Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Risques sur les SI : La perte de données sensibles

juin 2015 par Marc Jacob

Econocom Osiatis et Digital Guardian ont organisé une soirée d’information dédiée à la perte de données sensibles qui est actuellement en pleine croissance. En effet, pas un jour sans qu’une annonce de perte de données critique par une grande société, une administration… ne face la une des journaux. Marc Cierpisz, Security Practice Manager d’Econocom-Osiatis et Vincent Dély Digital Guardian ont durant cette soirée présenté l’état des lieux et proposé des solutions.

Pour lancer le débat Marc Cierpisz reprenant célèbre le discours de Martin Luther King a débuté son intervention par : « J’ai fait un rêve : en France il n’y a pas de fuite d’informations, il n’y a pas de données sensibles.... » Malheureusement ce n’est qu’un rêve, comme le montre l’actualité avec en particulier les fuites d’informations chez Orange, ou encore Sarenza... En France, il y aurait 7 utilisateurs sur 10 qui manipuleraient des données sensibles... Et pourtant on constate que les entreprises malgré tous les problèmes de sécurité, les budgets sécurité sont revus à la baisse en particulier cette année. Pourtant il est temps de prendre conscience de l’importance de la donnée et de la nécessité de la protéger.

Une fuite de donnée peut provenir de différents vecteurs de divulgation : les outils utilisés : téléphones, portables, tablettes, ordinateurs... sans compter les utilisateurs et les sous-traitants... mais aussi via les pirates informatiques qui attaquent tout azimut le web.

Aujourd’hui, tout le monde a conscience de l’importance de l’information et de sa valeur. Par contre, on ne réalise pas que cette donnée est partout élargissant la surface d’attaque. Les conséquences de cette exposition peuvent être grave tant au niveau de l’image que financière en particulier par des amendes de la CNIL, voir prochainement par celles de la Commission Européenne dont le montant pourrait s’élever autour de 5% du CA. Certes des mesures de sécurisation sont prises comme le chiffrement des données, la classification... Par contre, il constate un manque de sensibilisation des utilisateurs.

Pour lui, le déploiement d’outil de DLP est un bon moyen pour réduire ces risques. Il propose une démarche en deux phases : la qualification et la classification.

Pour la qualification, il est nécessaire tout d’abord recenser les informations sensibles, les outils où se trouvent ces informations (PDA, Smartphones, Tablettes, PC...) , repérer les types d’utilisateurs interne, externes, sous-traitants, intérimaires, stagiaires... Puis, il faut classifier tous ces éléments. A partir de cette phase, on doit travailler sur les cycles de vies des données, de leur création à leur destruction en passant par leurs modifications et la traçabilité des personnes qui y ont accédés.

Afin de connaître l’importance des données, il faut adopter une démarche en 6 points La gouvernance, l’analyse des risques et la conformité, la classification et la cartographie, les politiques, normes et procédures, les mesures de protection et la formation et la sensibilisation.

Pour un projet de DLP il a déterminé trois axes :
-  organisationnel qui inclut trois modèles : centralisé, décentralisé et délocalisé

- fonctionnel : il faut analyser la capacité de la solution à perdurer dans le temps
- en fonction du temps : afin d’ajuster la démarche dans le temps.
Dans cette démarche Digital Guardian a une offre qui a été qualifiée par Econocom Osiatis.

Digital Guardian : la DLP en douceur

Vincent Dély Digital Guardian a par la suite présenté son offre. Il rappelle que sa société a été créée en 2003. Au départ, elle s’appelait Verdasys avec une seule offre dans son portfolio qui s’appelle Digital Guardian. Par la suite, la société a pris le nom de sa solution phare. Elle est actuellement présente sur plus de 2,5 millions de postes. La clé de l’approche de Digital Guardian est la fonction visibilité sur les actions menées sur les données. Elle est associée à une couche d’intelligence qui sert à comprendre les actions menées sur une donnée. En cas d’actions non habituelles, un enregistrement de ces dernières est réalisé. De plus, des mesures de différents types peuvent être prises d’une simple alerte à l’utilisateur jusqu’au blocage de l’action. Des scénarios multiples d’alerte peuvent être proposés qui ont selon Vincent Dély ont une véritable valeur éducative auprès des utilisateurs. De plus, il est possible de faire du Black et du White listing par exemple pour accéder à des applications... L’approche transversale de Digital Guardian permet d’avoir des usages dérivés afin d’agir de façon globale pour sécuriser les données. La solution s’interface avec d’autres produits de sécurité comme elle des éditeurs de SIEM, ou encore de FireEye Pala alto...

Enfin, cette solution propose une solution pour contrôler par exemple les accès et les manipulations des données dans le Cloud. Vincent Dély a en particulier cité la manière dont sa solution permet de contrôler les actions menées dans Office 360.

En conclusion, Vincent Dély conseil d’adopter la politique des petits pas c’est à dire de commencer par le périmètre le plus sensible et de l’élargir au fur et à mesure.




Voir les articles précédents

    

Voir les articles suivants