LE GUIDE DE LA PREVENTION CONTRE LA PERTE DE DONNÉES La synthèse technologique, les raisons d investir, les ressources nécessaires
Prévention contre la Perte de Données : Introduction Une protection intelligente pour votre patrimoine numérique Bien que l importance du patrimoine numérique soit reconnue depuis longtemps, il est devenu de plus en plus difficile de le protéger ces dernières années. Enfermer et cadenasser l information est impossible ; sa valeur ajoutée repose sur sa facilité d utilisation à travers toute l entreprise. De plus, une consigne de sécurité entravant un processus métier s avèrera sans doute aussi dommageable que la perte de données ellemême. A l ère de l information, «prévenir les pertes» n est plus limité à la réduction des malversations dans la supply chain, le commerce de détail ou l administration. Désormais, le savoir-faire d une entreprise se trouve surtout dans des bases de données, emails ou fichiers et non dans des caisses en cartons, entrepôts ou classeurs. Depuis les listes clients, les factures, les déclarations financières jusqu aux produits et projets d ingénierie, les organes vitaux d une entreprise résident autant dans les données électroniques, les réseaux informatiques et les ordinateurs portables que dans les bureaux, magasins, usines et affrètements. Pour relever ces challenges, une nouvelle technologie est apparue : la Prévention contre la Perte de Données (DLP). La DLP est conçue pour protéger les données en entravant l activité de l entreprise le moins possible. Elle offre une nouvelle analyse de l utilisation de l information et applique des contrôles de protection pour prévenir les incidents indésirables. Le résultat n est pas parfait car aucune technologie ne peut éradiquer la perte d informations à 100% mais combinée avec des processus de sécurité appropriés, la DLP peut réduire les risques, améliorer la gestion des données et même alléger les dépenses liées à la mise en conformité. Définir la Prévention contre la Perte de Données Les suites DLP rassemblent une multitude de technologies différentes capables de protéger l information pendant toute leur durée de vie, en impactant peu les processus métiers. Une tache accomplie en examinant le contenu et le contexte de l information, en les calquant sur la politique interne de l entreprise et en respectant celle en vigueur. L essence même de la DLP, c est d utiliser des analyses de contenu approfondies et d explorer chaque fichier et communication réseau afin d identifier l information sensible ; plutôt que de s appuyer sur des processus manuels, tels que l étiquetage, le filigrane et autres classifications humaines. En d autres termes, la DLP reconnait l information qu elle consulte (de façon limitée) et la compare avec la politique pour assurer une utilisation adaptée du contenu. En pratique, vous définissez l information que vous souhaitez localiser ou protéger, et la solution DLP va ensuite détecter son emplacement de stockage et son parcours (ordinateurs portables, clés USB ). Vous pouvez ainsi contrôler et alerter en cas d infraction ou engager toute une palette d actions protectrices. Cette définition résume les principaux modules d une solution DLP : gestion centralisée, identification et définition de l information, contrôle de son utilisation et protection contre les infractions. Une solution DLP peut gérer les emplacements de stockage, les réseaux et les ordinateurs des employés grâce à des techniques d analyses avancées. On définit la DLP comme suit : D autres outils focalisant sur une partie de ces problèmes existent (tels que les solutions ne considérant que les postes de travail) mais l achat d une suite incluant les composants essentiels est recommandé; les suites protègent mieux et sont plus économiques à long terme. Une description détaillée du fonctionnement de la DLP sera effectuée plus loin dans ce rapport mais d abord : les raisons d investir dans la DLP. Solution qui, s appuyant sur la politique interne de l entreprise, identifie, contrôle et protège l information stockée, en mouvement et traitée, à l aide d analyses de contenu approfondies. Déposé par Websense www.websense.com Securosis, L.L.C. www.securosis.com
Les raisons d investir dans la Prévention contre la Perte de Données Exemples d utilisation de la DLP Une entreprise de commerce de détail utilise une solution de DLP pour inventorier l intégralité de son entrepôt et les ordinateurs portables des employés afin d identifier les numéros de cartes de crédit non cryptés susceptibles d enfreindre les standards PCI (Payment Card Industry) en matière de sécurité de l information. Ces rapports servent d abord à éliminer le plus de données possibles et sont ensuite transmis aux auditeurs PCI pour leur mise en conformité. Résultat : un cycle de conformité plus court de trois mois et des frais d audit PCI moins élevés de 20%. La Prévention contre la Perte de Données : les cinq raisons essentielles d investir Réduction des risques : en sachant où votre information est stockée et comment elle est utilisée, vous pouvez réduire votre exposition aux fuites de données potentielles. Economie : la DLP peut engendrer une baisse des coûts liés à la gestion des données et à la sécurité. Assistance conformité : la DLP favorise la diminution des coûts associés à certaines conformités, minimise les risques d incidents dans ce domaine et facilite les audits financiers. Respect des politiques internes : de nombreuses politiques de gestion de l information sont difficiles ou impossibles à respecter dans les entreprises. La DLP endosse le respect d une utilisation des données adaptée, et pas seulement des contrôles de sécurité. La Sécurité des Données et la Gestion des Menaces: bien qu il n existe pas d outil capable de contrer toutes les menaces, la DLP s emploie à diminuer le risque de certaines e-activités malveillantes. Une institution financière utilise une suite DLP complète pour protéger les détails bancaires de leur clientèle. Ils ont relié leur système DLP à leur base de données clients prioritaires, contrôlent ainsi les communications réseaux et génèrent des alertes en cas de transmission non cryptée d une information client. Ils scannent l information stockée pour s assurer qu il n y a pas de données client dans les ordinateurs portables des employés ou sur les serveurs (sauf autorisation exceptionnelle) et bloquent le transfert de fichiers vers les stockages portables (cartes mémoires USB ). Les messageries personnelles sont tolérées (Hotmail par exemple) mais les messages sortants avec du contenu client sont stoppés. Depuis la mise en place de cette solution, 80% des données mal employées ont disparu et 2 infractions potentielles ont été évitées. Une société d ingénierie analyse tous les mouvements des projets sensibles liés à ses nouveaux produits grâce à la DLP. Les plans de ces projets sont stockés sur un serveur central contrôlé en permanence par la solution DLP, ce qui permet d identifier ces documents dès leur sortie de l organisation, qu ils soient envoyés en intégralité ou partiellement.
Comment fonctionne la DLP Une vue d ensemble Plutôt que d aborder la technologie d un composant spécifique, classons les différentes architectures de la DLP en fonction du type de protection qu elles proposent : l information en mouvement pour les emails et les autres communications réseaux, l information stockée pour les données «statiques» et l information traitée pour les données transmises d un ordinateur vers une clé USB par exemple. Derrière tout cela se trouve le serveur de gestion centralisée, où les politiques sont définies et les incidents, gérés. N oubliez pas qu il s agit de détailler ici la totalité des modules DLP disponibles. Vous ne les utiliserez sans doute pas tous et, en pratique, plusieurs d entre eux s assemblent. Les données en mouvement Quand on discute de DLP, on utilise l information en mouvement pour décrire la circulation du contenu dans nos différents réseaux (email, activité sur le web, messagerie instantanée ). Trois modules entrent alors en fonction pour contrôler et protéger cette information : Contrôleur Réseau : une appliance ou un serveur chargé de scanner votre réseau afin de localiser et de contrôler l information. En général, il s agit d un scan passif (simple surveillance des données) mais certains outils prennent action et bloque les infractions à la politique de l entreprise. La plupart des solutions DLP peuvent aussi collaborer avec les passerelles web existantes afin de stopper toute activité indésirable (dont certaines cryptées) ; un employé cherchant à transférer une liste de clients sur son site personnel par exemple. Email : l email est un peu différent des autres circulations d information. En termes de besoin de protection, c est le plus important. Et la façon dont l email fonctionne offre de Les données stockées Une des caractéristiques les plus notables d une solution DLP est sa capacité à analyser minutieusement l information stockée afin de détecter les données sensibles. Localiser dans l instant tous les emplacements de stockage des données clients, ordinateurs portables et serveurs non autorisés inclus, est une valeur ajoutée à considérer. Trois modules existent pour gérer l information stockée : 1. Scanning à Distance : la solution DLP se connecte au répertoire de stockage, de la même façon qu un utilisateur à la recherche d un ficher le ferait. Ensuite la solution scanne tous les fichiers et analyse les données sensibles. 2. Agent logiciel local : le scanning à distance utilise la bande passante du réseau et bien qu il puisse atteindre les utilisateurs n importe où, ce n est pas la meilleure méthode. Pour des répertoires de stockage important, on peut installer un agent logiciel plus efficace capable de scanner l information nombreuses options : redirection automatique d emails sensibles vers un responsable par exemple, afin d en autoriser l envoi. Agent logiciel pour poste de travail : dans chaque organisation, il y a des employés qui se connectent à l Internet depuis l extérieur, en dehors du réseau de l entreprise (à la maison ou dans des cybercafés par exemple). Un agent logiciel sur leurs ordinateurs portables peut contrôler leur activité réseau. En pratique, le contrôleur réseau et l agent logiciel pour email sont souvent associés sur le serveur de gestion centralisée mais peuvent aussi être indépendants pour les entreprises plus importantes ou décentralisées. Les agents logiciels placés sur les ordinateurs portables protègent les informations stockées et traitées. Ils ne requièrent donc pas d achat «packagé». localement pour ensuite communiquer les résultats de l analyse au serveur central. Les agents logiciels sont aussi préférables pour contrôler et protéger les fichiers des ordinateurs des employés. 3. Intégration d application : certaines entreprises utilisent des solutions de gestion de contenu telles que Microsoft SharePoint et EMC Documentum. L intégration parfaite des solutions DLP avec ces outils permet de tirer parti de leurs fonctionnalités. Tout comme on peut bloquer l activité réseau pour protéger l information, plusieurs options de mise en application des politiques sont disponibles pour l information stockée : mise en quarantaine automatique de fichiers sur un serveur protégé, élimination ou parfois encryptage de ces fichiers
Comment fonctionne la DLP L information traitée On en a déjà parlé : les agents logiciels servent à identifier, contrôler et protéger l information en mouvement et stockée sur les ordinateurs des employés. Ces agents peuvent aussi protéger l information traitée. Par exemple : des utilisateurs cherchant à déplacer des données ou fichiers sensibles vers un emplacement de stockage portable, en utilisant des applications non autorisées ou en imprimant une copie pour la maison. Les ordinateurs portables ou fixes ne sont pas aussi puissants que les serveurs et n ont pas le même usage. Il est difficile d appliquer les mêmes politiques prévention de fuite de données pour tous les postes de travail. car ils n ont pas tous les mêmes caractéristiques. Il faut alors trouver un équilibre entre le type de politique souhaitée et les limitations en termes d analyse de contenu. Quelques solutions DLP sont capables d améliorer la sécurité et la performance en appliquant des politiques plus adaptées ; si le poste de travail est sur le réseau de l entreprise ou en dehors par exemple. Gestion centralisée Le serveur de gestion centralisée est au cœur de la solution DLP ; les politiques y sont définies et le workflow, géré. C est là qu une grande partie des fonctions de contrôle et de protection sont exécutées. La solution DLP se concentre sur les problèmes métier (protéger l information sensible) et non sur les problèmes techniques (agressions contre le réseau), il est donc important pour les produits DLP d être accessibles à ces deux communautés d utilisateurs. La création de politiques ne doit pas exiger de connaissances informatiques trop poussées et la gestion d un incident doit être à portée de main d une ressource «Conformité», «Risque» ou «Ressources Humaines». Les autres caractéristiques clés sont : des rapports fiables ; une intégration avec les répertoires d utilisateurs permettant de lier les politiques internes de l entreprise à des individus et à des groupes d employés ; une gestion hiérarchique adaptée à des systèmes larges et multiples ; un standard de performance, une fiabilité et des caractéristiques de gestion communes à la majeure partie des outils de sécurité. Mieux comprendre l analyse de contenu Statistiques : les documents sont uploadés en grande quantité sur le système. La solution DLP utilise des analyses de statistiques pour identifier le nouveau contenu similaire aux sources déjà connues. Une fonction encline à favoriser les faux positifs, mais qui assure une protection automatique du nouveau contenu, à l inverse d une approche s appuyant sur la comparaison directe. Une analyse approfondie du contenu est la caractéristique principale d une solution de Prévention contre la Perte de Données. C est de cette façon qu une solution DLP identifie l information sensible, qui est ensuite comparée avec la politique interne de l entreprise pour assurer son application. Il y a deux étapes dans l analyse de contenu : la division des fichiers pour atteindre l information et l analyse. Six techniques principales d analyse de contenu sont proposées mais leur disponibilité et leur efficacité sont très inégales de produit à produit. Politiques : la solution DLP recherche l information qui correspond au modèle prédéfini, tel que la structure d une carte de crédit ou le numéro de Sécurité Sociale. Concordance partielle de document : les document sont envoyés vers la solution DLP qui recherche ensuite les parties identiques. Par exemple, la concordance partielle de document peut localiser un simple paragraphe issu d un document protégé et copié collé dans un email. Un moyen efficace de préserver la propriété intellectuelle de toute infraction. Concordance de base de données : la solution DLP se connecte à une base de données et détecte ensuite le contenu issu de cette base uniquement ; des coordonnées de clients par exemple. Le cycle de la Prévention contre la Perte de Données Toutes les caractéristiques suivantes sont liées entre elles dans le cycle de la Prévention contre la Perte de Données : 1. Définir : mettre en place une politique qui définit l information à protéger et comment la protéger. 2. Découvrir : utiliser la solution DLP pour localiser l information définie à travers toute l organisation. Déplacer et extraire l information si elle se trouve là où elle ne doit pas être. Conceptuel : le système consulte les politiques et les dictionnaires prédéfinis pour localiser le contenu ayant un thème spécifique tel que le harcèlement sexuel, la recherche d emploi ou l espionnage industriel. Catégories : des catégories sont créées pour les types de données sensibles les plus courants, rapports financiers ou informations médicales par exemple. Ces catégories sont le plus souvent mises à jour avec les réglementations en cours via une souscription. La majorité des solutions DLP autorisent la combinaison de différentes techniques d analyses en une politique unique. 3. Contrôler : surveiller l usage de l information définie stockée, en mouvement et traitée. Générer des alertes en cas d infraction. 4. Protéger : placer les emails en quarantaine, déplacer les fichiers, bloquer les copies sur les supports de stockage portables, et autres fonctions assurant l application des politiques en vigueur.
Les types de tarification et les ressources nécessaires La tarification DLP Les coûts des solutions de Prévention Contre la Perte de Données varient selon le fournisseur mais quelques tendances se détachent. La majorité des solutions DLP propose une souscription annuelle par utilisateur, assorti d un forfait basé sur la performance pour le premier tiers (matériel et logiciel). De nombreux fournisseurs de solutions DLP offrent une licence perpétuelle pour l équivalent d une souscription de 3 ans. Les frais d assistance et de maintenance sont en général calculés à hauteur de 10 à 20% de la valeur totale du contrat par année, selon le niveau d assistance désiré. Quelques fournisseurs font de la tarification par module DLP (réseau, poste de travail, localisation ) pour les organisations souhaitant mettre en place une telle solution en plusieurs phases. Tous les fournisseurs accordent des remises. Les prix pratiqués varient beaucoup et les exemples suivants sont de simples estimations dont le but est de vous donner une idée du marché. Pour une organisation moyenne de 5000 employés, le coût pour l outil de Contrôle Réseau seul est d environ 100 000 USD alors qu une suite complète (poste de travail, localisation, systèmes multiples et intégration d infrastructure) peut aller de 300 000 USD à 500 000 USD. Les plus grandes entreprises bénéficient de l habituelle remise de volume, souvent significative. Les ressources nécessaires De même que les types de tarification, les ressources nécessaires varient beaucoup en fonction de la nature et de l importance du déploiement. Déploiement Initial : les outils de contrôle réseau et de scanning à distance (pour l information stockée) sont rapides à déployer : de quelques heures à quelques jours ou semaines pour les déploiements les plus importants avec de multiples contrôleurs réseau, utilisant du 1-3 Equivalent Temps Plein (ETP). Les réseaux les plus complexes ayant des besoins d intégration plus conséquents demandent plus de temps. Les temps d installation diffèrent encore plus pour le déploiement des agents logiciels de postes de travail sur des serveurs et systèmes d employés. Ils dépendent de l infrastructure et de la gestion existantes. La solution DLP ne requiert pas plus d effort de mise en place qu un autre logiciel. Il y a peu de travail initial de configuration à effectuer ; les mises au point intervenant plus tard sur le serveur de gestion centralisée. Configuration Initiale : ceci inclus le développement de politiques initiales, de l intégration du système avec l infrastructure existante (les répertoires d utilisateurs par exemple) et le test et déploiement. Les politiques basiques peuvent être déployées en quelques jours mais il n est pas rare d effectuer les premières mises au point pendant une période allant de 3 à 6 mois (définition du workflow et des processus de gestion d incidents). Pour les organisations de taille moyenne, un seul ETP suffit pour gérer le système et développer les politiques. Des ETP à temps partiel seront en charge des incidents. Conclusion La Gestion Continue : une organisation de taille moyenne avec un déploiement basique requiert de 1-2 ETP maximum pour la gestion continue du système, la création de politiques et les incidents. Bien souvent, une personne gère le système et la création de politiques, assistée d un groupe d employés à temps partiel en charge des incidents. Ils sont en général issus des services Sécurité, Conformité, Risque, Juridique et/ ou Ressources Humaines. Pour des déploiements plus importants, la moyenne est de 25-1 ETP par 10 000 employés. Une fois encore, cela dépend du nombre et de la nature des politiques créées. Certaines organisations moyennes utilisent beaucoup moins qu un ETP. La Prévention contre la Perte de Données est un outil puissant capable de protéger votre patrimoine numérique. Une solution DLP identifie l information sensible, contrôle son utilisation et lui assure une protection efficace contre la malveillance. Les outils DLP endossent ces fonctions en contrôlant votre réseau en permanence, en scannant votre infrastructure de stockage et en localisant les données utilisées au niveau des postes de travail tels que les ordinateurs ; le tout à travers une analyse de contenu approfondie permettant de définir quelle information protéger, et comment. La DLP n est pas parfaite et ne peut contrer toutes les erreurs ou agressions mais c est un outil efficace apte à réduire les coûts liés à la conformité, les risques de perte de données et les infractions.