Aujourd’hui, pour la plupart des organisations, le réseau, dans son sens traditionnel, n’existe plus. Avec la prolifération des appareils connectés, les données ne sont plus confinées dans l’entreprise. Les préoccupations des équipes informatiques ont désormais changé et au lieu de s’inquiéter de ce qui entre sur le réseau, elles doivent désormais se concentrer sur les données elles-mêmes : où vont-elles, qui y accède et comment sont-elles utilisées. Voici les étapes clés pour bien commencer.

Identifier les données de l’entreprise

Il est primordial d’identifier les données qui nécessitent d’être protégées, les risques auxquels elles peuvent être exposées et les conséquences pour l’entreprise en cas de perte ou de fuite. Cette étape aide à définir le niveau et les moyens de protection les plus adaptés. L’étape d’identification se décline généralement en trois niveaux imbriqués. En premier lieu, on définit les critères d’identification qui peuvent se baser sur les documents et leur contenu, sur le contexte comme l’endroit où sont normalement stockés les documents ou encore sur les bases d’un processus métier. Un utilisateur membre d’une équipe de recherche et développement crée un document à partir d’une application métier particulière.

En second lieu on pourra définir les catégories ou classifications de ces données pour les rassembler selon leur importance et les conséquences de leur explosion aux risques de fuite ou de perte. Enfin on cherchera à identifier ces données au sein du système d’information pour en mesurer la quantité et la localisation. Au-delà de l’étape d’identification initiale, on assurera la possibilité de maintenir l’identification et la classification des données nouvellement créées ou manipulées. Cette étape est indispensable pour maintenir le niveau de protection dans le temps mais également pour identifier les modifications à apporter aux critères selon l’évolution des données et des usages.

Maintenir une surveillance continue

Une fois l’étape d’identification des données mise en place (même si elle n’est que partielle) il sera nécessaire d’observer en continue l’utilisation et la manipulation des données. En effet, Les attaques avancées n’ont généralement pas lieu à un moment précis et ne peuvent donc être détectée que part une observation permanente de la situation sur les terminaux de l’entreprise. Pour protéger ses données efficacement, l’entreprise doit surveiller, identifier et classifier les données au fur et à mesure de leur création ou de leur modification, de façon cohérente et continue. Une surveillance constante des données démontre le sérieux accordé à la protection des données. Celle-ci n’est pas une tâche ponctuelle, il s’agit d’un travail au long court.

Bien mettre en œuvre la DLP

La prévention de la perte de données (DLP) est un point crucial d’une politique de sécurité axée sur les données. Mais une mise en œuvre efficace de la DLP nécessite une participation active à chaque niveau de l’entreprise. Il ne s’agit pas d’une plateforme que l’on configure et que l’on oublie. Pour être efficace, la DLP nécessite la compréhension contextuelle de trois facteurs : quelles actions peuvent être effectuées sur les données, par qui et dans quelles circonstances. Au fur et à mesure que de nouvelles données se créent  que des collaborateurs arrivent ou partent, les politiques devront être adaptées et mises à jour. La DLP est un processus continu de compréhension des données, des utilisateurs et de leurs comportements, des systèmes et des applications qui interagissent avec ces données pour mieux les protéger.

Au delà du risque interne

Les solutions de DLP classiques se concentrent uniquement sur les actions effectuées par les collaborateurs. Ces solutions ne portent pas attention aux risques d’attaques externes qui ciblent les données sensibles. Les attaquants cherchent à acquérir les droits d’un utilisateur à privilège pour dérouler leur attaque. Sans connaissance approfondie des comportements inhabituels des utilisateurs et en particulier des utilisateurs à hauts privilèges, les solutions DLP sont inefficaces à détecter les menaces externes. Il est essentiel que l’équipe informatique puisse voir, comprendre et arrêter les menaces externes lorsqu’elles se produisent.

Une protection efficace des données implique donc que les organisations disposent d’un moyen d’identifier et de comprendre aussi vite que possible l’origine d’une attaque pour l’empêcher d’évoluer jusqu’à devenir un véritable problème. Mais cette détection et contre mesure doit aussi pouvoir se faire en fonction du type de données concernées. Chose que les outils dédiés comme les HIPS (host-based intrusion prevention system) ou les solutions EDR (Endpoint Detection and response) ne sont pas en mesure de faire. L’idéal est donc de disposer d’une solution unique capable d’identifier les données, les comportements utilisateurs et les attaques.

À l’ère de la transformation numérique, la voie à suivre consiste sans aucun doute à oublier la classique protection des données sensibles à partir de solutions réseaux. Le périmètre étant désormais une entité sans frontières, les équipes informatiques doivent se concentrer sur la protection des données, là où elles se trouvent, où elles se déplacent et surtout où elles sont réellement utilisées et manipulées ; à savoir les postes des collaborateurs. Grâce à la combinaison de méthodes d’identification efficaces et de moyen de suivi en continu des comportements utilisateurs mais également des signes d’une potentielle attaque externe les organisations peuvent garantir, à tout moment, une meilleure protection des données

 

_____________
Vincent Dely est Solutions Architect chez Digital Guardian