GSMAG : Quelle est votre définition de la DLP ?

Michael Briand : Au-delà des définitions « Data Loss Prevention » ou « Data Leak Prevention », la DLP se situe au centre d’une démarche globale de protection du patrimoine informationnel qui doit s’adresser à l’humain, au SI et à l’organisation. A l’image de l’IAM, elle doit couvrir de façon transverse « la gestion du cycle de vie de la donnée ».

GSMAG : Quelle est la valeur ajoutée des technologies DLP face aux technologies existantes ?

Michael Briand : Les outils DLP sont des compléments technologiques à forte valeur ajoutée qui vont au-delà de ceux habituellement utilisés. Les entreprises qui ont déjà recourt à des moyens de lutte contre la fuite de données (chiffrement de disques ou de clés USB, DRM, gestion des identités et des accès, anonymisation des données, etc.) utilisent des solutions qui sont partiellement dédiées à la problématique et qui ne couvrent pas tous les risques. Un projet de DLP permet de mettre en place des solutions techniques et humaines centrées sur la donnée, qui est le vrai élément sensible de l’entreprise.

La valeur ajoutée des solutions DLP :

• Solution de complément au chiffrement de disque dur ou de clés USB : les solutions DLP vous permettent de savoir quel document sensible précisément un utilisateur copie sur une clé USB ou envoie par mail.

• Intégration simplifiée à son architecture : Elles sont très souvent compatibles avec les solutions SIEM et permettent de faire ressortir des événements de risques majeurs pour les décideurs. De plus, certaines « s’insèrent » dans les consoles de type MMC de Microsoft.

• Réduction du risque : Vous pourrez avoir une vision plus fine du comportement de vos salariés, de leur façon de travailler au quotidien et ainsi mieux maitriser votre Système d’Information et limiter les risques.

• L’externalisation possible du service : Si vous ne souhaitez pas héberger l’infrastructure, vous pourriez externaliser par exemple la partie analyse des flux de messagerie ou du poste de travail en mode SaaS. Les éditeurs proposent de plus en plus ces solutions avec une console d’administration centrale permettant de gérer sa flotte d’ordinateurs.

GSMAG : Comment définir le périmètre d’un tel projet ?

Michael Briand : Premièrement : « voir grand et commencer petit ». Il faut aussi impliquer les métiers dès les premières phases de réflexion, de sensibilisation, et de cadrage. Enfin, les phases d’audit et de cadrage sont un prérequis à la mise en œuvre de la solution.

GSMAG : Quelle est la place de l’humain dans une politique de DLP, sachant qu’il est lui-même responsable d’une grande majorité des violations de données observées au sein de l’entreprise ?

Michael Briand : En 2012, une attention renforcée est de mise : un contexte de crise a une incidence sur les comportements à risques. Le gel des salaires, les licenciements, le sentiment d’insatisfaction, d’incertitude voire de peur sont autant de facteurs à risque à prendre en compte dans sa politique de protection de l’information. Dérober des informations d’entreprise telles que les fichiers clients, ou autres données sensibles sont des comportements contre lesquels vous pouvez vous prémunir grâce à la DLP.

D’ordre général, la phase de classification des données permet de confronter les utilisateurs régulièrement à la problématique de la sensibilité des données. Une formation à la classification « bien faite » et un rappel régulier des règles permettent de sensibiliser les utilisateurs au fait que les données qu’ils utilisent ne sont pas neutres en termes de risques.

Les petites « pop-up » qui interpellent l’utilisateur, lui disant qu’il manipule une donnée sensible au moment où il souhaiterait la diffuser, est une bonne solution. Notre action dans ce contexte n’est pas de l’ordre de la sanction mais de la sensibilisation qui rappelle que la donnée manipulée est sensible. L’un des résultats de cette pratique est, qu’à force de prévenir les collaborateurs, de les impliquer dans la classification, s’ils continuent à être à l’origine de fuites d’information, cela devient dans ce contexte de la malveillance. Il est alors temps de passer à la solution à caractère coercitif.

GSMAG : Quels conseils pouvez-vous donner aux entreprises en matière de DLP ?

Michael Briand : Faites-vous conseiller, testez et n’oubliez pas de penser « Technologie et Humain ».

Faites-vous conseiller car il existe aujourd’hui une multitude de solutions, certaines répondant partiellement à des problématiques de fuites de données, d’autres plus complètes souvent complexes et onéreuses qui conviendront mieux à une entreprise type grand compte. Il vous faut aussi identifier vos données sensibles et faire analyser les systèmes de stockage, les périphériques, les serveurs et le réseau, pour ainsi classifier vos données et les catégoriser par degré de criticité (au regard des politiques de sécurité de l’entreprise et du contexte métier).

Testez car il faut trouver le juste milieu, en cohérence avec l’infrastructure existante et ses solutions déjà en place, du degré de criticité des données traitées et échangées, du budget envisagé, de la disponibilité des intéressés et du périmètre visé. Vous pourrez ainsi débuter votre projet par un périmètre acceptable pour ensuite le faire évoluer.

Pensez technologie et humain car on ne le répètera jamais assez … l’humain doit être au centre d’un projet de DLP ! L’implication du management, des lignes métier et de l’utilisateur final est indispensable. Une bonne politique de lutte contre la fuite de données peut simplement être une campagne de communication interne à l’entreprise. Si cette campagne s’accompagne de moyens permettant de protéger les infrastructures, alors un grand pas est fait pour l’entreprise dans la prise en compte de ce sujet qui est au cœur de l’actualité.

 A propos du pôle Data Secure de la société Harmonie Technologie : pôle d’expertise dédié à la DLP et à la protection du patrimoine informationnel (Exemple de projets DLP menés : Gouvernement étranger : implémentation de solutions de protection des données, Compagnie pétrolière : formation et sensibilisation du « Top Management » à la classification des données et à la DLP, Banque : analyse et catégorisation des données à caractère personnel et préconisation de solutions de sécurisations, etc.)

 A propos d’Harmonie Technologie : Cabinet de conseil et d’expertise technique spécialisé en sécurité du SI. Issu du métier de l’intégration de solution IAM (gestion des identités), Harmonie Technologie est composé de 3 pôles de compétences métiers dédiés à la SSI : CONSEIL, INTEGRATION et R&D et d’un pôle d’expertise dédié à la DLP. Harmonie Technologie adresse un offre de services transverse dans 4 domaines de la SSI : Gouvernance de la sécurité du SI, Gestion des identités, Sécurité des applications et Protection des données. www.harmonie-technologie.com

Sujet : DLP

Mots clés : Data Loss Prevention, Data Leak Prevention, données, protection, DRM, Chiffrement, SIEM, SaaS, cadrage, sensibilisation, risque, classification, analyse , stockage, etc.