Accueil Protection de la donnée

Protection de la donnée

Et si l’on cherchait à protéger aussi la donnée elle-même, plutôt que seulement les systèmes qui la traitent ?

La montée en puissance des aspects réglementaires -notamment en ce qui concerne les données à caractère personnel- a rendu incontournable une nouvelle approche de protection dite “data centric”, basée sur la donnée elle-même. Son objectif est de protéger le contenu plutôt que le contenant.

Pour cela le marché offre trois approches : le chiffrement, la gestion des droits numériques (EDRM) et la prévention des fuites de données (DLP).  

 


Gestion des droits numériques :
pour garder le contrôle.

Les solutions de gestion des droits numériques (EDRM) permettent aux documents d’embarquer leurs propres règles d’accès et ainsi de garder le contrôle de la donnée lorsque celle-ci a quitté l’entreprise. Il sera ainsi possible de décider qu’un document PDF ne pourra être lu que sur une période donnée, ou encore de le mettre à jour une fois diffusé. Ces solutions permettent également de décider ce qui pourra être fait avec le document : copie, édition, impression, ouverture depuis quel type de terminal, etc.

 


EDRM : les questions à se poser

  • Quels formats sont supportés ? (Adobe, Word, Excel, images, AutoCAD…)
  • Disponibilité de connecteurs ? (CASB, DLP, ERM, partage de fichiers…)
  • Simplicité de l’interface de création des politiques de sécurité ?
  • Capacité à interpréter les politiques de sécurité existantes (règles SharePoint, etc.)

 


Le DLP, contre les fuites accidentelles

Mal comprises, jugées trop simples à contourner, les solutions de DLP n’ont pas toujours bénéficié d’une bonne réputation. Mais il s’agit assurément d’un malentendu : le marché de la prévention des fuites de données protège avant tout de l’erreur humaine et non du vol de donnée !

Associés à une solution de classification des données, les outils de DLP s’assurent, par exemple, que le document Excel signalé comme « Interne » envoyé par email n’est effectivement adressé qu’à des correspondants internes (qui n’a jamais commis d’erreurs liées à la saisie semi-automatique des adresses ?).

Sachant que l’erreur humaine est l’une des principales causes de pertes de données en entreprise, c’est un bon investissement !

Comme pour beaucoup de solutions de sécurité, les modèles d’intelligence artificielle sont en train d’étendre la vision des solutions de prévention des fuites de données. Des prestataires Cloud proposent ainsi de rechercher les données de l’entreprise qui ont déjà franchi ses protections et qui circulent sur Internet ou sur le Dark Web. Les algorithmes recherchent inlassablement les fichiers sensibles de l’entreprise afin de générer une alerte si un fichier sensible est repéré sur un forum de hackers ou tout simplement sur un disque dur portable ou la box Internet d’un salarié qu’il n’aurait pas sécurisé. Des spécialistes se chargent alors de neutraliser la fuite.

 


DLP : les questions à se poser

  • Positionnement de la solution : sur les postes de travail, sur le réseau ou les deux ?
  • Peut-on appliquer une politique unique entre réseau et postes de travail ?
  • Support des applications métiers en mode SaaS ?
  • Disponible sous forme d’appliance virtuelle ?
  • Est-ce une solution dédiée au DLP ou s’agit-il d’une fonctionnalité complémentaire (présente sur certains pare-feux nouvelle génération, outils de classification, systèmes de détection d’intrusion, cloud access security brokers, etc.)

 


Le chiffrement, l’approche historique

Le chiffrement protège la donnée au repos (stockée) ou en mouvement (sur le réseau). Il intervient au niveau du matériel (équipements réseaux par exemple), du stockage ou de l’application (chiffrement des bases de données, par exemple). L’action de chiffrer peut être transparente (la donnée est alors protégée automatiquement sans intervention de l’utilisateur) ou déclenchée par ce dernier.

Le chiffrement de la donnée au repos couvrira le risque de vol des supports (ordinateur portable, supports externes tels que disques durs ou clés USB) tandis que le chiffrement de la donnée en mouvement couvrira l’interception de cette dernière (présence de l’attaquant sur le réseau).

 


Chiffrement :

quelques questions à se poser

  • Souhaite-t-on protéger des données stockées ou en transit ?
  • Chiffrement du stockage, de l’applicatif, ou des bases de données ?
  • Chiffrement transparent (« Full disk encryption ») ou volontaire ? (« file encryption »)
  • Comment seront gérées (et générées) les clés ?
  • Existe-t-il une clé maître ?
  • Chiffrement individuel ou multi-utilisateurs ?
  • Comment gérera-t-on les sauvegardes et l’archivage des données chiffrées vis-à-vis des changement de clés ?