Petit déjeuner InCyber : replacer la donnée au cœur de la sécurité à l’heure des IA et du multicloud

Le 6 février 2025, InCyber organisait un petit déjeuner consacré à la sécurisation des données à l’heure des IA et du multicloud. L’occasion pour Marc Watin-Augouard, Général d’armée, d’aborder la thématique du DSPM (Data Security Posture Management) avec un panel d’experts. « Certains affirment que la donnée est le pétrole du XXIe siècle, ils ont tort. Contrairement au pétrole qui s’épuise à mesure qu’on le consomme, avec la donnée, plus on en consomme, plus il y en a ! Les données qui rencontrent d’autres données créent de nouvelles données et celles-ci sont en croissance exponentielle. » Le fondateur du Forum InCyber a souligné qu’en 2030, ce seront l’équivalent de 1 000 milliards de disques durs de 1 To qui seront ainsi générés chaque année. « Toutes ces données ne seront pas importantes, mais lorsqu’on regarde l’article 9 du RGPD qui protège les données personnelles, certaines données sont protégées au titre de la défense nationale, d’autres par le secret des affaires ou la propriété intellectuelle. » 

Le DSPM, un projet d’entreprise

Si toutes ces données n’ont pas la même valeur, l’organisation doit à la fois connaître leur nature et savoir où celles-ci sont stockées et traitées. Le DSPM (Data Security Posture Management) ou le management de la sécurité de tous les process qui intègrent de la donnée va jouer un rôle clé dans la cybersécurité de demain. Caroline Philippe-Sevilla, Directeur des risques opérationnels, Fraude et Cyber chez BNP Paribas Corporate & Institutional Banking (CIB) souligne : « Le DSPM représente chez BNP Paribas tout un ensemble d’éléments qui sont à l’intersection entre ce qui est du ressort du DPO et le monde de l’IT et de la Cybersécurité. Concrètement, nous avons identifié plusieurs grands processus liés à cette problématique, à commencer par le Zero Trust, la classification des données et la résilience de ces données. » La première banque française est à la fois soumise à de nombreuses obligations réglementaires, à une obligation de protection des données vis-à-vis de ses clients, mais c’est aussi une cible de choix pour les attaquants. Mettre en place une stratégie DSPM impose d’impliquer les utilisateurs métiers, les informaticiens et les CISO.

Pierre-Antoine Failly-Crawdord, responsable de l’équipe CSIRT de Varonis, souligne que si la donnée est aujourd’hui devenue l’asset le plus important d’une entreprise, ce sont les utilisateurs finaux qui doivent la manipuler au quotidien. « Cela suppose un paradigme complexe, puisque la donnée doit être sécurisée, mais doit rester ouverte. Cela nécessite d’impliquer à la fois les équipes de sécurité opérationnelle, l’équipe en charge de la gouvernance des risques, ceux qui doivent gérer la conformité, mais également les utilisateurs finaux et les métiers, car la criticité d’une donnée dépend du jugement des métiers. »

La souveraineté des acteurs Cloud pose question

La diffusion des données dans le Cloud et, potentiellement, chez plusieurs fournisseurs Cloud, pose de nombreuses questions quant à la sécurité de ces données. Il faut assurer la sécurité opérationnelle de ces données, leur gouvernance pour s’assurer de la conformité des traitements. La souveraineté des acteurs concernés est aussi un point d’achoppement pour certaines organisations. Les hyperscalers d’origine américaine sont soumis au Cloud Act et ne peuvent garantir une confidentialité à 100 % des données qui leur sont confiées.

Société conjointe entre Thales et Google, S3ns vient apporter une solution souveraine pour héberger les données les plus sensibles, mais Victor Vuillard, directeur de la sécurité S3ns souligne : « Quand on se pose la question de la protection des données, on a le réflexe d’évoquer la confidentialité, mais on passe au second plan la nécessité de garantir l’intégrité de la donnée. Or, quand on est un OIV (Opérateur d’Importance Vitale) et que l’on doit assurer la continuité d’un service critique pour la nation et critique pour les clients, il faut identifier et classifier la donnée et définir la bonne réponse pour garantir le niveau de résilience requis. » 

Le casse tête d’assurer une conformité à l’échelle mondiale

Présent dans 63 pays et territoires, le groupe BNP Paribas doit se conformer aux réglementations européennes sur les données, mais aussi à celles de chaque pays où il opère. Caroline Philippe-Sevilla confie : « La mise en place du RGPD ne fut pas simple, or la nature de la menace a changé depuis. Le vrai problème porte sur la classification des données. Celle-ci repose sur l’expertise des gens. Ceux-ci doivent être capables de distinguer ce qui est confidentiel de ce qui est secret. Cela pose aussi le problème du legacy et de toutes les données traitées par des applications vieillissantes. » Si reconnaître les utilisateurs qui se connectent reste simple, savoir à quelles données précisément ils ont accès et dans quels Cloud celles-ci se trouvent est bien plus complexe dans un système d’information aussi complexe que celui de BNP Paribas. De plus, les applications doivent communiquer entre elles, avec parfois des échanges transfrontaliers qui doivent respecter les réglementations respectives de chaque pays. « Nous avons bien entendu mis en place un certain nombre de verrous et de contrôles de sécurité, mais avec legacy est un peu un trou noir. Lorsque la réglementation DORA est entrée en application, nous n’étions pas totalement prêts. Toutes les extractions de données au profit de tiers n’étaient pas totalement inventoriées. On découvre encore des canaux externes… »

Pierre-Antoine Failly-Crawdord souligne : « Les réglementations fixent des règles en fonction des typologies de données, qu’il s’agisse de données personnelles, de données financières, etc. En revanche, on reste incapable de prouver qu’une donnée est sécurisée et en alignement avec la réglementation si on n’a pas la visibilité où sont exactement ces données. C’est là que le DSPM prend tout son sens. » Pour l’expert, dans un premier temps, il est nécessaire de faire l’inventaire de toutes les données présentes dans l’ensemble des entrepôts de données de l’organisation. Ce n’est que dans un deuxième temps que l’on peut commencer à travailler sur des modèles de permission. Victor Vuillard de S3ns ajoute : « Sur ce plan, le RGPD a apporté une approche intéressante : au lieu de regarder chaque donnée de manière individuelle, l’approche se fait par traitement. Cela a poussé les organisations à identifier les process, à chercher les personnes qui en sont responsables et la finalité d’une donnée collectée. »

Victor Vuillard souligne que si le Zero Trust est une notion quelque peu galvaudée par le marketing, l’essence même de cette approche est de savoir à qui on donne accès à une donnée précise temporairement et dans quel contexte et pour quelle finalité on le fait. « C’est une vision qui permet d’éviter le syndrome du château fort ou, lorsque l’attaquant a passé le mur d’enceinte, il peut compromettre l’ensemble du SI. Il faut entrer dans cette logique qui permet de se protéger contre la latéralisation de l’attaquant et contre ce risque interne. »

L’IA vient brouiller les pistes

Si la mise en place de process et de plateforme de DSPM doit aider les entreprises à mieux maîtriser la sécurité de leurs données dans un environnement multicloud, l’irruption des IA génératives complique sérieusement la donne pour les RSSI et CISO. « La mise en œuvre des IA génératives en entreprise pose un nombre de problèmes immense » déplore Pierre-Antoine Failly-Crawdord. « Cela pose problème en phase d’apprentissage, car les LLM ont besoin de beaucoup de données d’entraînement, mais aussi lors de leur utilisation et la manière dont les utilisateurs vont consommer ces services. Un utilisateur peut-il faire du couper/coller avec des données internes ou uploader des fichiers confidentiels pour les traduire, par exemple ? En outre, quelle confiance accorder à la réponse de ces moteurs ? Le développeur qui génère du code via une IA générative aura le biais cognitif de faire confiance au moteur et de croire qu’il s’agit de la meilleure solution et qu’il n’y a pas de vulnérabilité dans le code proposé. Or, dans les faits, ce n’est jamais le cas. » Il faut traiter ces points par la charte interne ou par des outils qui vont filtrer les échanges entre les utilisateurs et les IA. 

Si les grandes entreprises ont cherché à préserver la confidentialité de ces échanges en déployant leurs IA génératives dans des tenants privés, cette précaution ne les met pas à l’abri d’un autre phénomène. Déployée en interne, l’IA va avoir accès à toutes les données qui sont accessibles à l’utilisateur. Si les salariés ont beaucoup trop de permissions d’accès dans le système d’information, le LLM va exfiltrer énormément d’informations, y compris des informations sensibles auxquelles je n’ai pas nécessairement accès. « Les IA reposent sur les modèles de permission déjà en place, ce qui remet au milieu du village le problème de la donnée et de la protection des données sensibles » commente Pierre-Antoine Failly-Crawdord. Avec la mise en œuvre de Microsoft Copilot, BNP Paribas s’est directement confronté à ce phénomène : « J’ai participé au déploiement de Copilot sur notre tenant privé. Une fois l’IA activée, celle-ci a remonté dans ses réponses absolument toutes les données qui étaient mal classifiées sur les serveurs, notamment des fichiers personnels. De fait, on ne peut confier un tel outil à n’importe qui. Aujourd’hui, nous ne sommes pas capables de le déployer à l’échelle auprès de tous les collaborateurs, car nous ne sommes pas prêts. » La responsable conclut qu’une IA peut être extrêmement dangereuse si elle est mise dans toutes les mains.