Les projets DLP pour traiter les risques de fuites de données

Le DLP (Data Loss Prevention ou Data Leakage Prevention) n’est pas nouveau en cybersécurité. Mise en œuvre en milieu bancaire depuis longtemps, cette protection s’est généralisée ces dernières années à d’autres secteurs en particulier du fait du développement des services Cloud. L’idée est de détecter et de prévenir les fuites de données sensibles. A l’origine de ces fuites, des erreurs humaines (par exemple l’envoi d’une pièce jointe non chiffrée ou le stockage dans le Cloud public de fichiers accessibles par tous) mais aussi des malveillances internes (par exemple un employé qui quitte sa société et copie sur une clé USB des fichiers clients). Le DLP est au programme du CISSP et du CCSP. Ces projets transverses nécessitent des outils efficaces et une organisation solide. Le DLP est cité dans les mesures de cybersécurité de la  catégorie 3 du référentiel CIS.

Prérequis

L’achat et l’installation d’outils, aussi efficaces soient-ils, ne suffisent pas pour réussir un projet DLP. Il faut avant toute chose être suffisamment mature en matière de classification de l’information. Définir a minma les informations les plus sensibles à protéger, en fonction de ses métiers et de ses exigences légales. Ces informations peuvent se matérialiser sous différentes formes (fichiers bureautiques, code source, fichiers vidéo…). Les données non structurées, par nature difficiles à maitriser, sont la cible naturelle des outils DLP.

Le DLP nécessite d’impliquer des ressources internes diverses :

  • Ressources humaines : pour la mise au point du processus d’investigation en cas de malveillance interne, pour l’information initiale des collaborateurs et des instances représentatives du personnel. Rappelons qu’un projet DLP nécessite dans la plupart des cas une AIPD pour être conforme au RGPD.
  • Sécurité : généralement à l’origine du projet, la sécurité facilite le travail de classification de l’information avec les métiers concernés, les propriétaires de l’information (data owner). La sécurité peut prendre la coordination du projet. Notons que le processus DLP est lui-même confidentiel du fait de la sensibilité des données et de la possibilité de fraudes internes.
  • Juridique et conformité. Le DPO est impliqué sur le périmètre des données personnelles. D’autres aspects légaux sont intégrés en fonction des données : PCI DSS pour les transaction de numéros de cartes bancaires, droits des contrats pour les données sensibles de fournisseurs ou de R&D, exigences de notification vers des régulateurs (AMF, CNIL, ANSSI…), par exemple en application de la directive NIS pour les fournisseurs Cloud.
  • IT pour l’intégration aux systèmes d’information on-premise, Cloud privés et publics. La complexité technique dépend des types d’outils (Data in Motion, Data at Rest, Data In Use) et des actions envisagées (supervision et simple détection d’événements suspects, blocage, alerte de l’utilisateur ou d’un SOC).

Les types d’outils

La force des outils DLP est de se concentrer sur les données elles-mêmes, au-delà des en-têtes des fichiers qui véhiculent ces données. On parle parfois de file cracking pour les technologies qui permettent de comprendre et analyser les formats de fichiers pour retrouver la donnée.

On distingue généralement trois catégories d’outils :

  • Data in Motion. Positionnés aux endroits où les outils peuvent analyser les flux. Par exemple, les serveurs mandataires (proxys), les transferts de fichiers, la messagerie, les outils collaboratifs (messageries instantanées, visioconférences, wiki…), les applications et infrastructures de Cloud public…Ils peuvent être associés aux outils de type CASB (Cloud Access Security Broker).
  • Data at Rest. En fonction des paramétrages, ces outils vont balayer les infrastructures de stockage (serveurs de fichiers, stockage objet dans le Cloud…) pour détecter la présence d’informations sensibles en clair.
  • Data in Use. Installés sur les outils de travail (ordinateurs, tablettes, smartphones…), ces outils sont très efficaces mais aussi complexes à paramétrer car ils se situent au plus près des utilisateurs. Ils pourront par exemple empêcher le copier-coller d’une information sensible depuis une application vers une autre application ou bien bloquer les impressions en dehors d’un réseau sécurisé. Ils peuvent être associés aux protections DRM des fichiers.

Limitations techniques

Les limitations techniques des outils DLP sont :

  • Le chiffrement, si l’outil n’a pas la capacité de déchiffrer les données. Par exemple, les données d’une pièce jointe chiffrée envoyée par messagerie par un utilisateur ne pourront être analysées par un outil DLP in motion.
  • Les langues. Les outils se concentrent sur la donnée et sont donc liés au langage. Cela peut poser des problèmes pour un groupe avec de nombreuses filiales et collaborateurs parlant différentes langues.
  • Les informations sensibles sous des formats spécifiques, des graphiques par exemple.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

RGPD, GDPR, CISSP, CCSP, DLP