Impossible de rencontrer Kroll Ontrack sans poser la question des liens entre les deux entités : avec un spécialiste américain du renseignement d'entreprise d'un côté et un expert de la récupération de données de l'autre, l'image des vases communicants vient rapidement à l'esprit. D'autant que, très présent en France, Ontrack voit passer les disques durs de nombreuses entreprises nationales.

Chez Ontrack, on se souvient encore très bien de la polémique née lors du rachat par Kroll. "Ca nous a mis une sacré pression à l'époque ! La suspicion était très forte, nous avons même eu droit à une attention renouvelée de notre correspondant DST", se souvient Paul Dujancourt, le gérant de Kroll Ontrack France.

Et puis, comme bien souvent, la polémique passe et le business continue. Interrogé sur la nature de la collaboration entre les deux entités aujourd'hui, le gérant révèle une certaine distance :  "La collaboration est anecdotique", poursuit-il. La société affirme avoir conservé la confiance de ses clients institutionnels sécurité (la DGA, certains corps d'Armée, par exemple), et ça lui suffit largement.

Au delà de l'affirmation, il nous sera évidement impossible de déterminer si le contenu des disques durs des entreprises françaises qui transitent par Ontrack fait ou non un crochet par chez Kroll. En revanche, la question des moyens mis en oeuvre par Kroll Ontrack France afin d'assurer à ses clients la confidentialité des données durant l'intervention est largement plus intéressante. Et c'est l'occasion pour Kroll Ontrack de lever un peu le voile sur sa stratégie de sécurité interne.

Le tout-local

Première étape de la confiance : toutes les interventions sont réalisées en France. "De ce point de vue, le rachat par Kroll a fait avancer les choses : il nous arrivait encore avant cela de réaliser certaines interventions dans notre laboratoire anglais. La polémique du rachat nous a poussée à mettre en place les moyens nécessaires à tout faire en France", se souvient Paul Dujancourt. Et le laboratoire n'est pas le seul concerné : le centre d'appel, qui traite les demandes entrantes, a lui aussi été rapatrié en région parisienne. "Car on pourrait imaginer qu'avoir accès aux informations traitées par le centre d'appel faciliterait l'identification des clients les plus intéressants", explique le gérant.

L'ensemble du personnel est également de nationalité française, et l'essentiel de la formation est dispensée localement (avec toutefois une période d'approfondissement technique aux Etats-Unis). Chaque employé signe un accord de confidentialité (NDA) lui interdisant de révéler, notamment, les noms des clients et, bien entendu, le contenu des informations clients auxquelles il aurait accès. Plus original, ce NDA imposerait des pénalités financières à l'employé en cas de violation de ses termes (mais il reste à savoir ce qu'une telle clause vaut concrètement devant un tribunal).

Du côté des Ressources Humaines, s'il n'y a pas de background check d'entreprise ("une méthode trop américaine" estime Paul Dujancourt), la société ne se prive toutefois pas de faire appel à son correspondant DST pour les recrutement à des positions commerciales ou techniques. "Il ne nous donne aucune information personnelle sur le candidat, et ne motive pas son avis. Il nous fournit seulement un avis positif ou négatif. Mais il nous est déjà arrivé de refuser une embauche sur ces indications", reconnaît le gérant. 

Sécurité physique et organisation du travail

Le cloisonnement n'est pas une notion valable uniquement pour les réseaux informatiques. Kroll Ontrack cloisonne également les équipes de travail, avec plusieurs niveaux d'accès aux locaux, en terme notamment de sensibilité des personnes ou des plages horaires. Et les exceptions sont gérées... comme des exceptions ! "Plutôt que d'étendre les droits d'un collaborateur de manière permanente, nous lui attribuons des droits temporaires le temps nécessaire, ou alors il est accompagné en permanence d'un employé qui dispose, lui, des bons droits", explique Marc Daniel, Directeur du laboratoire d'investigations informatiques et responsable de la sécurité. Le personnel d'entretien n'a ainsi accès qu'à certaines zones, et uniquement à certaines heures, et il doit être accompagné pour toutes ses autres interventions.

La séparation des rôles, évidemment, touche aussi les collaborateurs chargés de manipuler les supports livrés aux clients une fois les données récupérées. "Lorsque nous renvoyons les données au client, celles-ci sont sur des disques durs externes chiffrés avec TrueCrypt. Le mot de passe n'est connu que du technicien qui procède à la copie et du commercial qui a suivi le dossier. Mais le commercial, lui, n'a pas accès au disque, car il se content de transmettre le mot de passe au client. Quant au personnel du service d'expédition, qui dispose du disque, il n'a jamais connaissance du mot de passe", poursuit Marc Daniel.

De ces trois fonctions, seul le technicien du laboratoire de récupération est en définitive capable d'avoir accès aux données en clair. C'est pourquoi ses actions sont tracées avec soin. "Nous avons mis en place un système de chaîne de responsabilité (chain of custody) qui trace les opérations réalisées sur un support et les changements de mains. Chaque nouvelle opération peut-être suivie, nominativement : elle est signée par le technicien ou loggée grâce à son identifiant sur les applications métier", précise Marc Daniel.

La sécurité logique

Le principe de séparation est bien entendu appliqué également à la sécurité logique. Et d'abord à ceux-là mêmes qui, généralement, jouissent de tous les droits : les administrateurs. "Nous avons trois profils d'administrateurs différents : IT, laboratoire de récupération, forensics et bureautique. Un administrateur capable d'intervenir sur un poste de travail n'aura ainsi pas les droits sur une autre partie de l'activité, ou sur les serveurs", détaille Paul Dujancourt.

Du côté des postes de travail, l'ensemble des ordinateurs portables sont chiffrés et la clé maîtresse est à la disposition de l'administrateur bureautique et une copie conservée au coffre. Enfin, aucun usage personnel d'Internet n'est autorisé par la charte informatique. Une politique de filtrage d'URL stricte est en place, qui n'autorise notamment pas l'accès aux sites sociaux ou collaboratifs.

Plus original : l'ensemble des applications métiers les plus sensibles, développées en interne par Ontrack pour la récupération de données et l'investigation sont verrouillées par une clé de licence à la durée de vie particulièrement courte. L'objectif est de les protéger en cas du vol de l'ordinateur qui les héberge.

Autre point notable : il n'y a pas de réseau Wi-Fi actif par défaut chez Kroll Ontrack France. Les invités disposent de câbles Ethernet s'ils souhaitent accéder au réseau depuis les salles de réunion (et en DMZ, bien sûr). "Nous n'activons notre réseau qu'exceptionnellement, quelques heures par mois au mieux", confirme Paul Dujancourt.

Dernière ligne de défense, originale elle aussi bien qu'elle puisse s'assimiler au principe de la sécurité par l'obscurité : "toutes les données clients que nous stockons (durant la prestation ou jusqu'à quinze jours après la livraison, ndlr) sont conservées sur nos volumes dans un format propriétaire que nous appelons DRIP. Ce format n'existe nulle part ailleurs que dans notre salle machine. Même lors de nos opérations chez le client nous ne générons pas de DRIP", révèle le gérant. Le format DRIP permet, d'après Kroll Ontrack, d'agréger à la suite plusieurs images de disques dans des formats totalement différents (OS et type de disque). Ce serait, de son propre aveux, une botte de foin pour qui tenterait d'y retrouver l'aiguille d'un client. Les archives DRIP peuvent aussi être chiffrées, bien que ce soit rarement le cas selon nos interlocuteurs, manifestement très confiants dans l'opacité du format maison.

Interventions hors les murs

"Certains clients exigent que nous intervenions chez eux, afin que leurs supports ne sortent pas de l'entreprise", précise Paul Dujancourt. Dans ce cas Kroll Ontrack embarque ses outils logiciels propriétaires sur des ordinateurs portables dont les disques internes sont ensuite détruits une fois les données récupérées. "C'est autant pour rassurer le client sur le fait qu'aucune copie de ses données ne repart avec nous que pour protéger nos outils propriétaires", justifie le gérant.

Si l'opération nécessite des instruments particuliers, qui ne peuvent être amenés sur site, le client peut alors assister à la récupération dans le laboratoire de Kroll Ontrack. il signe alors au préalable un NDA censé couvrir les méthodes et les outils qu'il pourrait voir à l'oeuvre durant l'opération.

Assister à l'opération de récupération afin de ne pas perdre de vue ses disques durs n'est d'ailleurs pas limité aux opérations lourdes qui ne peuvent être réalisées sur site. C'est une possibilité ouverte, en théorie, à tous les clients. Mais ceux-ci ne semblent pas nombreux à l'exiger. "Cela doit nous être demandé une ou deux fois par an, généralement de la part de clients dans le domaine de la banque", observe Paul Dujancourt.

Et quid de ces fameux clients "sécuritaires" alors, dont on aurait pu croire qu'ils seraient les plus paranoïaques ? "Les militaires cherchent avant tout une ou plusieurs personnes en qui ils peuvent avoir confiance. Si on leur sort les CV des personnes qui vont intervenir sur leurs données, ou les nôtres (les dirigeants de la filiale française, ndlr), ça les rassure et ça suffit", conclue le gérant.