Le référentiel du NIST pour lutter contre les fuites d'informations personnelles d'identification

Par Xavier Poli, secuobs.com
Le 03/02/2009

---

Résumé : L'institut NIST vient de mettre à disposition de tous un référentiel avec les mesures préalables, les recommandations et les plans de réponse qui sont nécessaires à une lutte efficace au quotidien contre la fuite d'informations personnelles d'identification au sein des organisations. - Lire l'article



Les cas de perte de données personnelles d’identification ( PII - lien ) n’ont cessé d’augmenter de façon considérable depuis un certain temps, faisant même des systèmes DLP ( Data Loss Prevention - lien ) une tendance forte au niveau commercial pour l’année 2009 d’après l’avis des experts en sécurité informatique. Aussi bien dans le cas des particuliers que dans celui des organisations, les conséquences liées à la subtilisation de ces données peuvent s’avérer extrêmement préjudiciables, les premiers souffrant alors principalement de l’usurpation de leur identité, tandis que les secondes y constatent indubitablement une baisse de la confiance publique.

Afin de protéger au mieux la confidentialité de ces informations sensibles, il a été établi que les organisations doivent impérativement adopter une approche globale basée sur la gestion du risque, celle-ci étant plus particulièrement axée sur la notion de dangerosité des pertes avec la mise en place d’une échelle de gravité à plusieurs niveaux en fonction de la nature intrinsèques des données concernées. C’est en ce sens que le National Institute of Standards and Technology ( NIST - lien ) vient de publier, au mois de Janvier 2009, un document, à l’état de « brouillon » avancé, qui se veut comme le futur référentiel en la matière pour l’ensemble des acteurs fédéraux américains, gouvernement, agences et partenaires confondus.

Néanmoins, une majeure partie des recommandations préliminaires, qui sont incluses dans le rapport en question, peuvent également servir dès à présent de base de travail pour toutes les entreprises qui souhaitent mettre en place une politique efficace de protection pour sauvegarder la confidentialité des données de cette nature qu’elles stockent. En premier lieu, il y est préconisé que les organisations concernées doivent préalablement effectuer un recensement en profondeur ayant pour objectif d’identifier minutieusement l’ensemble des informations qui sont accessibles par l’intermédiaire de leur environnement d’activité et qui peuvent répondre aux critères prédéfinis de sélection.

Partant du constat qu’une organisation ne peut pas être à même de protéger efficacement l’ensemble des données personnelles qu’elles stockent si elle n’acquiert pas une connaissance exhaustive de leur possession et de leurs lieux précis de stockage, c’est donc bien cette acquisition préalable et constante dans le temps qui doit être le point de départ de la prise de conscience nécessaire à leur protection en tout instant. Selon des facteurs spécifiques pour les conséquences de leur perte, ces informations sont ici réparties en différentes catégories majeures comme les données de localisation avec les lieux de résidences des personnes, les caractéristiques morphologiques type biométrique et les numéros personnels d’identification.

Parmi les caractéristiques personnelles, on trouve notamment les photos, les empreintes digitales et les scans rétiniens, alors qu’en ce qui concerne les numéros d’identification la liste contient principalement les numéros de sécurité sociale, de passeport et de permis de conduire au même titre que les numéros de cartes bancaires. C’est d’ailleurs cette recommandation particulière de catégoriser les données, en fonction du poids de leur subtilisation, qui pourrait poser le plus de problème à mettre en œuvre pour les organisations à l’avenir de par le manque de personnels qualifiés à l’heure actuelle pour traiter aussi bien l’existant que les nouveaux éléments arrivant.

Le rapport préconise également que les organisations doivent seulement stocker durablement les données personnelles lorsque cela est strictement nécessaire à un traitement ultérieur, tout en adoptant une politique de dé-identification pour celles dont le traitement ne portent que sur une partie des détails accessibles, ne nécessitant ainsi pas de prendre plus de risques qu’il n’en est nécessaire. Les mesures de protection doivent par ailleurs être adaptatives, en fonction de la gravité de la perte potentielle, pour chaque grande catégorie de données. Parmi ces mesures, on retrouve la mise en place d’une politique d’accès par privilèges, l’utilisation de systèmes de chiffrement ( voir notre dossier - lien ) et l’intégration de processus d’obfuscation ( lien ).

Il est de plus précisé que ces mesures doivent être efficaces en tout point, autant vis-à-vis des réseaux filaires avec les équipements fixes que des unités mobiles accédant aux réseaux par des points d’accès sans fil comme les bases WI-FI ( voir notre dossier - lien ), autant que le stockage en lui-même c’est donc aussi la sécurité des modes de transmission qui est concernée. Les mesures doivent dans le même temps être compréhensibles de tous les acteurs, impliqués dans les processus de traitement, afin qu’ils soient aptes à les appliquer et à les faire respecter au quotidien. Dans cette optique, les règles de la charte interne doivent en outre comporter de façon significative les conséquences que leur non-respect pourrait entrainer à l’avenir.

Dans le même ordre d’idée, il est vivement établi qu’il est nécessaire d’allouer des ressources suffisantes à la gestion et à l’audit des systèmes de surveillance ( voir notre dossier - lien ) qui opèrent au niveau des fichiers de logs journalisant les accès aux informations. Plus que le coté protectionniste , il est aussi indiqué que les différentes entités doivent mettre en place des plans d’urgence afin de pouvoir répondre le plus efficacement possible aux incidents de perte, c’est en cela que le rapport encourage la notion de réseaux de liens forts entre les différents coordinateurs internes afin de faciliter la transmission rapide de l’information lors de la prise de connaissance d’un événement malencontreux de fuite d’informations personnelles.

Ces mêmes organisations devront aussi être dans la capacité de fournir des activités de formations avec la planification de phases d’entrainement et de sensibilisation pour les employés sur ces thèmes de la sauvegarde de confidentialité des données personnelles. Des exemples d’exercices pratiques sont ainsi mis à disposition dans le référentiel, ils sont basés sur des scénarios précis impliquant des informations d’identification comme celles citées précédemment. Ces scénarios s’accompagnent de jeux de questions qui pourront permettre aux coordinateurs internes d’effectuer des évaluations du niveau de connaissance des employés tout en leur offrant les moyens de les aider à s’améliorer par l’enseignement des règles de bonne pratique.

A savoir que le document en question ( lien ) est ouvert à la lecture par tout un chacun afin que le NIST puisse recevoir le plus de commentaires constructifs possibles de la part des lecteurs avant la publication de la version finale, la date limite pour l’envoi de ces commentaires ayant été fixée au treize mars 2009. Les rédacteurs pourront alors effectuer une dernière révision en fonction des informations postées dans les commentaires reçus dont ils auront pu profiter afin de finaliser au mieux l’ensemble du document et le diffuser dans sa version définitive.

Source : SC Magazine US ( lien )