8 questions au sujet de la prévention contre la perte de données (DLP)

Transcription

1 I D C P O I N T D E V U E Eric Domage Directeur de programme, Produits et solutions de sécurité. Europe de l'ouest, IDC 8 questions au sujet de la prévention contre la perte de données (DLP) Décembre 2009 Parrainé par RSA et Microsoft Les difficultés rencontrées par les marchés financiers ces derniers mois ont soulevé de nombreuses questions sur la capacité de l'économie mondiale à rebondir. Une des craintes étant que nos économies soient profondément touchées et que cette crise s'installe dans la durée. Lors d'une crise économique, la solidité des organisations est menacée à tous les niveaux : l'approche de la recession, une concurrence agile et aggressive, des attaques informatiques plus nombreuses et sophistiquées et les risques d'utilisation innapropriée des systèmes informatiques complexifient la conduite de l'activité au quotidien. Dans cet environnement difficile, les organisations doivent renouveller sans cesse leurs mesures de protection et auncun compromis n'est possible en matière de sécurité: la continuité d'activité, la sécurité des données et la robustesse de l'infrastructure informatique étant à la base de tout redressement économique. Comment les entreprises peuvent-elles résister? Du point de vue informatique, plusieurs aspects méritent d'être protégés et consolidés. L'infrastructure informatique doit être robuste, homogène et flexible. Les applications doivent être disponibles et imperméables aux intrusions. L'accès aux informations doit être facile et strictement contrôlé. L'utilisation des ressources informatiques en réseau doit être conforme aux règlementations internes et externes. Mais avant tout, c'est l'information ou les données qui appellent une attention toute particulière car elles représentent «l'unité monétaire» de chaque organisation. En effet, les flux d'informations alimentent les activités et les unités opérationnelles de l'organisation, comme le fait la monnaie pour l'économie. Pour protéger les données les plus critiques pour l'activité d'une entreprise, de nouvelles solutions ont été développées pour sécuriser les données quel que soit leur état (en transit, stockées ou en cours d'utilisation). Ces solutions sont connues sous le nom de Data Loss Prevention (Prévention contre la perte ou la fuite de données). Ce point de Vue IDC examine à travers 8 questions clés l'approche DLP pour protéger les données sensibles dans l'environement actuel et aborde le role de RSA et Microsoft dans ce domaine et la valeur ajoutée de leur partenariat technologique.

2 1. Qu'est-ce que le DLP? DLP signifie «Data Loss Prevention» (Prévention contre la perte ou fuite de données). Le DLP permet aux entreprises de concevoir, exécuter et distribuer une politique de sécurité efficace des flux d'informations afin de garder un contrôle sur les données critiques (par ex.: propriété intellectuelle, données personnelles, données financières, code source, ). Il permet également à l'entreprise de se conformer aux politiques de sécurité internes ou réglementaires (ex : vie privée, CNIL, Bâle II, LSF et Sox,..) et de faciliter le partage d'informations en toute sécurité pour ses utilisateurs nomades munis de PCs portables ou autres périphériques mobiles. Le DLP se focalise sur la sécurisation de la donnée tout au long de son cycle de vie et s'applique donc aux données en transit (données quittant le réseau via ou trafic web), aux données en cours d'utilisation (données en cours d'impression, copie sur clés USB ou autres médias transportables ) et aux données au repos (données stockées ou archivées). Pour réussir l'objectif de protection des données sensibles, les solutions DLP accomplissent 5 missions principales : Découvrir : les informations, structurées ou non, au sein de l'écosystème informatique. Les moteurs de DLP identifient et localisent automatiquement toutes les données existantes au sein d'un écosystème informatique (des systèmes de stockage aux périphériques, des serveurs aux réseaux). Cette action de découverte permet de réaliser une cartographie exhaustive de l'implantation des données et des flux d'information entre systèmes et entre utilisateurs. Classifier : après la découverte, la classification permet d'attribuer à chaque donnée un niveau de criticité qui déterminera l'étendue des mesures de contrôle et de sécurité auxquelles la donnée sera soumise. Les niveaux de criticité sont fonction d'une politique de classification découlant d'exigences réglementaires (ex : confidentialité, transparence, contrôlabilité, responsabilité, PCI DSS, ) ou internes. L'approche DLP permet d'appliquer de manière automatique la politique de classification à toutes les données découvertes et le niveau de criticité associé à chaque donnée régira alors l'usage et la circulation de cette dernière sur l'ensemble de l'écosystème informatique. Cette classification n'est pas le fait de l'utilisateur, elle est appliquée automatiquement aux données par la solution de DLP, y compris pour les données dont la création est très ancienne. Par exemple un fichier contenant des numéros de cartes bancaires sera classé comme «très sensible» vis-à-vis d'une politique comme PCI DSS, et cette classification sera utilisée par le gestionnaire pour déclencher les actions de protection. Gérer : la gestion centralisée de la politique d'usage et circulation des données est un point central du DLP. Les outils de cette gestion centralisée permettent une vision exhaustive et un contrôle très fin des données classées qu'elles soient au repos, en cours d'utilisation ou en transit sur le réseau. Dès qu'une donnée est manipulée, son niveau de criticité (attribué lors de la classification) détermine l'application automatique des consignes de sécurité associées et répertorie toutes les opérations effectuées sur ces données. L'interaction entre les solutions de DLP et les solutions SIEM (Security Information and Event Management - Gestion des informations et événements de sécurité) fournit un contrôle avancé des opérations de sécurité et des flux d'informations critiques. Appliquer : cette étape concerne l'exécution effective des contrôles de sécurité, lorsque les données classées sont manipulées, conformément aux politiques internes et réglementaires de gestion du risque. Les données sont suivies et les contrôles appliqués sur l'ensemble du réseau et de l'infrastructure. Par exemple, les contrôles appliqués aux données au repos dans un datacenter peuvent inclure la mise en quarantaine, le déplacement, ou même des contrôles issus d'outils ERM (Enterprise Rights Management), c'est-à-dire des contrôles associés par un utilisateur à un fichier autorisant ou empêchant la lecture/la copie/ l'impression, etc. Pour les données en transit sur le réseau, les contrôles incluent le blocage, le chiffrement, etc., tandis que les contrôles sur les données en cours d'utilisation sur un poste de travail peuvent inclure le blocage de l'action, une demande de justification de l'action, ou tout simplement l'audit IDC

3 Signalement et rapports : cette action fait partie de la logique globale du contrôle élargi des flux de données. Les infractions à la politique de sécurité peuvent être signalées à l'utilisateur, au management, au responsable de la sécurité, au service informatique ou à la division de conformité juridique. Utilisé principalement à des fins éducatives, le signalement peut également être utilisé pour recueillir des traces ou preuves (par exemple les données contextuelles de l'infraction de sécurité telles que l'identité, les scénarios de connexion, le moment et le lieu où l'événement s'est produit). A ce niveau une interaction avec une solution SIEM permet d'avoir une vue unique et haut niveau sur les incidents de sécurité, leur rémédiation et gestion. Cette interaction entre DLP et SIEM facilite la corrélation en temps réel des événements de sécurité du système de données et accélère la réponse pour remédier à toute perte de données. 2. Comment est mis en œuvre le DLP? La mise en œuvre du DLP est un processus itératif en 3 étapes: Étape 1 : Découvrir et évaluer les informations, structurées ou non, quelle qu'en soit la localisation dans l'infrastructure informatique, et l'état (en cours d'utilisation sur un poste, en transit sur le réseau ou au repos dans un datacenter). Étape 2 : Créer des politiques pour détecter et protéger les informations qu'elles soient en cours d'utilisation, au repos ou en transit. IDC recommande de commencer de façon simple lors des premières étapes de mise en œuvre du DLP. Démarrer par exemple avec des modèles qui appliquent systématiquement la plupart des réglementations. On notera que les règles de confidentialité pour la vie privée de l'ue exigent une protection rigoureuse des informations personnelles identifiables (IPI). Le standard PCI-DSS lui, requiert la protection rigoureuse des informations de carte de crédit. Dans la majorité des cas de fuites accidentelles de données confidentielles, on retrouve des données personnelles et/ou des données de carte de crédit que les entreprises doivent protéger dans le cours normal de leurs activités. IDC recommande donc de commencer le projet DLP par des mesures basiques et systématiques en conformité des grandes règles, puis d'attendre la maturité du déploiement pour envisager la question de la création des politiques spécifiques. Étape 3 : Appliquer les politiques aux divers référentiels de stockage, aux passerelles réseau, aux postes et périphériques utilisateurs, en ligne et hors ligne, afin d'identifier toute violation de politique et prendre en temps réel des mesures correctives ou d'alertes pour empêcher que les données sortent de l'organisation par inadvertance. Le DLP peut être mis en œuvre pour protéger les données sensibles dans trois situations différentes. 1. Données en cours d'utilisation. Ce sont les données qui sont imprimées, sauvegardées, copiées sur USB ou d'autres supports amovibles. Dans ce contexte, les solutions DLP mettent en œuvre la surveillance des données sur les postes utilisateurs et l'application renforcée des contrôles de sécurité afin de préserver l'intégrité des informations sensibles, telles que des contrats, des conditions générales et d'autres documents métier vitaux. Contrairement aux outils ERM (Enterprise Rights management) qui gèrent les droits sur des fichiers selon les règles définies par les utilisateurs propriétaires de ces fichiers, les solutions de DLP prennent le contrôle sur le contenu lui-même pour appliquer les stratégies de sécurité. Ainsi un fichier contenant un numéro de carte de crédit sans détail sur le détenteur, la date d'expiration, etc. ne représente pas forcément un risque s'il est imprimé. Le DLP agira s'il contient le numéro de carte et les autres détails associés (même si ces détails sont répartis sur des pages différentes). Les solutions de DLP feront la corrélation entre les informations pour en déduire la sensibilité du contenu et mettront en application les contrôles nécessaires. Par ailleurs les actions déclenchées par les contrôles sont variables et granulaires et toujours en liaison avec une politique spécifique. Par exemple, 2009 IDC 3

4 les solutions de DLP peuvent restreindre la capacité à modifier ou imprimer des données financières en dehors du bureau du directeur financier, tout en autorisant l'accès y compris à des utilisateurs ne faisant pas partie du bureau. 2. Données en transit. Ce sont les données qui circulent sur le réseau et tentent de le quitter (courriers électroniques, trafic Web tel que HTTP, IM FTP, etc.). Pour ce type de données, le DLP met en œuvre la surveillance, le chiffrement, le filtrage et le blocage de contenu en partance, qu'il soit dans un courrier électronique, un message instantané, un transfert de fichier de pair à pair, une publication Web, ou d'autres types de trafic messages. Les solutions de DLP peuvent par exemple déceler un courrier électronique contenant des informations classifiées et réagir avec un contrôle spécifique (bloquer, alerter,..). 3. Données au repos. Ce sont les données situées dans les datacenter (partages de fichiers, référentiels de contenus tels que Sharepoint, Documentum, bases de données, SAN/NAS). La mise en œuvre du DLP pour les données au repos comprend la découverte, la protection et le contrôle des informations sur les serveurs, les bases de données, les postes de travail ou portables, les serveurs de fichiers/stockage, les disques et autres supports d'entreposage des données. 3. Quels sont les avantages principaux du DLP? En utilisant le DLP, les organisations peuvent contrôler de manière centralisée les flux de données et empêcher toute fuite d'information, accidentelle ou intentionnelle. Le DLP permet de renforcer les processus de sécurité grâce à ses caractéristiques suivantes : Centralisation de la politique de sécurité de toute l'infrastructure. Avec le DLP, la sécurité et la conformité des flux d'informations ne dépendent plus des utilisateurs finaux. La solution DLP découvre, classifie, applique les règles et signale de manière centralisée, sans intervention de l'utilisateur. Dans de nombreux cas, le DLP distribue la responsabilité en matière de protection des données à plusieurs niveaux de l'organisation et diverses business unit sont invitées à établir les règles et gérer leur mise en application. Tel leader commercial peut émettre et contrôler une politique d'usage des informations de remise commerciale entre les membres de son équipe. Si à un instant une des règles est violée, le DLP exécutera automatiquement le ou les contrôles prévus (blocage de l'opération et avertissement de l'utilisateur, envoi d'une alerte au manager, etc.). Gestion des menaces internes. Dans le secteur financier du Royaume-Uni par exemple, presque emplois ont été perdus en 2008/2009 à cause de la crise économique. Les entreprises et organisations se rendent compte que les licenciements à répétition ne peuvent qu'augmenter la frustration et l'inquiétude des salariés. Dans ce contexte, elles doivent faire face à la menace que constituent les employés en recherche de revanche suite à une frustration professionnelle ou personnelle. L'extension et la pénétration des outils NTIC les positionnent au rang des premiers outils de vengeance. Détruire un PC, détruire un serveur, partir avec des informations confidentielles (base de données clients ) sont malheureusement des fraudes courantes. Par leur capacité de détection, classification, contrôle et signalement des données sensibles, les solutions de DLP peuvent limiter de nombreuses incivilités informatiques aux conséquences souvent fâcheuses. Mobilité améliorée et sécurisée. Un accès distant sécurisé et disponible en permanence représente un défi majeur et un avantage concurrentiel considérable pour toute entreprise. Disposer d'utilisateurs productifs et capables de réagir avec souplesse et rapidité aux exigences du marché représente un véritable avantage. Le DLP, en sécurisant l'accès aux données et en contrôlant leur circulation améliore la sécurité globale de l'entreprise étendue, quels que soient les scénarios d'usage et de connexion des utilisateurs aux données critiques IDC

5 Conformité permanente. La fuite d'informations viole bien souvent les réglementations internes et externes. L'infraction la plus répandue est le manquement aux exigences de confidentialité des informations personnelles mais les infractions peuvent également contrevenir à d'autres réglementations par exemple PCI-DSS. Le DLP aide à identifier les informations essentielles à la conformité et met en vigueur les mécanismes de protection lors de la circulation ou l'utilisation de ces informations. L'intégration avec les solutions SIEM permet d'auditer et d'améliorer régulièrement la protection pour répondre aux changements de l'activité et pérenniser la conformité. 4. Qui peut envisager d'utiliser le DLP? Toutes les entreprises et organisations peuvent envisager d'utiliser le DLP, à divers niveaux de complexité et de mise en œuvre. Petites et moyennes entreprises (PME) : la plupart des économies modernes reposent leur dynamisme sur le tissu national des PME. La question de savoir si le DLP devrait être envisagé ne se pose quasiment pas. Dans un monde où l'information et les connaissances peuvent faire la différence pour l'attribution d'un marché, où la vie privée est protégée par la loi, où la confidentialité des affaires et la confiance entre partenaires représente un facteur de souplesse clé, le DLP offre une activité plus sûre, plus solide et plus fiable. De la découverte à la mise en oeuvre, les PME disposent avec le DLP d'une opportunité unique de passer d'une gestion basique des menaces à un contrôle amélioré des flux d'information. Le DLP n'est pas pour autant une question de vie ou de mort et IDC recommande une approche DLP par étapes. Par exemple, la réutilisation des modèles de politiques peut permettre des progrès considérables en termes de respect de la confidentialité et autres réglementations courantes. Une approche par étapes peut également favoriser la concentration sur certaines fonctionnalités de protection basiques, telles que le verrouillage des périphériques et ports, le chiffrement des fichiers et des données, et les propriétés des fichiers (possibilité de copier, d'imprimer, de transmettre). Grandes entreprises et multinationales : le DLP est un processus indispensable pour toute organisation complexe et réglementée. Les réglementations PCI-DDS et de nombreuses réglementations locales en Europe de l'ouest font valoir un contrôle transparent des flux de données au sein et en dehors des locaux de l'organisation. Dans ce contexte global, les processus DLP viennent s'ajouter au framework de sécurité afin de contrôler les flux de données selon les exigences de conformité et les autres modèles de gouvernance des risques. Dans de nombreuses entreprises, IDC a constaté des mises en œuvre partielles et fragmentaires de contrôles DLP sur des sous-ensembles d'informations - par exemple l'implémentation de contrôles de chiffrement sur un îlot spécifique de données ou bien encore l'implémentation de contrôles bloquant l'impression ou le transfert sur un autre groupe de fichiers. Ces premiers déploiements perdent souvent en efficacité par manque de centralisation des politiques, du contrôle ou des alertes. IDC estime que pour avoir un contrôle global et véritable sur les données, la connaissance et la réputation de l'entreprise, il faut que les stratégies de découverte de données, de mise en vigueur des contrôles, de surveillance et de reporting soient définies au plus haut niveau et donc centralisées. Quant à la mise en œuvre partielle et fragmentée du DLP, l'approche nécessite l'utilisation de solutions capables d'évoluer et étendre le processus DLP d'un domaine à un autre de l'entreprise de façon cohérente et avec le maximum de réutilisation des règles et contrôles. Enfin le DLP n'est pas un projet concernant seulement l'informatique, il doit impliquer les propriétaires des données et processus et les faire participer aux étapes de définition des politiques et des contrôles IDC 5

6 IDC considère également qu'en plus du contrôle de routine des flux d'information, le DLP sera l'instrument principal de contrôle lors des processus de virtualisation. En raison de la restriction des coûts, l'optimisation informatique via la virtualisation engendre de nombreux problèmes de sécurité que le DLP peut résoudre aisément. Où se situent les données critiques dans un environnement virtualisé? Les processus de découverte, classification, mise en application et reporting des données du DLP permettront de surveiller et de situer les données critiques circulant dans l'environnement virtualisé. 5. Quels sont les écueils à éviter lors de la mise en œuvre du DLP? Le DLP bénéficie d'un fort intérêt de la part des entreprises et organisations, mais les premières à l'avoir adopté ont fait face aux problèmes suivants: - La découverte des données ne s'improvise pas! La découverte de données critiques exige un niveau considérable d'analyse. Un rapport de découverte livré sous forme de tableur peut être impressionnant (y compris en raison de nombreux faux-positifs après le premier scan) et ainsi compliquer considérablement la cartographie des données critiques et de leurs points de faiblesse. Les organisations qui adoptent une approche DLP doivent savoir que le processus de découverte demande énormément de compétences et d'expérience pour produire de la valeur. Un soutien expert est nécessaire pendant cette phase afin de comprendre et de déceler les véritables enjeux. La rapidité (traiter de gros volumes) et la précision (très peu de faux positifs) de la découverte sont des aspects essentiels de la mise en œuvre globale. Ils doivent être analysés avec beaucoup de prudence et considérés comme des éléments clés lors de la sélection d'une solution de DLP. - Comment établir les politiques? Par où commencer? Les entreprises et organisations qui se sont lancées dans la création d'une série de règles complexes et la génération des politiques de protection de données, ont le plus souvent rencontré de sérieuses difficultés. En effet, les projets de DLP répondant souvent à des besoins urgents, l'établissement des politiques doit se concentrer sur les besoins les plus immédiats et être rapide et simple lors des premières étapes. On notera par exemple que la plupart des besoins immédiats se retrouvent dans les exigences courantes de conformité telles que la confidentialité de la vie privée, la protection des données financières, la protection des données personnelles RH, et la protection des processus clés. Ce sont des politiques qui peuvent aisément être mise en œuvre dans la mesure où la plupart des éditeurs de solutions DLP proposent des bibliothèques de modèles de politiques prêtes à l'emploi facilitant la conformité aux réglementations et standards en vigueur. Ces modèles contribuent également à faciliter l'adoption des technologies DLP en permettant la réutilisation plutôt que la création en partant de zéro. Il est donc recommandé de procéder aux mises au point plus avancées des politiques dans une seconde étape une fois la mise en œuvre achevée. - Quel comportement vis a vis des utilisateurs : éducation ou punition? Quelques jours après l'implémentation d'un DLP, le système de gestion DLP commence à émettre des rapports d'infraction aux politiques mises en œuvre. Les entreprises ont été confrontées à la question du mode d'utilisation de ces premiers rapports : doivent-ils servir à éduquer les utilisateurs contrevenant ou à les punir? Dans une première phase, ces rapports peuvent servir principalement à éduquer les utilisateurs en infraction et leur permettre de mettre à jour leurs pratiques. Ensuite, après une longue phase éducative, les rapports peuvent être utilisés comme preuves pour «punir» les infractions à répétition. Ils peuvent également servir au niveau juridique. Les études de cas démontrent qu'au bout de IDC

7 quelques mois après la mise en œuvre d'un DLP il s'opère une réduction significative des infractions aux politiques. L'éducation doit donc être considérée comme l'un des objectifs principaux des premières étapes de mise en œuvre d'un DLP. 6. Pourquoi RSA est-il un acteur prééminent dans le domaine du DLP? La suite RSA Data Loss Prevention est une suite intégrée de produits proposant une approche proactive de la gestion du risque associé à la perte de données. La suite DLP est constituée de trois produits Datacenter, Network et Endpoint qui découvrent et protègent les données sur l'ensemble de l'infrastructure conformément aux politiques définies et gérées de façon centralisée. La suite RSA DLP met en œuvre 5 facteurs contribuant au succès d'un DLP: Politiques et classification: RSA DLP a plus de 150 modèles de politiques prêts à l'emploi et offre la plus large couverture de politiques internationales dont IBAN, numéros de TVA, réglementations européennes et réglementations nationales réduisant considérablement le temps de mise en œuvre et d'optimisation des politiques. La gestion centralisée des politiques, les bibliothèques finement optimisées (politiques, types de contenus, classifications) et les algorithmes sophistiqués de détection, garantissent les taux de précision les plus élevés dans la découverte des données. Les avantages qui en découlent, sont : valorisation immédiate de la solution et faible coût de possession (très peu de fausses alertes, libérant le temps des équipes). Politiques et contrôles en fonction des identités: Les politiques, contrôles et réponses aux incidents tiennent compte de l'identité du propriétaire de la donnée sensible grâce à une intégration unique avec AD RMS, Windows Active Directory et les annuaires LDAP. Par exemple «le groupe x peut envoyer vers l'extérieur la donnée y», «bloquer ce fichier de sorte que seul le groupe x puisse l'ouvrir» et «notifier le manager de la personne» sont respectivement une politique, un contrôle et une réponse à un incident tenant compte des identités. La connaissance de l'identité permet d'impliquer les personnes (propriétaires de données ou département métier associé) dans la résolution de leurs incidents et ainsi proposer de meilleures réponses. Les avantages sont un risque amoindri (situations spécifiques à un groupe identifié), un faible coût de possession (implication des personnes) et moins de perturbations (réponse automatisée basée sur quoi et qui). Flexibilité du Workflow, audit et reporting des incidents: RSA DLP corrèle intelligemment les événements en incidents, envoie les alertes aux bonnes personnes au bon moment et envoie automatiquement aux destinataires les rapports planifiés. Un workflow intuitif permet de remédier aux violations de sécurité tandis que l'intégration avec RSA envision (solution SIEM) simplifie les opérations de sécurité. Les avantages sont une moindre perturbation (une information précise conduit à une meilleure réponse à un incident) et moins de ressources (moins d'effort pour gérer les incidents). Extensibilité et performance: RSA DLP gère des déploiements distribués, peut être étendu à plusieurs centaines de milliers d'utilisateurs et met en œuvre une technologie unique de Grille informatique (Grid computing) pour le scan des données. L'ensemble de ces fonctionnalités résulte sur une capacité à scanner plus rapidement et pour moins cher de très gros volumes de données à travers toute l'infrastructure, des postes utilisateurs aux datacenters. Solution Intégrée à l'infrastructure vs adjointe : RSA DLP fournit un framework de politiques commun à tous les composants et une intégration avec les fournisseurs majeurs d'infrastructure tels que Microsoft, Cisco et EMC. Ceci permet à travers une seule solution de tirer avantage de toute l'infrastructure existante et à venir de l'entreprise. Atout de cette approche intégrée couvrant toute l'infrastructure par rapport à la gestion de plusieurs outils chacun spécialiste d'un point de l'infrastructure : réduction des coûts (moins d'éléments à acheter, déployer et gérer) et réduction du risque (la solution détecte tout, n'importe où dans l'infrastructure). En plus des qualités inhérentes des produits, l'offre DLP RSA assure des liens avec la famille de produits EMC : offres de stockage, centre de données et outils de virtualisation (VMWare) IDC 7

8 Une plate-forme globale de DLP en environnement virtualisé est en cours de développement par les équipes de développement EMC-RSA-VMWare avec comme objectif d'offrir une protection homogène et efficace aux organisations. 7. Pourquoi une intégration RSA DLP et Microsoft AD RMS? Les solutions de DLP sont conçues pour gérer et contrôler les risques relatifs à l'information au niveau des points d'accès, des points d'utilisation et des passerelles réseaux. Or la prévention de la perte de données doit couvrir tous les emplacements vers lesquels l'information sensible se déplace, surtout lorsqu'elle sort et n'est plus sous le contrôle direct de l'organisation. Cette extension du processus de protection contre la perte de données nécessite l'utilisation d'outils permettant d'assurer l'application rigoureuse d'une politique qui suit les objets informationnels tels que des fichiers et documents où qu'ils aillent et quelle que soit leur utilisation. C'est précisément ce rôle que peuvent jouer les outils d'enterprise Right Management (gestion des droits numériques) en offrant un moyen d'appliquer une politique de sécurité directement à l'information tout au long de son cycle de vie, de la création, accès, partage, modification, stockage à l'expiration. Microsoft dispose dans le domaine de l'erm d'une solution phare connue sous le nom d'active Directory Right Management Services (AD RMS). AD RMS permet de préserver l'information numérique des usages non-autorisés en ligne ou hors-ligne, à l'intérieur et à l'extérieur du parefeu. Les créateurs ou détenteurs d'informations peuvent avec AD RMS attacher des propriétés d'usage en fonction des identités sélectionnées dans l'annuaire central d'entreprise (Active Directory) afin de contrôler la capacité des autres utilisateurs à lire, écrire, modifier, distribuer ou transformer vers d'autres formats (exemple : supports imprimés) des informations telles que fichiers ou documents. AD RMS réalise ceci en intégrant les contrôles d'usage directement dans les outils comme Word, Excel, les messageries, les portails collaboratifs ou autres environnements de création, accès et édition des informations. Reconnaissant la complémentarité et les synergies entre leurs solutions, RSA et Microsoft se sont associés pour aider les entreprises à réduire les risques liés à l'information sensible en intégrant leurs solutions de sécurité des données: RSA DLP et Microsoft AD RMS. Ce partenariat facilite la procédure de DLP «intégré à l'infrastructure» en permettant une découverte automatisée de toutes les données sensibles, la classification automatique de ces données et l'application de politiques de protection cohérentes et persistantes. Un cas courant d'utilisation des technologies DLP et ERM concerne la protection des données personnelles des clients. L'information personnelle clients généralement conservée pour capitaliser les opportunités futures doit être protégée de tout accès non autorisé et ne jamais perdre de vue le personnel autorisé mais en passe de changement ou de départ de l'entreprise qui pourrait chercher à exploiter cette information sensible. L'intégration des solutions RSA et Microsoft permet à RSA DLP d'invoquer AD RMS pour appliquer automatiquement une protection persistante à un fichier client et s'assurer que même une personne ayant accès à ce fichier ne pourra plus le lire ou l'ouvrir une fois qu'elle a quitté l'entreprise. Cette approche qui combine le processus d'automatisation et de centralisation des politiques de RSA DLP et la protection persistante de RMS permet de valoriser totalement les deux solutions et d'avoir une protection continue des données à l'intérieur comme à l'extérieur de l'entreprise. Au-delà de cette première étape intégrant Microsoft AD RMS dans RSA DLP, le partenariat entre les deux éditeurs s'étend vers l'intégration de la technologie de classification de RSA DLP directement dans la plate-forme de solutions Microsoft pour protéger les données sensibles sur l'ensemble de l'infrastructure. La classification des données peut ainsi être implémentée au moment même où les données sont créées dans une solution Microsoft et leur protection n'est plus uniquement entre les mains de l'utilisateur IDC

9 8. Que signifie ce partenariat pour IDC? Pour IDC, ce partenariat représente une opportunité pour les organisations de passer des postures de DLP "réactives" à des postures de DLP "proactives". Aujourd'hui la plupart des mises en œuvre de DLP ont lieu à la suite d'incidents et de crises. Ces incidents et crises résultant de fuites d'informations critiques aux yeux du public ou de la presse et portant atteinte à la réputation de l'entreprise. D'autres types de fuites ont pu conduire à des infractions réglementaires et même à des poursuites judiciaires. La découverte automatique, la classification de données et la gestion centralisée des politiques et contrôles de RSA DLP, associées à la gestion des droits numériques de Microsoft AD RMS, permettent aux clients de mettre en œuvre une protection automatique et persistante des données sensibles sur l'ensemble de l'infrastructure d'entreprise et bien au-delà de ses frontières. La définition du caractère sensible des données et l'établissement de contrôles dès la création des données au sein même de l'infrastructure permet d'anticiper plutôt que de réagir. Le partenariat permet donc de créer la valeur en inscrivant l'utilisation contrôlée de l'information dès les premières étapes du cycle de vie des données. Le DLP "intégré" (RSA DLP + AD RMS) permet de réduire les risques en faisant de l'initiative DLP un processus de protection proactif et natif sur l'infrastructure. Le partenariat aidera les entreprises à : Définir et gérer de manière centralisée et efficace les politiques de sécurité des flux de données, Identifier et classifier automatiquement les données sensibles où qu'elles soient créées, utilisées ou stockées dans l'infrastructure, Mettre en œuvre une gamme complète de contrôles de bout-en-bout (découverte-mise en vigueur-surveillance et reporting) pour protéger les données aux extrémités, sur le réseau et dans le centre de données IDC 9

10 À PROPOS DE CET ANALYSTE Eric Domage est chef de programme au sein du groupe européen de logiciels et de services d'idc, et il est responsable de la recherche et du conseil pour les produits et services de sécurité en Europe. Ses domaines de recherche spécifiques incluent l'analyse de marché, l'analyse concurrentielle, les dynamiques de marché, les activités des fournisseurs et les tendances des utilisateurs finaux. À PROPOS DE CETTE PUBLICATION Cette publication a été produite par les services Go-to-Market (approche du marché) d'idc. L'opinion, l'analyse et les résultats de recherche présentés ici sont tirés d'une recherche approfondie et d'une analyse menées indépendamment, et sont publiés par IDC, sauf dans les cas où le parrainage d'un fournisseur spécifique est précisé. Les services Go-to-Market d'idc apportent à diverses entreprises, à des fins de distribution, des contenus sous une grande diversité de formats. Une licence permettant de distribuer le contenu IDC n'implique aucune approbation de la part du détenteur de la licence ou d'opinion sur celui-ci. DROITS D'AUTEUR ET RESTRICTIONS L'utilisation de toute information IDC ou allusion à IDC dans des supports publicitaires, communiqués de presse ou matériaux promotionnels doit faire l'objet d'une approbation préalable par écrit de la part d'idc. Pour toute demande de permission, contactez la ligne d'information GMS au ou à l'adresse gms@idc.com. La traduction et/ou localisation de ce document nécessite une licence supplémentaire de la part d'idc. Pour de plus amples information à propos d'idc, consultez Pour plus d'information à propos d'idc GMS, consultez Siège social : 5 Speen Street Framingham, MA États-Unis Tél.: Fax: IDC