Etes-vous sûr de maitriser la fuite de vos données ?

Expert en cybersécurié

Etes-vous sûr de maitriser la fuite de vos données ?

29 août 2020 Uncategorized 0

Etes-vous sûr de maitriser la fuite de vos données ?

Nombre d’entreprises ont compris la nécessité – et pour certaines l’urgence – de sécuriser l’accès aux données de l’entreprise. La propriété intellectuelle, les licences, les produits sont maintenant sécurisés pour la plupart des sociétés. Est-ce cependant suffisant ? En êtes-vous sûr ?

 

Vous avez, pour certains d’entre vous, demandé un audit pour vous assurer que votre société soit dans un environnement protégé, identifié, délimité. Vous êtes conforme à RGPD, ISO27001, Bâle 2, Bâle 3, HIPAA… donc pourquoi aller plus loin ? Tout simplement parce que vos données vivent. Vos données s’échangent, se mettent à jour, s’effacent… Et là, êtes-vous sûr de les contrôler ? Avez-vous une idée précise de ce qui peut arriver à vos données ?

 

Tant que la donnée se trouve là où elle doit être, tout est aujourd’hui sous contrôle. Mais comment garantir la maîtrise et la bonne gestion de ces données ? La sécurité doit alors être repensée et élargie. Il faut penser DLP, à savoir Data Loss Prevention, ou gestion de la fuite des données, en complément de la sécurisation de leur accès.

 

Quel est l’objectif d’une solution DLP ?

 

L’objectif d’une telle solution est la maitrise de la bonne utilisation de mes données, sans pénaliser les utilisateurs, et d’être en mesure de bloquer les actions non autorisées. Ce type de solution vous donne alors une vision beaucoup plus claire de l’utilisation qui est faite de vos données. Est-ce la bonne méthode ? Les employés sont-ils sensibilisés à la bonne utilisation qu’ils doivent en faire ? Vous avez le contrôle, la vision, des écarts entre ce qui devrait être fait, et l’utilisation qu’ils en font vraiment. Vous saurez si vos données, qui sont en théorie à un emplacement précis, ne se retrouvent pas à un autre emplacement, hors de contrôle.

 

Grâce à cette vision globale des mouvements effectués sur vos données, vous pourrez identifier les comportements à risque, identifier les acteurs, les technologies, et mettre en place des solutions correctives.

 

Sans cette vision, qui pourra vous garantir que vos données ne sont pas sorties via une messagerie Gmail, une clé USB, ou une impression papier ?

 

 

Comment utiliser une DLP ?

 

Une telle solution DLP va vous proposer d’y remédier.

 

Pour cela, il faut dans un premier temps identifier vos données sensibles, vitales pour votre entreprise, comme vos coordonnées clients, vos codes source, vos contrats, les informations personnelles de vos employés , et s’assurer que non seulement les seules personnes autorisées ont bien un accès conforme à leur profil, mais qu’elles soient correctement utilisées, partagées, de façon contrôlée, et ce, de bout en bout. Il faut, enfin, préciser leur emplacement supposé de référence.

 

Il faut ensuite définir la cartographie des données, et les catégoriser, ce qui revient à identifier où sont stockées les données et savoir si leur emplacement est critique, sécurisé, ou libre d’accès. En fonction du niveau de protection de l’accès à ces emplacements, la donnée sera considérée sensible, car exposée, ou peu sensible car stockée dans l’environnement prévu à cet effet, avec les protections d’accès conformes. Une fois cette cartographie effectuée, il est nécessaire de catégoriser leur niveau de criticité, comme par exemple niveau 1 donnée peu sensible car stockée dans son environnement, ou 5 critique car exposée ou hors de son périmètre sécurisé. Tant que vos données restent là où elles doivent être, elles sont peu sensibles. En revanche, dès qu’elles sortent de leur emplacement de référence, il faut non seulement changer leur criticité, mais aussi savoir les suivre. Le but d’une telle solution est d’identifier les flux par lesquelles peuvent transiter les données, et dans ces flux identifier les champs, données, formules, données personnelles en mouvement. Ces mouvements sont-ils autorisés ? Peut-on les visualiser ?

 

C’est ce que proposent aujourd’hui les différentes solutions de gestion des fuites de données.

 

Fuite de données : quelles solutions de gestion ?

 

L’approche est la suivante :

  • On cartographie les données que l’on souhaite suivre, avec leur emplacement.
  • On surveille les flux entrants et sortants autour de ces données.
  • On surveille les mouvements considérés comme suspects, grâce aux outils de DLP.
  • On agit ensuite sur les outils qui permettent la fuite potentielle de ces données.
  • Enfin, on bloque les flux sortants de l’entreprise non autorisés.

 

La gestion des fuites de données peut se catégoriser de trois manières qui peuvent être implémentées de différentes façons :

On surveille les accès aux données dites au repos.

On surveille les flux où peuvent transiter ces mêmes données.

On sécurise les équipements matériels et logiciels en :

  • Interdisant l’envoi de pièces jointes dans des messageries autres que la messagerie de l’entreprise.
  • Interdisant l’envoi de certains fichiers contenant ces données, qui auront été identifiées, même par le biais de la messagerie officielle
  • Interdisant les copier/coller, les impressions papier, les impressions d’écran sur des applications précises ou des postes de travail identifiés, comme les portables.
  • Bloquant les ports USB
  • Chiffrant le matériel utilisé ; en cas de vol, sans la clé, l’outil de travail est inutilisable.

 

Aujourd’hui, certains clients, principalement bancaires utilisent déjà certaines fonctionnalités de telles solutions. En effet, pour certains postes sensibles comme les portables, qui peuvent être volés, copiés, piratés, en dehors de la société, dans le cadre privé, familial, les ports USB sont inutilisables en dehors du réseau de la société par des utilisateurs non référencés. Donc, la copie des données sur clé USB est impossible, tout comme l’envoi de pièces jointes sur des messageries telles que Gmail, Yahoo…il est donc impossible d’envoyer un document en pièce jointe.

 

La mise en place de certaines sécurisations

 

Aujourd’hui, plusieurs entreprises ont déjà initié certaines sécurisations, car la gestion des fuites de données peut être traitée et déployée à plusieurs niveaux, avec souplesse. Bloquer par exemple les ports USB peut être une première étape ; empêcher l’envoi d’email avec des pièces jointes en utilisant une messagerie publique peut être une continuité. Empêcher le copier/coller sur une application peut aussi être étudié de façon totalement indépendante de ce qui a déjà été fait.

 

Certains départements choisiront de bloquer les ports USB, d’autres de chiffrer le disque dur des dirigeants, pendant que certains choisiront de surveiller tous les accès des utilisateurs ayant des comptes avec des privilèges élevés sur des applications sensibles.

 

La souplesse de mise en œuvre de ce genre de solution vous permet d’aborder la gestion – et la maitrise – de vos données de façon progressive.

 

Garantir avant tout la bonne utilisation des données

 

En conclusion, gérer son S.I. ne consiste pas seulement à octroyer les bons droits aux bonnes personnes. Il faut aussi garantir la bonne utilisation qui est faite de vos données.

 

Dans un contexte RGPD, c’est un outil idéal pour identifier les données personnelles et savoir l’utilisation qui en est faite. C’est un excellent moyen de fournir les preuves comme quoi non seulement les données sont stockées là où elles doivent être, que seules les personnes habilitées ont les accès correspondants, mais aussi de fournir les preuves que toute tentative d’accès est identifiée, tracé, stockée, de façon irréfutable et non altérée. Il est alors beaucoup plus facile de sortir un état des lieux de son S.I. par le biais de rapports sur la gestion qui est faite de ses données, et donc de s’assurer de la conformité aussi bien d’un point de vue réglementaire, que d’un point de vue spécifique à l’entreprise. Les informations fournies par le biais de rapports seront ainsi utiles d’un point de vue juridique, sécurité, et conformité.

 

Pour cela, une solution de ce type peut vous aider dans ce sens. Contactez-nous. Nous vous apporterons notre expérience sur le sujet, notre retour sur ce qui est pratiqué, car notre connaissance des métiers, des contraintes techniques, concurrentielles, réglementaires font de nous des personnes ayant un vrai savoir, une vraie démarche d’entreprise.

 

Je peux vous aider à mieux comprendre, surveiller, et garantir que vos données sont bien chez vous.

J’ai une accréditation de la CNIL sur RGPD.