Il convient donc de se poser les bonnes questions afin de préserver ce patrimoine informationnel et le cas échéant mettre en place la bonne solution.
Tout type d’entreprises ( TPE/PME, Grands comptes), et tous secteurs ( bancaire, industriel, tertiaire) peuvent être confrontés à une fuite ou perte de données.

Il conviendra donc de répondre dans un premier temps à quatre questions fondamentales :

– Quels types de données peuvent être considérées comme sensibles dans mon métier et mon secteur d’activité ?
– Quel type de population est autorisé à y avoir accès ?
– Comment cette information est censée être utilisée, partagée ? (envoi par mail, messagerie instantanée, FTP, copie sur support USB…)
– A quelles réglementations, en termes de sauvegarde, de protection des données, de contrôle des identités, ma société est-elle soumise ( CNIL, PCI-DSS, HIPAA, SOX…)

De ces premières questions vont résulter toute la mécanique du choix de la solution.

Une solution DLP répondra à quatre exigences :
– La découverte de l’emplacement des données : des moteurs DLP vont effectuer des scans aux niveaux des systèmes de stockages, des périphériques, des serveurs, et du réseau. Cette étape permet la classification des données et leur catégorisation par degré de criticité (au regard bien évidemment des politiques de sécurité de l’entreprise et du contexte métier)

– La supervision / surveillance des données stockées, en mouvement et en utilisation. Dès lors qu’une donnée catégorisée et classifiée est manipulée, il s’en suivra l’application d’une consigne de sécurité associée. Toutes les actions effectuées sur ces données sont répertoriées et stockées.

– La protection des données sensibles : application des consignes de sécurité lors du constat d’incident ou de violation ( ex : quarantaine ou copie de fichiers pour les données stockées, blocage ou chiffrement pour les données en transit, justification de l’action, blocage, avertissement ou chiffrement sur le poste de travail)

– Le management de l’ensemble des actions précédentes par une console centrale.

Le choix de la solution :

Plusieurs paramètres vont donc rentrer en ligne de compte dans le choix de la solution, à travers une analyse de type benchmark :

– Les facteurs métier, organisationnel et structurel de l’entreprise. La première série de questions ci-dessus mentionnée doit permettre aux responsables de choisir une solution basée sur la protection du réseau ou du poste client, ou les deux.

– Les facteurs techniques des solutions :

o Il conviendra dans un premier temps de s’interroger sur la faculté de la solution à découvrir des données structurées ou non quelle qu’en soit la localisation dans l’infrastructure, la recherche par mot clés, expressions, type de document ( word, excel, ppt…), par fonction de hachage, par propriétaire de fichier, âge de fichier, par expéditeur et destinataire de mail, pièces jointes….

o Le type de surveillance, active ou passive, la vitesse de supervision, la surveillance du copier/coller, des copies USB….

o Les actions palliatives ou correctives : chiffrement, blocage, rejet, quarantaine de différents fichiers et matériels, avertissement / dissuasion auprès de l’utilisateur final (pop up)…

o La capacité du produit à prendre en compte les différentes réglementations en vigueur (protection des données personnelles pour les directives de l’UE, protection des informations des cartes de crédit pour PCI-DSS…)

o Les contraintes d’installation et de déploiement des solutions (interopérabilité avec le système et l’infrastructure cliente, installation facile et intuitive…)

o Les outils de pilotages : console centrale de management, rapports directement exploitables et clairs…

o Intégration facilitée avec les annuaires d’authentification (AD, novell, LDAP…)
La liste des critères est évidemment bien plus longue !!

La mise en place d’une solution DLP est souvent complexe, et bien que les outils techniques permettent de mettre rapidement en place une politique de sécurité, il n’en reste pas moins que la fuite ou la perte de données résulte la plupart du temps d’un facteur humain. Il conviendra donc de miser également sur la formation et la sensibilisation des personnels aux causes et impacts d’une perte de données.