La perte de données peut être lourde de conséquences pour les entreprises. Elle érode la confiance dans l’organisation et est susceptible d’entraîner des pertes financières dues à des poursuites judiciaires, à des amendes pour non-respect de la réglementation et à l’exposition de la propriété intellectuelle.
La protection des données représente l’enjeu majeur de toute stratégie de sécurité, et, en fin de compte, la quasi-totalité des initiatives de cybersécurité s’y rapportent. Aujourd’hui, la migration des données, des applications d’entreprise et des utilisateurs vers le cloud, alors qu’ils étaient auparavant sur site et en sécurité, a fondamentalement changé la façon dont les données sont créées, stockées et partagées. Cette évolution a également eu des répercussions importantes sur la manière de les sécuriser.
Selon une récente étude IDC, les dépenses en solutions et logiciels de sécurité en 2023 devraient en effet s’élever à 206 milliards €, soit une augmentation de 12,1 % par rapport à l’année précédente. Aussi, les entreprises doivent adapter leurs pratiques et leurs outils à mesure que leur structure et leurs processus évoluent, et donc tenir compte de certaines variables clés.
La perte de données peut être lourde de conséquences pour les entreprises. Elle érode la confiance dans l’organisation et est susceptible d’entraîner des pertes financières dues à des poursuites judiciaires, à des amendes pour non-respect de la réglementation et à l’exposition de la propriété intellectuelle.
Face à ces risques, la prévention de pertes de données (DLP) a évolué et est devenue une caractéristique essentielle dans la définition d’une stratégie de cybersécurité, qui doit toutefois suivre des étapes clés afin de garantir un bon retour sur investissement et une expérience utilisateur optimale.
Approche traditionnelle vs approche moderne
Les outils de sécurité traditionnels se concentrent sur le web, les emails et les endpoints, ce qui offrait une couverture acceptable lorsque la majorité des applications, des données et des utilisateurs se situaient à l’intérieur d’un périmètre défini. Mais dans le monde du cloud-first, la majeure partie des données réside dans des applications SaaS ainsi que dans le cloud public, et est échangée via des messageries ou des outils de collaboration sur internet, et passe donc d’un cloud à un autre. De plus, une part importante du trafic provient d’appareils non gérés.
Toute transformation DLP doit donc tenir compte de chacun de ces scénarios.
L’approche DLP traditionnelle consiste à classer les documents manuellement ou à l’aide d’un outil, puis à utiliser des expressions régulières (regex), des dictionnaires, des empreintes digitales, des correspondances exactes de données ou encore la reconnaissance optique de caractères (OCR) pour rechercher des données spécifiques et les bloquer au niveau des endpoints.
En parallèle, la DLP moderne est basée sur l’analyse des contextes et tient compte de variables telles que les appareils, la nature des applications, la nature de l’instance d’application et son profil de risque, sans oublier l’activité réelle de l’utilisateur. Une solution DLP doit être suffisamment sensible au contexte pour savoir si le trafic provient d’un appareil professionnel ou personnel, puisque la politique et l’action applicables peuvent varier.
Applications approuvées, audits et systèmes de contrôle
La plupart des entreprises disposent d’une liste d’applications approuvées pour différentes catégories, telles que les emails, le stockage, la collaboration, la gestion de la relation client (CRM) ou encore la gestion RH. Ces applications approuvées font l’objet des audits et des contrôles requis. Il est essentiel que l’outil DLP soit en mesure reconnaître quand une application approuvée, car certaines données et certains transferts peuvent être autorisés pour de telles applications et bloqués pour les autres.
De plus, une application approuvée peut avoir des instances professionnelles et des instances personnelles auxquelles la DLP doit appliquer des critères distincts. La politique en vigueur pour un compte OneDrive ou un Gmail professionnel, par exemple, sera typiquement très différente de celle des instances personnelles.
Dans la catégorie des applications non approuvées, la solution DLP doit connaître le profil de risque de chaque application. La politique et les actions pour une application bien connue, même non approuvée, seront différentes de celles d’une application présentant des problèmes de conformité ou de sécurité connus.
En outre, la plupart des transactions d’applications cloud ont des types d’activité qui vont au-delà du chargement et du téléchargement traditionnels. Ces activités nécessitent d’être prises en charge par des politiques granulaires qui n’affectent pas la productivité des utilisateurs.
Les étapes clés d’une stratégie DLP
Afin de réduire leur surface d’attaque, les entreprises doivent penser à l’évolution de la DLP en différentes phases. La première étape consiste à obtenir une visibilité sur tous les usages SaaS, IaaS et web à l’initiative des utilisateurs et des équipes informatiques. Dans un second temps, elles peuvent procéder à l’analyse du profil de risque de ces services cloud.
En effet, la plupart des solutions CASB (Cloud Access Security Broker) ou SSE (Secure Service Edge) peuvent fournir une visibilité granulaire des utilisateurs et des applications à risque élevé ou moyen. Il est également important à ce stade d’identifier les applications approuvées pour les catégories clés et de définir une politique d’utilisation acceptable pour ces applications.
Les équipes IT ont ensuite tout intérêt à appliquer un blocage immédiat des services cloud à haut risque et inciter les utilisateurs à opter pour les services approuvés correspondant à leurs besoins, en termes de stockage et de collaboration par exemple. Elles peuvent également appliquer des politiques pour les instances d’entreprise des applications approuvées, en autorisant l’accès en lecture seule ou en bloquant l’accès aux instances personnelles d’une application approuvée comme OneDrive.
Ces mesures sont essentielles pour éviter que les instances personnelles d’applications approuvées ne puissent être exploitées pour voler facilement des données. Enfin, les équipes informatiques peuvent restreindre certains accès en fonction des utilisateurs ou des groupes, mais aussi des lieux et des périphériques.
Une fois l’ensemble de ces étapes franchies, les entreprises peuvent passer à la seconde phase de leur stratégie, qui consiste à identifier les niveaux de données sensibles en intégrant la classification des données. Ensuite, elles peuvent cibler des données spécifiques, telles que des bases de données ou des adresses IP spécifiques, à l’aide de techniques reposant sur la correspondance exacte ou l’empreinte digitale.
La protection contre la perte de données est un effort au long cours. Il est donc essentiel d’estimer dès le départ les ressources et le temps qui seront nécessaires pour qu’un tel programme atteigne le niveau requis afin de bénéficier d’une réduction significative du risque sans perturber l’expérience de l’utilisateur. Une DLP bien conduite peut être l’atout décisif permettant à une entreprise d’exploiter pleinement le potentiel du cloud avec un minimum de risques.
