Laurent Abric

DLP : l’outil d’aide au RGPD

L’arrivée du Règlement Général sur la Protection des Données (RGPD) est un formidable vecteur de croissance pour les outils comme le DLP.
En effet, toutes les entreprises doivent garder sous contrôle leurs données personnelles y compris celles qui sont « cachées » dans le SI. Elles doivent aussi s’assurer que seules les personnes autorisées y ont accès pour le traitement défini dans le registre des traitements.

L’objectif d’un outil Data Loss Prevention (DLP) est de limiter la fuite de données sensibles, que cette dernière soit accidentelle ou intentionnelle. Pour cela il va découvrir, contrôler et protéger les données sensibles d’une entreprise sur les postes de travail et dans les datacenters.

Toutes les actions se font en général à partir d’une console qui permet de créer des règles de détection (ou matching) de façon à protéger le Système d’Information de l’entreprise, d’avoir des tableaux de bord et des alertes. En effet, lorsqu’une règle est « matchée », un incident est créé, montrant le détail de ce que l’utilisateur a voulu sortir comme données sensibles.
Il faut trouver un équilibre sur la configuration des règles pour ne pas laisser passer de données sensibles mais, il faudra faire attention aux faux positifs, comme par exemple le numéro de Siret qui peut matcher comme une carte bancaire car utilisant tous les deux le même algorithme de contrôle (formule de Luhn).

De plus, pour avoir une protection encore plus complète, on pourra aussi interfacer le DLP avec d’autres éléments d’infrastructure de votre SI comme le Proxy sortant vers internet (https://fr.wikipedia.org/wiki/Proxy ), la passerelle de messagerie et le CASB (Cloud Access Security Broker).

Les premières étapes à réaliser dans un projet de DLP :

Premièrement, il faut définir une politique de classification des données (personnelles, business et techniques) afin d’identifier clairement ce qui est sensible et nécessitant d’être géré dans le DLP.
La classification des données devra être réalisée avec les différents métiers de l’entreprise et en général s’inscrit dans une démarche plus globale de « gouvernance de la donnée ».

Puis, la cartographie (ou le datamapping) des données peut-être réalisée, tant dans les bases de données structurées que dans les différents espace de stockage d’information (serveurs de fichiers bureautique onpremise ou cloud par exemple).
Ce Datamapping va permettre de cartographier l’emplacement réel des données et leur valeur qui pourra être rapprochée de la politique de classification.
Un plan de remédiation peut permettre de remettre à niveau les bases de données, et aussi de former les utilisateurs afin que les données personnelles ne se trouvent que dans des zones autorisées.

Finalement la mise en place des règles dans l’outil DLP peut alors commencer, en prévoyant évidemment une phase de test pour réduire les faux positifs et surtout des processus et une gouvernance de la gestion des incidents de fuite de donnée.
Dans le cas des données personnelles, la mise à jour du registre des traitements, et le passage devant les instances représentatives du personnel seront nécessaires pour la mise en place de ce type de projet.

En conclusion, un outil comme le DLP va être d’une grande aide pour réaliser cette surveillance et cette protection des données sensibles de votre entreprise, tant dans le cadre de la RGPD mais aussi pour protéger votre propriété intellectuelle ou pour respecter d’autres réglementations (Loi de Programmation Militaire, Secret / confidentiel défense…)

Pour vous aider à faire votre choix le Gartner® a publié un Magic Quadrant sur les différentes solutions du marché et nos équipes pourront aussi vous conseiller dans ce choix.
https://www.gartner.com/reviews/market/enterprise-data-loss-prevention

Articles associés

Réseau et Sécurité, amalgame pour un échec

9 janvier 2020
Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]

DLP : l’outil d’aide au RGPD

18 décembre 2019
L’arrivée du Règlement Général sur la Protection des Données (RGPD) est un formidable vecteur de croissance pour les outils comme le DLP. En effet, toutes les entreprises doivent garder sous contrôle leurs données personnelles y compris celles qui sont « cachées » dans le SI. Elles doivent aussi s’assurer que seules les personnes autorisées y […]
Partager cet article
Derniers articles

Réseau et Sécurité, amalgame pour un échec

Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]

DLP : l’outil d’aide au RGPD

L’arrivée du Règlement Général sur la Protection des Données (RGPD) est un formidable vecteur de croissance pour les outils comme le DLP. En effet, toutes les entreprises doivent garder sous contrôle leurs données personnelles y compris celles qui sont « cachées » dans le SI. Elles doivent aussi s’assurer que seules les personnes autorisées y […]

La Gestion des mots de passe : Complexité vs Mémorisation

  Pour se connecter à votre téléphone portable, à votre ordinateur, à votre compte bancaire, à votre compte professionnel ou personnel, aux différentes plateformes de votre entreprise ou faire des achats en ligne, le mot de passe est devenu incontournable pour protéger l’accès aux données, aux systèmes d’informations et plus généralement à sécuriser les différentes […]

La reconnaissance faciale est-elle le nouveau Big Brother?

Il n’y a pas si longtemps, pouvoir identifier de manière automatique les personnes qui transitaient par une rue, les suivre, tracer leurs mouvements et dépenses à travers leurs achats, connaître leurs états d’âme, leurs origines, leur genre, relevait de la science fiction. Cette technologie qui permet tout cela aux autorités, et pas uniquement, est parmi […]