Data Loss Prevention – DLP

DLP
Au cours des deux dernières années, nous avons assisté à un changement significatif de la sécurité informatique, des pare-feux traditionnels, du chiffrement et des piratages d’appareils vers l’identité de sécurité. Le maillon faible n’est plus l’appareil lui-même ou le réseau, mais l’individu.
 

De nombreux organismes reconnaissent désormais les employés comme le “point de sécurité” le plus faible en raison de leur lieu de travail et de leur mode de fonctionnement (en utilisant les réseaux Wi-Fi publics, plusieurs appareils, etc.)

En conséquence, l’identité de sécurité, la gestion des accès et les plans technologiques sont essentiels pour verrouiller votre principale source de faiblesse; l’individu.

Vous ne pouvez pas toujours être certain que l’utilisateur qui se connecte à votre réseau, à vos applications ou à vos appareils est la bonne personne – c’est là que les solutions de sécurité traditionnelles (Mobile Device Management, Mobile Application Management et pare-feu) peuvent être complétées par des mesures supplémentaires pour protéger votre organisation contre risque inutile.

 

Qu’est-ce que la prévention de perte de données (DLP)?

Le terme Data Loss Prevention (DLP) fait référence à la pratique consistant à détecter et empêcher la fuite de données confidentielles en dehors d’une organisation pour une utilisation non autorisée. Les données peuvent être sorties de l’organisation sous forme physique ou informatisée, de manière intentionnelle ou non.

Le souci de protection des données ne date pas d’hier, comme le souligne le très intéressant rapport de Ernst & Young “The evolving IT risk landscape” publié en 2011. 

En quoi la DLP est-elle différente des autres technologies?

Alors que des outils tels que les pare-feux et les systèmes de prévention d’intrusion (IPS) et systèmes de détection d’intrusion (IDS) recherchent tout ce qui peut constituer une menace pour une organisation, la DLP s’applique à l’identification de données sensibles et confidentielles et empêcher que ces données ne soient divulguées hors de l’organisation pour une utilisation non autorisée. 
 
Cette solution empêche les fuites de données mais elle est aussi est souvent utilisée comme mécanisme pour découvrir les anomalies dans les processus business.
Un tel exemple serait la présence de données sensibles sur l’ordinateur portable d’un associé.
 

Sensibilisation des utilisateurs

 Souvent, les fuites de données sont liées à une gestion inappropriée des données en interne et ne sont pas volontaires, mais il peut aussi s’agir d’une action volontaire.
 
Les organisations consacrent beaucoup de temps et d’argent à la sensibilisation des utilisateurs concernant la protection des données. On peut supposer qu’une fuite de données résultant d’une action involontaire d’un utilisateur devrait être très minime, mais ce n’est pas le cas. Nous savons que beaucoup de problèmes liés aux logiciels malveillants dont souffrent les entreprises sont liés à des actions des utilisateurs. Bien qu’il semblerait que dans la théorie les politiques et procédures soient correctement appliquées, une action préventive est nécessaire pour minimiser les risque de fuites de données, qu’elles soient accidentelles ou intentionnelles, ainsi que le préjudice porté à l’entreprise.

Vos stratégies de prévention de la perte de données doivent être aussi larges que les causes de la perte.

En voici quelques-unes des plus fréquentes:

  •  Erreur humaine:  La majorité des pertes de données sont causées par une erreur humaine. Il peut s’agir d’actions telles que: ouvrir un email malveillant, créer des mots de passe facile à deviner, se connecter à des “faux” sites , s’éloigner de son ordinateur sans se déconnecter, laissant l’accès à des personnes non autorisées.

  • Contrôle d’accès insuffisant: De nombreuses organisations donnent les accès trop facilement. Les personnes qui ont seulement besoin de lire les données sont aussi autorisées à les modifier. Lorsque trop de comptes ont un accès trop large, les voleurs de données saisissent l’occasion de compromettre un compte.

  • Vol physique: Les téléphones mobiles, tablettes, ordinateurs portables, .. sont faciles à voler et s’ils ne sont pas bien protégés, sont une mine d’or d’informations.

  •  Logiciels malveillants: Les systèmes infectés envoient des informations confidentielles et les systèmes peuvent continuer de fonctionner ainsi pendant des mois avant que le problème ne soit détecté.

Concrètement, comment protéger ses données?

En plus de tous les points que nous avons abordés précédemment, la mise en place de logiciels spécifiques à la protection d’information permettra d’avoir une vision globale des données sensibles et de contrôler leur utilisation. 

Avant toute chose, un audit permettra à l’organisation de répondre à ces 3 questions fondamentales:

1.

Quelles données sensibles détenez-vous?

Les types courants de données sont de type:

  • Informations personnelles identifiables (numéro AVS, nom, adresse,..)
  • Informations sur les cartes de paiement
  • Informations clients
  • Propriété intellectuelle / informations exclusives
  • Informations générales à usage interne uniquement 
  • Informations à usage public (marketing,..) nécessitant moins de restrictions.

 

 

 

2.

Où résident vos données sensibles, à la fois en interne et avec des tiers?

Les lieux de stockage de données courants sont:

  • Stockage sur site / réseau
  • Stockage Cloud, SaaS (Software as a service)
  • Stockage matériel, y compris les ordinateurs portables et de bureau, les appareils mobiles, disques durs externes,…

3.

Où vont vos données?

Définir les critères et politiques d’entreprise

Il s’agira aussi de définir les critères et politiques en fonction des besoins de l’organisation (par exemple, si un employé RH consulte une fiche de salaire, c’est un processus normal, si ce document est ouvert par une personne externe au département, il y a lieu d’afficher une alerte et assurer le suivi. On peut aussi personnaliser le programme afin que l’employé qui a fait une utilisation non conforme d’un document reçoive un email l’informant de son action, de même qu’un employé qui copie des données de carte de crédit dans un document word, reçoive une notification.

Une mise en oeuvre correcte de DLP permet donc de marquer des données comme sensibles et attribuer une note critique élevée. Les points de sortie courants de ce type de violation de données sont le courrier électronique d’entreprise, courrier web, FTP, disques amovibles et l’impression. A chacun de ces points de sortie, DLP peut signaler cette activité.

Les programmes

Finalement nos experts vous aideront à mettre en place les bons outils comme Microsoft Information Protection (MIP) ou  Windows Information Protection (WIP)

Parlez-nous de votre projet!

Pour plus d’information, n’hésitez pas à nous contacter. Nos experts sauront vous guider tout au long de votre projet, de l’audit à l’implémentation, vos données seront entre de bonnes mains.