Le coût de la cybercriminalité est passé de quelques dizaines de millions de dollars en 2008 à plus de 400 milliards de dollars en 2014. Face à la montée en puissance de cette menace, la DLP offre une protection intéressante.
Les enjeux de la DLP : identifier, surveiller et protéger l’information
3700. C’est, selon les estimations de Cisco Systems, le nombre de cyber-attaques qui auraient été déjouées chaque seconde entre 2013 et 2014.
Dans son guide normatif consacré à la question, publié en janvier 2015, l’AFNOR (Association Française de Normalisation) a défini la DLP comme « l’ensemble de mesures organisationnelles et techniques visant à identifier, surveiller, et protéger l’information, qu’elle soit stockée, en mouvement ou en cours d’utilisation. »
En effet, la liste des risques potentiels pour les données d’une entreprise est longue :
- Hacking visuel, phishing, APT (Advanced Persistent Threats), flux réseaux internes, envois à des tiers, sont les plus évidents.
- La mobilité des données et la multiplicité des devices (laptop, stockage mobile, smartphones) constituent un risque supplémentaire, de même que le BYOD (« Bring Your Own Device ») : un tiers des employés américains aurait des données corporate stockées sur leurs smartphones ou leurs ordinateurs personnels !
- En bout de ligne, le formatage peu soigneux des équipements destinés à être remplacés peut également être un vecteur de fuite de données.
Identifier, classer et chiffrer les données au repos
L’identification des risques est un premier pan majeur. Elle revient à classer et à localiser les données selon leur sensibilité (données bancaires, médicales, etc.) et identifier les failles potentielles. Elle suppose une cartographie des données en repos (serveurs, database, postes de travail) grâce à l’intervention de robots de balayage.
La classification des données suppose la conservation de ces dernières dans des supports appropriés en fonction de leur sécurité, ainsi que la définition des règles d’accès à ces données. Si la combinaison de plusieurs données devient sensible, il est utile de les chiffrer séparément, via des clefs de chiffrement RSA ou AES par exemple. Ces dernières seront elles-mêmes chiffrées à leur tour, régulièrement modifiées, stockées à distance et accessibles via une connexion sécurisée.
Enfin, une politique de DLP doit être constamment révisée du fait de l’évolution de l’activité, des données et des effectifs : il est fondamental que chaque incident fasse l’objet d’un reporting et d’une enquête afin d’optimiser les process à l’avenir.
Les enjeux liés aux données en mouvement ou en utilisation
La question des données en mouvement implique de définir en temps réel des restrictions nouvelles en fonction de la modification d’un fichier. Les outils de DPI (Deep Packet Inspection) inspectent le contenu des données en mouvement - échanges de données via email (SMTP), web (HTTP/HTTPS) et les transferts de fichiers (FTP/FTPS) – afin de déterminer si des données sensibles sont acheminées vers une destination non autorisée. Pour que le fonctionnement de la DPI soit optimal, les modules de DLP réseau doivent donc être définis de manière optimale afin de minimiser l’impact sur la performance des systèmes et la rapidité des flux.
Avec la généralisation du Cloud Computing, les VPN constituent un nouveau terrain de jeu pour de potentielles failles de sécurité. Afin de les éviter, la définition des protocoles de sécurité informatique de l’entreprise doit prendre en compte les pratiques du fournisseur VPN.
Enfin, concernant les données en utilisation, une solution de DLP contrôle les actions des utilisateurs via un agent qui alerte et/ou empêche les actions les plus risquées, par exemple la copie de fichiers sensibles sur une clef USB ou encore l’envoi de données classifiées à une imprimante.
La DLP, l’affaire de tous
90% des fuites de données seraient non intentionnelles et dues à des maladresses ; seules 10% seraient d’origines malveillantes.
La DLP ne représente pas uniquement un défi IT, mais constitue bel et bien l’affaire de tous. Les diverses étapes de la mise en place de cette politique doivent être menées en concertation avec chaque métier : rôles, responsabilités, risques, etc. La sensibilisation et la formation des collaborateurs sont cruciales pour l’efficacité de la politique de DLP.
Gardez à l’esprit que le Code du Travail stipule que les salariés doivent être informés de la mise en place d’une nouvelle technologie collectant ou contrôlant des données au sein de l’entreprise : une politique de DLP rentre dans ce cadre. Les salariés doivent donc pouvoir faire part de leurs observations à travers le CHSCT ou encore l’Inspection du Travail. Ceci dans le respect de la règlementation et des lois en vigueur.
Un effort collectif qui est essentiel pour l’entreprise. En effet, l’établissement d’une politique de DLP est aux années 2010 ce qu’un protocole de continuité de l’activité était aux années 2000 : un passage obligé pour conserver la confiance de ses clients et partenaires. La DLP est une technologie particulièrement intéressante mais qui reste, cependant, parfois complexe et difficile à déployer, particulièrement dans le contexte des grandes entreprises.
Thibaud MARIJN
Pour aller plus loin
Une approche globale de la sécurité
Sécurité : pourquoi le WAF est-il indispensable ?
La nouvelle frontière : protéger les données où qu'elles se trouvent
Directeur d’études pendant 4 ans, j’y ai entre autres analysé les problématiques de la transformation digitale et de l’urbanisme de demain pour le compte d’entreprises et collectivités. Devenu consultant éditorial, mes leitmotivs sont la pédagogie, la clarification et la sensibilisation.