Dédier tout un pan de la cybersécurité à la prévention des pertes de données peut sembler superflu. Après tout, le but de la sécurité n’est-il pas de protéger les données ? C’est vrai. Cependant, pour éviter de perdre vos données les plus sensibles et les plus précieuses, vous devez adopter une approche cohérente et méthodique. C’est là qu’entre en jeu la DLP, dont la fonction est de détecter et prévenir les pertes ou les fuites de données. Pour ce faire, elle s’appuie sur des processus, des technologies et des compétences humaines bien particulières.
La DLP recoupe de nombreux segments des opérations IT, de la cybersécurité et de la conformité. Quant à sa fonction essentielle, elle reste la même quel que soit le niveau de complexité de son déploiement : protéger les données contre les pertes causées par des compromissions, des exfiltrations ou un chiffrement malveillant.
Pour certains, la DLP n’est rien de plus qu’un produit. Il est vrai qu’il existe un grand nombre de solutions DLP performantes, et qu’une bonne stratégie de DLP passe nécessairement par l’adoption de l’un de ces outils. Néanmoins, pour citer Gartner, « les technologies de prévention des pertes de données se montrent le plus efficaces lorsqu’elles sont sous-tendues par des processus en phase avec les impératifs métiers, plutôt qu’exécutées en totale autonomie. »
Rappelons que les pertes de données ne sont pas toujours causées par des cyberattaques. Certains des incidents les plus dévastateurs sont accidentels, et dus à des pratiques de gestion des données brouillonnes ou mal pensées. L’objectif, pour toute entreprise, est d’opérer sans perdre ses données.
La DLP englobe plusieurs domaines fonctionnels. Ceux-ci incluent la sécurité des données et les mesures associées (p. ex. le chiffrement), les processus de résilience des données (comme les sauvegardes) et la gouvernance des données. Une DLP efficace repose sur quatre piliers essentiels :
Identification des données : pour protéger vos données, vous devez connaître leur nature et leur emplacement. Votre entreprise possède un large éventail de données plus ou moins sensibles, stockées sous divers formats. Vous devez pouvoir les identifier et les localiser dans votre environnement.
Protection des données : contrôles de prévention des pertes, chiffrement, contrôles d’accès, solutions de sauvegarde et de restauration des données… la protection des données fait intervenir de nombreuses composantes.
Prévention des pertes de données accidentelles : perdre des données, c’est très facile. Et le plus souvent involontaire. Vos collaborateurs ne sont pas à l’abri de telles erreurs. D’une diffusion trop libre d’informations sensibles au partage de mots de passe, en passant par le stockage non autorisé des données sur des plateformes cloud, ce ne sont pas les occasions qui manquent.
Gouvernance des données : la prévention des pertes de données exige une gouvernance couvrant tout le cycle de vie des données, assortie de règles strictes pour le stockage de données sensibles, entre autres mesures d’encadrement.
Quelle est la différence entre DLP et sécurité des données ? Bien qu’elles se chevauchent sur certains points, ces deux sphères de la sécurité présentent des différences. La sécurité des données comprend les contrôles, les pratiques et les technologies qui protègent les données contre les compromissions et les accès non autorisés. Les pratiques et contrôles de sécurité des données ne s’inscrivent pas dans la même perspective que la DLP. Ils ne procèdent pas à l’inventaire ni à la classification des données, et ils ne visent pas non plus à empêcher les pertes de données accidentelles.
Le spectre de la DLP est plus large. Les solutions DLP protègent les données sensibles contre les fuites, les compromissions et les accès non autorisés en facilitant la création et la gestion de politiques unifiées. Elles peuvent centraliser le contrôle des mesures de sécurité à partir d’un même ensemble de politiques DLP. Par ailleurs, certaines de ces solutions surveillent les comportements des utilisateurs en matière d’accès et d’utilisation des données, puis signalent les anomalies – par exemple, un collaborateur qui partage trop de fichiers avec des destinataires extérieurs à l’entreprise. S’il s’agit parfois d’une simple erreur, cela peut également être le signe d’une cyberattaque. Dans ce scénario, la solution DLP s’intégrera probablement aux outils de l’équipe SOC, dont les processus sont généralement très automatisés.
On distingue trois grands types de DLP :
DLP réseau : comme son nom l’indique, cette DLP sécurise les données en transit sur le réseau. Les attaquants peuvent intercepter le trafic réseau et exfiltrer les données de serveurs de messagerie ou d’applications, par exemple. Partant de ce constat, les solutions de DLP réseau observent le moindre signe de pertes de données sur le trafic réseau et signalent tout transfert de données suspect.
DLP sur stockage/cloud : ce type de DLP protège les données au repos. Quel que soit leur emplacement, celles-ci sont classifiées et sécurisées, le plus souvent par chiffrement. Toutes les données sont concernées, qu’elles soient on-prem, cloud (public comme privé) ou stockées dans des environnements hybrides ou multicloud.
DLP sur terminal : la DLP sur terminal protège les données sur les appareils qui accèdent au réseau interne (smartphones, serveurs, ordinateurs portables, etc.). Cette DLP surveille le réseau côté client afin de détecter d’éventuels signes de pertes de données, tout en exécutant les politiques DLP applicables : mots de passe robustes, contrôle des accès, chiffrement, etc.
Pourquoi adopter une stratégie de DLP ? La première raison, c’est que les incidents de pertes de données ne cessent d’augmenter d’année en année. Un data broker a ainsi récemment révélé avoir subi une compromission ayant entraîné l’exposition de la quasi-totalité des numéros de sécurité sociale aux États-Unis. De grandes marques comme Yahoo, Alibaba, LinkedIn ou encore Marriott ont également été touchées. En plus d’entacher la réputation des entreprises victimes, ces incidents sont extrêmement coûteux à résoudre. Sans parler du fait que les entreprises concernées se retrouvent souvent dans le viseur des autorités de régulation.
Bien que la DLP ne soit pas spécifiquement mentionnée dans les réglementations encadrant la sécurité et la confidentialité des données, elle peut jouer un rôle essentiel pour atteindre – et maintenir – la conformité. Certains règlements, comme le RGPD et le CCPA, imposent la mise en place de contrôles visant à prévenir la fuite de données privées des consommateurs. En cas de compromission de ces données, toute infraction aux réglementations en vigueur est passible de fortes amendes. De la même manière, l’HIPPA sanctionne les entreprises dont le manque de rigueur a causé la fuite de données médicales confidentielles.
La DLP est un domaine suffisamment mature pour que les professionnels de l’IT et de la sécurité aient mis en place un ensemble de bonnes pratiques qui facilitent son adoption et son exécution. Outre les pratiques standard suivies pour tout projet IT ou de sécurité (documenter les processus et les procédures, établir un cahier des charges, etc.), la DLP inclut également des directives spécifiques :
Identifier puis classifier les données sensibles : parmi toutes vos données, lesquelles doivent faire l’objet de la plus forte protection contre les pertes ? Veillez à inclure dans votre réflexion vos données non structurées, comme celles contenues dans les documents et les e-mails. Une bonne solution DLP vous offrira la possibilité d’étiqueter les données à protéger en priorité contre les pertes.
Trouver et sécuriser les maillons faibles de votre parc informatique : les attaquants parviennent toujours à trouver la faille pour s’infiltrer dans les réseaux et les infrastructures de stockage des données. Et bien souvent, l’humain est le maillon faible. D’où l’importance de mettre en place des contrôles limitant les accès de vos collaborateurs aux seules données dont ils ont besoin pour remplir leurs missions.
Sauvegarder les données dans le cloud : cette pratique doit être un pilier de tout programme DLP. Le cloud vous permet de stocker vos sauvegardes dans diverses zones géographiques et de restaurer rapidement les systèmes impactés.
Former les collaborateurs internes et prestataires externes : face au risque élevé de pertes de données accidentelles, il est indispensable de sensibiliser les utilisateurs aux bonnes pratiques DLP.
Respecter les règles de cyber-hygiène : veiller à la sécurité des réseaux et systèmes s’inscrit également dans la stratégie DLP, même si ce n’est pas nommément spécifié. Gestion des correctifs, rotation des mots de passe ou authentification multifacteur (MFA) vous aideront à protéger vos données contre les attaquants.
Définir des KPI : si vous mesurez les progrès de votre programme DLP au regard d’indicateurs de performance quantifiables, vous pourrez vous appuyer sur ces éléments concrets pour démontrer l’efficacité de votre programme à votre Comex et à d’autres parties prenantes. Vous pourrez notamment suivre le nombre d’incidents de pertes de données subis sur une période donnée, et le temps qu’il vous a fallu pour y répondre et les résoudre. En implémentant la DLP, vous devriez en toute logique observer une amélioration de ces métriques.
Veillez aussi à établir clairement les rôles et les responsabilités. Quelqu’un doit être en charge de la DLP et connaître parfaitement les attributions de sa mission. Au niveau des contrôles, la séparation des tâches (SoD) peut contribuer à réduire les risques de pertes de données engendrés par les utilisateurs, volontairement ou pas.
On peut s’interroger sur la nécessité de combiner DLP et Endpoint Detection and Response (EDR). Après tout, une bonne solution EDR peut détecter les attaques, neutraliser les offensives et empêcher les hackers d’infiltrer le réseau. Les outils EDR alertent également les équipes de sécurité en cas d’incident.
Toutefois, l’ERD et la DLP n’ont pas la même fonction. Ils sont complémentaires. La DLP assure une mission plus conséquente : catégoriser et prioriser les données à protéger. Elle vise à établir et appliquer des politiques unifiées au niveau des terminaux, du réseau, du stockage et du cloud. Pour l’application des politiques, il peut arriver que l’EDR et la DLP agissent en tandem.
Une bonne stratégie DLP se divise en trois étapes :
Identification des données sensibles : votre solution DLP peut détecter les données sensibles dans l’ensemble de votre organisation. En exploitant d’autres outils de classification des données, comme ceux de Rubrik, vous améliorerez l’efficacité du processus.
Protection : il s’agit de définir et d’implémenter des contrôles qui chiffreront les données et bloqueront les accès non autorisés.
Surveillance et réponse : la dernière étape de la stratégie DLP consiste à assurer une surveillance continue et à agir rapidement pour neutraliser les menaces détectées.
Il existe sur le marché de nombreuses solutions capables de prévenir les fuites de données et l’accès non autorisé aux données de votre entreprise. Mais avant de vous mettre en quête d’une plateforme DLP, faites le point sur les outils dont vous disposez déjà et qui pourraient vous aider à prévenir les fuites de données.
Il est possible que les contrôles intégrés à vos applications, vos bases de données et vos réseaux offrent des fonctionnalités similaires à celles d’une solution DLP pour l’application des politiques. Les solutions de sauvegarde et de restauration ont également un rôle à jouer dans la DLP, dans la mesure où elles maintiennent la disponibilité des données après une compromission ou un ransomware.
Par ailleurs, chaque entreprise définit une stratégie DLP qui lui est propre. Certains facteurs comme la taille ou le secteur d’activité entrent en jeu : une PME du secteur de la santé n’aura pas le même profil DLP qu’un grand groupe industriel. En matière de protection des données, toutes les entreprises ont des impératifs différents. Les laboratoires pharmaceutiques cherchent à sécuriser en priorité leurs données de propriété intellectuelle, tandis que les sociétés de services financiers doivent protéger avant tout leurs données transactionnelles.