Avis d'expert : prévenir les pertes de données critiques ou sensibles
Les conséquences d’une perte ou d’un vol de données peuvent être désastreuses pour une organisation. D’où l’intérêt des solutions de prévention (DLP pour Data Leak Prevention), une approche intégrale qui vise à empêcher la divulgation d’informations sensibles ou de valeur auprès d’utilisateurs ou d’équipements non légitimes. Directeur Technique France chez Fortinet à Sophia, Christophe Auberger vous l'explique dans sa tribune intitulée "Prévention des pertes de données : séparer le bon grain de l’ivraie".
La prévention des pertes de données critiques ou sensibles est une problématique récurrente depuis que les informations propriétaires et éléments de propriété intellectuelle existent. Mais les récentes évolutions en matière de réglementation et d’infrastructure réseau (BYOD, virtualisation, applications sophistiquées, Shadow IT et environnements IT, etc.) rendent d’autant plus impératif que les organisations repensent le contrôle et la protection de leurs données critiques. Dans la majorité des cas, les pertes de données sont fortuites, suite à des collaborateurs qui transgressent les règles de sécurité, ou qui contournent les solutions de sécurité dédiées à l’email, en utilisant, par exemple, un Webmail personnel, une messagerie instantanée, ou des applications de partage de fichiers en ligne, pour transmettre des documents confidentiels.
Les conséquences d’une perte ou d’un vol de données, quelles que soient la méthode utilisée et la finalité d’une telle exaction, peuvent être désastreuses pour une organisation. Les informations de valeur (éléments de propriété intellectuelle, secrets de fabrication, etc.) mises à disposition d’un concurrent ou revendues sur un marché noir, peuvent potentiellement valoir des millions. Les informations confidentielles gouvernementales, susceptibles de tomber entre de mauvaises mains peuvent mettre en péril la sécurité d’un pays. La divulgation de données clients expose l’organisation victime à des poursuites pénales, une défection de clients et une perte de crédibilité qui ternit sa réputation. Une fuite de données est par ailleurs souvent révélatrice d’autres violations en matière de conformité, avec, à la clé, de lourdes amendes financières, voire une interdiction de pouvoir accepter et traiter des cartes de paiement.
D’où l’intérêt des solutions de prévention des pertes de données (ou DLP pour Data Leak Prevention). Elles ne se résument pas à un produit ou un ensemble de produits, mais il s’agit plutôt d’une solution, basée sur des systèmes, qui s’applique sur l’ensemble du réseau multisite, et notamment les postes clients, les réseaux locaux et étendus, les centres de données, les services cloud, les applications, ainsi que les services web et email : cette approche intégrale vise à empêcher la divulgation d’informations sensibles ou de valeur auprès d’utilisateurs ou d’équipements non légitimes. Une stratégie efficace de DLP est également un outil de valeur pour les administrateurs IT, en les invitant à créer, affiner et appliquer des règles, à obtenir une visibilité précise sur les flux de données, à filtrer ces flux de données sur le réseau et à protéger les données stockées ou en transit.
Transformation informatique et DLP
Les infrastructures réseau sont en forte mutation. Les clients, collaborateurs, sous-traitants et partenaires métiers ont, plus que jamais, besoin d’accéder aux données métiers et aux ressources réseau. Les types de dispositifs utilisés pour accéder à ces données sont plus variés, qu’il s’agisse de smartphones, de tablettes ou de PC personnels non-administrés par les équipes informatiques. Parallèlement, les données sensibles sont stockées hors site, sur une multitude de plateformes tierces, souvent à l’insu de l’organisation : ce qu’on appelle, dans le métier, le Shadow IT.
Au sein de cet environnement en évolution, le périmètre traditionnel du centre de données, et du réseau en lui-même, change fondamentalement. Les utilisateurs s’attendent à pouvoir accéder à toutes les informations, à partir de tout lieu, à la demande, et quel que soit le dispositif utilisé. Le réseau corporate s’étend ainsi désormais au-delà des frontières traditionnelles pour intégrer les accès Web et Cloud.
Il devient plus complexe de sécuriser les données dans de tels environnements, puisque les données ne se contentent pas d’être au sein d’un centre de données. Il y a toujours plus de données qui pénètrent et sortent du centre de données, qui s’échangent entre centre de données ou qui sont stockées et utilisées sur/par un panel diversifié de dispositifs. Au cours de ce processus, la nature des données change, et des stratégies de DLP doivent être capables de répondre à ces différents statuts.
Cette complexité est par ailleurs renforcée par des contraintes réglementaires plus coercitives. Un nouvel arsenal réglementaire est imposé par les gouvernements ou les organismes sectoriels, lorsqu’il n’est tout simplement pas dicté en interne pour définir des normes favorisant les bonnes pratiques et la maîtrise des risques réglementaires. La réglementation s’attache à renforcer la protection des données corporate sensibles, des données personnelles ou de clients/patients, et des éléments de propriété intellectuelle. Les pratiques en matière de sécurité des données doivent ainsi être actualisées régulièrement, ce qui est souhaitable face à la transformation des environnements de ces données.
Le fil rouge de ces changements est le besoin de protéger et de préserver les données critiques, sensibles ou confidentielles au sein d’un environnement en évolution rapide qui pèsent sur la pertinence des outils de sécurité traditionnels.
Les cybercriminels sont mieux organisés, un constat à intégrer dans votre stratégie DLP
Le profil des cybercriminels a évolué : le simple malfaiteur, souvent isolé, laisse la place à des groupuscules criminels organisés qui tirent parti des faiblesses de votre stratégie de sécurité pour détourner et revendre vos données. La protection face à ces criminels, en dehors et à l’intérieur de votre organisation, implique de déployer une stratégie de sécurité sur l’ensemble des environnements hébergeant vos données.
Il est important de s’en souvenir : la prévention des pertes de données implique une approche coordonnée associant différents éléments. En tout premier lieu, une stratégie de règles et de gouvernance. Il est conseillé de faire appel à un expert du sujet pour définir une stratégie intégrale qui sécurise vos données, et qui soit conforme aux attentes des instances de réglementation.
Une fois cette stratégie en place, la priorité est à un réseau capable d’identifier, d’analyser et de sécuriser les données. Cette approche implique d’associer des outils de contrôle et de gestion des données, des solutions et équipements de sécurité de type context-aware, et la capacité de tirer parti des dispositifs, de la veille et des services qui existent déjà au sein de votre réseau. Pour définir ces règles, la contribution d’experts en prévention des pertes de données est souhaitable, pour déployer une architecture de sécurité conforme aux règles de données et de gouvernance interne, et à toute réglementation externe applicable.
Sur le terrain, de nombreuses solutions de sécurité ne sont pas adaptées à une prévention optimale des pertes de données :
- Absence de centralisation au niveau des règles, fonctions d’administration, outils d’orchestration et fonctions de contrôle
- Faible visibilité au cœur et sur l’intégralité de la solution de sécurité
- Impossibilité de recueillir des informations critiques sur les événements et de les partager entre les solutions
- Collaboration déficiente entre les éléments de sécurité discrets
- Faible intégration entre les différents dispositifs de sécurité et le réseau
- Lourdeur en matière de gestion et de maintenance des éléments de sécurité cloisonnés
Une stratégie efficace de prévention des pertes de données doit porter sur plusieurs domaines : les solutions d’administration des données, le contrôle du périmètre réseau, la segmentation réseau et des zones de sécurité, le contrôle d’accès, l’identification des utilisateurs et des équipements, la connectivité et les VPN, le chiffrement des données, les équipements mobiles, les services cloud, le filtrage de contenu (Web et email), la gestion des applications, l’inspection des contenus ou encore la sécurité du stockage.
Alors que les réseaux, les dispositifs et les données continuent à évoluer, il est important de comprendre les possibilités et les carences de votre stratégie de sécurité en œuvre. De nombreuses attaques visent à pirater de nouvelles technologies adoptées et mises en œuvre, mais non adossées à une stratégie de perte de données. D’autres menaces, à l’image des menaces APT, sont conçues pour rester furtives, en exfiltrant les données dans des formats et proportions très discrets, non détectés, pour ensuite les réassembler.
Ainsi, une stratégie efficace de prévention des pertes de données doit s’inscrire dans un processus en quatre étapes :
- 1) la préparation et la planification avec étude des nouvelles technologies, stratégies et équipement réseau,
- 2) la conception et la mise en œuvre d’une sécurité flexible et collaborative, étroitement intégrée à votre architecture réseau,
- 3) l’évaluation permanente et la prise en charge automatisée des menaces dès qu’elles apparaissent, et
- 4) le déploiement d’outils d’analyse post-incident pour pouvoir faire le lien entre un événement et son origine, identifier les équipements piratés sur votre réseau et ainsi éviter qu’un piratage ne se réitère avec succès dans le futur.
Christophe Auberger
- Voir les autres avis d'expert de Christophe Auberger : Tag Auberger