Actu
Prévention des pertes de données : séparer le bon grain de l’ivraie
août 2016 par Christophe Auberger , Directeur Technique France, Fortinet
La prévention des pertes de données critiques ou sensibles est une
problématique récurrente depuis que les informations propriétaires et
éléments de propriété intellectuelle existent. Mais les récentes
évolutions en matière de réglementation et d’infrastructure réseau
(BYOD, virtualisation, applications sophistiquées, Shadow IT et
environnements IT, etc.) rendent d’autant plus impératif que les
organisations repensent le contrôle et la protection de leurs données
critiques. Dans la majorité des cas, les pertes de données sont
fortuites, suite à des collaborateurs qui transgressent les règles de
sécurité, ou qui contournent les solutions de sécurité dédiées à
l’email, en utilisant, par exemple, un Webmail personnel, une messagerie
instantanée, ou des applications de partage de fichiers en ligne, pour
transmettre des documents confidentiels.
Les conséquences d’une perte ou d’un vol de données, quelles que soient
la méthode utilisée et la finalité d’une telle exaction, peuvent être
désastreuses pour une organisation. Les informations de valeur (éléments
de propriété intellectuelle, secrets de fabrication, etc.) mises à
disposition d’un concurrent ou revendues sur un marché noir, peuvent
potentiellement valoir des millions. Les informations confidentielles
gouvernementales, susceptibles de tomber entre de mauvaises mains
peuvent mettre en péril la sécurité d’un pays. La divulgation de données
clients expose l’organisation victime à des poursuites pénales, une
défection de clients et une perte de crédibilité qui ternit sa
réputation. Une fuite de données est par ailleurs souvent révélatrice
d’autres violations en matière de conformité, avec, à la clé, de lourdes
amendes financières, voire une interdiction de pouvoir accepter et
traiter des cartes de paiement.
D’où l’intérêt des solutions de prévention des pertes de données (ou DLP
pour /Data Leak Prevention/). Elles ne se résument pas à un produit ou
un ensemble de produits, mais il s’agit plutôt d’une solution, basée sur
des systèmes, qui s’applique sur l’ensemble du réseau multisite, et
notamment les postes clients, les réseaux locaux et étendus, les centres
de données, les services cloud, les applications, ainsi que les services
web et email : cette approche intégrale vise à empêcher la divulgation
d’informations sensibles ou de valeur auprès d’utilisateurs ou
d’équipements non légitimes. Une stratégie efficace de DLP est également
un outil de valeur pour les administrateurs IT, en les invitant à créer,
affiner et appliquer des règles, à obtenir une visibilité précise sur
les flux de données, à filtrer ces flux de données sur le réseau et à
protéger les données stockées ou en transit.
_Transformation informatique et DLP_
Les infrastructures réseau sont en forte mutation. Les clients,
collaborateurs, sous-traitants et partenaires métiers ont, plus que
jamais, besoin d’accéder aux données métiers et aux ressources réseau.
Les types de dispositifs utilisés pour accéder à ces données sont plus
variés, qu’il s’agisse de smartphones, de tablettes ou de PC personnels
non-administrés par les équipes informatiques. Parallèlement, les
données sensibles sont stockées hors site, sur une multitude de
plateformes tierces, souvent à l’insu de l’organisation : ce qu’on
appelle, dans le métier, le Shadow IT.
Au sein de cet environnement en évolution, le périmètre traditionnel du
centre de données, et du réseau en lui-même, change fondamentalement.
Les utilisateurs s’attendent à pouvoir accéder à toutes les
informations, à partir de tout lieu, à la demande, et quel que soit le
dispositif utilisé. Le réseau corporate s’étend ainsi désormais au-delà
des frontières traditionnelles pour intégrer les accès Web et Cloud.
Il devient plus complexe de sécuriser les données dans de tels
environnements, puisque les données ne se contentent pas d’être au sein
d’un centre de données. Il y a toujours plus de données qui pénètrent et
sortent du centre de données, qui s’échangent entre centre de données ou
qui sont stockées et utilisées sur/par un panel diversifié de
dispositifs. Au cours de ce processus, la nature des données change, et
des stratégies de DLP doivent être capables de répondre à ces différents
statuts.
Cette complexité est par ailleurs renforcée par des contraintes
réglementaires plus coercitives. Un nouvel arsenal réglementaire est
imposé par les gouvernements ou les organismes sectoriels, lorsqu’il
n’est tout simplement pas dicté en interne pour définir des normes
favorisant les bonnes pratiques et la maîtrise des risques
réglementaires. La réglementation s’attache à renforcer la protection
des données corporate sensibles, des données personnelles ou de
clients/patients, et des éléments de propriété intellectuelle. Les
pratiques en matière de sécurité des données doivent ainsi être
actualisées régulièrement, ce qui est souhaitable face à la
transformation des environnements de ces données.
Le fil rouge de ces changements est le besoin de protéger et de
préserver les données critiques, sensibles ou confidentielles au sein
d’un environnement en évolution rapide qui pèsent sur la pertinence des
outils de sécurité traditionnels.
Le cybercriminels sont mieux organisés, un constat à intégrer dans
votre stratégie DLP
Le profil des cybercriminels a évolué : le simple malfaiteur, souvent
isolé, laisse la place à des groupuscules criminels organisés qui tirent
parti des faiblesses de votre stratégie de sécurité pour détourner et
revendre vos données. La protection face à ces criminels, en dehors et à
l’intérieur de votre organisation, implique de déployer une stratégie de
sécurité sur l’ensemble des environnements hébergeant vos données.
Il est important de s’en souvenir : la prévention des pertes de données
implique une approche coordonnée associant différents éléments. En tout
premier lieu, une stratégie de règles et de gouvernance. Il est
conseillé de faire appel à un expert du sujet pour définir une stratégie
intégrale qui sécurise vos données, et qui soit conforme aux attentes
des instances de réglementation.
Une fois cette stratégie en place, la priorité est à un réseau capable
d’identifier, d’analyser et de sécuriser les données. Cette approche
implique d’associer des outils de contrôle et de gestion des données,
des solutions et équipements de sécurité de type context-aware, et la
capacité de tirer parti des dispositifs, de la veille et des services
qui existent déjà au sein de votre réseau. Pour définir ces règles, la
contribution d’experts en prévention des pertes de données est
souhaitable, pour déployer une architecture de sécurité conforme aux
règles de données et de gouvernance interne, et à toute réglementation
externe applicable.
Sur le terrain, de nombreuses solutions de sécurité ne sont pas adaptées
à une prévention optimale des pertes de données :
·Absence de centralisation au niveau des règles, fonctions
d’administration, outils d’orchestration et fonctions de contrôle
·Faible visibilité au cœur et sur l’intégralité de la solution de sécurité
·Impossibilité de recueillir des informations critiques sur les
événements et de les partager entre les solutions
·Collaboration déficiente entre les éléments de sécurité discrets
·Faible intégration entre les différents dispositifs de sécurité et le
réseau
·Lourdeur en matière de gestion et de maintenance des éléments de
sécurité cloisonnés
Une stratégie efficace de prévention des pertes de données doit porter
sur plusieurs domaines : les solutions d’administration des données, le
contrôle du périmètre réseau, la segmentation réseau et des zones de
sécurité, le contrôle d’accès, l’identification des utilisateurs et des
équipements, la connectivité et les VPN, le chiffrement des données, les
équipements mobiles, les services cloud, le filtrage de contenu (Web et
email), la gestion des applications, l’inspection des contenus ou encore
la sécurité du stockage.
Alors que les réseaux, les dispositifs et les données continuent à
évoluer, il est important de comprendre les possibilités et les carences
de votre stratégie de sécurité en œuvre. De nombreuses attaques visent à
pirater de nouvelles technologies adoptées et mises en œuvre, mais non
adossées à une stratégie de perte de données. D’autres menaces, à
l’image des menaces APT, sont conçues pour rester furtives, en
exfiltrant les données dans des formats et proportions très discrets,
non détectés, pour ensuite les réassembler.
Ainsi, une stratégie efficace de prévention des pertes de données doit
s’inscrire dans un processus en quatre étapes : 1) la préparation et la
planification avec étude des nouvelles technologies, stratégies et
équipement réseau, 2) la conception et la mise en œuvre d’une sécurité
flexible et collaborative, étroitement intégrée à votre architecture
réseau, 3) l’évaluation permanente et la prise en charge automatisée des
menaces dès qu’elle apparaissent, et 4) le déploiement d’outils
d’analyse post-incident pour pouvoir faire le lien entre un événement et
son origine, identifier les équipements piratés sur votre réseau et
ainsi éviter qu’un piratage ne se réitère avec succès dans le futur.
