Qu'est-ce que le DLP et comment fonctionne-t-il ?

Qu'est-ce que le DLP ?

Selon Gartner, la prévention des pertes de données ou DLP (Data Loss Prevention) est un ensemble de technologies qui effectuent à la fois une inspection du contenu et une analyse contextuelle des données lorsqu'elles sont envoyées via des applications de messagerie (e-mail, messagerie instantanée), en transit sur le réseau, en cours d'utilisation sur un terminal managé, et au repos sur les serveurs de fichiers locaux, dans les applications cloud et en stockage cloud. Ces solutions appliquent des mesures de réponse basées sur des stratégies et règles définies pour gérer le risque de fuites accidentelles ou d'exposition de données sensibles hors canaux autorisés.

Les technologies DLP appartiennent globalement à l'une des deux catégories suivantes : DLP d'entreprise et DLP intégré. Les solutions DLP d'entreprise sont des solutions complètes, fournies via un logiciel agent pour les postes de travail et les serveurs, via des appliances physiques et virtuelles pour la surveillance des réseaux et du trafic e-mail, ou via des appliances logicielles pour la découverte des données. Une solution DLP intégrée est limitée aux passerelles web sécurisées (SWG), aux passerelles de messagerie sécurisées (SEG), aux produits de chiffrement des e-mails, aux plates-formes de gestion de contenu d'entreprise (ECM), aux outils de classification et de découverte des données, et aux services CASB.

Comment fonctionne une solution DLP ?

Il est essentiel de comprendre les différences entre la connaissance du contenu et l'analyse contextuelle pour appréhender correctement ce que représente une solution DLP. Pour saisir leur différence, on peut imaginer que le contenu est une lettre, le contexte son enveloppe. Alors que la reconnaissance de contenu implique de capturer l'enveloppe et d'en examiner le contenu pour l'analyser, le contexte inclut des facteurs externes tels que l'en-tête, la taille, le format, etc. ― à savoir tout ce qui n'inclut pas le contenu de la lettre. La reconnaissance du contenu se fonde sur le principe suivant : même si nous voulons utiliser le contexte pour obtenir plus d'informations sur le contenu, nous ne voulons pas être limités à un seul contexte.

Une fois l'enveloppe ouverte et le contenu traité, plusieurs techniques d'analyse de contenu peuvent être utilisées pour déclencher des violations de stratégie, par exemple :

  1. Analyse basée sur des règles/expressions régulières : la technique d'analyse la plus couramment utilisée dans une solution DLP a recours à un moteur qui analyse le contenu à la recherche de règles spécifiques, telles que les numéros de carte de crédit à 16 chiffres, les numéros de sécurité sociale américains à 9 chiffres, etc. Cette technique constitue un excellent premier filtre, car les règles peuvent être configurées et traitées rapidement, même si elles peuvent être à l'origine de taux élevés de faux positifs sans validation de la somme de contrôle pour identifier les modèles valides.
  2. Identification par empreinte de la base de données : également connu sous le nom de correspondance exacte des données (EDM, Exact Data Matching), ce mécanisme recherche des correspondances exactes dans un vidage de base de données ou une base de données active. Bien que les vidages de base de données ou les connexions à la base de données active affectent les performances, il s'agit d'une option à envisager pour les données structurées des bases de données.
  3. Correspondance exacte des fichiers : le contenu des fichiers n'est pas analysé ; toutefois, les hachages des fichiers sont comparés à des empreintes exactes. Cette méthode donne peu de faux positifs, même si elle ne fonctionne pas pour les fichiers contenant plusieurs versions similaires, mais non identiques.
  4. Correspondance partielle de documents : recherche une correspondance complète ou partielle dans des fichiers spécifiques, par exemple plusieurs versions d'un formulaire complétées par différents utilisateurs.
  5. Analyse conceptuelle/terminologique : à l'aide d'une combinaison de dictionnaires, de règles, etc., ces stratégies peuvent déclencher des alertes même en présence d'informations non structurées, impossibles à catégoriser de façon simple. Cette méthode doit être personnalisée en fonction de la solution DLP utilisée.
  6. Analyse statistique : utilise l'apprentissage automatique ou d'autres méthodes statistiques telles que l'analyse bayésienne pour déclencher des violations de stratégie dans le contenu sécurisé. Cette méthode nécessite un volume élevé de données à analyser, sans quoi elle est susceptible de générer un nombre élevé de faux positifs et négatifs.
  7. Catégories prédéfinies : catégories prédéfinies avec règles et dictionnaires pour les types courants de données sensibles, p. ex. les numéros de carte de crédit/données soumises aux réglementations PCI, HIPAA, etc.

Il existe aujourd'hui sur le marché une multitude de techniques qui offrent différents types d'inspection de contenu. Lors de l'évaluation d'une solution, un point crucial doit être pris en compte : si de nombreux fournisseurs DLP ont développé leurs propres moteurs de contenu, certains peuvent utiliser une technologie tierce qui n'est pas conçue pour la prévention des pertes de données. Par exemple, au lieu de créer une correspondance de modèle pour les numéros de carte de crédit, un fournisseur DLP peut faire appel à une technologie sous licence d'un fournisseur de moteur de recherche pour évaluer les numéros de carte de crédit par rapport à un modèle. Lors de l'évaluation de solutions DLP, portez une attention particulière aux types de modèles détectés par chaque solution par rapport à un véritable corpus de données sensibles afin de vérifier la précision de son moteur de contenu.

Sécurité des données renforcée grâce à de bonnes pratiques DLP

En matière de prévention des pertes de données, les meilleures pratiques combinent technologies, contrôles de processus, personnel compétent et sensibilisation des collaborateurs. Vous trouverez ci-dessous quelques recommandations pour élaborer un programme DLP efficace :

  1. Implémentez un seul programme DLP centralisé : de nombreuses entreprises mettent en œuvre des pratiques et des technologies DLP ponctuelles et incohérentes, implémentées par différents départements et divisions. Cette incohérence entraîne un manque de visibilité sur les actifs de données et une sécurité des données lacunaire. En outre, les collaborateurs ont tendance à ignorer les programmes DLP mis en œuvre au niveau d'un département et non pris en charge par le reste de l'entreprise.
  2. Évaluez les ressources internes : pour créer et mettre en œuvre un plan DLP, les entreprises ont besoin d'un personnel compétent en la matière, notamment en ce qui concerne l'analyse des risques DLP, la réponse aux compromissions de données et la génération des rapports associés, l'application des réglementations sur la protection des données, sans oublier la formation et la sensibilisation à la prévention des pertes de données. Certaines réglementations officielles imposent aux organisations d'employer du personnel interne ou de faire appel à des consultants externes possédant des connaissances en matière de protection des données. Par exemple, le RGPD prévoit des dispositions qui affectent les entreprises vendant des biens ou des services aux consommateurs de l'Union européenne (UE) ou qui sont destinées à surveiller leur comportement. Le RGPD impose aux entreprises de désigner un délégué à la protection des données (DPO) ou des employés pouvant assumer de telles responsabilités, notamment pour effectuer des audits de conformité, surveiller les performances de la solution DLP, former les employés aux exigences de conformité et assurer la liaison entre l'entreprise et les autorités chargées de veiller au respect de la réglementation.
  3. Procédez à un inventaire et à une évaluation :  l'évaluation des types de données et de leur valeur pour l'entreprise est une première étape importante dans la mise en œuvre d'un programme DLP. Il s'agit ici d'identifier les données pertinentes, de déterminer leur emplacement de stockage et de savoir si ce sont des données sensibles (propriété intellectuelle, informations confidentielles ou données soumises à des réglementations particulières). Certains produits DLP peuvent identifier rapidement les actifs informationnels en analysant les métadonnées des fichiers et en cataloguant le résultat ou, le cas échéant, en ouvrant les fichiers pour en analyser le contenu. L'étape suivante consiste à évaluer le risque associé à chaque type de données en cas de fuite de données. D'autres éléments à prendre en compte incluent les points de sortie des données et ce qu'il en coûterait à l'entreprise en cas de perte des données. La perte d'informations sur les programmes d'avantages sociaux des employés est associée à un niveau de risque différent de celui de la perte de 1 000 dossiers médicaux de patients ou de 100 000 numéros de compte bancaire et mots de passe.
  4. Optez pour une implémentation progressive :  l'implémentation d'une solution DLP est un processus à long terme qu'il est conseillé de mettre en œuvre par étapes. L'approche la plus efficace consiste à prioriser les types de données et de canaux de communication. De même, envisagez d'implémenter certains composants ou modules de la solution DLP selon les besoins, en fonction des priorités de l'entreprise, plutôt que tous les composants à la fois. L'analyse des risques et l'inventaire des données simplifient l'établissement de ces priorités.
  5. Créez un système de classification :  avant qu'une entreprise puisse créer et mettre en œuvre des stratégies DLP, elle a besoin d'un cadre de classification des données ou d'une taxonomie pour les données structurées et non structurées. Les catégories de sécurité des données peuvent inclure des informations confidentielles, internes, publiques ou d'identification personnelle, des données financières, des données réglementées, des éléments de propriété intellectuelle, etc. Les produits DLP peuvent analyser les données à l'aide d'une taxonomie préconfigurée, que l'entreprise peut personnaliser ultérieurement, afin de faciliter l'identification des principales catégories de données. Si le logiciel DLP automatise et accélère la classification, c'est aux utilisateurs qu'il revient de sélectionner et de personnaliser les catégories. Les propriétaires de contenu peuvent également évaluer visuellement certains types de contenus qui ne peuvent pas être identifiés à l'aide de simples mots clés ou expressions.
  6. Mettez en place des stratégies de gestion et de correction des données : après avoir créé le cadre de classification, l'étape suivante consiste à créer (ou à mettre à jour) les stratégies de gestion des différentes catégories de données. Les exigences des pouvoirs publics spécifient les politiques DLP nécessaires au traitement des données sensibles. Les solutions DLP appliquent généralement des règles ou des stratégies préconfigurées basées sur diverses réglementations, telles que la loi HIPAA ou le RGPD. L'équipe DLP peut ensuite personnaliser les stratégies en fonction des besoins de l'entreprise. Pour administrer les stratégies, les produits DLP bloquent et surveillent les canaux sortants (par exemple, les e-mails et les chats web) et proposent des options de gestion des violations de sécurité potentielles. Par exemple, un collaborateur sur le point d'envoyer un e-mail avec une pièce jointe confidentielle peut recevoir une fenêtre pop-up lui suggérant de chiffrer le message, ou le système peut le bloquer complètement ou le rediriger vers un responsable. La réponse est basée sur les règles établies par l'entreprise.
  7. Organisez des formations pour les collaborateurs :  la sensibilisation aux stratégies et procédures de sécurité et leur adoption par les équipes sont essentielles à une prévention efficace des pertes de données. Les initiatives d'information et de formation (cours, formations en ligne, e-mails périodiques, vidéos, comptes rendus, etc.) peuvent aider les collaborateurs à comprendre l'importance de la sécurité des données et à améliorer leur capacité à respecter les bonnes pratiques en matière de prévention des pertes de données. Les sanctions prévues en cas de violation de la sécurité des données peuvent également améliorer la conformité, en particulier si elles sont clairement définies. Le SANS Institute propose un large choix de ressources de formation et de sensibilisation à la sécurité des données.

Explore more Security Awareness topics