Toute organisation, indépendamment de sa taille ou de son secteur d’activité, a besoin d’une stratégie de prévention des pertes de données (DLP) afin d’éviter que des données ne soient consultées ou supprimées à mauvais escient. Cette stratégie doit se concentrer sur la protection des données précieuses, sensibles ou réglementées, par exemple les dossiers médicaux, les données financières et la propriété intellectuelle. La DLP implique généralement à la fois des technologies et des politiques. Les techniques les plus courantes consistent par exemple à configurer les postes de travail des utilisateurs de manière à bloquer l’utilisation de périphériques USB et à mettre en place des politiques formelles concernant le partage de données confidentielles par courrier électronique.
Pour une protection plus complète, de nombreuses organisations déploient un système de prévention des pertes de données, qui peut les aider à :
- Contrôler les droits d’accès aux ressources d’information
- Surveiller les activités réussies et échouées sur les postes de travail, les serveurs et les réseaux, et notamment qui lit ou copie quels fichiers ou qui prend des captures d’écran
- Auditer les flux d’informations à l’intérieur et à l’extérieur de l’organisation, y compris ceux qui émanent de sites distants via des ordinateurs portables et autres appareils mobiles
- Contrôler le nombre de canaux de transfert d’information (par exemple, l’utilisation de clés USB et d’applications de messagerie instantanée), notamment en interceptant et en bloquant les flux de données sortants
Créer une politique de prévention des pertes de données
Pour créer votre politique de prévention des pertes de données, commencez par déterminer le niveau de protection requis. Par exemple, votre objectif est-il de repérer les tentatives d’accès non autorisées ou de surveiller toutes les actions des utilisateurs ?
Paramètres de base
Voici les paramètres de base à définir :
- Quelles données organisationnelles doivent être protégées. Identifiez exactement les contenus à protéger. Par exemple, les numéros de sécurité sociale, les informations relatives aux cartes de paiement, les secrets commerciaux, les plans, les données financières et les informations à caractère personnel (IIP). Vérifiez si votre organisation est soumise à une politique de conformité ; si c’est le cas, vous devez protéger toutes les données décrites dans le modèle de politique.
- Où se trouvent ces données. Pour protéger les données, vous devez identifier tous les emplacements où elles peuvent résider, y compris les lecteurs de réseau partagés, les bases de données, les systèmes de stockage Cloud, les e-mails, les applications de messagerie instantanée et les disques durs. Si les employés peuvent utiliser leurs propres appareils pour accéder à votre environnement informatique, les données contenues dans ces appareils doivent également être protégées.
- Conditions d’accès aux différents types de données. Différents types de données requièrent différents niveaux de protection. Par exemple, les organisations partagent librement certaines données avec le public, tandis que d’autres données sont confidentielles et ne doivent être accessibles qu’à un nombre restreint de personnes. Les étiquettes et filigranes numériques vous permettent de définir l’accès qui convient à chaque donnée.
- Mesures à prendre en cas de menace pour la sécurité de l’information. Précisez les mesures à prendre lorsque des activités suspectes sont détectées et qui est responsable de chacune de ces mesures. Gardez à l’esprit que les solutions DLP peuvent souvent réagir automatiquement, par exemple en bloquant une opération ou en envoyant une notification au service de sécurité.
- Quelles informations faut-il archiver, et quand. Votre politique DLP doit détailler les règles d’archivage des données, notamment la piste d’audit et les informations concernant les incidents de sécurité informatique. Protégez votre système d’archivage à la fois contre les agresseurs externes et les menaces internes, par exemple un administrateur système susceptible de modifier des documents d’activité dans le système d’archivage.
- Menaces. Votre politique doit envisager les scénarios de fuites possibles et évaluer à la fois la probabilité qu’elles se produisent et les dommages qui pourraient en résulter.
État des données
Lorsque vous élaborez votre politique, prenez en compte les données sous toutes leurs formes :
- Données au repos – Informations stockées dans des bases de données, des référentiels Cloud, des ordinateurs, des portables, des appareils mobiles, etc.
- Données en transit – Données transmises entre des parties (par exemple, lors d’opérations de paiement)
- Données en cours d’utilisation – Données avec lesquelles les utilisateurs travaillent activement et qu’ils sont susceptibles de modifier
Exploitez ces connaissances pour définir les flux de données au sein de votre organisation et les voies de transmission autorisées pour les différents types de documents. Créez des règles qui précisent les conditions de traitement, de modification, de copie, d’impression et de toute autre utilisation de ces données. Incluez les processus métier exécutés dans les applications et programmes qui accèdent à des données confidentielles.
Questions juridiques et connexes
Évaluez bien les ramifications juridiques potentielles de votre politique DLP. Notamment, l’enregistrement vidéo des actions des employés peut être considéré comme une violation de leurs droits constitutionnels, et les fausses alertes de votre système DLP peuvent générer des conflits avec les employés dont les actions légitimes sont signalées comme suspectes. Pour répondre à ces préoccupations, les options peuvent inclure la modification des contrats de travail et la formation des employés aux politiques de sécurité.
Comment fonctionnent les solutions DLP
Une fois que vous avez créé votre politique DLP sur papier, concentrez-vous sur la configuration des politiques appropriées dans votre système DLP. Généralement, un système DLP comporte un ensemble de règles spécifiques qui sont strictement appliquées par le programme. Chaque règle comprend une condition et les mesures à prendre lorsque cette condition est remplie. Les règles sont classées par priorité, et le programme les traite dans cet ordre. Certaines solutions comprennent des technologies d’apprentissage automatique qui créent ou améliorent des règles.
Le processus peut par exemple se dérouler comme suit :
- Une règle identifie un incident (par exemple, un utilisateur qui tente d’envoyer des informations sensibles via une messagerie instantanée).
- La solution bloque l’envoi du message.
- La solution génère un rapport contenant les détails de l’incident, y compris l’utilisateur concerné, et l’envoie à une adresse e-mail spécifique (par exemple au responsable de la sécurité informatique) ou le stocke dans un partage spécifique, comme spécifié dans votre politique DLP.
Techniques de détection
La fonctionnalité principale d’un système DLP est la détection d’informations confidentielles dans un flux de données. Différents systèmes emploient différentes méthodes, parmi lesquelles :
- Créer des empreintes pour les informations protégées
- Apposer des étiquettes aux informations
- Rechercher certains mots clés et expressions régulières que l’on trouve souvent dans divers types de documents sensibles (par exemple, dans les contrats ou les états financiers)
- Utiliser l’analyse de texte
La précision est bien sûr essentielle. Faux négatifs – incapacité à repérer des informations effectivement sensibles ; ils peuvent conduire à des fuites non détectées. Faux positifs – déclenchements d’alertes relativement à des données qui ne sont pas réellement sensibles ; ils gaspillent les ressources de l’équipe de sécurité et conduisent à des conflits avec des utilisateurs accusés à tort d’avoir un comportement inapproprié. Vous devez donc rechercher une solution DLP qui minimise à la fois les faux négatifs et les faux positifs.
Bonnes pratiques de prévention des pertes de données
Les techniques de prévention des pertes de données (DLP) et d’audit doivent servir à appliquer en permanence les politiques d’utilisation des données. L’objectif est de savoir comment les données sont réellement utilisées, quelle est leur destination ou leur emplacement, et si cela satisfait ou non la politique de conformité, comme le RGPD. Lorsqu’un événement suspect est détecté, des notifications doivent être envoyées en temps réel aux administrateurs afin qu’ils puissent mener une enquête. Les contrevenants doivent subir les conséquences définies dans la politique de sécurité des données.
Les bonnes pratiques de prévention des pertes de données suivantes vous aideront à protéger vos données sensibles contre les menaces internes et externes :
1. Identifiez et classez vos données sensibles
Pour protéger efficacement vos données, vous devez savoir exactement quels types de données vous possédez. La technologie de découverte des données analyse vos dépôts de données et rend compte des résultats, ce qui vous donne une visibilité sur les contenus que vous devez protéger. Pour leurs recherches, les moteurs de découverte de données s’appuient généralement sur des expressions régulières ; ils sont très souples mais assez compliqués à créer et à régler.
La technologie de découverte et de classification des données vous permet de contrôler l’accès des utilisateurs aux données et d’éviter de stocker des données sensibles dans des endroits non sécurisés. Vous réduisez ainsi les risques de fuites et de pertes de données. Toutes les données critiques ou sensibles doivent être clairement étiquetées avec une signature numérique qui indique leur classification, ce qui vous permettra de les protéger en fonction de leur valeur pour l’organisation. Des outils tiers comme Netwrix Data Classification facilitent la découverte et la classification des données et améliorent leur précision.
La classification peut être mise à jour au fur et à mesure que les données sont créées, modifiées, stockées ou transmises. Cependant, des contrôles doivent être mis en place pour empêcher les utilisateurs de falsifier les niveaux de classification. Par exemple, seuls les utilisateurs privilégiés devraient pouvoir abaisser la classification de données.
Pour créer une politique efficace de classification des données, respectez les directives suivantes. Et pensez à effectuer une découverte et une classification des données dans le cadre de votre processus d’évaluation des risques informatiques.
Listes de contrôle d’accès
Une liste de contrôle d’accès (ACL) spécifie qui peut accéder à quelle ressource et à quel niveau. Il peut s’agir d’une composante interne d’un système d’exploitation ou d’une application. Une application personnalisée peut, par exemple, comporter une liste de contrôle d’accès qui indique quels utilisateurs disposent de quelles autorisations dans tel système.
Les listes de contrôle d’accès peuvent être des listes blanches ou des listes noires. Une liste blanche est une liste d’éléments autorisés, par exemple une liste de sites Web que les utilisateurs sont autorisés à visiter en utilisant les ordinateurs de l’entreprise ou une liste de solutions logicielles tierces dont l’installation sur les ordinateurs de l’entreprise est autorisée. Les listes noires contiennent des choses interdites, par exemple des sites Web spécifiques que les employés ne sont pas autorisés à visiter ou des logiciels qu’il est interdit d’installer sur les ordinateurs clients.
Les listes blanches de contrôle d’accès sont plus couramment utilisées, et elles sont configurées au niveau du système de fichiers. Par exemple, dans Microsoft Windows, vous pouvez configurer les autorisations NTFS et créer des listes de contrôle d’accès NTFS à partir de celles-ci. Vous trouverez plus d’informations sur la manière de configurer correctement les autorisations NTFS dans cette liste des bonnes pratiques de gestion des autorisations NTFS. Rappelez-vous que des contrôles d’accès doivent être appliqués dans chaque application qui dispose d’un contrôle d’accès basé sur les rôles (RBAC) ; les groupes et la délégation Active Directory en sont des exemples.
2. Chiffrez les données.
Toutes les données critiques doivent être chiffrées lorsqu’elles sont au repos ou en transit. Les appareils portables doivent utiliser des solutions de chiffrement des disques si ces derniers sont susceptibles de contenir des données importantes.
Le chiffrement des disques durs des ordinateurs et des portables empêche la perte d’informations critiques même si des attaques accèdent à l’appareil. Le moyen le plus simple de chiffrer les données de vos systèmes Windows est la technologie EFS (Encrypting File System). Lorsqu’un utilisateur autorisé ouvre un fichier chiffré, EFS déchiffre le fichier en arrière-plan et fournit une copie non chiffrée à l’application. Les utilisateurs autorisés peuvent consulter ou modifier le fichier, et EFS enregistre les modifications de manière transparente sous forme de données chiffrées. Mais les utilisateurs non autorisés ne peuvent pas voir le contenu d’un fichier même s’ils ont un accès complet à l’appareil ; ils reçoivent un message d’erreur « Accès refusé », ce qui empêche toute violation des données.
Microsoft propose une autre technologie de chiffrement : BitLocker. BitLocker complète EFS en apportant une couche de protection supplémentaire pour les données stockées sur les appareils Windows. BitLocker protège les périphériques d’extrémité perdus ou volés contre le vol ou l’exposition des données, et il supprime de manière sécurisée les données lorsque vous mettez un périphérique hors service.
Chiffrement matériel
En plus du chiffrement logiciel, un chiffrement matériel peut être appliqué. Dans les paramètres avancés de certains menus de configuration du BIOS, vous pouvez choisir d’activer ou de désactiver un module de plateforme sécurisée (Trusted Platform Module, TPM), c’est-à-dire une puce qui peut stocker des clés de chiffrement, des mots de passe ou des certificats. Un TPM permet de générer des clés de hachage et de protéger des appareils autres que les PC, par exemple des smartphones. Il peut générer des valeurs utilisées avec le chiffrement de disques entiers, comme BitLocker. Une puce TPM peut être installée sur la carte mère.
3. Renforcez vos systèmes.
Tout emplacement où peuvent résider, même temporairement, des données sensibles doit être sécurisé en fonction des types d’informations auxquelles le système peut potentiellement accéder. Cela comprend tous les systèmes externes qui peuvent obtenir un accès au réseau interne via une connexion distante avec des privilèges conséquents, car la sécurité d’un réseau dépend du maillon le plus faible. Toutefois, il est important de tenir compte de la facilité d’utilisation et de trouver un équilibre adéquat entre fonctionnalité et sécurité.
Établissement d’une base de référence pour le système d’exploitation
La première chose à faire pour sécuriser vos systèmes est de s’assurer que la configuration du système d’exploitation est aussi sûre que possible. La plupart des systèmes d’exploitation sont d’origine assortis de services inutiles qui offrent aux attaquants des opportunités supplémentaires de méfaits. Les seuls programmes et services d’écoute qui doivent être activés sont ceux qui sont essentiels au travail de vos employés. Si quelque chose n’a pas d’utilité professionnelle, cela doit être désactivé. Il peut être intéressant de créer une image de référence sûre du système d’exploitation, qui sera utilisée par les utilisateurs lambda. Si quelqu’un a besoin de fonctionnalités supplémentaires, activez ces services ou programmes au cas par cas. Les systèmes d’exploitation Windows et Linux peuvent chacun avoir leur propre configuration de référence.
4. Adoptez une stratégie rigoureuse de gestion des correctifs.
Il est essentiel pour la protection des données et la cybersécurité de veiller à ce que tous les systèmes d’exploitation et les applications de votre environnement informatique soient à jour. Si certaines choses, comme les mises à jour des signatures des antivirus, peuvent être automatisées, les correctifs des infrastructures critiques doivent être testés minutieusement afin de vérifier qu’aucune fonctionnalité n’est compromise et qu’aucune vulnérabilité n’est introduite dans le système.
5. Attribuez des rôles.
Définissez clairement le rôle de chaque personne impliquée dans la stratégie de prévention des pertes de données. Spécifiez qui est propriétaire de quelles données, quels responsables de la sécurité informatique sont chargés de quels aspects des enquêtes sur les incidents de sécurité, etc.
6. Automatisez le plus possible.
Plus les processus DLP sont automatisés, mieux vous pourrez les déployer dans toute l’organisation. Les processus DLP manuels ont une portée intrinsèquement limitée et ne peuvent convenir qu’aux besoins des environnements informatiques les plus petits.
7. Utilisez la détection des anomalies.
Pour identifier les comportements anormaux des utilisateurs, certaines solutions DLP modernes complètent l’analyse statistique simple et les règles de corrélation par l’apprentissage automatique et l’analyse comportementale. En générant un modèle du comportement normal de chaque utilisateur et groupe d’utilisateurs, vous pouvez détecter plus précisément les activités suspectes qui peuvent entraîner des fuites de données.
8. Sensibilisez les parties prenantes.
Une politique DLP ne suffit pas. Investissez dans la sensibilisation des parties prenantes et des utilisateurs des données à la politique, à son importance et à ce qu’ils doivent faire pour protéger les données de l’organisation.
9. Établissez des critères d’évaluation.
Mesurez l’efficacité de votre stratégie DLP à l’aide de critères tels que le pourcentage de faux positifs, le nombre d’incidents et le délai moyen de réaction aux incidents.
10. N’enregistrez pas de données inutiles.
Une organisation ne doit stocker que les informations qui lui sont essentielles. Les données que vous ne stockez pas ne peuvent pas disparaître.