Article co-écrit avec Amaury Behague, Consultant Cyber Risk.

Si, sous l’impulsion du GDPR, un grand pas est en train d’être franchi en matière de protection des données, les entreprises ne devront pas limiter leurs efforts à la seule problématique des données personnelles : d’autres types de données (données de production, données financières, propriété intellectuelle…) sont également dans le viseur des cybercriminels et doivent faire l’objet d’une attention renforcée.

Afin d’élargir leurs dispositifs de sécurité et d’adopter une démarche plus globale contre la fuite de données, certaines entreprises choisissent de déployer des projets de Data Loss Prevention (DLP). En mettant sous surveillance un ou plusieurs vecteurs de fuite (ex : USB, http(s), e-mail, impression), elles s’assurent ainsi que les données confidentielles ne quittent pas le système d’information de l’entreprise, que ce soit de façon non intentionnelle ou malveillante.

Quelles bonnes pratiques peuvent être dégagées de ces expériences ? Quelles sont les grandes règles à respecter pour faciliter le déploiement de ce type de projets et maximiser leur efficacité ? La réponse en sept points.  

Le saviez-vous ? Seules 15 % des entreprises utilisent un logiciel DLP (Source : Les grands enjeux cyber 2016)

Impliquer les métiers

Etant donné que les données que l’on cherche à protéger sont les données des métiers, il est nécessaire d’impliquer ces derniers le plus en amont possible dans un projet de DLP. D’abord pour comprendre les processus légitimes et les différencier des manipulations à risque ou frauduleuses de la donnée. Ensuite pour comprendre, comme c’est le cas pour un chantier de classification, quelles sont les données qui sont leur sont les plus chères afin de les protéger efficacement. Enfin, pour recueillir des exemples de données sensibles et ainsi permettre à la solution de détecter les documents sensibles avec plus de précision. Il est recommandé de s’appuyer sur les travaux de classification déjà réalisés, le cas échéant.

Communiquer efficacement dès l’amont du projet

Le rejet de la solution avant qu’elle n’arrive à maturité et le fait qu’elle soit vue comme un projet purement technique font partie des principaux risques d’un projet de DLP. Aussi est-il essentiel de communiquer efficacement et en avance de phase aux utilisateurs ainsi qu’au top management les enjeux du projets, ce qu’il apporte en matière de réduction des risques opérationnels et les implications qu’il aura sur le quotidien des utilisateurs. Il est notamment stratégique de mentionner que, quel que soit le périmètre de la solution, la « surveillance » n’est que partielle puisque seuls les potentiels incidents sont remontés et enregistrés dans l’outil, contrairement à des logs de proxy par exemple qui sont souvent exhaustifs. Les échanges avec les partenaires sociaux et le cas des communications privées sont à aborder avec une attention toute particulière.

Choisir un périmètre stratégique

Le choix du périmètre initial d’un projet DLP se fait selon deux critères : les données à protéger et les vecteurs de fuite à étudier. La population visée se traite naturellement séparément avec un déploiement en plusieurs vagues. Le choix des données à protéger a un impact direct sur le nombre d’incidents à traiter : plus le périmètre sera large, plus le volume d’incidents sera élevé. De plus si les données à protéger sont peu différenciables de données hors du périmètre, le nombre de faux-positifs peut s’avérer très élevé une fois la solution en production. Quant aux vecteurs de fuite à cibler, un plus grand nombre de vecteurs implique non seulement plus d’incidents (et donc un coût de traitement supérieur), mais aussi un investissement plus important en infrastructure et licences. Ainsi il est recommandé de restreindre dans un premier temps le périmètre à un très faible volume de données critiques (cela peut uniquement représenter une dizaine de documents types) sur les vecteurs les moins utilisés par les processus métier.

S’assurer que la solution est bien adaptée au risque encouru

A ce jour, aucune solution DLP n’est complètement étanche. Il existe des méthodes (telles que le chiffrement ou l’obfuscation) permettant à des utilisateurs avertis de les contourner. Dès lors, les solutions de DLP ne couvrent que les risques liés à des erreurs de l’utilisateur, des usages à risques, ou encore à des utilisateurs malveillants ayant des compétences limitées en informatique. Selon le type de menaces auxquelles une entreprise est soumise, le risque de fuite causée par un utilisateur (ou tiers) malveillant et disposant de compétences suffisantes pour déjouer la solution peut être plus ou moins élevé, et parfois justifier de choisir une stratégie de protection différente, en complément ou en lieu et place d’une solution de DLP.

Mener le projet à maturité en 4 phases

Une fois une solution de DLP installée en production, il est conseillé de procéder selon quatre grandes phases :

  • La phase de calibrage est une phase au cours de laquelle aucune action n’est déclenchée suite aux incidents. Il s’agit d’observer les incidents qui sont générés, de les comprendre (sont-ils de réelles fuites ou juste la conséquence d’un processus mal défini ?) et d’identifier les faux-positifs.
  • La phase de remédiation vise à corriger les anomalies détectées dans la phase de calibrage. Il s’agit ici d’améliorer les processus à risque et d’affiner les politiques de détection afin de nettoyer l’outil de tout incident superflu.
  • La phase de notification introduit la notion de règle de réponse sur incident dans les politiques de détection : chaque utilisateur qui génère un incident en sera automatiquement notifié, dans le but de le sensibiliser aux usages à risques et aux bonnes pratiques en matière de protection de la donnée.
  • Enfin, la phase de blocage consiste à remplacer progressivement les notifications par le blocage des opérations détectées comme étant des incidents.

Pendant chacune des phases, il est important de continuer à améliorer les processus métier et affiner les politiques afin de réduire au maximum le nombre de faux-positifs. En effet des notifications ou blocages intempestifs peuvent causer un rejet de la solution de la part des utilisateurs, ce qui aboutirait à l’échec du projet.

Améliorer les processus métier

L’amélioration des processus métier – par exemple proscrire l’utilisation de la clé USB ou interdire l’envoi de données secrètes par mail – est essentielle dans le cadre d’un projet DLP. Limiter les usages à risques au sein des processus métier réduit d’une part le risque de fuite de données et d’autre part limite le nombre d’incidents générés par la solution, et donc son coût de maintien en conditions opérationnelles. Moins d’incidents signifie aussi une réponse aux incidents plus efficace, ce qui ne peut être que bénéfique.

Sensibiliser les utilisateurs lors de la phase de notification

Comme vu précédemment, les utilisateurs sont les mieux placés pour protéger leurs données, mais manquent souvent de connaissances et de moyens pour adopter au quotidien des pratiques permettant de protéger les données sensibles qu’ils manipulent.

Le saviez-vous ? 70% des fuites de données sont accidentelles (Source : Forrester Research)

Les solutions de DLP permettent de faciliter la sensibilisation et l’entraînement des utilisateurs en matière de protection de la donnée : la phase de calibrage permet d’identifier les usages à risque les plus répandus, la phase de remédiation de corriger ceux qui sont dus à des processus, tandis que la phase de notification doit permettre d’éliminer les derniers usages à risques récurrents, avec l’aide de formations complémentaires et communications ciblées si nécessaire. Il est essentiel durant cette dernière phase que les utilisateurs aient accès à des informations concernant la protection de la donnée (dépliant, support de formation, e-learning etc.) afin qu’ils puissent s’y référer au quotidien, le temps de pleinement en assimiler les concepts.

Dans une approche prenant en compte le niveau de maturité de l’entreprise, il convient de réfléchir à un mode opératoire comprenant de nouveaux processus et de nouvelles fonctions afin d’anticiper la formation des opérateurs, la mise à jour des politiques et le traitement des incidents remontés. Le tout dans le but d’intégrer la solution de DLP dans le fonctionnement quotidien de l’entreprise.

Pour en savoir plus sur le sujet, n’hésitez pas à nous contacter et à consulter notre page Internet.