Qu’est-ce que la prévention de perte de données (DLP)?
Le terme Data Loss Prevention (DLP) fait référence à la pratique consistant à détecter et empêcher la fuite de données confidentielles en dehors d’une organisation pour une utilisation non autorisée. Les données peuvent être sorties de l’organisation sous forme physique ou informatisée, de manière intentionnelle ou non.
Le souci de protection des données ne date pas d’hier, comme le souligne le très intéressant rapport de Ernst & Young “The evolving IT risk landscape” publié en 2011.
En quoi la DLP est-elle différente des autres technologies?
Sensibilisation des utilisateurs
Vos stratégies de prévention de la perte de données doivent être aussi larges que les causes de la perte.
En voici quelques-unes des plus fréquentes:
- Erreur humaine: La majorité des pertes de données sont causées par une erreur humaine. Il peut s’agir d’actions telles que: ouvrir un email malveillant, créer des mots de passe facile à deviner, se connecter à des “faux” sites , s’éloigner de son ordinateur sans se déconnecter, laissant l’accès à des personnes non autorisées.
- Contrôle d’accès insuffisant: De nombreuses organisations donnent les accès trop facilement. Les personnes qui ont seulement besoin de lire les données sont aussi autorisées à les modifier. Lorsque trop de comptes ont un accès trop large, les voleurs de données saisissent l’occasion de compromettre un compte.
- Vol physique: Les téléphones mobiles, tablettes, ordinateurs portables, .. sont faciles à voler et s’ils ne sont pas bien protégés, sont une mine d’or d’informations.
- Logiciels malveillants: Les systèmes infectés envoient des informations confidentielles et les systèmes peuvent continuer de fonctionner ainsi pendant des mois avant que le problème ne soit détecté.
Concrètement, comment protéger ses données?
En plus de tous les points que nous avons abordés précédemment, la mise en place de logiciels spécifiques à la protection d’information permettra d’avoir une vision globale des données sensibles et de contrôler leur utilisation.
Avant toute chose, un audit permettra à l’organisation de répondre à ces 3 questions fondamentales:
1.
Quelles données sensibles détenez-vous?
Les types courants de données sont de type:
- Informations personnelles identifiables (numéro AVS, nom, adresse,..)
- Informations sur les cartes de paiement
- Informations clients
- Propriété intellectuelle / informations exclusives
- Informations générales à usage interne uniquement
- Informations à usage public (marketing,..) nécessitant moins de restrictions.
2.
Où résident vos données sensibles, à la fois en interne et avec des tiers?
Les lieux de stockage de données courants sont:
- Stockage sur site / réseau
- Stockage Cloud, SaaS (Software as a service)
- Stockage matériel, y compris les ordinateurs portables et de bureau, les appareils mobiles, disques durs externes,…
3.
Où vont vos données?
Définir les critères et politiques d’entreprise
Il s’agira aussi de définir les critères et politiques en fonction des besoins de l’organisation (par exemple, si un employé RH consulte une fiche de salaire, c’est un processus normal, si ce document est ouvert par une personne externe au département, il y a lieu d’afficher une alerte et assurer le suivi. On peut aussi personnaliser le programme afin que l’employé qui a fait une utilisation non conforme d’un document reçoive un email l’informant de son action, de même qu’un employé qui copie des données de carte de crédit dans un document word, reçoive une notification.
Une mise en oeuvre correcte de DLP permet donc de marquer des données comme sensibles et attribuer une note critique élevée. Les points de sortie courants de ce type de violation de données sont le courrier électronique d’entreprise, courrier web, FTP, disques amovibles et l’impression. A chacun de ces points de sortie, DLP peut signaler cette activité.
Les programmes
Finalement nos experts vous aideront à mettre en place les bons outils comme Microsoft Information Protection (MIP) ou Windows Information Protection (WIP)
Parlez-nous de votre projet!
Pour plus d’information, n’hésitez pas à nous contacter. Nos experts sauront vous guider tout au long de votre projet, de l’audit à l’implémentation, vos données seront entre de bonnes mains.