Data Loss Prevention : êtes-vous sûr de la protection de vos données ?7 min read

Nombre d’entreprises ont compris la nécessité – et pour certaines l’urgence – de sécuriser l’accès aux données de l’entreprise. La propriété intellectuelle, les licences, les produits sont maintenant sécurisés pour la plupart des sociétés. Est-ce cependant suffisant, en êtes-vous sûr ? Il faut penser Data Loss Prevention (DLP)…

Data Loss Prevention : êtes-vous bien sûr de la sécurité des données ?

Vous avez, pour certains d’entre vous, demandé un audit pour vous assurer que votre société soit dans un environnement protégé, identifié, délimité. Vous êtes conforme à RGPD, ISO27001, Bâle 2, Bâle 3, HIPAA… donc pourquoi aller plus loin ? Tout simplement parce que vos données vivent. Vos données s’échangent, se mettent à jour, s’effacent… Et là, êtes-vous sûr de les contrôler ? Avez-vous une idée précise de ce qui peut arriver à vos données ?

Tant que la donnée se trouve là où elle doit être, tout est aujourd’hui sous contrôle. Mais comment garantir la maîtrise et la bonne gestion de ces données ? La sécurité doit alors être repensée et élargie. Il faut penser DLP, à savoir Data Loss Prevention, ou gestion de la fuite des données, en complément de la sécurisation de leur accès.

 

Quel est l’objectif d’une solution DLP ?

 

L’objectif d’une telle solution est la maitrise de la bonne utilisation des données, sans pénaliser les utilisateurs, et d’être en mesure de bloquer les actions non autorisées. Ce type de solution vous donne alors une vision beaucoup plus claire de l’utilisation qui est faite de vos données. Est-ce la bonne méthode ? Les employés sont-ils sensibilisés à la bonne utilisation qu’ils doivent en faire ? Vous avez le contrôle, la vision, des écarts entre ce qui devrait être fait, et l’utilisation qu’ils en font vraiment. Vous saurez si vos données, qui sont en théorie à un emplacement précis, ne se retrouvent pas à un autre emplacement, hors de contrôle.

Grâce à cette vision globale des mouvements effectués sur vos données, vous pourrez identifier les comportements à risque, identifier les acteurs, les technologies, et mettre en place des solutions correctives.

Sans cette vision, qui pourra vous garantir que vos données ne sont pas sorties via une messagerie Gmail, une clé USB, ou une impression papier ?


>> LIRE AUSSI : [LIVRE BLANC] GDPR : en route pour la conformité <<


 

Comment utiliser une DLP ?

 

Une telle solution DLP va vous proposer d’y remédier.

Pour cela, il faut dans un premier temps identifier vos données sensibles, vitales pour votre entreprise, comme vos coordonnées clients, vos codes source, vos contrats, les informations personnelles de vos employés. Puis, il convient de s’assurer d’une part que les seules personnes autorisées ont bien un accès conforme à leur profil et, d’autre part qu’elles soient correctement utilisées, partagées, de façon contrôlée, et ce, de bout en bout. Enfin, il faut préciser leur emplacement supposé de référence.

Vient ensuite la définition de la cartographie des données, et leur catégorisation. Cela revient à identifier où sont stockées les données et à savoir si leur emplacement est critique, sécurisé, ou en libre d’accès. En fonction du niveau de protection de l’accès à ces emplacements, la donnée sera considérée sensible, car exposée, ou peu sensible car stockée dans l’environnement prévu à cet effet, avec les protections d’accès conformes.

Une fois cette cartographie effectuée, il est nécessaire de catégoriser leur niveau de criticité, comme par exemple : niveau 1 = donnée peu sensible car stockée dans son environnement, ou 5 = critique car exposée ou hors de son périmètre sécurisé. Tant que vos données restent là où elles doivent être, elles sont peu sensibles.

En revanche, dès qu’elles sortent de leur emplacement de référence, il faut non seulement changer leur criticité, mais aussi savoir les suivre. Le but d’une telle solution est d’identifier les flux par lesquelles peuvent transiter les données, et dans ces flux identifier les champs, données, formules, données personnelles en mouvement. Ces mouvements sont-ils autorisés ? Peut-on les visualiser ?

C’est ce que proposent aujourd’hui les différentes solutions de gestion des fuites de données.

 

Fuite de données : quelles solutions de gestion ?

 

L’approche est la suivante :

  • On cartographie les données que l’on souhaite suivre, avec leur emplacement.
  • On surveille les flux entrants et sortants autour de ces données.
  • On surveille les mouvements considérés comme suspects, grâce aux outils de DLP.
  • On agit ensuite sur les outils qui permettent la fuite potentielle de ces données.
  • Enfin, on bloque les flux sortants de l’entreprise non autorisés.

 

3 manières pour gérer la fuite de données

La gestion des fuites de données peut se catégoriser de trois manières qui peuvent être implémentées de différentes façons :

  1. Surveiller les accès aux données dites au repos.
  2. Surveiller les flux où peuvent transiter ces mêmes données.
  3. Sécuriser les équipements matériels et logiciels en :
  • Interdisant l’envoi de pièces jointes dans des messageries autres que la messagerie de l’entreprise.
  • Interdisant l’envoi de certains fichiers contenant ces données, qui auront été identifiées, même par le biais de la messagerie officielle
  • Interdisant les copier/coller, les impressions papier, les impressions d’écran sur des applications précises ou des postes de travail identifiés, comme les portables.
  • Bloquant les ports USB
  • Chiffrant le matériel utilisé ; en cas de vol, sans la clé, l’outil de travail est inutilisable.

Aujourd’hui, certains clients, principalement bancaires utilisent déjà certaines fonctionnalités de telles solutions. En effet, pour certains postes sensibles comme les portables, qui peuvent être volés, copiés, piratés, en dehors de la société, dans le cadre privé, familial, les ports USB sont inutilisables hors du réseau de la société par des utilisateurs non référencés. Donc, la copie des données sur clé USB est impossible, tout comme l’envoi de pièces jointes sur des messageries telles que Gmail, Yahoo… Il est donc impossible d’envoyer un document en pièce jointe.

 

Data Loss Prevention : la mise en place de certaines sécurisations

 

Aujourd’hui, plusieurs entreprises ont déjà initié certaines sécurisations, car la gestion des fuites de données peut être traitée et déployée à plusieurs niveaux, avec souplesse. Bloquer par exemple les ports USB peut être une première étape ; empêcher l’envoi d’email avec des pièces jointes en utilisant une messagerie publique peut être une continuité. Empêcher le copier/coller sur une application peut aussi être étudié de façon totalement indépendante de ce qui a déjà été fait.

Certains départements choisiront de bloquer les ports USB, d’autres de chiffrer le disque dur des dirigeants, pendant que d’autres encore choisiront de surveiller tous les accès des utilisateurs ayant des comptes avec des privilèges élevés sur des applications sensibles.

La souplesse de mise en œuvre de ce genre de solution vous permet d’aborder la gestion – et la maitrise – de vos données de façon progressive.

 

Garantir avant tout la bonne utilisation des données

 

Gérer son S.I. ne consiste donc pas seulement à octroyer les bons droits aux bonnes personnes. Il faut aussi garantir la bonne utilisation qui est faite de vos données.


>> VOIR AUSSI : [VIDEO] Sécurité des SI de santé <<


 
Dans un contexte RGPD, c’est un outil idéal pour identifier les données personnelles et savoir l’utilisation qui en est faite. C’est un excellent moyen de fournir les preuves comme quoi non seulement les données sont stockées là où elles doivent être, que seules les personnes habilitées ont les accès correspondants. Et, en outre, de fournir les preuves que toute tentative d’accès est identifiée, tracé, stockée, de façon irréfutable et non altérée.

Il est alors beaucoup plus facile de sortir un état des lieux de son S.I. par le biais de rapports sur la gestion qui est faite de ses données. Et donc de s’assurer de la conformité aussi bien d’un point de vue réglementaire, que d’un point de vue spécifique à l’entreprise. Les informations fournies par le biais de rapports seront ainsi utiles d’un point de vue juridique, sécurité, et conformité.

Pour cela, une solution de ce type peut vous aider dans ce sens. Contactez-nous et nous vous apporterons notre expérience sur le sujet, notre retour sur ce qui est pratiqué, car notre connaissance des métiers, des contraintes techniques, concurrentielles, réglementaires font de nous des personnes ayant un vrai savoir, une vraie démarche d’entreprise.

 

L’agence Sécurité, chez Business & Decision, peut vous aider à mieux comprendre, surveiller, et garantir que vos données sont bien chez vous.

 

  • A propos
  • Derniers articles

Christophe Soustelle

Directeur de l’agence Sécurité à Business & Decision

18 ans d’expertise dans le monde de la sécurité, sur des solutions aussi complètes et diverses que la gestion des identités et des accès, la centralisation des évènements et incidents, et la gestion de la fuite de données, l’authentification forte ; aussi bien en tant que client, intégrateur, et éditeur.

Il n'existe pas de commentaire pour le moment.

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.