Dès l’ores que l’on évoque avec un dirigeant le scénario de la fuite de données, ce dernier se dit que dans ce cas de figure il a tout à perdre. Le piratage de Sony Pictures qui aura couté 30 millions de dollars au groupe en est l’exemple parlant. Les conséquences d’un vol de données peuvent s’avérer très graves, entre la perte de la propriété intellectuelle, la compromission de la réputation d’une entreprise, les pénalités dues à la non-conformité aux régulations de la protection des données, etc. Face à un tel risque, les entreprises sont de plus en plus nombreuses à s’appuyer sur une approche de protection contre la perte des données (Data Loss Prevention ou DLP) qui… est souvent avortée à défaut de compétences des entreprises de bien identifier et classifier les données véritablement critiques.

Dans un monde où le patrimoine informationnel de l’entreprise est sur le point de dépasser la valeur des infrastructures elles-mêmes, la fuite involontaire ou le vol avéré d’informations se révèlent être de véritables talons d’Achille. Entre mythe, réalité et fantasmes, le sujet de la prévention de la perte de données (DLP) suscite un intérêt croissant de la part non seulement des RSSI mais aussi des responsables des processus et de la conformité, soucieux de la préservation des données les plus stratégiques de l’entreprise.

L’approche DLP intègre l’ensemble des solutions techniques et stratégiques permettant aux entreprises de contrôler les informations partagées par leurs collaborateurs. Le Gartner prévoit que 90 % des entreprises auront déployé au moins une solution DLP d’ici 2018 . Pour être en mesure d’assurer au mieux la sécurité des données sensibles, l’adoption de ces technologies devient une nécessité… Encore faut-il commencer par la classification des données qui se trouvent au cœur de tout projet de ce type.

La classification des données stratégiques entre casse-tête technique et organisationnel

Bien que les technologies soient tout à fait indispensables pour contrer l’exfiltration des informations d’une entreprise, force est de constater qu’elles n’atteignent leur seuil d’efficacité que si les informations critiques sont correctement identifiées et renseignées dans l’outil DLP par les responsables du projet.

Cependant, il existe une contrainte d’ordre organisationnelle et de maitrise des risques. Alors qu’il est relativement simple d’identifier des informations tels qu’un numéro de carte bancaire ou de sécurité sociale en se basant notamment sur des expressions régulières répondant aux critères de régulation (PCI/DSS, Bale, PII, etc.), la classification automatisée de nombreux documents relatifs, par exemple, à la propriété intellectuelle, à la stratégie de l’entreprise ou à des éléments de négociations contractuels, est difficilement standardisable.

De plus, dans la mesure où la sensibilité de l’information continue à évoluer avec le temps, l’identification de cette typologie de données devient un véritable casse-tête organisationnel. A titre de référence, des plans de fusion-acquisition ou de restructuration seront considérés comme extrêmement sensibles avant leur réalisation mais quid de leur valeur dès lors que l’information est rendue publique ? Ou encore, comment définir le degré de criticité de l’information sachant que la sensibilité des employés à la valeur de l’information est différente selon les divisions métiers auxquelles ils appartiennent ?

Aujourd’hui, pour répondre à ces questions, beaucoup d’entreprises sont tentées de suivre une méthodologie, type ISO 27001/SMSI, permettant d’établir la classification des données d’après une étude de risque standardisée associée à leur projet de DLP. Bien qu’efficace, cette démarche est souvent chronophage et coûteuse car elle implique une étude récurrente et cyclique ainsi qu’un perpétuel suivi des changements applicables, à la fois, à la valeur de classification et aux procédures de protection qui en découlent.

Entre éducation et hygiène informatique : comment responsabiliser les utilisateurs et avec quels outils ?

Toute entreprise sait que la protection de ses données commence par la prévention de l’ensemble des acteurs concernés à la problématique de fuites et de vols de données. La plupart d’entre elles a d’ailleurs mis en place des formations visant à sensibiliser les collaborateurs et à les inciter à être vigilant quant aux informations qu’ils partagent au sein et en dehors de leur entreprise. Un autre palier peut-il être franchi par les entreprises ?

L’idéal serait notamment d’engager les collaborateurs dans une démarche de classification des documents en s’appuyant sur des solutions, telles que Titus, Boldon James, etc., qui permettent aux « data owners » de décider quelles règles, prédéfinies par l’entreprise, appliquer à leurs documents. Cette approche permettrait alors de faciliter l’implémentation du trinôme ‘Classification-Détection-Réaction’ tout en favorisant le rôle d’éducation intrinsèque à un projet de prévention de fuite d’informations.

Face au durcissement des nouvelles réglementations en matière de protection des données privées, et notamment le Règlement Européen (le GDPR – General Data Protection Regulation) qui entrera en vigueur en mai 2018, l’approche DLP tend à s’imposer comme l’un des piliers stratégiques de toute stratégie de sécurité développée par les RSSI. Or, son efficacité ne résonnera que si les entreprises prennent la pleine mesure de la nécessité d’identifier, sur le long terme et à un rythme régulier, la criticité et la valeur de leurs données. La prévention de la perte de données ne peut, comme son nom l’indique, prendre effet qu’à la condition que des mesures préventives soient appliquées. Il est du rôle de l’ensemble des parties prenantes de tout mettre en œuvre pour faciliter l’adoption de solutions adaptées et leur sensibilisation auprès des collaborateurs et partenaires pour une efficacité durable.

___________
Laurent Marechal est Data Protection Solution Specialist Europe du Sud – Intel Security