La Data Loss Prevention (DLP) a toujours été une source de préoccupation pour les entreprises. Auparavant, la protection des documents physiques constituait un enjeu majeur. De tels documents pouvaient être volés en pénétrant dans des enceintes matérielles, ou encore en volant des documents auprès des coursiers.
Si ces stratégies n’ont pas encore disparu, l’explosion d’Internet a accru l’ampleur et la probabilité du vol de données. En d’autres termes, la prolifération des données et des canaux de communication a facilité le travail des individus mal intentionnés.
La DLP est souvent considérée comme un processus fastidieux et s’étendant sur plusieurs années, mais cela peut être évité : un programme DLP peut tout à fait être gérable et progressif si les entreprises adoptent une approche graduelle. Anton Chuvakin, vice-président de Gartner Research, déclare :
« Pour éviter l’échec complet dû à une grande complexité et à des politiques organisationnelles, le déploiement d’un outil DLP doit être échelonné, allant d’une réussite tactique à une autre, selon une approche de “gains rapides”.»
Sept étapes pour développer et déployer une stratégie de Data Loss Prevention (DLP)
Certaines activités de base doivent être mises en place lors du lancement d’un programme de prévention contre la perte de données. Ce cadre fournit des directives générales que votre stratégie DLP doit respecter. Ces exigences peuvent également vous aider à choisir la solution DLP la mieux adaptée à votre entreprise.
1. Hiérarchiser les données
Les données n’ont pas toutes le même niveau d’importance. Pour n’importe quel programme de DLP, la première étape consiste à identifier les données qui, en cas de perte, poseraient le plus gros problème. Les entreprises manufacturières pourront privilégier des propriétés intellectuelles, comme des documents de conception, notamment ceux destinés à de futurs produits. Les entreprises de vente au détail et de services financiers devront, quant à elle, donner la priorité aux données PCI (industrie des cartes de paiement).
Les entreprises de santé privilégieront les dossiers médicaux (données de santé protégées), ces derniers étant souvent stockés sur des ordinateurs portables. Cela peut paraître évident, mais il convient de souligner que la prévention contre la perte de données doit commencer par les données les plus précieuses ou sensibles, susceptibles d’être la cible prioritaire des pirates informatiques.
2. Catégoriser (classer) les données
Le classement des données est souvent considéré comme une difficulté majeure en DLP. Une méthode simple et évolutive consiste à classer les données selon le contexte ; la classification peut être associée à l’application source, à l’entrepôt de données ou à l’utilisateur ayant créé les données. L’application de balises de classement cohérentes aux données permet aux entreprises de suivre l’utilisation de ces mêmes données. L’inspection du contenu, qui consiste à examiner les données à identifier les expressions régulières représentant des numéros de sécurité sociale, des numéros de carte de crédit ou des mots clés (p. ex. « confidentiel »), est également très utile et s’accompagne généralement de règles préconfigurées pour les informations de carte de paiement (PCI), les données à caractère personnel (PII) et d’autres normes.
3. Savoir quand les données sont exposées à des risques
Le risque peut varier en fonction du type de donnée. Un cryptage et des contrôles de sécurité sur le réseau peuvent fournir une sécurité lorsque les données sont inactives (at rest), à l’intérieur du pare-feu. Pour les données distribuées à des appareils utilisateur ou diffusées auprès de partenaires, de clients et de la chaîne logistique, différents risques existent.
Dans de tels cas, les données sont souvent le plus exposées au moment de leur utilisation sur les terminaux, par exemple lorsque des données sont ajoutées comme pièce jointe dans un e-mail ou déplacées sur un périphérique de stockage amovible. Un programme performant de prévention contre la perte de données doit tenir compte de la mobilité des données et des moments où ces dernières encourent un risque.
4. Surveiller tous les mouvements de données
L’analyse de l’utilisation et des données ainsi que l’identification des comportements existants qui mettent en péril les données sont d’une importance cruciale. Sans ces informations, les entreprises ne peuvent ni établir de politiques adaptées d’atténuation du risque de perte de données, ni autoriser un usage adéquat des données.
Tous les mouvements de données ne représentent pas nécessairement une perte de données. Toutefois, de nombreuses actions peuvent accroître ce risque de perte. Les entreprises doivent surveiller tous les mouvements de données afin d’améliorer leur visibilité sur ce qui se passe au niveau de leurs données sensibles, mais aussi de déterminer l’étendue des problèmes auxquels leur stratégie DLP doit s’attaquer.
5. Communiquer et mettre au point des contrôles
La surveillance fournira des métriques sur la façon dont les données encourent un risque. L’étape suivante d’une politique DLP efficace consiste à collaborer avec les gestionnaires hiérarchiques pour, d’une part, comprendre la cause de ces phénomènes et, d’autre part, mettre au point des contrôles visant à réduire le risque encouru par les données.
Les contrôles d’utilisation des données peuvent être relativement simples au début d’un projet DLP : ils ciblent les comportements à risque les plus courants tout en obtenant un soutien de la part des gestionnaires hiérarchiques. À mesure que les programmes DLP gagnent en maturité, les entreprises peuvent mettre au point des contrôles plus affinés et granulaires afin d’atténuer des risques plus spécifiques.
6. Former le personnel et offrir un encadrement continu
Une fois que l’entreprise a bien compris les circonstances dans lesquelles les données sont déplacées, une formation des utilisateurs permet généralement d’atténuer le risque de perte accidentelle par du personnel en interne. Les employés se rendent rarement compte que leurs actions peuvent entraîner une perte de données et que ces problèmes se corrigeront d’eux-mêmes une fois les employés formés de manière adéquate.
En plus de bloquer totalement les activités de données à risque, les solutions DLP avancées guident l’utilisateur de manière à informer les employés à propos d’utilisations de données risquant d’enfreindre la politique de l’entreprise ou, plus simplement, d’accroître le risque. Une étude révèle que cette fonctionnalité de guidage a réduit de 82 % les comportements utilisateur à risque en seulement six mois.
7. Déployer
Le contrôle de vos données les plus critiques est une première étape essentielle dans la prévention contre la perte de données – mais ce n’est pas la dernière. Certaines entreprises répéteront ces étapes avec un ensemble de données étendu, ou élargiront l’identification et le classement des données afin d’affiner davantage les contrôles des données.
La Data Loss Prevention ne se limite évidemment pas à une suite d’étapes, mais prend plutôt la forme d’un processus continu. En orientant vos efforts pour protéger un sous-ensemble de vos données les plus critiques, vous simplifierez la mise en œuvre et la gestion de la DLP. Un programme pilote performant apportera en outre des enseignements pour étendre le programme qui, au fil du temps, incorporera de plus en plus d’informations sensibles, tout en perturbant le moins possible vos processus commerciaux.
Cinq idées reçues qui freinent votre stratégie DLP
Le besoin de Data Loss Prevention a gagné en visibilité parmi les spécialistes en sécurité et en conformité ces dernières années, mais bon nombre d’entreprises sont encore réticentes à l’idée d’adopter des programmes DLP, souvent par peur de mal comprendre les technologies en jeu. Voici, selon moi, les cinq plus grandes idées reçues qui empêche le déploiement d’une stratégie DLP efficace.
Idée reçue n° 1 – La DLP n’est pas pour les âmes sensibles
Selon une idée très répandue, la DLP exigerait dès le départ un effort collectif à l’échelle de l’entreprise, avec l’analyse de toutes les données et le classement de tous les utilisateurs, y compris l’ensemble des terminaux, serveurs et passerelles. S’il est vrai que de nombreuses entreprises aboutissent à une couverture complète au fil du temps, les déploiements les plus performants commencent à petite échelle et de façon très ciblée.
Cela peut commencer, par exemple, par la sélection d’une catégorie de données particulièrement sensibles, comme des documents de conception. Ces documents sont facilement identifiables car créés par des applications préétablies (p. ex. des applications de CAO), et sont consultées par un groupe d’utilisateurs bien défini nécessitant des droits d’accès. Impliquez des responsables de processus commerciaux dans la discussion afin d’assurer leur compréhension et leur adhésion. Comme mentionné dans le cadre de prévention contre la perte de données, vous pourrez ajouter d’autres catégories de données une fois que le programme pilote de la DLP fonctionnera correctement.
Idée reçue n° 2 – Mon réseau va saturer
Certes, l’examen du contenu de l’ensemble du trafic réseau pour identifier les données sensibles entraînera une latence. Cependant, il n’est pas obligation d’inspecter le contenu de manière répétée pour assurer la prévention contre la perte de données.
Heureusement, il n’est pas non plus nécessaire d’inspecter chaque paquet de données en transit sur le réseau. Au lieu de cela, les données peuvent être classées au moment de leur création ou de leur modification sur le terminal (via le classement contextuel, l’inspection du contenu, le classement de l’utilisateur ou une combinaison de ces méthodes). Une fois le classement effectué, une balise de classement persistante est ajoutée aux données. Les agents de terminaux intelligents peuvent lire ces balises et appliquer des règles d’utilisation en fonction du classement des données, du type d’utilisateur, de l’action demandée et d’autres aspects contextuels liés à l’activité des données. Résultat : une visibilité et un contrôle améliorés, sans latence réseau.
Idée reçue n° 3 – La DLP ne peut pas s’exécuter en dehors de mon réseau
La DLP est simple à comprendre si l’on ne parle que des appareils au sein de votre réseau, mais beaucoup penses qu’elle n’est pas efficace en dehors du réseau ou dans des environnements virtuels. En réalité, la DLP centrée sur les données fonctionne partout, car la protection est appliquée sur les données elles-mêmes et non sur l’appareil, le réseau ou le compte utilisateur.
Appliquée au niveau des données, la DLP peut automatiquement empêcher les données sensibles de quitter le réseau. SI des données quittent malgré tout le réseau, la DLP peut forcer leur cryptage (puis leur décryptage par les seuls appareils que vous gérez) ou leur transfert vers des appareils approuvés.
Idée reçue n° 4 – Une analyse du contenu est obligatoire et s’avère très complexe
Comme nous l’avons dit plus haut, l’analyse du contenu recherche dans les fichiers des schémas spécifiques, comme des numéros de sécurité sociale ou de carte de crédit. Cette analyse, bien qu’utile pour la conformité PCI et HIPAA, n’est pas requise pour une DLP efficace.
La sensibilisation contextuelle offre une méthode classement automatique des données simplifiée : la classification est ainsi rationalisée, l’adoption de la DLP accélérée et la confidentialité des communications des employés préservée. Plutôt que d’examiner le contenu des données, cette méthode associe un classement aux applications utilisées pour créer les données (p. ex. logiciels financiers ou de conception), aux utilisateurs créant les données (p. ex. membre du service juridique), à l’emplacement de stockage des données (p. ex. dossier financier sur un lecteur) et à d’autres caractéristiques préétablies.
Idée reçue n° 5 – La DLP interférera avec l’utilisation légitime des données et affectera la productivité
Cette idée reçue remonte aux tout débuts de la DLP, accablés par la grande complexité des autorisations et l’inefficacité du classement des données. La DLP moderne, appliquée au niveau des fichiers, n’impacte pas les utilisateurs légitimes qui respectent les politiques d’entreprise. Les agents de terminaux classent les données automatiquement et appliquent les politiques de manière transparente.
Cette stratégie de prévention contre la perte des données pourra (si vous le souhaitez) bloquer toute utilisation non autorisée, mais pourra également être utilisée de manière non invasive, par exemple sous la forme d’un avertissement ou d’une note d’informations relative aux comportements à risque. Cette fonctionnalité renforce les politiques de sécurité de l’entreprise, tout en fournissant un accompagnement opportun grâce auquel les utilisateurs pourront corriger automatiquement les habitudes qui favorisent le risque de perte des données.
Découvrez Digital Guardian en action !
Digital Guardian est une plateforme de protection des données cloud nouvelle génération, la seule combinant la DLP, l’EDR (détection et réponse des terminaux) et l’UEBA (analyse du comportement des utilisateurs et des entités) afin de protéger les données face à toutes les menaces.
Obtenez une démo de la DLP Digital Guardian dès aujourd’hui.