DLP : l’outil d’aide au RGPD
L’arrivée du Règlement Général sur la Protection des Données (RGPD) est un formidable vecteur de croissance pour les outils comme le DLP.
En effet, toutes les entreprises doivent garder sous contrôle leurs données personnelles y compris celles qui sont « cachées » dans le SI. Elles doivent aussi s’assurer que seules les personnes autorisées y ont accès pour le traitement défini dans le registre des traitements.
L’objectif d’un outil Data Loss Prevention (DLP) est de limiter la fuite de données sensibles, que cette dernière soit accidentelle ou intentionnelle. Pour cela il va découvrir, contrôler et protéger les données sensibles d’une entreprise sur les postes de travail et dans les datacenters.
Toutes les actions se font en général à partir d’une console qui permet de créer des règles de détection (ou matching) de façon à protéger le Système d’Information de l’entreprise, d’avoir des tableaux de bord et des alertes. En effet, lorsqu’une règle est « matchée », un incident est créé, montrant le détail de ce que l’utilisateur a voulu sortir comme données sensibles.
Il faut trouver un équilibre sur la configuration des règles pour ne pas laisser passer de données sensibles mais, il faudra faire attention aux faux positifs, comme par exemple le numéro de Siret qui peut matcher comme une carte bancaire car utilisant tous les deux le même algorithme de contrôle (formule de Luhn).
De plus, pour avoir une protection encore plus complète, on pourra aussi interfacer le DLP avec d’autres éléments d’infrastructure de votre SI comme le Proxy sortant vers internet (https://fr.wikipedia.org/wiki/Proxy ), la passerelle de messagerie et le CASB (Cloud Access Security Broker).
Les premières étapes à réaliser dans un projet de DLP :
Premièrement, il faut définir une politique de classification des données (personnelles, business et techniques) afin d’identifier clairement ce qui est sensible et nécessitant d’être géré dans le DLP.
La classification des données devra être réalisée avec les différents métiers de l’entreprise et en général s’inscrit dans une démarche plus globale de « gouvernance de la donnée ».
Puis, la cartographie (ou le datamapping) des données peut-être réalisée, tant dans les bases de données structurées que dans les différents espace de stockage d’information (serveurs de fichiers bureautique onpremise ou cloud par exemple).
Ce Datamapping va permettre de cartographier l’emplacement réel des données et leur valeur qui pourra être rapprochée de la politique de classification.
Un plan de remédiation peut permettre de remettre à niveau les bases de données, et aussi de former les utilisateurs afin que les données personnelles ne se trouvent que dans des zones autorisées.
Finalement la mise en place des règles dans l’outil DLP peut alors commencer, en prévoyant évidemment une phase de test pour réduire les faux positifs et surtout des processus et une gouvernance de la gestion des incidents de fuite de donnée.
Dans le cas des données personnelles, la mise à jour du registre des traitements, et le passage devant les instances représentatives du personnel seront nécessaires pour la mise en place de ce type de projet.
En conclusion, un outil comme le DLP va être d’une grande aide pour réaliser cette surveillance et cette protection des données sensibles de votre entreprise, tant dans le cadre de la RGPD mais aussi pour protéger votre propriété intellectuelle ou pour respecter d’autres réglementations (Loi de Programmation Militaire, Secret / confidentiel défense…)
Pour vous aider à faire votre choix le Gartner® a publié un Magic Quadrant sur les différentes solutions du marché et nos équipes pourront aussi vous conseiller dans ce choix.
https://www.gartner.com/reviews/market/enterprise-data-loss-prevention