Michel Van Den Berghe, Atheos

Michel Van Den Berghe, après le discours de bienvenue aux 70 participants présents, a dressé un rapide état des lieux du DLP. Dans ce domaine, la polémique fait rage entre ceux qui prennent ces solutions pour de nouveaux « gadgets » des éditeurs et ceux qui voient en cette nouvelle approche de la sécurité un moyen de lutter efficacement contre la fuite d’information interne. Il a expliqué que le DLP était un projet assez semblable à celui de l’IAM. En effet, selon lui, le DLP doit être abordé par fonction dans une démarche globale pour lutter contre la fuite d’information. Puis il a cédé la parole à Alexandre Garret, son directeur technique.

Alexandre Garret, Atheos

Selon Alexandre Garret, les pertes de données confidentielles sont en croissance exponentielle : plus 300% entre 2008 et 2009. Ainsi, cet été, plus de 10 millions d’informations auraient été perdues ou volées… La moitié des entreprises auraient constaté des pertes de données. Pourtant les coûts de ces incidents ne sont pas ou mal évalués par les entreprises. On estime leur coût en moyenne à 50 Keuros/perte. Les risques pour les entreprises sont nombreux entre la perte d’image, les contraventions dues aux réglementations qui sont une pratique plutôt anglo-saxonne, les risques concurrentiels… Il semblerait que 78% de ces incidents proviendraient de fraudes ou d’accidents provoqués par des employés. 85% des employés seraient des hommes et 49% des Seniors Managers. Dans près de 50% des cas, ces fraudes internes auraient pour objectif soit l’amélioration de l’influence de ces cadres au sein de leur entreprise, soit des raisons financières….

Devant ce constat, le DLP devrait permettre de réduire considérablement la fraude interne par la mise en place de règles pour identifier, surveiller, éduquer les utilisateurs. Ainsi, les données confidentielles stockées ou en mouvement sur le réseau interne et externe, ou encore en cours d’utilisation qu’elles se trouvent poste de travail, clés USB, disques durs externes, Smartphones, PDA… sont sans cesse surveillées. Ces solutions fonctionnent avec des mécanismes de dictionnaires de mots clés pour catégoriser l’information. De plus, toute "Expression Régulière" comme les numéros de Sécurité Sociale, carte de paiement, base de clients… peuvent être repérée. Des systèmes de Finger Print y sont associés afin d’avoir une image de l’empreinte des fichiers à surveiller. Le contrôle des Méta Données complète le dispositif technique en fournissant des informations sur les typologies de données.

Le déploiement de ces solutions passent par les phases habituelles : Audit afin de repérer le patrimoine informationnel à protéger et les personnes ayant des droits d’accès, mise en place d’un pilote pour ajuster la solution et enfin déploiement. Ces outils permettent d’éviter de « tout » interdire aux utilisateurs comme, par exemple, l’usage de clés USB ou des réseaux sociaux… car il est clair que l’utilisateur saura contourner ces mesures. Par contre, par l’usage de règles communes, de contrôle régulier, d’avertissement des utilisateurs avec des Pop Up en cas d’actions considérer comme dangereuses, voire le cas échéant de blocage le DLP permet de réduire la fraude interne. Il peut aussi être un outil de formation efficace.

Alexandre Garret n’a pas caché les limites de DLP, en premier la faille humaine, mais aussi toute les informations qui sont encore imprimées et qui peuvent être perdues, volées… Tous les échanges réalisés depuis l’extérieur de l’entreprise et les limites inhérents à ces outils techniques qui en sont encore à leurs prémices.

Un RSSI d’un grand groupe français a apporté son témoignage. Selon lui, il a proposé un historique édifiant de l’évolution des SI en montrant que l’ouverture des réseaux avait amené la perte du contrôle du patrimoine informationnel de l’entreprise. Ainsi, il est tout à fait possible d’organiser des fuites d’information. En effet, malgré tous les outils de protections (Firewall, Antivirus, IPS, Proxy, filtrage URL, SSL, chiffrement…) pour accéder aux données, il est impossible de savoir ce qui se passe entre le serveur et le client. Ainsi, un projet de DLP permet d’adresser la problématique des contenus illicites et des flux d’information confidentielle. Cet outil offre la possibilité de disposer d’indicateurs sur les contenus échangés et offre une capacité de forensic.

Le tournant majeur de cette perte a été l’émergence du SAS, du Cloud Computing, du Webex et autre Google Apps. En effet, grâce, ou plutôt à cause des possibilités de synchronisation avec toute sorte d’outils de mobilité en particulier les PDA, Smartphone et IPhone, les utilisateurs ne sont plus obligés de passer par le réseau de l’entreprise… Devant ce nouveau défi, les RSSI devraient sans doute se tourner vers l’IAM.

Rick Fergusson, Trend Micro

Rick Fergusson a proposé sa lecture de l’état des menaces en mettant l’accent sur le renforcement des aspects réglementaires comme SoX, Bâle 2 mais aussi PCI-DSS qui s’impose de plus en plus aux entreprises quelques soient leur taille. Pu s il a présenté l’offre de Trend Micro en matière de DLP : LeakProof Secure End Point basé sur la sécurisation des postes finaux.

LeakProof empêche les fuites de données grâce à une approche qui associe une application de stratégies au niveau des End Points à une technologie d’empreinte digitale et une méthode de correspondance de contenus. Deux composants clés, le logiciel Anti-Leak Client et l’appliance DataDNA Server, se complètent pour protéger les actifs d’informations confidentielles contre la perte de données, le vol de données et les menaces internes. Pour lui, la mise en œuvre de tel projet nécessite d’avoir un sponsor qui sera sensibilisé par le problème de perte de données. Mais bien sûr, pour que le déploiement s’effectue dans de bonnes conditions le concours de l’utilisateur final sera indispensable. Encore une fois, la formation reste la clé de tout déploiement de solution de sécurité.

Michel Van Den Berghe a conclu ce séminaire en annonçant que le Gala des RSSI aurait lieu le 11 décembre 2009 et que, en plus des RIAM de Saint-Tropez (26-28 mai 2010), il y aurait dorénavant 2 « Petites RIAM » par an : l’une en févier et la seconde en septembre.