Une politique de DLP (Data Loss Prevention, prévention contre la perte de données) définit la façon dont les entreprises peuvent partager et protéger les données. Elle oriente la façon dont les données peuvent être utilisées dans les processus décisionnels, sans que ces mêmes données ne puissent être divulguées à quiconque n’y a pas accès.
On peut définir la prévention contre la perte de données comme des technologies ou des processus capables :
- D’identifier des données confidentielles
- De suivre l’utilisation des données
- D’empêcher tout accès non autorisé aux données
Les outils de prévention contre la perte de données comprennent des logiciels de classement et de protection des données. La politique de prévention contre la perte de données permet d’établir le fonctionnement de tels outils.
Pourquoi vous avez besoin d’une politique de DLP (Data Loss Prevention)
La sécurité des données consiste principalement à empêcher les attaques malveillantes sur les réseaux d’une entreprise. En raison de la nature distribuée de l’informatique moderne, les employés disposent de plus de façons d’accéder aux données de l’entreprise et de les partager que par le passé. Par conséquent, la perte de données constitue un problème grave.
Le stockage des données est disponible dans le cloud est sur des sites distants. L’augmentation du nombre d’employés en télétravail va de pair avec l’augmentation de l’accès aux données sensibles à partir d’ordinateurs portables et d’appareils mobiles pouvant être vulnérables.
La collecte et l’utilisation des données font l’objet d’un contrôle de plus en plus accru. Trois raisons principales justifient la mise en place d’une politique de prévention contre la perte de données :
Conformité
Les gouvernements disposent de plusieurs échelons de réglementation en ce qui concerne la collecte et la protection, par les entreprises, des informations personnellement identifiables. Une politique de prévention contre la perte de données joue un rôle capital dans le respect des réglementations relatives aux données et dans la génération de rapports dans le cadre d’audits de conformité.
1) Propriété intellectuelle les informations propriétaires et les secrets commerciaux sont les types d’information devant être protégés des tentatives d’accès non autorisé.
2) Visibilité sur les données : les entreprises peuvent obtenir de précieuses données en surveillant la façon dont les parties prenantes accèdent aux données et interagissent avec elles.
Mise en place d’une politique de prévention contre la perte de données : les meilleures pratiques
Une politique de prévention contre la perte des données aide les entreprises à prévenir tout accès non autorisé et à se prémunir contre d’éventuels dommages. Si la protection parfaite n’existe pas, voici quelques meilleures pratiques qui vous aideront à établir une politique efficace de protection contre la perte de données :
A) Identifiez les données que la politique est principalement destinée à protéger.
Les données sont le plus souvent classées en fonction de leur vulnérabilité et des facteurs de risque. Plus vous prendrez le temps de comprendre et de classer les données, plus vous améliorerez les connaissances à l’échelle de l’entreprise.
B) Déterminez des critères d’évaluation des fournisseurs de solutions de prévention contre la perte de données.
Choisir une solution de prévention contre la perte de données peut être décourageant. Cependant, la création d’un cadre d’évaluation, assorti des questions appropriées, peut éclairer le processus d’achat.
C) Définissez clairement les rôles des individus impliqués dans la prévention contre la perte de données.
Ne vous contentez pas de désigner la personne qui surveillera l’utilisation des données et fixera les règles. Séparer les responsabilités peut prévenir les abus.
D) Au départ, privilégiez la simplicité. Sélectionnez un type précis de données ou un risque spécifique à aborder.
L’objectif est de protéger les données les plus critiques et d’obtenir un résultat rapide et mesurable, puis de se baser sur ce gain rapide pour passer à la suite.
E) Obtenez l’aval de la direction de l’entreprise.
Chaque service ou unité a son rôle à jouer dans l’établissement d’une politique de prévention contre la perte de données, alignée sur la culture de l’entreprise. Cette stratégie doit concerner l’ensemble des services et des fonctions.
F) Informez tout le personnel de l’entreprise à propos de la façon dont la politique de prévention contre la perte de données est établie – et pourquoi.
De nombreux cadres dirigeants estiment que les employés sont le maillon faible dans la prévention contre la perte de données, sans pour autant donner la priorité à la formation à la sécurité.
G) Documentez minutieusement les processus de prévention contre la perte de données.
Une politique écrite doit se focaliser sur les données protégées.
H) Définissez et partagez les métriques de réussite.
Des métriques de prévention contre la perte de données détermineront la rentabilité des politiques et des solutions, et peuvent même en déterminer l’efficacité.
I) Anticipez les correctifs pour surmonter les limites.
Si les règles de messagerie empêchent l’ajout de pièces jointes volumineuses, les employés auront-ils recours à d’autres méthodes de transfert de fichiers ? Examinez les workflows afin de vous assurer que les politiques de prévention contre la perte de données ne gênent pas les activités légitimes des employés.
J) Évaluez la quantité de données nécessaire.
Déterminez les types de données nécessaires, et pourquoi. N’enregistrez pas les données non nécessaires. Des données inexistantes ne peuvent pas être perdues...
J) Surveillez l’utilisation des données avant de les bloquer.
Configurez des outils de prévention contre la perte de données pour signaler en amont toute perte de données sensibles. Veillez à ce qu’aucune règle de blocage de transfert de données n’interrompe les workflows.
Utilisation de modèles de politique de prévention contre la perte de données
Les produits de prévention contre la perte de données comportent souvent des modèles de police, c’est-à-dire des règles prédéfinies qui aident le logiciel à identifier les données vulnérables. Un certain niveau de personnalisation est généralement proposé. Certains modèles de politique sont conçus pour des environnements réglementaires bien précis. Les modèles sont très utiles pour configurer les logiciels de prévention contre la perte de données.
Attention toutefois : ces modèles de politique ne remplacent pas la mise en place d’une politique de prévention contre la perte de données. Les entreprises doivent comprendre les données qui sont collectées et stockées. Les meilleures politiques de prévention contre la perte de données sont élaborées sur la base de l’environnement de sécurité propre à l’entreprise, puis diffusées auprès de tous les employés.
Inclusions courantes dans les politiques de prévention contre la perte de données
Certaines lois sur la confidentialité des données sont déjà en vigueur, sans compter la multitude d’exigences juridiques en attente et autres lois potentielles actuellement rédigées dans le monde entier. Une politique DLP type comprend trois éléments :
- Emplacement : lieu où ladite politique sera appliquée
- Condition : en résumé, les critères recherchés par la politique pour empêcher la perte de données.
- Action : lorsqu’une situation remplit les conditions définies, une action est menée pour empêcher la perte
Exemple : une politique DLP est mise en place pour détecter les informations protégées par le RGPD. Tous les emplacements susceptibles d’abriter des informations personnelles sont concernés.
Les conditions peuvent comprendre les suivantes :
- Données non utilisées de la façon convenue par l’utilisateur
- Données anciennes devant être supprimées afin d’assurer la conformité
- Données personnelles actuellement stockées dans un emplacement différent et non sécurisé
Actions correspondant à la condition. Par exemple, des données peuvent être supprimées s’il s’avère qu’elles ne respectent pas les le RGPD, ou des données personnelles peuvent être bloquées s’il s’avère qu’elles sont stockées dans un environnement non vérifié.
Découvrez Digital Guardian en action !
Digital Guardian est une plateforme de protection des données cloud nouvelle génération, la seule combinant la DLP, l’EDR (détection et réponse des terminaux) et l’UEBA (analyse du comportement des utilisateurs et des entités) afin de protéger les données face à toutes les menaces.
Obtenez une démo de la DLP Digital Guardian dès aujourd’hui.