Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

Satellite, l'offre de service du CERT-CONIX pour détecter les fuites de données

L’incident de sécurité n’arrive pas qu’aux autres, la CNIL l’écrivait en 2017 avant l’entrée en vigueur du Règlement général sur la protection des données (RGPD/GDPR). L’important, c’est de se préparer à l’incident et d’anticiper sa capacité de réaction.

Depuis l’entrée en vigueur du RGPD, tous les organismes sont soumis à une obligation de notification des violations de données personnelles à la CNIL. Une nouvelle fonction a aussi vu le jour, le Délégué à la protection des données (ou DPO).

Le DPO a un rôle central pour l’organisme qu’il représente. Il est ainsi le contact privilégié de la CNIL. Il devra être en capacité de démontrer que les traitements réalisés sont conformes au règlement mais aussi d’alerter la CNIL (et possiblement les personnes), si une violation de données fait peser un risque sur les personnes.

Fuite de données

Une violation de données arrive quand il y a atteinte à sa confidentialité (divulgation), à son intégrité (modification) ou sa disponibilité (destruction) et que ce n’est pas souhaité.

En cybersécurité, la fuite de données est la violation la plus caractérisée (données divulguées, soit à un organisme tiers, ou rendues publique). Il n’est pas nécessaire de mettre en place des mécanismes complexes sur le système d’information de l’organisme pour trouver des traces de données fuitées. Souvent, l’alerte est remontée par des chercheurs en cybersécurité, quand cela ne vient pas des hackers mêmes qui ont perpétré le méfait (avec demande de rançon).

Si l’organisme veut être pro-actif, il devra s’appuyer sur un service de détection de fuite de données pour scruter en continu l’ensemble des pages publiques d’internet. On entend par pages publiques l’ensemble du Web indexé accessible via les moteurs de recherche, les réseaux sociaux, les DeepNet et le DarkNet.

Ces services de détection se retrouvent au niveau des équipes de SOC et /ou CERT (Computer Emergency Response Team).

L’exemple de Facebook est intéressant. Après l’affaire de Cambridge Analytica, ils ont fait le choix de la transparence et ont rendu publiques 2 fuites de données, en mai 2018 avec les données de 14 millions d’utilisateurs accessibles et encore dernièrement où le nombre d’utilisateurs impactés avoisine les 50 millions.

La cybersécurité au service du DPO

La sécurité, c'est 3 composantes : prévention, Détection et Réponse aux incidents

La cybersécurité, c’est une approche en continue qui doit s’appuyer à la fois sur la prévention, sur la mise en place de moyens de détection et sur des capacités de réaction :

Si les moyens de prévention n’ont pas été efficaces, ou s’ils ne sont pas implémentés, les autorités attendent que les organismes soient en capacité de détecter et de remonter une fuite de données ayant eu lieu. L’organisme, via son DPO s’il en a la responsabilité, devra ainsi notifier à la CNIL la fuite de données en moins de 72h à constat de l’incident (et si celui-ci présente un risque important pour les personnes concernées). Pour autant, « l’accountability », ou principe de responsabilité, attend du DPO que l’incident soit documenté, même s’il ne présente pas un risque pour les personnes et qu’il n’est pas remonté à la CNIL.

La question qui découle de ce constat pour le DPO et son responsable de traitement est donc la suivante : comment peut-il détecter une fuite de données de façon fiable quand elle s’est produite ? Il n’est pas rare pour des entreprises de découvrir qu’elles ont subi une fuite de données ou que leurs données sont accessibles de façon publique depuis un certain temps (souvent des mois) sans qu’aucun collaborateur ne s’en soit rendu compte. La détection en temps réel de fuites de données est pour le moment l’apanage de grandes sociétés telles que les GAFAM et les organismes pour qui le secret fait partie du modèle économique. Elles ont la capacité financière et organisationnelle de se doter d’équipes SOC conséquentes. Celles-ci peuvent suivre en détail l’activité du réseau (flux des données), tant au niveau surveillance du trafic réseau des datacenters, qu’au niveau de l’utilisation ou de potentiel abus sur des composants techniques (API) utilisés pour s’interconnecter avec le reste du monde.

Détecter une fuite de données

Une des solutions simple et rapide à mettre en place pour détecter une fuite de données est d’appliquer les techniques du renseignement de façon ciblée là où l’on craint une fuite de données. Il s’agit principalement de rechercher des données à caractère interne uniquement sur des plateformes de partage de document, de travail collaboratif, ou sur le web en général. L’exemple le plus évident est d’effectuer une recherche sur Google des fichiers de type pdf contenant « confidentiel » suivi du nom d’un organisme. Ce genre de recherches pouvant être extrapolées à un certain nombre de type de fichier et de données sensibles, notamment les données personnelles.

La principale activité à réaliser par le DPO et ses équipes pour connaître son exposition revient donc à établir dans un premier temps une liste de mots-clés reflétant les données à caractères sensibles et ensuite, de les rechercher sur l’ensemble des bases ouvertes (OSINT), ainsi que les bases privées pertinentes.

Le service Satellite proposé par le CERT-Conix pour détecter les fuites de données permet à un DPO de s’affranchir de la seconde partie en proposant un service clés en main pour lequel il ne faut fournir que la liste de mots-clés idoines.

Certains organismes ne souhaiteront pas fournir de mots clés, Satellite pourra pour autant être fonctionnel après une phase d’intégration différente et s’appuiera sur une approche en cybersécurité dite « Honey data ». Le but est d’ajouter des marqueurs à certains fichiers sensibles, ou bases clientes, et d’étudier si ces marqueurs ou motifs fuitent à l’extérieur de l’organisme.

Hormis ce cas particulier où le secret des informations est tel qu’elles ne peuvent être communiquées à Conix, le fonctionnement de Satellite intervient en complément des méthodes classiques de prévention des fuites de données. Satellite s’inscrit ainsi dans un contexte de défense en profondeur face aux fuites de données en détectant et anticipant les conséquences. Ceci permettra à une entreprise de réagir conformément aux réglementations dans le cas où tous ses autres moyens de prévention ont échoué.

Le positionnement totalement externe de Satellite et non-connecté aux systèmes d’information à surveiller permet également à ce service d’être agnostique quant à la façon dont la fuite de données a eu lieu.

Mais comment arrive une fuite de données ?

On peut la classer selon 4 grandes familles :

  1. Vol de données suite à une intrusion malveillante ciblée ou liée à la cybercriminalité

    Ce fut le cas du cabinet Deloitte en 2017 qui fut ciblé par des pirates informatiques. L’activité de ce cabinet d’audit l’amenait à être au fait de données stratégiques de différentes grandes sociétés du CAC 40. Il est ainsi important de rappeler que la sécurité des données est nécessaire sur l’ensemble de la chaîne de traitement, les tiers qui sont amenées à traiter vos données doivent aussi mettre en place les mesures visant à réduire le risque.

  2. Vol de données suite à la malveillance d’un utilisateur interne du système

    Ce fut le cas en juin 2018 pour le constructeur automobile Tesla qui fut victime de la colère d’un employé. Celui-ci vola des données liées aux secrets de fabrication et les communiqua à des tiers avec pour but de faire du profit et de déstabiliser l’entreprise.

  3. Disponibilités de données suite à une mauvaise configuration ou un abus des composants technique

    Par exemple, des serveurs avec une exposition des données sur Internet, des API mal sécurisée d’un service en ligne, etc. Ces incidents arrivent malheureusement régulièrement et touchent des services grands publics. Ce fut le cas pour Facebook, mais aussi pour des sites marchands, comme la société Ouicar, sanctionnée par la CNIL pour un défaut élémentaire de sécurité.

  4. Disponibilités de données suite à la négligence d’utilisateurs du système

    Certains utilisateurs sont inconscients du risque qu’ils font peser sur leur organisme et vis-à-vis des personnes qui font leur confiance. Ce fut le cas pour des personnes utilisant les services de la société d’information financière Bloomberg. Ils ont eut la mauvaise surprise de voir leur nom et employeur apparaître sur une liste publique alors qu’ils communiquaient dans un espace devant protéger leur identité.

Les moyens de sécurité en prévention diffèrent suivant la menace et nécessitent un investissement humain, organisationnel et financier plus ou moins important.

Les moyens de prévention les plus connus sont ainsi la sensibilisation des collaborateurs, la détection via des outils du marché, la mise en place de processus et la vérification de leur bonne implémentation via des contrôles multi-niveaux.

L’intérêt de Satellite ?

Exemple de mail envoyé par Satellite

Les principales forces de Satellite tiennent dans sa simplicité de mise en œuvre ainsi que dans sa non-intrusivité dans les systèmes d’informations à surveiller. En effet, toutes les activités sont réalisées depuis le système d’information Conix et est donc décorrélé du système d’information de l’organisation à observer. Le coût de mise en oeuvre est donc faible et la phase d’intégration du produit avec les équipes métiers est rapide (travail sur la liste de mots-clés idoines).

Les réglementations européennes et françaises (eIDAS, NIS, ePrivacy, DSP2, LPM, etc.) sont de plus en plus contraignantes en termes d’obligation de notification aux différentes autorités. Le processus de gestion des incidents doit donc évoluer pour prendre en compte tous ces nouveaux acteurs, mais aussi les délais imposés par ces autorités. Satellite est un outil qui s’affranchit des secteurs d’activités et des réglementations.

Si une donnée sensible de l’organisme est disponible en clair sur internet (qu’elle soit personnelle ou qu’elle relève du droit des affaires), Satellite vous alertera.

Satellite permet ainsi d’effectuer des vérifications orientées sécurité informatique sur les mots clés fournis. C’est un service de cybersurveillance non intrusif qui apporte une alerte rapide à toute fuite de données effective.

Faut-il être pro-actif dans la détection d’une fuite de données ?

C’est une question qui revient auprès de DPO et d’autres acteurs concernés par la signalisation des fuites de données.

Le Règlement européen demande que la signalisation se fasse, si possible, 72 heures au plus tard après avoir pris connaissance de l’incident. Et si l’organisme n’en a pas connaissance ? La réponse tient dans le principe de responsabilité énoncé par le RGPD. Ne pas avoir connaissance d’une fuite de données, ne pas mettre les moyens suffisants pour sécuriser les données traitées, c’est manquer de responsabilité vis-à-vis de ses clients, partenaire ou collaborateurs. C’est aussi risquer un contrôle de la CNIL, avec une sanction administrative conséquente.

Facebook, un GAFAM, a fait le choix de la transparence lors de la dernière fuite de données, respectant ainsi les attentes des autorités européennes et américaines.


Le CERT-Conix est l’organe de veille et de réponse à incident de Conix, ses attributions comprennent des activités de cyberveille, d’investigation numérique, de réponse à incident de sécurité et remédiation.

Les capacités du CERT-Conix ont été validées par l’obtention en phase expérimentale du label PRIS (Prestataire de Réponse aux Incidents de Sécurité) délivré par l’ANSSI, autorité nationale en matière de sécurité et de défense des systèmes d’information.

De plus, la mention « accredited » délivrée par le TF-CSIRT, (Task Force – Computer Security Incident Response Team), sanctionne les processus et le savoir-faire du CERT-Conix .

Le savoir-faire de Conix dans le domaine du développement d’outils de sécurité est aussi reconnu au sein de la communauté (https://github.com/conix-security) ; enfin le CERT-Conix, via son expertise sur les groupes d’attaquants et leurs méthodes, soutient le SOC de Conix afin de renforcer sa capacité de détection.

By | 2018-10-11T13:43:04+00:00 11/10/2018|Publications|