L’actualité des derniers mois a été riche en actualités concernant les fuites de données réelles (Wikileaks) ou supposées (Affaire Renault). Étonnamment, malgré cela on s’aperçoit que de nombreuses entreprises considèrent avec très peu d’attention ce sujet. Dans certaines entreprises, j’ai parfois le sentiment que la sécurité entourant les fournitures de bureau est bien plus grande que celle concernant les données, pourtant véritable patrimoine de l’entreprise.
Il existe pourtant un ensemble de techniques de protection contre la fuite d’information qui permet de protéger nombre de fichiers allant du classique listing de prévision des ventes, en passant par le listing client jusqu’aux secrets industriels les plus sensibles. Intitulé DLP pour Data Leak Protection, nous allons voir exactement ce que cela recouvre.
En quoi consiste la DLP ?
Selon une étude Gartner intitulée 2010 Buyer’s Guide to Content-Aware DLP, la mise en place d’une solution DLP permet entre autres aux entreprises :
- D’aider les organisations à développer et à mettre en place des pratiques commerciales efficaces concernant l’accès, la manipulation et la transmission des données confidentielles,
- De soutenir la gestion des identités et accès, de la protection de la propriété intellectuelle, de la conformité des politiques de données avec une fonction de reporting,
- Une détection précoce et donc une mitigation plus rapide.
Face à ce constat de nombreuses organisations considèrent donc que les logiciels et les matériels de DLP sont les réponses à leurs problèmes de sécurité des informations. Certes, ces solutions sont capables de détecter et d’éviter les utilisations et les transmissions non autorisées d’informations confidentielles, mais malheureusement, il est nécessaire d’aller plus loin.
En effet des fuites de données peuvent survenir de plusieurs manières différentes : espionnage d’entreprise, logiciel malveillant, perte de matériel informatique, etc. Il est donc nécessaire d’intégrer la DLP à un cadre global de sécurité des informations de l’entreprise afin qu’elle devienne un élément fondamental de la chaine de sécurité des informations.
Comment mettre alors en pratique la DLP ?
Un parcours en cinq étapes est nécessaire pour mettre en place une politique de DLP efficace.
1. Définir le niveau de sécurité au sein de l’organisation.
En ayant cette donnée en main on pourra intégrer une solution de DLP au dispositif de sécurité. Durant cette étape il est nécessaire de rappeler que la DLP ne résoudra ni ne diminuera les risques au sein de l’entreprise.
2. Localiser les données au sein de la société afin de les protéger.
Les bonnes questions à se poser dans cette étape sont : Combien de données sont stockées sur le réseau ? Quelle proportion de ces données est stockée à long terme ? Archivée ? Déterminer le nombre de données en circulation est, à mon avis, l’étape la plus longue et importante dans ce travail d’implémentation d’une solution de DLP. Par expérience j’aurais tendance à dire que seule une entreprise sur 100 à déjà réellement fait un véritable travail sur cette problématique.
3. Classer les données selon leur ordre d’importance.
Selon une étude de Forrester, les données secrètes d’une entreprise représentent les deux-tiers de l’ensemble du portefeuille d’informations. Toutes donc ne nécessitent pas le même degré de protection. Il faut aussi établir quels sont les risques encourus en cas de fuite de ces données.
4. Faire intervenir toutes les entités qui composent l’entreprise.
Que ce soit par exemple la direction, le département financier ou de ressources humaines, tous doivent s’impliquer dans cette démarche de manière détaillée afin répondre à toutes les exigences et les besoins en matière de sécurité. Dans le cas précis du service juridique, son accord est primordial car le projet de la DLP qui contrôle les données personnelles de l’entreprise, ne doit enfreindre aucune loi. En effet les directives européennes sur la protection de données peuvent facilement être enfreintes avec la DLP si les sociétés ne font pas preuve de vigilance.
5. Sélectionner, tester et déployer le produit.
Cette étape comprend la création d’un pilote pour essayer plusieurs produits de la DLP afin de tester plusieurs cas d’utilisation et analyser le produit dans différents scénarios.
Pour que la DLP soit opérationnelle, il est nécessaire de progresser par étapes au début, puis d’évoluer par la suite car de nombreux projets informatiques échouent à cause d’ambitions initiales trop importantes. Commencez donc petit, obtenez vos premières réussites, puis continuez à progressez dans l’installation de la DLP.
Cependant toutes ces étapes ont un coût que toutes les entreprises ne peuvent pas se permettre. Qu’en est-il alors des entreprises qui ne veulent pas d’une solution complète de DLP mais qui souhaiteraient une solution intermédiaire et donc moins onéreuse ?
Heureusement pour elles il existe des solutions qui combinent tous les outils proposés par la DLP et qui constituent une alternative sûre et efficace. Ces solutions permettent ainsi aux entreprises de bénéficier des fonctionnalités d’une solution de D.L.P. sans y investir le temps et les efforts qui auront été nécessaires pour une solution de DLP complète. Facile à implémenter ces passerelles de sécurité fournissent des résultats remarquables en l’espace de quelques heures.
Xavier GARCIA
Directeur Commercial
www.clearswift.com