Protection contre la fuite de données sensibles

Au-delà des définitions «Data Loss Prevention» ou «Data Leak Prevention», la DLP se situe au centre d’une démarche globale de protection du patrimoine informationnel qui doit s’adresser à l’humain, au SI, et à l’organisation. A l’image de l’IAM, cela doit couvrir de façon transverse «la gestion du cycle de vie de la donnée».

Critères pour sélectionner une technologie de DLP :

il y a un grand nombre de critères à prendre en compte:

1. La faculté à découvrir des données structurées ou non (localisées ou en mouvement dans l’infrastructure).

  • Recherche par mot clés, expressions, type de document (word, pdf, etc.), fonction de hachage, propriétaire de fichier, âge de fichier, expéditeur et destinataire de mail, pièces jointes, etc.
  • Scans des moteurs de DLP aux niveaux des systèmes de stockages, des périphériques, des serveurs, et du réseau,

2. les types de surveillance active ou passive,

3. les différentes actions palliatives ou correctives (application des consignes de sécurité lors du constat d’incident ou de violation) : blocage, rejet, mise en quarantaine de différents fichiers et matériels, avertissement / dissuasion auprès de l’utilisateur final (pop up), justification de l’action, chiffrement pour les données en transit, chiffrement sur le poste de travail, etc.

4. la vitesse de supervision, la surveillance du copier/coller, des copies USB, etc. Dès lors qu’une donnée catégorisée et classifiée se voit manipulée l’application d’une consigne de sécurité lui est associée. Toutes les actions effectuées sur ces données sont répertoriées et stockées.

5. la capacité du produit à prendre en compte les différentes réglementations en vigueur (protection des données personnelles pour les directives de l’UE, la protection des informations des cartes de crédit pour PCI-DSS, etc.).

6. les contraintes d’installation et de déploiement des solutions : interopérabilité avec le système et l’infrastructure cliente, installation facile et intuitive, etc.

7. les outils de pilotage : console centrale de management avec des rapports directement exploitables, capacité d’intégrer sa solution de DLP à un outil de gestion existant, ou de mettre en œuvre sa solution conjointement à un projet SIEM. La combinaison des deux outils permet d’associer la puissance d’analyse, de corrélation et la publication de rapports de risque pour une action plus rapide et efficace en cas d’incident.

8. la facilité d’intégration avec les annuaires d’authentification (AD, LDAP, etc.)

La place de l’humain dans une politique de DLP

En 2012, une attention renforcée est de mise : un contexte de crise a une incidence sur les comportements à risques. Le gel des salaires, les licenciements, le sentiment d’insatisfaction, d’incertitude voire de peur sont autant de facteurs à risque à prendre en compte dans sa politique de protection de l’information. Dérober des informations d’entreprise tels que les fichiers clients, ou autres données sensibles sont des comportements contre lesquels vous pouvez vous prémunir grâce à la DLP.
D’ordre général, la phase de classification des données (rendue obligatoire par un outil qui rappelle, si nécessaire, les critères de classification) permet de confronter les utilisateurs régulièrement à la problématique de la sensibilité des données. Une formation à la classification « bien faite » et un rappel régulier des règles permettent de sensibiliser les utilisateurs au fait que les données qu’ils utilisent ne sont pas neutres en termes de risques.
Les petites « pop-up » qui interpellent l’utilisateur, lui disant qu’il manipule une donnée sensible au moment où il souhaiterait la diffuser, est une bonne solution. Notre action dans ce contexte n’est pas de l’ordre de la sanction, mais de la sensibilisation qui rappelle que la donnée manipulée est sensible. L’un des résultats de cette pratique est, qu’à force de prévenir les collaborateurs, de les impliquer dans la classification, s’ils continuent à être à l’origine de fuites d’information, cela devient dans ce contexte de la malveillance. Il est alors temps de passer à la solution à caractère coercitif.

Conseils avant de se lancer dans un projet DLP ?

3 points : Faites-vous conseiller ; Testez ; Pensez Technologie et Humain.

  • 1 Faites-vous conseiller : Il existe aujourd’hui une multitude de solutions, certaines répondant partiellement à des problématiques de fuites de données, d’autres plus complètes souvent complexes et onéreuses qui conviendront mieux à une entreprise type grand compte. Il vous faut aussi identifier vos données sensibles et faire analyser les systèmes de stockages, les périphériques, les serveurs et le réseau, pour ainsi classifier vos données et les catégoriser par degré de criticité (au regard des politiques de sécurité de l’entreprise et du contexte métier).
  • 2 Testez : Il faut trouver le juste milieu, en cohérence avec l’infrastructure existante et ses solutions déjà en place, du degré de criticité des données traitées et échangées, du budget envisagé, de la disponibilité des intéressés et du périmètre visé. Vous pourrez ainsi débuter votre projet par un périmètre acceptable pour ensuite le faire évoluer.
  • 3 Pensez Technologie et Humain : On ne le répètera jamais assez … l’humain doit être au centre d’un projet de DLP. L’implication Le management, les lignes métier et l’utilisateur final est indispensable. Une bonne politique de lutte contre la fuite de données peut simplement être une campagne de communication interne à l’entreprise. Si cette campagne s’accompagne de moyens permettant de protéger les infrastructures, alors un grand pas est fait pour l’entreprise dans la prise en compte de ce sujet qui est totalement dans l’actualité.

Valeur ajoutée de la DLP face aux technologies existantes

Les outils DLP sont des compléments technologiques à forte valeur ajoutée qui vont au-delà des outils habituellement utilisés. Les entreprise qui ont déjà recourt à des moyens de lutte et de protection contre la fuite de données ( chiffrement de disques, de clés USB, le DRM, la gestion des identités et des accès, l’anonymisation des données, etc.) utilise des solution qui ne sont que partiellement dédiés à la problématique et qui ne couvrent pas tous les risques. Un projet de DLP permet de mettre en place des solutions techniques et humaines. Le DLP vous permet d’élargir les niveaux de sécurisation envisageable, le tout étant de bien définir son besoin réel.

La valeur ajoutée de la DLP

  • En complément de sa solution de chiffrement de disque dur ou des clés USB : Savoir lorsqu’un utilisateur copie des données sensibles sur une clé USB, ou envoie des documents sensibles par mail.
  • Intégré à son SIEM : Les solutions DLP sont très souvent compatibles avec les solutions SIEM et permettent de faire ressortir des évènements de risques majeurs pour les décideurs. De plus, certaines « s’insèrent » dans les consoles de type MMC de Microsoft.
  • Répondre avec précision : Les solutions proposées sont évolutives et ajustables en fonction des besoins : analyse réseau ou analyse poste de travail, analyse des fichiers Office, des fichiers CAD, etc., avec aussi des fonctionnalités de blocage ou surveillance.
  • Démarche claire qui vous permet d’échelonner et de maitriser votre projet. Vous pourrez par exemple analyser ce qui se passe sur votre réseau et le comportement de vos utilisateurs pour mettre en place des éléments de sécurisation afin de faire face aux risques relevés. Nous avons d’ailleurs développé une offre de Conseil « Quick-Win » pour permettre à nos clients d’initier plus rapidement leur projet.
  • L’externaliser du service : Si vous ne souhaitez pas héberger les serveurs de contrôle, vous pouvez externaliser la partie analyse des flux de messagerie ou du poste de travail en mode SaaS. Les éditeurs proposent de plus en plus cette solution avec une console d’administration disponible depuis internet afin de gérer sa flotte d’ordinateurs.

Les éditeurs adressent différents niveaux dans leur offre :

  • certains éditeurs se spécialisent sur l’aspect poste de travail avec des offres de type endpoint protection;
  • d’autres au contraire se concentrent sur l’aspect réseau ;
  • enfin les derniers disposent d’une pluralité et d’une offre complète allant de la protection réseaux/serveurs, données en transit et postes de travail. C’est en général les acteurs importants dans le domaine de la SSI.

Des solutions efficaces, mais peu de projets réellement déployés 

4 raisons essentielles :

  • L’application d’un cadre réglementaire naissant (le paquet télécom vient juste d’être voté et ses dérivées sur tous les secteurs de l’entreprise sont encore en discussion)
  • La complexité et le coût d’un projet « global » de DLP
  • Une offre complexe que les entreprises peuvent avoir du mal à justifier au regard des budgets
  • Des risques et enjeux multiples parfois peu connus ou mal compris

Jusqu’à aujourd’hui, la tendance a été de mettre en place des solutions rapides et ciblées en réaction à un état d’urgence (poste de travail, base de données ou analyse de flux à moindre cout) : « une fuite a eu lieu, trouvons une solution rapide pour y remédier ».
On assiste cependant à un changement de fond. Aujourd’hui, un grands nombre d’experts et d’instances de normalisation s’accordent à penser que l’intégration d’une suite complète DLP reste la solution la plus « compliance ». Cependant cette démarche nécessite du temps au niveau des ressources (métiers) et un investissement.

Les risques inhérents à la fuite d’information 

Des risques financiers majeurs, inhérents aux traitements des préjudicies subits en fonction de la donnée, en lien avec la réglementation, l’image de marque de l’entreprise, la stratégie, et par incidence son chiffre d’affaires et ses bénéfices.
Aujourd’hui, le risque le plus visible réside dans les données à caractère personnel qui, en plus d’avoir une répercussion «grand public», est soumis à réglementation (CNIL, transposition du paquet télécom) et notification (couts internes et externes). Bien que le nom ou le prénom d’une personne se retrouvant sur la toile ne cause que très peu de tort, le risque sera accru en cas d’agrégation de données. En effet, si ces données sont associées à une adresse mail, une adresse physique, un numéro de carte d’identité / passeport, etc. le risque d’usurpation d’identité devient réel. Cette fuite d’information peut être fortement préjudiciable auprès de l’utilisateur final et l’impact médiatique, dû aux messages véhiculés autour de ces disfonctionnements, d’une envergure hautement néfaste pour l’entreprise, avec un impact financier proportionnel. Par ailleurs, les fuites de données Business ne sont pas à négliger. Le risque, ici économique, peut engendrer par exemple une perte de CA ou une perte d’avantage concurrentiel.
Chaque entreprise est concernée par la fuite d’information et Il convient d’identifier quelles sont les données quelle possède et qui peuvent être considérées à risque, pour ainsi mettre en place les mesures de sécurité nécessaires en fonction de chaque « famille » de données:

  • les données « à caractère personnel » (liées à l’identité même d’un individu) : nom, adresse postale, adresse email, date de naissance, codes identifiant et mot de passe, données bancaires, etc.
  • les données « Propriété intellectuelle » : brevet, R&D, etc.
  • les données « Business » : plan marketing, analyse concurrentielle, politique de prix, etc.

Les différentes phases de mise en œuvre d’un projet de DLP 

La mise en œuvre de solution de DLP ne peut être envisagée sans phase amont de cadrage, d’audit et de rencontre avec les métiers.
Les différentes phases de mise en œuvre sont donc :

  • Premièrement, définir avec le client le périmètre de son projet : Pour cela un cadrage et une étude nous amène à définir un plan projet avec plusieurs étapes. Nous validons ainsi théoriquement le budget, les fichiers à protéger, les populations cibles (internes/externes) et les processus métiers à protéger.
  • Ensuite, effectuer un audit de l’environnement : Prendre la mesure du SI client, vérifier les compatibilités avec les solutions du marché. Nous étudions tous les systèmes où de la donnée sensible est potentiellement présente : les systèmes d’exploitations, les systèmes de gestion de base de données, les serveurs d’applications, etc.
  • Rencontrer les couches métiers pour s’assurer de l’implication des équipes métiers et du management : Le volontariat des équipes métiers et du management est très fort dans nos projets. Il y a une forte dynamique de leur part. Ils s’impliquent dans la sensibilisation des utilisateurs finaux, et apportent une véritable valeur ajoutée dans le projet car ils nous permettent de capitaliser sur leur expérience. Notre objectif est de définir avec eux un moyen pour sécuriser les données sensibles avec le minimum d’impact sur l’environnement actuel en vue de facilité l’adoption de la solution.
  • Implémentation des solutions DLP au sein du SI client : Ce n’est qu’une fois ces étapes réalisées que nous implémentons des solutions DLP au sein du SI client. Nous configurons les règles de sécurité puis nous effectuons un transfert de compétence qui permet ainsi aux personnes du SI d’administrer la solution sur le long terme.

Intégrer l’humain dans une politique de DLP, sachant qu’il est lui-même responsable d’une grande majorité des violations de données observées au sein de l’entreprise ?

Quelques Idées pour intégrer le facteur humain dans une politique de DLP :

  • Sensibiliser l’utilisateur : faire des campagnes de communication (email de rappel des engagements (contrat, politique et de l’importance du rôle des collaborateurs) ; formation systématique de tous les employés à être des gardiens responsables des données sensibles (Attention au logiciel avec complétion de type Outlook, etc.), etc.
  • Mettre l’utilisateur au cœur de la réflexion : impliquer les bonnes personnes des affaires/métiers dès l’élaboration de la politique ainsi qu’au lancement du programme de DLP ; impliquer des salariés des différents services pour avoir une vision terrain des usages, mentalités et habitudes en vue d’obtenir des idées d’amélioration avec une approche de type Bottom-up, etc.
  • Travailler sur les aspects psychologiques et spécifiques à la divulgation 2.0 : insatisfaction, sentiment d’injustice et vengeance ; frein psychologique diminué car acte immatériel ; l’intérêt individuel …

Les acteurs qui doivent être impliqués dans un projet DLP 

Les acteurs impliqués dans un projet de DLP sont : Le management, les lignes métier et l’utilisateur final.
Les « VIP » ou les responsables métiers doivent être moteur dans ces projets. En effet, dans ces projets il est important que l’exemple vienne du haut. C’est pourquoi, il est important que les VIP ou responsables métiers soient moteurs et incitent les salariés à prendre conscience que les données manipulées peuvent être sensibles. Conjointement, il faut édicter des règles simples, les communiquer et s’y tenir. En effet, Il n’est pas acceptable qu’une entreprise puisse perdre un Smartphone ou un ordinateur portable non chiffré, encore mois par un VIP. Dans ce cas de figure, tous les mails et documents se retrouvent à la merci des voleurs.
Exemple de Règle « simple » : Tous les équipements mobiles (ordinateurs portables, téléphones portables d’entreprises, etc.) doivent être chiffrés. A titre d’information, 733 portables sont perdus par semaine dans le seul aéroport de Roissy Charles de Gaulle à Paris. (Imaginez le portable de votre Directeur avec tous les mails et documents liés à l’entreprise).

Quelques conseils pour en assurer la continuité 

A minima, Il faut penser à faire des campagnes de sensibilisation sur la fuite de données 1 fois par an. Cela permettra de maintenir un niveau d’alerte suffisant (atelier de suivi dans la sensibilisation, mail, campagne de communication interne (article, affiche, « serious game », etc.), espace dédié à la sécurité des donnés accessible depuis l’intranet de l’entreprise, etc.

Partager cet article sur :