Un projet de DLP ne s’improvise pas, et il faudra déjà avoir mis en place une panoplie sécuritaire cohérente avant de s’occuper des fuites de données.“Le DLP arrive après avoir mis en place un contrôle d’accès efficace”, prévient Laurent Gondicart, de TrendMicro. Ce pré-requis est nécessaire afin de limiter la portée de la solution DLP à une population connue : les seuls usagers internes. Les solutions de DLP doivent en effet associer un compte utilisateur précis à chaque violation de la politique de sécurité. Et il est donc nécessaire de savoir au préalable lier de manière fiable un compte à un utilisateur. “A ce titre, un projet de gestion des identités est un pré-requis”, n’hésite pas à ajouter Laurent Gondicart.Vient ensuite une phase organisationnelle impérative, car il est évidement plus compliqué de protéger une information dont on ne connaît pas grand chose. L’entreprise doit ainsi identifier ce qu’elle souhaite protéger : est-ce des coordonnées de clients ? Des informations d’ordre financier ? Des numéros de cartes bancaires ? Des numéros de sécurité sociale si elle travaille aux Etats-Unis ? Ou peut-être des paires d’identifiants / mot de passe ? Et où se trouvent ces informations ? Sur les postes de travail, dans des serveurs de fichiers ou des baies de stockage (et alors dans quels formats ?) ou bien dans des bases de données ? Sont-elles accessibles par le réseau, et alors selon quel protocole ? Toutes ces considérations dicteront en partie le choix de la solution.
Certaines sont par exemple plus à l’aise dans la surveillance des transactions de base de données uniquement, alors que d’autres se veulent plus généralistes mais devront pouvoir supporter tel ou tel format de fichier, tel protocole réseau ou être en mesure de se connecter à telle baie de stockage. Il faudra enfin décider de ce qui sera fait des alertes. Car à l’image des systèmes de détection d’intrusion, un outil de DLP génère essentiellement des alertes. C’est à l’entreprise de mettre en place des procédures afin de réagir efficacement à ces dernières. Inutile d’être trop complexe pour autant, il s’agit uniquement de prévoir à l’avance ce qui doit être fait en cas d’identification d’une fuite (qui contacter, comment la consigner, comment informer l’utilisateur, etc.). Enfin, dernière étape particulièrement utile, l’entreprise devrait être en mesure de classer ses données : qu’est-ce qui est confidentiel et qu’est-ce qui ne l’est pas ? Quelles données appartiennent à la Finance, et quelles autres à la Recherche & Développement ? Les solutions de DLP permettent en effet, entre autres, de contrôler les flux de données en fonction de leur origine dans l’entreprise : un document Excel étiqueté “Comptabilité” ne pourra ainsi pas être copié sur un poste de travail classé “Production”. Cette forme de contrôle est particulièrement utile car plus générique, mais elle impose d’avoir au préalable une bonne connaissance des documents que génère l’entreprise et de leur usage.Tous ces pré-requis sont en eux-mêmes de (très) bonnes pratiques de sécurité, et seront utiles même si l’entreprise décide de ne pas déployer du DLP. A l’inverse, tous ne sont pas absolument nécessaires pour déployer une telle solution. Les outils de prévention des fuites de données disposent par exemple d’un module dit “de découverte” qui se charge de faire l’inventaire des données de l’entreprise lors du déploiement, ce qui permet ensuite de les classer. Toutefois si une réflexion préalable a été en gagée en ce sens, la phase de déploiement du DLP en sera facilitée.
Accueil Les pré-requis