Laurent Abric

DLP : l’outil d’aide au RGPD

L’arrivée du Règlement Général sur la Protection des Données (RGPD) est un formidable vecteur de croissance pour les outils comme le DLP.
En effet, toutes les entreprises doivent garder sous contrôle leurs données personnelles y compris celles qui sont « cachées » dans le SI. Elles doivent aussi s’assurer que seules les personnes autorisées y ont accès pour le traitement défini dans le registre des traitements.

L’objectif d’un outil Data Loss Prevention (DLP) est de limiter la fuite de données sensibles, que cette dernière soit accidentelle ou intentionnelle. Pour cela il va découvrir, contrôler et protéger les données sensibles d’une entreprise sur les postes de travail et dans les datacenters.

Toutes les actions se font en général à partir d’une console qui permet de créer des règles de détection (ou matching) de façon à protéger le Système d’Information de l’entreprise, d’avoir des tableaux de bord et des alertes. En effet, lorsqu’une règle est « matchée », un incident est créé, montrant le détail de ce que l’utilisateur a voulu sortir comme données sensibles.
Il faut trouver un équilibre sur la configuration des règles pour ne pas laisser passer de données sensibles mais, il faudra faire attention aux faux positifs, comme par exemple le numéro de Siret qui peut matcher comme une carte bancaire car utilisant tous les deux le même algorithme de contrôle (formule de Luhn).

De plus, pour avoir une protection encore plus complète, on pourra aussi interfacer le DLP avec d’autres éléments d’infrastructure de votre SI comme le Proxy sortant vers internet (https://fr.wikipedia.org/wiki/Proxy ), la passerelle de messagerie et le CASB (Cloud Access Security Broker).

Les premières étapes à réaliser dans un projet de DLP :

Premièrement, il faut définir une politique de classification des données (personnelles, business et techniques) afin d’identifier clairement ce qui est sensible et nécessitant d’être géré dans le DLP.
La classification des données devra être réalisée avec les différents métiers de l’entreprise et en général s’inscrit dans une démarche plus globale de « gouvernance de la donnée ».

Puis, la cartographie (ou le datamapping) des données peut-être réalisée, tant dans les bases de données structurées que dans les différents espace de stockage d’information (serveurs de fichiers bureautique onpremise ou cloud par exemple).
Ce Datamapping va permettre de cartographier l’emplacement réel des données et leur valeur qui pourra être rapprochée de la politique de classification.
Un plan de remédiation peut permettre de remettre à niveau les bases de données, et aussi de former les utilisateurs afin que les données personnelles ne se trouvent que dans des zones autorisées.

Finalement la mise en place des règles dans l’outil DLP peut alors commencer, en prévoyant évidemment une phase de test pour réduire les faux positifs et surtout des processus et une gouvernance de la gestion des incidents de fuite de donnée.
Dans le cas des données personnelles, la mise à jour du registre des traitements, et le passage devant les instances représentatives du personnel seront nécessaires pour la mise en place de ce type de projet.

En conclusion, un outil comme le DLP va être d’une grande aide pour réaliser cette surveillance et cette protection des données sensibles de votre entreprise, tant dans le cadre de la RGPD mais aussi pour protéger votre propriété intellectuelle ou pour respecter d’autres réglementations (Loi de Programmation Militaire, Secret / confidentiel défense…)

Pour vous aider à faire votre choix le Gartner® a publié un Magic Quadrant sur les différentes solutions du marché et nos équipes pourront aussi vous conseiller dans ce choix.
https://www.gartner.com/reviews/market/enterprise-data-loss-prevention

Articles associés

Ransomware, sont ils inéluctables?

24 mars 2020
Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]

Réseau et Sécurité, amalgame pour un échec

9 janvier 2020
Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]
Partager cet article
Derniers articles

La continuité d’activité face à la pandémie

  Le Coronavirus ou COVID-19, qui touche une grande partie des pays en ce moment, met à l’épreuve les services informatiques et les infrastructures de toutes les sociétés. Les Plans de Continuité d’Activité (PCA), quand il y en a !, sont tous testés grandeur nature actuellement, et parfois dans une situation non prévue, ou dont la […]

Ransomware, sont ils inéluctables?

Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]

Sécurisation des accès réseaux, un enjeu majeur pour les entreprises

Les entreprises d’aujourd’hui sont confrontées à une croissance exponentielle du nombre d’équipements interconnectés au sein de leurs réseaux informatiques : Téléphone IP, switches, routeurs,  PC de bureau, ordinateurs portables, photocopieurs, caméras IP, des objets IoT (l’Internet des objets), équipements de visioconférences, ainsi qu’une multitude de mode d’accès à leurs réseaux internes qu’il faudra sécuriser, allant […]

to be or not to be ?

La haute disponibilité est un enjeu important pour les infrastructures informatiques. Une étude de 2007 estime que la non-disponibilité des services informatiques peut avoir un coût de 440 000 euros de l’heure Lors de la construction d’un Datacenter, l’infrastructure est conçue en tenant compte de cet enjeu ; les architectes IT doivent pouvoir concevoir leurs […]