Points clés
- Le rapport Verizon DBIR 2024 établit que le délai médian entre la compromission initiale et la découverte d'un incident est de 192 jours — une durée pendant laquelle les systèmes compromis échangent des données avec les attaquants sans que ces échanges ne soient détectés comme anormaux.
- L'incident Equifax (États-Unis, 2017) a duré 76 jours avant détection malgré des outils de DLP en place — l'absence de supervision des échanges de données sortants non chiffrés a permis l'exfiltration de 147 millions de dossiers sans alerte.
- SIEM Gartner définit la supervision des échanges de données comme un prérequis à la détection des menaces internes (insider threats) — 58 % des incidents internes documentés auraient pu être détectés plus tôt avec une supervision des échanges de données active selon le rapport IBM 2023.
La supervision des échanges de données réseau — qui envoie quoi, à qui, via quel canal, à quelle fréquence — est la couche de contrôle qui permet de détecter les comportements anormaux dans les communications : exfiltrations de données, communications C2, transferts internes non autorisés, et accès anormaux aux données sensibles.
Ce que la supervision des échanges doit couvrir
Une supervision efficace des échanges de données couvre plusieurs dimensions : (1) le volume — des transferts de données inhabituellement importants (exfiltration volumétrique) ou des accès à un nombre anormal de fichiers ou enregistrements, (2) la destination — des communications vers des destinations non habituelles (nouveaux domaines, géolocalisation inhabituelle), (3) le contenu — quand l'inspection est légalement et techniquement possible, identifier si des données sensibles transitent via des canaux non chiffrés ou vers des destinations non autorisées, (4) le timing — des communications nocturnes ou week-end vers des destinations externes qui ne correspondent pas aux patterns habituels.
Outils de supervision des échanges
La supervision des échanges de données s'appuie sur une combinaison d'outils : DLP réseau (Data Loss Prevention) pour la détection des données sensibles en transit, solutions NDR pour l'analyse comportementale des flux, CASB (Cloud Access Security Broker) pour la supervision des échanges vers les services cloud, et UEBA (User and Entity Behavior Analytics) qui corrèle les comportements utilisateurs et réseau pour détecter les anomalies.
Gouvernance de la supervision
La supervision des échanges doit être gouvernée : une politique documentant ce qui est supervisé, par qui et dans quelles conditions les données de supervision peuvent être consultées. Cette gouvernance est nécessaire pour la conformité RGPD (la supervision des communications des employés est encadrée par le droit du travail dans l'UE) et pour éviter que la supervision ne soit perçue par les équipes comme une surveillance excessive.
Cas opérationnel : Insider threat détecté via supervision des échanges — cas industriel (UE)
Un fabricant industriel européen (documenté par l'ENISA en 2023 de manière anonymisée) a détecté via son programme de supervision des échanges de données un transfert massif de fichiers de conception vers un service de stockage cloud personnel par un ingénieur sur le point de rejoindre un concurrent. La détection a été possible grâce à une alerte DLP configurée sur les transferts de fichiers de type CAD vers des destinations cloud non autorisées, déclenchée par un volume de 8 Go transféré en dehors des heures de travail. L'organisation a pu documenter les fichiers transférés, initier des procédures légales pour protéger sa propriété intellectuelle et révoquer immédiatement les accès de l'employé. Sans la supervision des échanges, le vol de propriété intellectuelle aurait pu ne jamais être détecté. L'incident a conduit l'organisation à étendre son programme de supervision aux échanges avec les outils de collaboration (Teams, SharePoint) en plus des transferts réseau directs.
Le CISA a publié en 2020 un guide de mitigation des menaces internes recommandant la supervision des échanges de données comme l'un des contrôles les plus efficaces pour détecter les comportements anormaux. Le guide souligne que la supervision doit être proportionnée au risque, transparent vis-à-vis des employés et conforme au droit applicable — une approche équilibrée entre sécurité et respect de la vie privée.
La jurisprudence de la Cour de Justice de l'Union Européenne sur la supervision des communications des travailleurs (arrêt Bărbulescu c. Roumanie, 2017 ; affaire López Ribalda c. Espagne, 2019) encadre strictement les conditions dans lesquelles les échanges de données des employés peuvent être supervisés. Les organisations européennes doivent documenter explicitement les modalités de leur programme de supervision et informer les employés — une contrainte réglementaire qui doit être intégrée dans la politique de supervision des échanges.
La PDPA singapourienne encadre la supervision des échanges de données des employés en exigeant une notification préalable et une politique documentée. La PDPC a publié des lignes directrices précisant les conditions dans lesquelles une supervision DLP peut être mise en place dans les organisations singaporiennes — créant un cadre juridique comparable aux exigences européennes mais adapté au contexte local.