Laurent Abric

DLP : l’outil d’aide au RGPD

L’arrivée du Règlement Général sur la Protection des Données (RGPD) est un formidable vecteur de croissance pour les outils comme le DLP.
En effet, toutes les entreprises doivent garder sous contrôle leurs données personnelles y compris celles qui sont « cachées » dans le SI. Elles doivent aussi s’assurer que seules les personnes autorisées y ont accès pour le traitement défini dans le registre des traitements.

L’objectif d’un outil Data Loss Prevention (DLP) est de limiter la fuite de données sensibles, que cette dernière soit accidentelle ou intentionnelle. Pour cela il va découvrir, contrôler et protéger les données sensibles d’une entreprise sur les postes de travail et dans les datacenters.

Toutes les actions se font en général à partir d’une console qui permet de créer des règles de détection (ou matching) de façon à protéger le Système d’Information de l’entreprise, d’avoir des tableaux de bord et des alertes. En effet, lorsqu’une règle est « matchée », un incident est créé, montrant le détail de ce que l’utilisateur a voulu sortir comme données sensibles.
Il faut trouver un équilibre sur la configuration des règles pour ne pas laisser passer de données sensibles mais, il faudra faire attention aux faux positifs, comme par exemple le numéro de Siret qui peut matcher comme une carte bancaire car utilisant tous les deux le même algorithme de contrôle (formule de Luhn).

De plus, pour avoir une protection encore plus complète, on pourra aussi interfacer le DLP avec d’autres éléments d’infrastructure de votre SI comme le Proxy sortant vers internet (https://fr.wikipedia.org/wiki/Proxy ), la passerelle de messagerie et le CASB (Cloud Access Security Broker).

Les premières étapes à réaliser dans un projet de DLP :

Premièrement, il faut définir une politique de classification des données (personnelles, business et techniques) afin d’identifier clairement ce qui est sensible et nécessitant d’être géré dans le DLP.
La classification des données devra être réalisée avec les différents métiers de l’entreprise et en général s’inscrit dans une démarche plus globale de « gouvernance de la donnée ».

Puis, la cartographie (ou le datamapping) des données peut-être réalisée, tant dans les bases de données structurées que dans les différents espace de stockage d’information (serveurs de fichiers bureautique onpremise ou cloud par exemple).
Ce Datamapping va permettre de cartographier l’emplacement réel des données et leur valeur qui pourra être rapprochée de la politique de classification.
Un plan de remédiation peut permettre de remettre à niveau les bases de données, et aussi de former les utilisateurs afin que les données personnelles ne se trouvent que dans des zones autorisées.

Finalement la mise en place des règles dans l’outil DLP peut alors commencer, en prévoyant évidemment une phase de test pour réduire les faux positifs et surtout des processus et une gouvernance de la gestion des incidents de fuite de donnée.
Dans le cas des données personnelles, la mise à jour du registre des traitements, et le passage devant les instances représentatives du personnel seront nécessaires pour la mise en place de ce type de projet.

En conclusion, un outil comme le DLP va être d’une grande aide pour réaliser cette surveillance et cette protection des données sensibles de votre entreprise, tant dans le cadre de la RGPD mais aussi pour protéger votre propriété intellectuelle ou pour respecter d’autres réglementations (Loi de Programmation Militaire, Secret / confidentiel défense…)

Pour vous aider à faire votre choix le Gartner® a publié un Magic Quadrant sur les différentes solutions du marché et nos équipes pourront aussi vous conseiller dans ce choix.
https://www.gartner.com/reviews/market/enterprise-data-loss-prevention

Articles associés

Les IA font évoluer les attaques

7 février 2024
  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]

La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise.

13 décembre 2023
  Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise. Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.     FAIR: Factor Analysis of Information Risk Le standard FAIR est un modèle analytique […]
Partager cet article
Derniers articles

Le groupe iDNA soutient le Challenge de Marine

Il y a quelques mois, nous avions lancé un appel à projets auprès de nos collaborateurs. Notre jury a décidé de soutenir le projet proposé par Marine : le Défi de la Muzelle. Elle répond à nos questions :   Qui es-tu et quel est ton poste au sein du groupe iDNA ? Je m’appelle Marine, je viens […]

Portrait de Francisca, Chargée des Ressources Humaines au sein du groupe iDNA

Depuis juin 2021, Francisca occupe le poste de Chargée des Ressources Humaines au sein du groupe iDNA. Elle a accepté de nous livrer son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.   Peux-tu te présenter rapidement ? Je m’appelle Francisca, j’habite en banlieue parisienne et je suis chargée des Ressources […]

Portrait d’Aurore, Responsable des Ressources Humaines au sein du groupe iDNA

Depuis 8 ans maintenant, Aurore occupe le poste de Responsable des Ressources Humaines au sein du groupe iDNA. C’est avec un grand sourire qu’elle a accepté de répondre à nos questions. Découvrez son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.    Peux-tu te présenter rapidement ? Je m’appelle Aurore, j’ai […]

Les IA font évoluer les attaques

  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]