Passer

Protéger ses données métiers à travers une stratégie de prévention contre la perte de données (dlp) efficace

Avez-vous déjà entendu la citation déclarant que « les données sont le nouvel or » ? 

En effet, dans cette ère du numérique, les données sont devenues si précieuses que L’Économiste a déclaré en 2017 que la ressource la plus précieuse du monde n’était plus le pétrole, mais la donnée.

Dans cette logique, plusieurs organisations telles que Google, Amazon, Facebook, Apple et Microsoft, ont construit leurs modèles économiques autour de la donnée. 

Dans ce monde interconnecté dans lequel nous vivons, la donnée est une ressource précieuse nécessitant une protection adéquate contre les menaces. Pour ce faire, il est indispensable pour les organisations de mettre en place des mesures de sécurité assurant la protection de leur données. 

Par ailleurs, la plupart des entreprises possèdent aujourd’hui une quantité importante de données sensibles. En effet, selon le rapport Global Data Risk (2019) de Varonis, les entreprises stockent en moyenne plus d’un demi-million de fichiers sensibles.

Par conséquent, la plupart des entreprises sont juridiquement contraintes de respecter les réglementations régionales en matière de protection des données, telles que le Règlement Général sur la Protection des Données (RGPD) pour les citoyens et résidents de l’Union Européenne; le Health Insurance Portability and Accountability Act” (HIPAA) pour les données de santé aux États-Unis; ainsi que de nombreuses autres contraintes juridiques et réglementaires en matière de protection des données.

La place prépondérante qu’occupe la donnée dans cette ère numérique, ainsi que le cadre juridique de protection des données à travers le monde, renforcent la nécessité pour les entreprises de mettre en place une stratégie de protection des données efficace. 

Dans le cadre d’une stratégie de protection des données, la prévention contre la perte de données ou “Data Loss Prevention » en anglais (DLP) est un ensemble de techniques permettant de prévenir, détecter et surveiller les fuites de données.

Depuis leur premier déploiement il y a une dizaine d’années, les solutions de DLP ont considérablement évolué et offrent désormais un large éventail de fonctionnalités permettant d’assurer la protection des données sensibles. 

Problématique

Lorsque les données ne sont pas protégées de manière adéquate, elles deviennent vulnérables et sont exposées à des attaques malveillantes pouvant porter atteinte à leur confidentialité, intégrité et disponibilité.

Selon l’étude « Cost of a Data Breach” (2017) réalisée par l’Institut Ponemon et IBM, la probabilité qu’une organisation soit victime d’une cyberattaque est d’environ 27,7%. 

Cependant, les entreprises ne découvrent pas toujours ces incidents tout de suite. En effet, comme l’indique le rapport Insider Threat de Verizon (2019), 73 % des violations de données mettent des mois ou des années à être découvertes. Il est donc nécessaire que les entreprises mettent en place des mécanismes de sécurité de l’information fiables, permettant une détection rapide des incidents de perte de données. 

D’autant plus que le coût moyen d’une violation de données n’est pas négligeable pour les organisations : environ 3,86 millions de dollars, selon le rapport “Cost of a Data Breach” d’IBM (2020). 

Il est donc primordial  de mettre en œuvre une stratégie de prévention contre la perte de données au sein des organisations, afin de prévenir les fuites de données et ainsi protéger l’information. 

Par ailleurs, le nombre de violations de données signalées ne cesse d’augmenter, et ce d’autant plus depuis le début de la crise du Covid-19 et la généralisation du télétravail, qui ouvre la porte à de nouvelles vulnérabilités informatiques au sein des organisations. 

En effet, les rapports de télémétrie de BitDefender démontrent en mars 2020 une multiplication par cinq des cyber menaces liées au coronavirus.

Cependant, force est de constater qu’un faible niveau de protection des données est mis en place au sein des organisations, notamment vis-à-vis des données sensibles qui ne bénéficient pas toujours du niveau de protection adéquat. Selon le rapport “Global Data Risk Report” de Varonis (2019), 53% des organisations laissent 1 000 fichiers sensibles ou plus accessibles  à tous leurs employés.  

Cette mauvaise connaissance de la protection des données peut s’expliquer par un manque d’expertise et de sensibilisation à ce sujet. En effet, la mise en œuvre d’une stratégie de protection des données efficace repose notamment sur la constitution d’une équipe de collaborateurs compétents et experts en protection des données.

Devoteam est partenaire du plus grand rendez-vous européen sur la cybersécurité

La prévention de perte de données : un moyen efficace de limiter les fuites de données

De nombreux incidents de perte de données pourraient être évités grâce à l’application d’une stratégie efficace de prévention contre la perte de données efficace. 

La prévention contre la perte de données constitue un ensemble d’outils et de processus permettant d’assurer la protection des données sensibles (ex: données bancaires, données de santé, données personnelles, etc.) et prévenir leur fuite,  leur mauvais usage ou l’accès non autorisé à ces données. 

La mise en œuvre d’une stratégie DLP efficace, qui protégera les données sensibles et limitera la perte de données, doit passer, au minimum, par les étapes suivantes :

  • Catégorisation et classification des données 

La catégorisation et la classification de l’ensemble des données de l’organisation, doit être l’une des premières étapes de la mise en œuvre d’une stratégie DLP. Ce processus permettra aux organisations d’identifier les données sensibles au sein de leur système d’information, qui sont les données sur lesquelles la plupart des politiques DLP seront appliquées.

Catégorisation des données : 

Les données peuvent être catégorisées en fonction de plusieurs critères tels que : 

  • L’état de la donnée (au repos, en cours d’utilisation, en transit)
  • Le format de la donnée (ex: emails, fichiers audios, fichiers Excel, etc.)
  • La nature de la donnée (ex: données RH, données de santé, données métiers, etc.)

Classification et hiérarchisation des données :

Une fois que les données ont été catégorisées, les organisations doivent ensuite identifier et localiser les catégories de données qui sont les plus sensibles et qui nécessitent un niveau de protection élevé. 

Pour ce faire, les organisations peuvent classifier les données selon la politique de classification de l’entreprise et les hiérarchiser des données les moins critiques à celles les plus critiques.

Une classification des données pertinente est un élément clé d’une bonne stratégie DLP. 

En effet, la catégorisation et la classification des données fournit aux organisations une vue d’ensemble sur les catégories de données qu’elles possèdent, leur emplacement ainsi que de leur niveau de sensibilité. 

Il est également important d’identifier les catégories de données soumises à des réglementations spécifiques notamment en termes de protection des données (les données de santé et les données personnelles par exemple) 

Une solution telle que Microsoft AIP par exemple, peut être utilisée pour classifier les données à l’aide de tags de classification. La solution DLP sera alors en mesure de lire les tags et d’appliquer les mesures de sécurité adéquates conformément aux politiques DLP qui auront été définies par l’organisation. 

  • Surveillance de l’usage des données 

Parallèlement à la classification des données, la surveillance de l’usage des données au sein de l’organisation est un point central d’une stratégie DLP efficace. 

Cette surveillance consiste à observer et identifier les différents usages de la donnée au sein du système d’information de l’entreprise ainsi que la manière dont elles sont stockées sur: 

  • Les postes de travail
  • Les dispositifs de stockage 
  • Les périphériques réseau 
  • Le Cloud

Il est intéressant de monitorer par exemple, le trafic web, les échanges d’emails ou encore l’utilisation de périphériques amovibles. 

La surveillance a pour objectif l’identification de tendances concernant l’usage de la donnée ainsi que la détection de mauvaises pratiques et comportements inhabituels au sein de l’organisation (le partage de documents confidentiels en dehors du réseau de l’entreprise par exemple). 

Grâce aux résultats obtenus, l’équipe DLP pourra alors orienter ses efforts vers la correction des mauvaises pratiques détectées.

  • Définition de politiques de sécurité DLP 

La définition de politiques DLP pertinentes est essentielle à la mise en place d’une stratégie DLP efficace. Lorsqu’elles sont efficaces, ces politiques de sécurité permettent de prévenir, de détecter,

et de tracer les fuites de données.

Plusieurs types de politiques DLP peuvent être définies et mises en œuvre : 

  • Les politiques DLP préventives : détectent un comportement anormal selon les règles définies dans la solution DLP et enclenchent une action visant à empêcher une fuite de données. Il peut s’agir, par exemple, de bloquer l’envoi d’e-mails contenant des données sensibles en dehors du réseau de l’entreprise.
  • Les politiques DLP de détection : détectent les activités inhabituelles pouvant être à l’origine de fuites de données selon les règles définies dans la solution DLP, et génèrent une alerte sans enclencher d’action (la détection de périphériques USB au niveau des postes de travail par exemple)

Quelle que soit sa nature, une politique DLP pertinente, se doit de contenir les éléments suivants : 

  • Champ d’application : à quelles données cette politique s’appliquera-t-elle ? Quels terminaux sont concernés par la politique ? A quel niveau la politique s’applique-t-elle ? (par exemple, les postes de travail, le réseau). 
  • Conditions de déclenchement : Quelles conditions doivent être réunies pour que la politique DLP soit déclenchée ?
  • Action : Une fois que la politique a été déclenchée, quelle action doit être entreprise pour empêcher la fuite de données ? 

Pour les politiques de détection, l’action peut simplement être la génération d’une alerte.

Bien que les possibilités de configuration de politiques DLP soient illimitées, il est très important pour les organisations de sélectionner la bonne combinaison de politiques DLP à mettre en œuvre, dans le cadre de l’élaboration de sa stratégie DLP.

Cette combinaison est souvent déterminée en fonction des besoins de l’entreprise en termes de DLP, de la nature des données traitées et des ressources de l’entreprise (financières et humaines notamment).

Selon le rapport “Data Protection Benchamark Study” de Ponemon (2016), 40% des entreprises n’utilisent qu’une seule option de configuration DLP, ce qui signifie qu’elles n’exploitent pas tout le potentiel de leur solution DLP. 

  • Définition du processus de gestion des incidents et du flux de travail

Le processus de gestion des incidents est une composante clé de la stratégie DLP. 

En effet, selon le “Cost of Data Breach Report” (2020) de l’Institut Ponemon et IBM, le coût moyen d’une fuite de données pour les entreprises ayant une équipe dédiée à la réponse aux incidents est de $3,29 millions contre $5,29 millions pour les entreprises n’en ayant pas, soit 2 millions de différence. La processus de gestion des incidents est donc indispensable. Il doit être défini rigoureusement et préciser les rôles et responsabilités de chaque acteur. 

Le processus de gestion des incidents devrait inclure au minimum les étapes suivantes : 

  • Détection et signalement des incidents avec la solution DLP
  • Enquête et analyse de l’incident par l’équipe de gestion des incidents
  • Mise en oeuvre de mesures correctives et préventives pour éviter qu’un tel incident ne se reproduise
  • Suivi des actions de remédiation 

Afin d’exploiter pleinement les données issues de l’application des politiques DLP, des ressources humaines doivent être allouées à l’analyse approfondie de ces données. Cette analyse devrait le plus possible refléter la pertinence des alertes générées par les politiques DLP. Il est très fréquent que les alertes générées soient en réalité des faux cas positifs de fuite de données.  La proportion de faux positifs  devrait être minimisée autant que possible. 

Une proportion de faux positifs trop importante reflète souvent la mise en place de politiques DLP inefficaces. Le cas échéant, les politiques de sécurité, et plus généralement la stratégie DLP, doivent être réévaluées et ajustées dans une logique d’amélioration continue.

  • Intégration avec d’autres technologies de sécurité 

Afin d’assurer une protection maximale des données, l’utilisation d’une solution DLP peut être associée à l’utilisation d’autres technologies de sécurité. 

Il est possible par exemple, de définir une politique DLP pouvant chiffrer automatiquement les documents contenant des données sensibles. 

Dans cet exemple de politique, si le chiffrement n’est pas une fonction native de la solution DLP mise en place, une solution de chiffrement peut être intégrée à la solution DLP. Le choix des technologies de sécurité complémentaires dépendra des besoins et des ressources de l’organisation en matière de protection des données. 

  • Sensibilisation à la prévention contre la perte de données

Afin d’être pleinement efficace, toute stratégie DLP devrait intégrer un volet de sensibilisation des collaborateurs à la protection des données .

Cet aspect ne doit pas être négligé, d’autant plus qu’une grande partie des incidents de perte de données provient d’individus internes aux organisations, tels que les employés par exemple. 

En effet, selon le “Data Breach Investigations Report” (2019), 34 % des fuites de données sur lesquelles Verizon a enquêté impliquent des acteurs internes aux organisations. 

Par ailleurs, l’accroissement des pratiques de Shadow IT au sein des entreprises ces dernières années, représente une menace croissante pour les organisations. 

Ces pratiques, de plus en plus courantes au sein des organisations, augmentent les risques de fuites de données.

Bien que la mise en oeuvre d’une stratégie DLP réduit considérablement les possibilités de fuite de données sensibles à l’extérieur du réseau d’entreprise, des vulnérabilités peuvent tout de même subsister si les politiques DLP ne sont pas bien définies.

Ces vulnérabilités pourraient être à l’origine de cyberattaques si elles sont exploitées par des acteurs internes ou externes à l’entreprise, d’où la nécessité de sensibiliser l’ensemble des acteurs internes à une organisation, à la protection des données. ima

Les solutions dlp

Les solutions DLP facilitent la mise en œuvre d’une stratégie de prévention contre la perte de données pour les entreprises.

Une solution DLP est une solution qui intègre des politiques, des procédures et des technologies pour prévenir la fuite  ou l’utilisation abusive des données. 

Les solutions DLP permettent aux organisations de prévenir les fuites de données à travers la surveillance et le contrôle de l’activité des terminaux et du réseau d’entreprise.

Dans le cadre de leur stratégie DLP, les entreprises se doivent de définir des contrôles afin de prévenir la perte de données; ces contrôles seront ensuite traduits en politiques DLP au sein de la solution, visant à prévenir, détecter et surveiller les incidents de perte de données. 

Une bonne configuration de la solution DLP via la définition de politiques DLP pertinentes, est indispensable à la mise en œuvre d’une stratégie DLP efficace. 

Une mauvaise configuration de la solution, ainsi que la définition de politiques non pertinentes,  ne permettra pas à l’organisation d’avoir suffisamment de visibilité sur les incidents potentiels de perte de données. De plus, des faux cas positifs de fuite de données pourront être générés et les vrais cas de fuite de données risquent de ne pas être détectés. 

Aujourd’hui, il existe de nombreuses solutions DLP sur le marché, qui offrent toutes un large éventail de fonctionnalités pour assurer la protection des données. 

Le choix d’une solution DLP ne doit pas être pris à la légère. Chaque solution possède des spécificités, des avantages et des faiblesses. Le choix d’une solution DLP devrait se baser sur l’analyse de l’ensemble de ces éléments par rapport aux besoins de l’organisation.

Conclusion

Aujourd’hui la donnée est une ressource très précieuse pour les entreprises, qui doit être protégée à travers la mise en place de mesures de sécurité adéquates. La mise en œuvre d’une stratégie de prévention contre la perte de données s’avère être une méthode très efficace de protection des données sensibles. 

Néanmoins, force est de constater que beaucoup d’entreprises n’ont pas l’expertise et/ou les ressources nécessaires à la mise en œuvre d’une stratégie efficace de prévention contre la perte de données.

Il est important pour les entreprises de consacrer une part plus importante de leur budget à la DLP et à la protection des données en général. Bien que l’investissement dans une stratégie DLP représente un coût important, cet investissement est néanmoins insignifiant par rapport au coût et aux dommages causés par une fuite de données.

Aujourd’hui, le marché du cloud computing est en plein essor, et les entreprises migrent massivement leurs données vers le cloud. Selon l’étude “Cloud Vision 2020 : The future of Cloud” de Logic Monitor, 27% des organisations ont déclaré que 95% de leur charge de travail critique sera exécutée dans le Cloud dans cinq ans.

Conscients de cela, les fournisseurs de Cloud offrent aux entreprises des services économiquement très attractifs et qui leur permettent d’être plus flexibles dans la gestion de leurs données.

Cependant, ces services de cloud computing réduisent le niveau de contrôle et la visibilité que les organisations peuvent avoir sur leurs données. De plus, malgré les mécanismes de sécurité mis en place sur le Cloud, les entreprises n’ont pas toujours la garantie que leur données ne seront pas accessibles à une partie tierce (fournisseur Cloud ou fournisseur de l’application par exemple).

Par conséquent, il est préférable pour les organisations de recourir à des méthodes alternatives afin d’assurer la protection de leurs données dans le cloud. 

La plupart des solutions DLP peuvent être déployées dans un environnement cloud, mais n’offrent pas toujours un niveau de couverture optimal. Une autre alternative serait d’utiliser une solution CASB (Cloud Security Broker Access) qui permet d’étendre les capacités du DLP dans le cloud. Cependant, les solutions CASB n’offrent pas toujours une couverture DLP complète. L’une des pistes à explorer permettant d’obtenir une couverture DLP maximale dans un environnement cloud, serait de combiner l’utilisation d’une solution DLP avec  l’utilisation d’une solution CASB. 

Vous souhaitez en savoir plus ? Découvrez notre expertise Cyber Trust !