Régulièrement, les adhérents Ocssimore se réunissent lors d’ateliers de veille et d’innovation : des événements inédits, sur des thématiques sécurité (Cloud, Sensibilisation, Authentification Forte, Identité Numérique, …), qui viennent nourrir les travaux des adhérents et explorer de nouveaux champs d’actions. L’intérêt est double : l’association enrichit la capacité de veille d’innovation de chaque adhérent, tandis que l’orateur qui pitche (startup, expert,…) confronte son sujet et ses propositions à une vision multisectorielle et des besoins de terrain.
Pour ce nouveau rendez-vous, les adhérents abordent la problématique de la fuite de donnée avec la présentation de la Startup WaToo, startup issue notamment de Institut Mines-Télécom et de l’incubateur HEC à Station F, qui propose une technologie de tatouage numérique de donnée et de document.
Pour en parler, c’est Javier Franco-Contreras, spécialiste du traitement du signal & co-fondateur et Président de WaToo, qui est intervenu pour nous présenter cette solution, fruit de plusieurs années de travaux de R&D.
Tatouage Numérique : de quoi parle-t-on ?
Le tatouage numérique selon Watoo s’appuie sur la pratique très ancienne qu’est la stéganographie, consistant à insérer un message caché dans un support (par exemple, un texte, une image). En ce qui concerne le tatouage, il consiste à dissimuler dans un document à accès restreint (ici: une image, PDF, document Office) des informations invisibles visant à tracer l’origine du document et le contexte dans lequel il a été partagé, l’auteur et ceux à qui il a été communiqué, etc… en synthèse toute information utile à exploiter pour, le cas échéant, remonter à l’origine de sa divulgation si celui-ci se retrouve en accès public ou du moins non autorisé.
La force du tatouage numérique proposé par Watoo se retrouve à plusieurs niveaux:
– Le tatouage est proprement invisible pour l’utilisateur final ce qui n’entrave pas l’exploitation de document dans les conditions autorisées et limite fortement toute velléité malveillante de le supprimer
– Les informations que contient le tatouage peuvent être très larges. Watoo propose par exemple d’y insérer un identifiant du propriétaire/auteur du document ou de son destinataire, afin de responsabiliser ce dernier par rapport à toute diffusion non autorisée des informations confidentielles qu’il pourrait contenir.
– Le tatouage est résistant à différentes formes d’attaque visant à le corrompre comme la suppression d’une partie du document ou encore l’extraction de son contenue par copies d’écran successives
– Les techniques de tatouage de Watoo permettent de tatouer toute sortes de contenus comme du texte (position relative des mots, …), des schémas ou images (architecture technique,…).
– Le temps nécessaire pour tatouer un document, bien que fortement dépendant du poids et de la structure du document, reste raisonnable du moins au regard de la démonstration qui nous a été faite en séance.
– Au-delà de tatouer un document, Watoo propose également une API REST intégrable dans un SI et permettant d’exploiter ce tatouage pour remonter aux origines d’une fuite de données par exemple.
Cas d'usage discutés en séance
- Détection de fuite d’informations en entreprise
Avec environ 37 milliards de documents fuités en 2020, dont la majorité sont dû à des échanges internes, ce cas d’usage est le premier auquel on peut penser, étant donné que ces fuites engendrent des dégâts majeurs : coûts, RGPD, coûts indirects (dépenses juridiques, communication…) pouvant même aller jusqu’à mettre en danger la survie de l’entreprise. Typiquement, le tatouage peut servir de base d’information challengée par des outils comme les CASB pour évaluer la sensibilité de l’information et le cas échéant bloquer les flux.
- Protection de documents partagés dans le domaine de la santé.
Un des problèmes qu’on rencontre dans le partage de pièces jointes, c’est celui de la perte de suivi concernant le document : qui possède le document une fois téléchargé ? L’objectif de WaToo est alors de pouvoir garantir une traçabilité du fichier, pour identifier les personnes en possession et identifier certaines fuites éventuelles.
- Envoi de document par courriel.
Un autre cas d’usage très concret est celui de taguer des documents envoyés par mail à une liste importante de destinataires. La solution permet d’apposer sous forme de tatouage numérique la liste des différents destinataires, etc… (chaque destinataire reçoit une copie légèrement différente du document)
- Le cas de l’export de données
Pour d’importants volume de données qui pourraient être exportés, WaToo propose de Taguer la donnée avec le nom de la personne qui effectue l’export. Cela permet naturellement d’avoir un véritable suivi sur l’utilisation de la donnée en entreprise et de simplifier les enquêtes en cas de vol/fuite de données (par exemple, vol de base de données « client »).
En savoir plus sur WaToo : https://watoo.tech/