Data Loss Prevention

Les techniques de la DLP peuvent être à la fois très simples et couramment utilisées, c’est le cas des antivirus et des pare-feu et vont jusqu’à l’installation de suites complexes de DLP. Nous allons donc analyser ces différents types de catégories[4].

Cette catégorie regroupe toutes les mesures habituelles de sécurité telles que les pare-feu, les logiciels antivirus, ou encore les systèmes de détection d’intrusion (IDS : intrusion detection system). Ces mécanismes sont destinés à protéger les ordinateurs contre d’éventuelles attaques extérieures.

Les mesures de sécurité avancées utilisent des algorithmes pour détecter un accès anormal aux données sensibles.

Les solutions DLP sont non seulement capables de détecter des accès anormaux aux données, mais également de les prévenir et de les éviter. En effet, une solution DLP est capable d’identifier les données sensibles, de repérer l’endroit où elle est stockée, de contrôler qui doit avoir accès à ces données et enfin de les protéger, c’est-à-dire d’empêcher toute personne non autorisée à y avoir l’accès[5].

La DLP est un outil permettant à l’entreprise de protéger ses données en fonction de sa politique interne. Elle est basée sur un serveur de gestion centralisé qui traite tous types de données, qui les contrôle et les protège[1].

La première étape du processus de prévention contre la perte de données est l’analyse des données. Cette étape s’établit en collaboration avec les dirigeants de l’entreprise et suit la politique interne de celle-ci.

Une fois que les dirigeants établissent quels types de données sont sensibles, la DLP analyse les données de l’entreprise pour déterminer où sont les données sensibles :

• L’envoi des documents de l’entreprise à la DLP qui effectue une recherche d’information correspondant à un modèle donné, par exemple un numéro de carte de crédit.
• Deux types de concordances de données : une avec les documents présents sur le serveur, où on regarde si ces types d’informations n’ont pas été copiés dans des mails ou sur une messagerie instantanée, et une autre concordance du même type mais avec la base de données.
• Les statistiques des endroits où les données identifiées comme sensibles sont les plus fréquemment perdues. À la suite de cela, la DLP effectue une recherche à ces endroits là, mais au sein de l’entreprise afin de détecter une éventuelle perte de données.
• La recherche conceptuelle où la DLP effectue une recherche par thèmes identifiées comme sensibles.

À la suite de ces recherches, la DLP crée des catégories pour chaque type de données sensibles. Il est souvent conseillé d’utiliser plusieurs de ces techniques au sein d’une même entreprise pour garantir une efficacité maximale.

La DLP dispose d’un serveur de gestion centralisé, où la politique interne de l’entreprise est définie, et qui traite de trois types d’information différentes :

• L’information en mouvement qui regroupe les informations diffusées par mails, par messagerie instantanée ou par l’activité sur le web.
• L’information stockée qui regroupe les données statiques sur un serveur.
• L’information traitée qui regroupe les données transmises. Cela peut-être d’ordinateur à clé USB ou par impression.

Le serveur de gestion centralisé est fait pour faciliter l’utilisation de la DLP aux entreprises. L’outil est fait pour s’adapter aux métiers de l’entreprise.

Contrôleur réseau

Le contrôleur réseau est un serveur qui scanne l’activité sur le web, localise et contrôle l’information. Il est capable de bloquer certaines infractions en fonction de la politique interne de l’entreprise et de stopper toute activité indésirable.

E-mail

Le contrôle des flux d’E-mails est le plus important dans une entreprise, et donc celui qui demande la protection maximale. La DLP est donc capable de rediriger tous les e-mails sensibles vers un responsable qui donnera ensuite l’accord pour envoyer ou non l’e-mail.

Agent logiciel

L’agent logiciel agit au niveau des postes de travail et gère les connexions depuis l’extérieur sur un ordinateur de l’entreprise, notamment sur des ordinateurs portables. Le logiciel directement installé sur le poste permet de contrôler les flux de données sans être connecté au réseau de l’entreprise.

La DLP est capable d’analyser les données stockées pour trouver où sont les données sensibles. Trois types de mesures existent.

Le scanning à distance

La DLP se connecte à l’espace de stockage et analyse toutes les données pour en faire ressortir les sensibles. Cette solution utilise la bande passante du réseau de l’entreprise.

L’agent logiciel local

L’agent logiciel local scanne l’information localement et transmet les résultats au serveur central. Cet outil est idéal pour protéger l’information des ordinateurs des employés, tout comme l’agent logiciel vu dans la partie concernant les données en mouvement.

L’intégration d’application

L’intégration d’application permet de lier les solutions de gestions de contenu utilisées par l’entreprise telles que Microsoft SharePoint ou EMC Documentum (espaces de stockage en ligne) avec la DLP pour tirer le meilleur profits des deux services.

La DLP est donc capable de mettre en quarantaine et de supprimer les fichiers suspects au sein de l’information stockée.

L’information stockée se contrôle grâce à des agents logiciels. Ils permettent de limiter le transfert de données sensibles sur des espaces de stockage inconnus ou non adaptés. Ce système est également valable pour éviter les impressions de données sensibles.

Selon David Grout qui est le responsable Europe du Sud de l’offre DLP de McAfee, il existe trois composantes essentielles d’une solution de prévention contre les pertes et fuites de données[6] :

• Une composante technologique consistant à gérer les périphériques de sortie, bloquer les clés USB, etc.
• Une composante relative aux contenus en interdisant la copie de certaines données vers certaines destinations
• Une composante relative aux règles : il convient de mettre en place des contraintes au niveau de l’impression, de l’envoi d’informations par email, P2P, etc.

La première phase consiste à définir et mettre en place au sein de l’organisation une politique interne. Elle doit définir quels types d’informations sont à protéger et comment. Ensuite, il convient de localiser l’information définie en utilisant la solution DLP. Si elle ne se trouve pas là où elle devrait être, il faut la déplacer. La troisième phase consiste à contrôler et surveiller l’information définie stockée, en mouvement et traitée et l’usage qu’il en est fait. Si une infraction a lieu, une alerte doit être générée. Enfin, la dernière phase est la protection de l’information telle que déplacer des mails en quarantaine, bloquer la copie d’éléments sur des supports de stockage, etc.

Avant de mettre en place des solutions DLP, un certain nombre de prérequis sont nécessaires[7]. Lorsqu’il y a une violation de la politique de sécurité, les solutions DLP doivent pouvoir associer cette violation à un utilisateur précis. Ainsi, il convient dans un premier temps de pouvoir lier de manière fiable les comptes aux utilisateurs correspondant. Ensuite, l’entreprise doit identifier les données qu’elle veut protéger  (par exemple, des coordonnées clients, des numéros de carte bancaires, des mots de passes...)  et savoir où elles se trouvent (sur les postes de travail, dans des bases de données accessibles sur le réseau...). Enfin, comme un outil de protection contre les pertes de données génère des alertes, il faudra décider des procédures à mettre en place afin de les traiter : qui contacter en cas d’alerte ? Quelles démarches réaliser ? Etc.

L’institut Ponemon et Symantec ont réalisé une étude en 2013 sur les coûts de la perte de données et ont montré que le coût moyen d’un fichier perdu serait de 81€. Le nombre de fichiers perdus augmenterait d’années en années notamment dû à l’augmentation des cyber-attaques. Le coût d’un fichier perdu a été estimé en prenant en compte la mise en place de solutions de nettoyage et de prévention ainsi que la perte de confiance occasionnée[2]. Dans son étude “Data Protection Index”, l’EMC souligne qu’en France, le coût annuel de la perte de donnée s’élèverait à 30 milliards d’euros par an[8].

Les coûts de la DLP varient selon les fournisseurs. Pour une organisation de taille moyenne, une solution DLP coûte entre $300 000 et $500 000 par an. Les fournisseurs proposent généralement un forfait annuel sous forme de licence pour l’ensemble de la solution DLP, mais certains établissent leurs tarifs par composant de la solution DLP [1].

La DLP offre de nombreux avantages à l’entreprise qui peut savoir, grâce à elle, où est stockée l’information et comment elle est utilisée. Cela aide à réduire les risques de perte ou de fuite. La DLP propose donc deux volets, un premier sur la sécurité des données et un second sur la gestion des menaces, tout en s’alignant sur la politique interne de l’entreprise.

De plus, il est intéressant  de noter que le prix d’une solution DLP est nettement inférieur à celui de la perte de données, et que l’entreprise peut donc réduire ses coûts sur le long terme.

La DLP offre également un modèle de conformité capable de faciliter les audits au sein de l’organisme[1].