La perte de données sensibles est une des pires catastrophes qui puissent arriver à une entreprise. Un document partagé, volontairement ou non, avec les mauvaises personnes, une configuration inadéquate, ou une légère vulnérabilité du réseau ou d’un appareil peuvent mettre en danger les données, voire l’entreprise toute entière. Cette menace a poussé les professionnels à déployer des stratégies de prévention contre la perte de données (ou DLP, Data Loss Prevention). Avec la migration des informations sensibles du Datacenter vers le cloud, les inquiétudes en matière de perte de données se sont amplifiées.

Néanmoins, l’utilisation du cloud ne nécessite pas de réinventer le concept de prévention contre la perte de données. Le principal changement concerne l’endroit où la solution DLP réside et inspecte les flux de données.

Les traditionnelles appliances présentes à l’intérieur du Datacenter protègent les données stratégiques des entreprises dans le cadre d’une stratégie sur site bien connue. Toutes les connexions Internet d’une entreprise transitent par un seul Datacenter, où des modules de sécurité onéreux sont empilés pour filtrer le trafic réseau. Après analyse des flux de données et identification des informations sensibles que l’entreprise ne veut pas perdre, le trafic est autorisé à poursuivre son chemin vers sa destination.

Repenser la sécurité

Aujourd’hui, le cloud joue un rôle majeur au sein des entreprises. Non seulement les applications ont migré vers cette plate-forme, mais des infrastructures complètes, compatibles avec le cloud, ont aussi été créées. Cette évolution permet aux entreprises de faire face à la mobilité croissante de leurs employés, tout en bénéficiant du haut niveau d’agilité et de flexibilité dont elles ont besoin pour rester concurrentielles.

Jusqu’à quel point la mobilité des employés affecte-t-elle les entreprises aujourd’hui ? Voici un exemple fictif. Il s’agit d’une entreprise A comptant 10 000 employés répartis sur 200 sites à travers le monde. Ses employés utilisent 5 000 ordinateurs portables et 5 000 smartphones lors de leurs déplacements. Pour l’entreprise A, cela représente 10 200 points d’accès locaux potentiels à Internet ! La redirection du trafic vers le Datacenter en vue de son inspection par les appliances de sécurité qui y sont hébergées créé un goulot d’étranglement dû aux flux de données toujours plus nombreux à l’ère du cloud. Que ce soit en termes d’administration ou de performances, une solution matérielle avec des appliances est incapable de gérer correctement le volume de demandes émanant d’un nombre considérable de connexions Internet.

C’est pourquoi la solution DLP doit quitter le Datacenter, tout comme les données l’ont fait. Ce transfert vers le cloud permettra à la solution DLP de résider à l’endroit exact où elle doit être pour accéder directement aux données et aux flux de données, et empêcher ainsi la perte accidentelle d’informations confidentielles. Une solution DLP basée sur le cloud peut facilement évoluer grâce au plus haut niveau de flexibilité dont elle dispose. Elle peut gérer la vaste quantité de flux Internet et protéger les utilisateurs en déplacement qui traitent les données via des appareils mobiles.

Critères à prendre en considération lors du choix d’une solution DLP basée sur le cloud

Grâce à son évolutivité, le cloud est la réponse idéale aux exigences de la transformation numérique. Les entreprises doivent par ailleurs tenir compte des performances lors du choix d’une solution. D’autres concepts s’appuyant sur des technologies différentes pour tenter de connecter les mondes en ligne et hors ligne, comme le protocole ICAP (Internet Content Adaptation Protocol), ne produisent pas de résultats satisfaisants en raison de leur vitesse limitée.

 

De plus, la solution DLP ne doit pas être considérée isolément, mais en tant qu’élément d’un système global dans lequel tous les modules de sécurité s’intègrent les uns avec les autres en toute transparence et interagissent de manière intelligente. Une plate-forme complète et  intégrée en mode cloud offre des technologies de pointe, depuis le proxy et le pare-feu, jusqu’au sandbox, avec inspection SSL et DLP. Elle assure une protection fiable à chaque utilisateur, où qu’il se trouve. Une solution de ce type, hautement intégrée et basée sur une plate-forme, présente deux avantages pour le département informatique : les règles d’authentification des utilisateurs, de transfert du trafic et de sécurité n’ont besoin d’être définies qu’une seule fois, et les fonctions de sécurité sont gérées depuis une même console.

Lors de l’évaluation des solutions DLP, les entreprises doivent tenir compte des critères suivants :

1. Capacité à offrir un même niveau de protection à tous les utilisateurs, en réseau ou hors réseau

Le niveau de visibilité et de protection qu’une solution reposant sur une appliance au sein du Datacenter peut varier selon l’endroit d’où les utilisateurs transfèrent les données. Les utilisateurs distants peuvent facilement contourner l’inspection et présenter un risque. Pour offrir une protection complète, une solution DLP doit assurer le même niveau de sécurité à l’ensemble des utilisateurs via des règles qui les suivent partout où ils vont.

2. Inspection du trafic de données chiffré par SSL

Aujourd’hui, la majorité du trafic réseau est chiffré. En passant outre l’inspection du trafic réseau SSL, les entreprises perdent toute visibilité sur plus de 70 % de leur trafic Web. Que des utilisateurs partagent accidentellement des informations sensibles ou que des cybercriminels aient recours au chiffrement pour exfiltrer des données à l’insu de tous, la seule façon de retrouver une visibilité sur la majorité du trafic est de choisir une solution DLP dotée de fonctions d’inspection natives du trafic SSL. La question, pour les spécialistes de la sécurité, est donc de savoir s’ils peuvent se permettre de faire l’impasse sur l’inspection du trafic chiffré par SSL s’ils veulent empêcher la fuite d’informations sensibles.

L’inspection du trafic chiffré nécessite une grande puissance de traitement, que seules des solutions hautement évolutives peuvent fournir. Une solution DLP en mode cloud s’acquitte très bien de cette tâche. Lors du choix d’une solution, les entreprises doivent s’assurer qu’elle respecte les exigences de la législation européenne sur la protection des données

3. Évolutivité pour une inspection en ligne

Une solution DLP capable de gérer des volumes de trafic Web en hausse constante doit inspecter l’intégralité du trafic en ligne. Les appliances manquent rapidement de capacité d’inspection, en particulier dans le cas du trafic chiffré. Une solution basée sur le cloud peut facilement évoluer pour inspecter le trafic chiffré et prendre en charge les techniques d’inspection les plus gourmandes en ressources de calcul, comme les fonctions EDM (Exact Data Match), quel que soit le lieu de connexion des employés, ce qui permet de détecter les incidents de perte de données avec davantage de précision et d’éliminer les faux positifs. En inspectant et en bloquant le trafic en ligne, les entreprises ne se contentent plus de prendre des mesures correctives une fois les données piratées : elles font de la prévention contre la perte de données leur priorité numéro un et renforcent ainsi leur sécurité.

Une solution DLP en mode cloud joue un rôle de plus en plus important face aux exigences de la transformation numérique. Elles offrent des performances extrêmement élevées et mettent à disposition la puissance de traitement requise pour les activités numériques d’aujourd’hui, telles que l’inspection du trafic SSL. Avec l’augmentation du nombre de filiales, la prolifération des appareils mobiles et les nouveaux usages, la notion de sécurité périmétrique est devenue obsolète.

______________
Didier Guyomarc’h, Vice-President Europe du Sud, Zscaler