Point de vue

La sécurisation de l’intangible 

Comment sécuriser les données contrôlées par les règlementations de contrôle des exportations dans l’entreprise ?  


Introduction 

La création du cyberespace tel que nous le connaissons aujourd’hui a moins de 20 ans. La couche informationnelle qui permet son exploitation et qui a contribué à faire de la donnée un actif central pour les entreprises du 21 siècle date réellement de 2005 et de l’avènement du « Web 2.0 ».  

Le cyberespace est donc récent et s’est développé sur des principes libéral et libertaire, il est en conséquence aujourd’hui peu régulé et devient un lieu de conflictualité de plus en plus marquée. La numérisation de l’économie et de la vie sociale crée de nouveaux défis pour les régulateurs ainsi que pour les entreprises, et notamment vis-à-vis de la sécurisation des données contrôlées par les réglementations de contrôles des exportations nationales et extraterritoriales. 

Dans son livre « Cybersécurité et Cyberdéfense », Yann Salomon définit la donnée comme « la représentation élémentaire d’une réalité ». Selon ce que recouvre cette réalité et la valeur qu’elle a sur le marché, la donnée peut donc constituer un actif particulièrement sensible et stratégique pour les organisations et les pays qui la détiennent.   

La sécurité des données contrôlées devient donc une problématique de plus en plus sensible et urgente à adresser dans les entreprises. Pour illustration, nous pourrions citer le cas récent du constructeur aéronautique Boeing qui a accepté de payer 51 millions de dollars dans le cadre d’un accord avec le Département d’Etat américain afin d’éviter des poursuites pour violation de l’AECA. Les reproches fait à Boeing concernent 199 infractions à la loi sur le contrôle des exportations d’armements (AECA - Arms Export Control Act) et aux règlements internationaux sur le trafic d’armes (ITAR - International Traffic in Arms Regulations). Ces infractions incluent des exportations non autorisées et des réexpéditions de données techniques à des employés et sous-traitants étrangers, ainsi que des exportations non autorisées de produits de défense, y compris des données techniques vers la République populaire de Chine. 

Il est donc devenu indispensable pour les organisations manipulant ce type de données de se poser la question de la sécurisation de leurs « intangibles ».  

1- De quoi parle-t-on ?


Il est nécessaire de retourner aux fondamentaux afin de poser correctement le cadre de la sécurisation des « intangibles ».   

Le code de la Défense français, qui régit le contrôle des exportations militaires, indique que le transfert ou l’exportation d’éléments contrôlés intangibles est sujet, au même titre que le matériel tangible, à un principe de prohibition sauf autorisation de l’Etat. En d’autres termes, l’exportation de ces éléments intangibles est contrôlée avec exactement le même niveau de rigueur que celle des matériels de guerre.  

Dans le droit du commerce international une exportation se définie comme « le mouvement de biens ou de marchandises hors des frontières d'un pays vers un autre pays ou une destination étrangère ». Ce serait donc apriori le mouvement physique de l’information d’un pays vers un autre qui serait concerné. Cependant, la nature intangible de l'information et les conséquences qui peuvent résulter de son accès oblige à étendre cette définition de base. 

Quelles données sont-elles contrôlées par le contrôle des exportations ?


Une donnée contrôlée est « une source d’information relative à la conception, au développement, à l'assemblage, à la production, au fonctionnement, à la réparation, aux essais, à l'entretien ou à la modification d'un article de défense ».   

Les données contrôlées (dites « données techniques » dans la pratique professionnelle), peuvent donc inclure des dessins ou des instructions d'assemblage, des manuels d'exploitation et d'entretien, ainsi que des échanges de courriers électroniques ou téléphoniques au cours desquels ces informations sont discutées. Toutefois, les données techniques ne comprennent pas les principes généraux scientifiques, mathématiques ou l'ingénierie couramment enseignés dans les écoles, les informations présentes dans le domaine public, les descriptions générales de systèmes ou les informations commerciales de base sur la fonction ou l'objectif. La définition d’une donnée technique reste donc assez floue et sujette à interprétation. 

Le mouvement des données contrôlées peut se faire selon divers scenarii


Les exportations de données contrôlées peuvent donc se faire par des mouvements physiques tels que :

  • L’envoi de courriel vers l’étranger 
  • Le stockage d’informations dans des serveurs localisés à l’étranger ou dans des solutions Cloud permettant aux données de voyager et de franchir les frontières
  • L’utilisation de réseaux privés d’entreprises (VPN)
  • L’utilisation de technologies en Saas et le recours à l’infogérance
  • Le transport physique d’information sur papier dans des bagages ou des ordinateurs portables lors de voyages d’affaires  

Cependant, en ce qui concerne le contrôle des exportations, une notion supplémentaire entre en ligne de compte, il s’agit de la notion de « deemed export », littéralement « exportation présumée ».  Ces exports sont réalisés par des moyens encore plus complexes à maitriser, cela peut être : 

  • La visite d’une usine ou de site d’assemblage par des prospects de nationalité étrangère 
  • La diffusion d’information à l’oral ou sur un écran lors d’une conférence auprès d’auditeurs étrangers
  • Des informations divulguées dans des groupes de travail, des réunions ou des appels téléphoniques 
  • Des personnes de nationalité étrangère pouvant accéder à des applications de l’entreprises contenant des données contrôlées 

Afin d’organiser sa conformité, l’entreprise devra articuler son approche autour de deux axes : 

  1. Identifier les besoins de transferts ou d’exportations nécessaires afin d’assurer le bon déroulement de l’activité, et demander les autorisation/licences associées à ces flux. 
  2. Sécuriser les zones de vulnérabilité afin de prévenir des transferts ou exportations d’informations accidentelles ou malveillantes.  

2- Quelles sont les étapes de la mise en conformité ?


Identifier, classer, marquer


  • La toute première étape va être de définir et d’identifier les données concernées au sein de l’organisation. 

Comme cela a été indiqué plus haut, les contours de la définition d’une donnée technique ne sont pas complètement nets et peuvent même parfois être sujet à interprétation. Par exemple, un manuel de vol de 12000 chapitres contenant un seul schéma contrôlé en fait-il une donnée technique ? Dans l’affirmative, l’entreprise doit-elle obtenir une autorisation de l’Etat à chaque fois que ce manuel est communiqué à un interlocuteur étranger ou à l’étranger ?  

On constate que les contours de cette définition peuvent donc avoir des impacts majeurs d’un point de vue opérationnel et rendre les opérations impossibles à mener.  

Le défi pour l’entreprise va donc être dans un premier temps de trouver la définition qui lui permettra de réduire son risque tout en garantissant la fluidité des opérations quotidiennes. Selon son appétence au risque, elle va choisir une approche plus ou moins conservatrice.  

L’étape suivante consistera à identifier ces données dans l’organisation. Pour une entreprise peu mature sur le sujet, l’identification des données peut être réalisée par divers procédés, allant du traitement humain au recours à des algorithmes d’intelligence artificielle permettant d’identifier la donnée sur les réseaux, dans les applications ou dans les messageries de l’entreprise. Une cartographie des applications indiquant la typologie des données traitées peut être d’une grande aide dans cet exercice.  

  • Classer les données 

Une fois les données identifiées, elles devront être classées. La règlementation française est relativement simple sur ce sujet dans le sens où le classement ML22 couvre la majorité des données techniques et le classement ML21 les logiciels. L’exercice de classement sera plus complexe sur la réglementation ITAR pour les données relatives à des produits d’origine américaine, car le classement de la donnée est identique à celui du produit auquel l’information fait référence.  

Les mêmes problématiques de classement que sur les éléments tangibles peuvent donc se poser, comme l’étendue de la contamination. La première chose à faire est de bien définir les règles et de les communiquer aux personnes concernées afin qu’elles soient efficaces dans le processus de classement. La fluidité de la communication entre le contrôle des exportations et les départements d’engineering est clé dans la réussite de cet exercice. 

Effectivement, d’un point de vue réglementaire, c’est l’auteur d’un document qui a la responsabilité de son classement. Il est donc capital que les ingénieurs et les bureaux d’études y soient sensibilisés. Ils constituent une population à risque, d’abord du fait des échanges réalisés avec l’extérieur que ce soit avec des partenaires, des universités ou des institutions de recherche, ou encore car ils sont à l’origine de la création de beaucoup d’information. 

  • Une fois les données identifiées, celles-ci devront être marquées et intégrées dans le système de gestion des données de l’entreprise. 

Afin de capitaliser sur le travail d’identification et de classement, la dernière étape sera le marquage des données.  

L’idéal est d’intégrer une nouvelle metadata dans le système de management des données de l’entreprise afin d’en avoir la maitrise (application de droits de consultation, de modification), tout au long de son cycle de vie. Cette metadata est libre, cela peut être simplement « ML 22 », « ITAR » ou « EAR », l’important est qu’elle puisse être maintenue dans le temps. 


Il sera également intéressant d’apporter un marquage visible directement dans l’entête des documents afin d’enlever toute ambiguïté quant à leur nature et à la nécessité d’être autorisé à les consulter ou à les traiter.

Cartographier les risques


La sécurisation de l’intangible pourrait presque être considérée comme « un dispositif de conformité dans le dispositif de conformité ». Comme évoqué précédemment, la nature intangible de l’information fait que ses scenarii d’exportation vont être pour la majorité différents de ceux des éléments tangibles.  

Il sera donc nécessaire de conduire une analyse de risque afin d’identifier les zones de vulnérabilité et de les sécuriser, cette étape est souvent négligée et est pourtant capitale.  

Nous constatons sur le terrain que la connaissance historique de l’organisation entraine les collaborateurs responsables du contrôle des exportations à se focaliser sur les zones de risques les plus évidentes ou celles qu’ils connaissent le mieux. Cependant, deux facteurs biaisent souvent cette appréciation : d’abord le parcours personnel des collaborateurs qui vont naturellement s’intéresser aux processus avec lesquels ils sont les plus familiers et pas toujours aux processus les plus à risque, ensuite le caractère assez souvent centralisé de la fonction conformité (ou du contrôle des exportations) a pour conséquence que lorsque l’entreprise déploie de nouveaux produits, projets ou dispositifs impliquant des échanges avec l’extérieur (ex : market places, délégation de tâches à des nouveaux sous-traitants) cela passe en dessous des radars du dispositif de conformité. Intégrer la consultation du département de contrôle des exportations à l’inception des nouveaux projets peut être d’ailleurs très intéressant pour palier à ce type de situation. 

L’analyse de risque est donc un outil clé, elle qui va permettre d’avoir une vision la plus objective et la plus exhaustive possible des risques auxquels l’entreprise est confrontée, et sa mise à jour permettra d’adapter le dispositif de conformité dans le temps.  

L’analyse de risque va se faire en trois grandes étapes :  

  1. Identification des menaces et des vulnérabilités dans l’organisation ainsi que l'ensemble des risques inhérents liées aux activités. L’idée est d’avoir une bonne visibilité sur les risques liés aux chaînes d'approvisionnement et même induits par les fournisseurs. 
  2. Catégorisation des risques selon un niveau d’appréciation de leur probabilité d’occurrence et de la gravité de leur impact. Cette étape va se faire via l’étude des particularités de l’infrastructure de l’entreprise, de la localisation de ses sites, notamment à l’étranger, des acteurs internes impliqués dans la manipulation de données techniques et des acteurs externes avec lesquels ce type de données est échangé.  
  3. Prioriser et hiérarchiser les risques à adresser par des mesures de contrôles préventifs.

Déployer des mesures de contrôles préventifs


Il serait très compliqué de dresser un inventaire de l’ensemble des mesures à déployer. Selon la taille, l’activité et l’exposition au risque de l’organisation ces mesures peuvent aller d’une simple politique à diffuser sur l’intranet (ou auprès d’un groupe limité d’individus) à des mesures de conformité à déployer à grande échelle. Mais nous pouvons tout de même en citer quelques-unes telles que :  

  • Les demandes de licences et autres autorisations  

Certains transferts ou export de données sont nécessaires au bon fonctionnement de l’entreprise. Cela peut être le cas dans le cadre de l’activité de R&D ou des travaux d’ingénierie et d’innovation, de la collaboration internationale sur certains projets de défense ou encore la sous-traitance de certaines tâches comme la production de documentation technique.  

Dans ces cas-là, l’organisation devra faire en sorte d’obtenir les autorisations et licences nécessaire à ces échanges. Selon la structure des flux et de leurs volumes, les autorités françaises peuvent mettre en place des accords d’échange internationaux ou octroyer des licences documentaires.  

Dans le cadre de l‘octroi de licences sur ce type d’opération, la DGA peut exiger des parties demandeuses un PASI (plan d’assurance de la sécurité de l’information) qui décrira les moyens de sécurité informatique déployés par les organisations échangeant ces données et qui devra être endossé par elles. 

Il est également nécessaire de prendre en compte les autorisations relatives aux règlementations internationales extraterritoriales qui sont parfois beaucoup plus contraignantes. Comme évoqué en introduction, l’échange de données classées ITAR doit faire l’objet d’un TAA (Technical assistance agreement) ou un MLA (Manufacturing license agreement).

  • Le déploiement de procédures et process opérationnels 

L’organisation pourra également mettre en place des process ou procédures opérationnelles permettant de sécuriser les points de vulnérabilité. Par exemple, le cryptage des communications entre les parties s’échangeant des données par mail est requis avec un moyen de cryptage requérant un haut niveau de sécurité. (Ex : le chiffrement AES 256 bits recommandé par l’ANSSI) 

Le deemed export quant à lui est beaucoup plus complexe à tracer et à sécuriser. Le filtrage des collaborateurs, des visiteurs ou des sous-traitants contre les listes de sanctions internationales peut être une première mesure afin de s’assurer qu’il n’y a pas de personnes physiques sanctionnées dans l’environnement. La formation, l’acculturation aux bonnes pratiques de sécurité dans le cadre des situations à risques pourront également permettre de réduire ces risques.  

  • La sécurisation des accès aux applications et la localisation des données dans les serveurs ou les VPN. 

Un des chantiers d’ampleur concerne la sécurisation des accès aux applications, notamment aux applications partagées avec des intervenants externes à l’entreprise tels que des sous-traitants ou des fournisseurs.  

Quelques axes de cette sécurisation sont le contrôle des accès, notamment des authentifications à plusieurs facteurs (en matière d’autorisations et de géolocalisation), la sécurisation de la localisation des serveurs et du cloud, la sécurisation des réseaux VPN, la mise en place de réseaux sécurisés permettant de détecter des intrusions pour se protéger des cyber-attaques ainsi que de captations d’informations stratégiques contrôlées ou sensibles.  

Comme évoqué plus haut, afin de créer des contrôles d'accès appropriés, les entreprises doivent comprendre leurs données, leur criticité et leur emplacement (physique ou électronique).  

Automatiser le processus de gestion du cycle de vie des identités  

Pour s'assurer que l'accès aux données techniques est accordé aux utilisateurs autorisés, les entreprises doivent automatiser leurs processus de gestion de lifecycle des identités, c’est-à-dire le processus systématique qui assure la gestion appropriée des identités des utilisateurs au sein d'un système informatique tout au long de leur existence.  

Ce processus inclut :  

  • La création de l'identité lorsqu'un nouvel employé rejoint une organisation 
  • La gestion des accès aux divers systèmes et applications pendant que l'employé est actif dans l'entreprise 
  • La suppression ou la désactivation sécurisée de l'identité lorsque l'employé quitte l'entreprise.  

Il couvre également la mise à jour régulière des droits d'accès en fonction des changements de rôle au sein de l'organisation.  

Ce mécanisme vise à protéger les données et les ressources de l'entreprise contre les accès non autorisés et à garantir que les bonnes personnes aient le bon accès aux ressources appropriées, tout en respectant les politiques de sécurité et les exigences réglementaires. 

Utiliser des solutions de contrôle des accès avec géolocalisation 

Ces solutions permettent de s'assurer que seules les personnes autorisées, basées dans des localisations appropriées, puisse accéder aux données.  

En intégrant la géolocalisation - solution qui tente d’identifier l’emplacement géographique réel d’un utilisateur grâce à l’adresse IP, GPS, ou empreintes technologiques - dans les mécanismes de contrôle d'accès, les entreprises peuvent appliquer des politiques spécifiques qui restreignent l'accès aux données en fonction de l'emplacement de l'utilisateur. Par exemple, un utilisateur en Chine pourrait se voir refuser l'accès à certaines informations, conformément à la réglementation ITAR. Ces politiques de sécurité géolocalisées sont configurées dans les systèmes de gestion des identités et des accès pour vérifier dynamiquement l'emplacement de l'utilisateur lors des tentatives d'accès, ajoutant ainsi une couche supplémentaire de sécurité pour prévenir les violations des contrôles à l'exportation. 

L’approche Zéro Trust  

Le constat général est que les modèles de cybersécurité reposant sur des périmètres de réseau sécurisés et un accès à distance par des employés et des tiers basés sur un réseau privé virtuel, s'avèrent incapables de faire face à l'évolution des cybermenaces. 

L’approche « Zero Trust » propose un nouveau paradigme de la cybersécurité dans le cadre de laquelle la politique de sécurité est appliquée par le contrôle des accès basés sur le moindre privilège (least privilege) et une authentification stricte de l’utilisateur, et non sur la base d’une confiance implicite. Cette approche obéit à la maxime « ne jamais faire confiance, toujours vérifier » (principe en vigueur depuis que John Kindervag, travaillant chez Forrester Research, a inventé ce terme). 

Les mesures traditionnelles de sécurisation du système d'information comme les pares-feux, le cloisonnement physique ou les VPN, rencontrant des limites, l’ANSSI promeut l’approche Zero Trust qui applique des contrôles d’accès basés sur un modèle de décision, notamment le rôle et l’emplacement de l’utilisateur (en prenant notamment en compte la géolocalisation), son appareil et les données auxquelles il demande accès, afin de contrôler tout accès inapproprié. 

Les entreprises peuvent ainsi effectuer ces contrôles réguliers, dynamiques et granulaires en tenant en compte que : 

  • L’accès aux applications et appareils contenant des données contrôlées doit uniquement être accordé sur la base du besoin d’en connaître (need to know) ; 
  • L’accès à ces applications doit être donné sur la base du plus faible niveau de privilège (least privilege)  
  • La politique d’accès de l’industriel exportateur doit être dynamique et prendre en compte un large nombre d’attributs (attributs IAM : identités de l'accédant et de la ressource accédée, sensibilité des ressources sollicitées, etc.) ; 
  • Les authentifications à plusieurs facteurs (en matière d’autorisations et de géolocalisation) et autorisations d’accès aux ressources doivent faire l'objet de réévaluations régulières. 

Conclusion 

La sécurisation de l’intangible est donc un chantier d’ampleur aux nombreux défis. La maturité des organisations vis-à-vis de la sécurisation de leur donnée n’est pas encore optimale, cependant les contrôles de plus en plus nombreux et l’exemple de la sanction de Boeing montrent l’attention grandissante que les régulateurs portent à ce sujet.  

De fait, à mi-chemin entre la trade compliance et la cybersécurité, la sécurisation des informations sensibles et stratégiques devient incontournable pour construire une organisation résiliente vis à vis des offensives de plus en plus nombreuses. Dans un contexte géopolitique tendu où la « guerre hybride » met de nouveaux acteurs au centre des enjeux de conflictualité entre les Etats, que ce soit sur un plan économique, militaire ou souverainiste, les entreprises manipulant des données sensibles et stratégiques deviennent aujourd’hui de nouvelles cibles pour les cyberattaques.