les silos entre les différentes technologies et solutions de cybersécurité
- Benjamin Leroux, Advens : Au vue des menaces, les RSSI doivent renforcer leur stratégie Cyber
- Sivan Harel, Pentera : les équipes sécurité doivent valider leur solution de cybersécurité en les testant
- Gilles Castéran, CEO de Memority : Mettez en place avec la DSI une Identity Factory
- Alexandre Pierrin-Neron, Lacework : Une analyse continue, basée sur du machine learning permet d’éviter bon nombre de problèmes
- Lionel Doumeng, WithSecure : Pour une approche de la cybersécurité efficace, pragmatique et la plus simple possible
- Hervé Hulin Jscrambler : Les RSSI doivent couvrir le côté client de l’architecture pour protéger ainsi les utilisateurs et clients des sites Web
- Yves Wattel, Delinea : Pour réduire les menaces les RSSI doivent déployer des solutions qui automatisent la sécurité
- Fabrice Bérose, IDECSI : Pour se prémunir contre les fuites de données, il est précieux de mettre en place une Data Access Governance efficace
- Olivier Tireau, SentinelOne : Nous souhaitons à l’aide de nos solutions accompagner aux mieux nos clients
- Jean-Michel Tavernier, Armis : Les programmes de cyber-résilience les plus efficaces s’articulent autour de l’alignement continu des activités et de l’établissement de priorités
- Ajay Thadhaney, Onapsis : Les systèmes ERP tombent souvent dans l’angle mort de la cybersécurité
- Benoit Grangé Sysdream / Hub One : Si l’automatisation reste une aide efficace, les RSSI doivent toujours garder un œil sur les processus automatisés
- Laurent Tombois, Bitdefender : il est essentiel de disposer d’une sécurité robuste des terminaux et de plusieurs couches de défense pour maintenir la cyber-résilience
- Guillaume Leseigneur, Cybereason : nous arrivons aujourd’hui à un nouveau point de basculement dans le paysage des menaces
- Raphael Illouz et Axel Tessier, PURPLEMET : Il est indispensable d’avoir une gestion proactive, exhaustive et en continu de la sécurité
- Adrien Merveille, Check Point Software Technologies : Face aux menaces, il faut réduire la complexité pour réduire les risques
- Olivier Godin, Zscaler : Nous souhaitons aider les RSSI à améliorer leur posture de sécurité, leur résilience et leur agilité
- François Khourbiga, Defants : Nous offrons aux RSSI un accès universel à une expertise de pointe en réponse aux incidents
- Thomas Manierre, BeyondTrust : les comptes à privilèges restent toujours à surveiller !
- Adrien Porcheron, Cato Networks : La prévention, la conformité, la gestion des risques sont des défis pour tous les RSSI et DSI
- Pierre-Yves Hentzen, STORMSHIELD : Nous mettons tout en œuvre pour limiter la portée des attaques et les besoins en remédiation
- Matthieu Trivier, Semperis : Les RSSI doivent se préparer dès à présent à la directive NIS 2
- Samuel Hassine, Filigran : Connaissez mieux vos adversaires !
- Jérôme Warot, Tanium : Les RSSI doivent approfondir la collaboration avec les Ops, améliorer son évaluation du risque, renforcer la gouvernance et développer les partenariats stratégiques
- Boris Lecoeur, Cloudflare France : Les RSSI doivent casser les silos entre les DSI, CTO...afin d’établir un contrat de confiance en interne et avec les fournisseurs
- Eric Fries, Allentis : Il est temps de s’intéresser aux indicateurs bénéfices sur prix, et qualité sur prix.
- Les Assises : Tous unis pour lutter contre les menaces cyber
- Gérald Delplace, Imperva : Nous accompagnons les entreprises du monde entier dans leur démarche de modernisation numérique
- Cloudflare,vers l’usage de l’IA au quotidien
- Vladimir Kolla Patrowl. : "Abandon pentest, Embrace progress !"
- Bilan de la 23è édition des Assises de la Cybersécurité