- Prévention des fuites de données, l'IA en action
- imprimante-hp
A l’heure du RGPD, contrer les fuites d’informations nécessite un gros travail sur les processus, la classification des données et bien évidemment leur sécurisation. La DLP (Data Loss Prevention), ou prévention des fuites de données, s’impose de plus en plus comme dernier rempart.
Chaque semaine ou presque l’annonce d’une nouvelle fuite massive de données fait la “une” de la presse et il ne s’agit que de la partie émergée d’un phénomène bien plus courant. Comme l’a montré cet été l’épisode de la Deutsche Bank où un trader a pu envoyer 450 emails après son licenciement, il s’agit bien souvent d’une menace interne. L’édition 2019 de l’enquête Bitglass “Threatbusters” montre que 59 % des entreprises interrogées ont connu une attaque issue d’une personne interne à l’entreprise en 2018, contre seulement un tiers en 2017. Parmi les contre-mesures à la disposition des entreprises, une plus grande fermeté dans les règles de fonctionnement, une meilleure formation du personnel ainsi que le chiffrement, l’IAM, les solutions de prévention des fuites de données (DLP) et enfin l’analyse comportementale.
CASB (Cloud Access Security Broker), DLP ou encore DRM (Digital Rights Managemen), les entreprises se dotent en effet de solutions techniques pour détecter toute fuite de données, issue d’une attaque externe ou interne.
« L’IA joue un rôle très important dans les capacités de détection
pour identifier les données ressemblant à des données classifiées,
mais non identifiées au préalable.»Hervé Doreau, directeur avant-ventes de Symantec France
Une suite logicielle modulaire
Ainsi, avec son offre DLP, l’éditeur Symantec propose une suite logicielle modulaire permettant la classification des données sensibles, la détection des incidents quel que soit le vecteur de fuite – poste de travail, messagerie, réseau, stockage, Cloud. Cette prévention permet une notification automatique des administrateurs, mais aussi le blocage ou le chiffrement des données concernées. Hervé Doreau, directeur avant-ventes de Symantec France, souligne :
« Les principaux différenciants de notre offre résident dans sa capacité à combiner les différentes méthodes de classifications, qu’il s’agisse du marquage à l’initiative d’utilisateurs, d’une détection automatique de contenu, de l’indexation, d’algorithmes d’intelligence artificielle et de reconnaissance de caractères ou d’images. En outre, nous offrons une multiplicité de points de détection d’incidents tant sur une infrastructure on-premise que Cloud ou hybride. » Symantec associe en effet son offre DLP à sa solution CASB pour assurer la protection des services Cloud. Enfin, Symantec DLP implémente des capacités de remédiation en associant des workflows de notification avec des capacités de chiffrement et de DRM intégrées. L’éditeur travaille aujourd’hui sur une meilleure intégration de ces briques fonctionnelles ainsi que sur la détection de l’utilisation des données sensibles dans les cas spécifiques d’utilisateurs non managés (fournisseurs, partenaires, BYOD) accédant à des données d’entreprise via des services SaaS.
Face à cet éditeur généraliste de la cybersécurité, Forcepoint mise sur l’intégration des fonctions DLP à son offre UEBA (User and Entity Behavior Analytics). « Nos deux solutions communiquent entre elles de manière native. La solution DLP nourrit l’UEBA en données de logs afin d’établir une baseline de comportements normaux » explique David Brillant, Director Sales Engineering South EMEA de Forcepoint. Il ajoute : « Plus l’UEBA accède à des données de logs, plus il est pertinent. Cela permet une vraie réponse de protection dynamique de la donnée basée sur un score de risque contextualisé et fluctuant dans le temps. » Pour Forcepoint, une telle intégration permet au responsable de la sécurité de se focaliser sur les événements extrêmement critiques et de minimiser au maximum les faux-positifs en agissant comme un premier niveau de filtrage. Si l’ambition de cette approche basée sur le Machine Learning et l’analyse automatique du comportement des utilisateurs est d’apporter une aide aux analystes dans le cadre de la prévention des fuites de données, la mise en œuvre de telles technologies reste encore complexe en termes de déploiement et de mise en œuvre. Ce qui le limite en pratique aux grands comptes. David Brillant, ajoute : « A terme, l’objectif de Forcepoint est d’industrialiser la solutions UEBA. Forcepoint souhaite ainsi mettre en œuvre un UEBA natif dans le Cloud. Cela permet de s’affranchir d’un déploiement spécifique à chaque client et d’apporter nativement une approche dynamique du risque basé sur le comportement même de l’utilisateur. »
Autre acteur de poids sur le marché des solutions de Data Loss Prevention, Digital Guardian qui mise lui aussi sur sa technologie UEBA pour se différencier : « Grâce à notre offre UEBA, nous fournissons 45 algorithmes d’apprentissage machine pour détecter et signaler les comportements anormaux dans l’espace DLP et EDR » explique Jan van Vliet, Vice-President & General Manager EMEA de l’éditeur.
L’UEBA doit réduire le bruit des alertes
« Cela permet de réduire le “bruit” des alertes que les analystes doivent trier quotidiennement et de renseigner davantage sur les incidents avec des informations supplémentaires concernant les cybercriminels connus et leur changement de comportements avant qu’un incident se produise. »
Outre l’amélioration de la détection des fuites de données, tous les éditeurs travaillent sur les capacités d’intégration des services tiers, notamment les solutions de classification telles qu’AIP (Azure Information Protection de Microsoft), de même que les services Cloud, marquant une convergence entre les solutions DLP entreprise et les fonctions DLP des offres CASB (Cloud DLP) dans une lutte contre les fuites de données qui se doit d’être permanente. Selon The Radicati Group, le marché des solutions DLP va doubler sur la période 2018-2022 pour atteindre 2,2 millions de dollars.