Fuites de donnees : protection a petit budget

Lorsque les consultants en securite informatique parlent de protection contre les fuites de donnees, ils pensent generalement aux outils : agents DLP sur les postes de travail, courtiers de securite d'acces au cloud (CASB), passerelles de messagerie avec inspection du contenu, appliances de surveillance reseau. Le cout total atteint facilement six chiffres — avant meme d'embaucher l'equipe pour tout gerer.

La plupart des petites et moyennes entreprises regardent ce prix et concluent que la protection contre les fuites de donnees n'est pas pour elles.

Elles ont tort — mais pas de la maniere dont les editeurs de securite le souhaiteraient.

La regle des 80/20 des fuites de donnees

Les causes les plus courantes de fuites de donnees dans les PME ne sont pas des cyberattaques sophistiquees. Ce sont des defaillances operationnelles banales :

• Un employe part, et son acces n'est jamais revoque. Il peut toujours se connecter au CRM, telecharger des listes de clients et acceder a la messagerie de l'entreprise — des semaines ou des mois apres son depart.
• Un service cloud est configure en partage « toute personne disposant du lien ». Un dossier Google Drive, un espace Notion, un site SharePoint — un seul parametre de partage mal configure et vos donnees sont accessibles a quiconque tombe sur l'URL.
• Les sauvegardes ne sont pas chiffrees. Le NAS dans la salle serveur contient une copie complete de tout, et le chiffrement du disque est « inconnu » ou « non configure ».
• BYOD sans politique. Les employes accedent a la messagerie et aux fichiers de l'entreprise depuis des telephones personnels sans chiffrement, verrouillage d'ecran ni capacite d'effacement a distance. Si un telephone est perdu, toutes ces donnees partent avec lui.
• Pas d'accords de traitement des donnees. Un service tiers traite les donnees de vos clients, mais aucun DPA n'est en place. S'il gere mal les donnees, vous etes responsable — et vous ne savez meme pas quelles donnees il detient.

Aucun de ces problemes ne necessite un outil DLP pour etre resolu. Ils necessitent de la visibilite.

Ce que la visibilite signifie en pratique

La visibilite, c'est connaitre les reponses a cinq questions :

1. Quels services mon organisation utilise-t-elle ? Pas seulement ceux que le service informatique gere — tous. L'outil de gestion de projet que l'equipe marketing a souscrit. Le service de partage de fichiers que l'entrepot utilise. L'application de messagerie vers laquelle tout le monde a migre pendant le COVID.

2. Quelles donnees chaque service detient-il ? Noms et adresses de clients ? Dossiers financiers ? Donnees de sante des employes ? Business intelligence classifiee ? La sensibilite des donnees determine la gravite d'une fuite.

3. Qui peut acceder a chaque service ? Quels roles, quelles personnes ? Y a-t-il des comptes partages ? Y a-t-il des comptes inutilises depuis des mois ?

4. Quels appareils sont utilises pour acceder aux donnees ? Ordinateurs portables d'entreprise avec chiffrement du disque et MDM ? Telephones personnels sans controles de securite ? Postes de travail partages dans l'entrepot ?

5. Ou circulent les donnees ? Quels services envoient des donnees a d'autres services ? Y a-t-il des transferts transfrontaliers ? Les sauvegardes sont-elles correctement configurees ?

Transformer la visibilite en protection

Une fois que vous pouvez repondre a ces cinq questions, vous pouvez agir de maniere ciblee — sans budget d'entreprise :

Chiffrez ce qui compte

Si vous savez quels appareils accedent a des donnees sensibles, vous pouvez vous assurer que ces appareils sont chiffres. Le chiffrement du disque est gratuit sur tous les systemes d'exploitation modernes (BitLocker sur Windows, FileVault sur macOS, LUKS sur Linux). La difficulte n'est pas d'activer le chiffrement — c'est de savoir quels appareils prioriser.

Revoquez ce qui est inutile

Si vous savez qui accede a quoi, vous pouvez effectuer des revues d'acces periodiques. Supprimez les acces des employes partis. Reduisez les acces des personnes qui ont change de poste. Eliminez les comptes partages.

Les revues d'acces ne coutent pas d'argent. Elles coutent de l'attention — et cette attention n'est possible que lorsque vous avez une image claire de qui a acces a quoi.

Securisez vos sauvegardes

Si vous avez documente vos flux de sauvegarde — ou vont les sauvegardes, a quelle frequence, si elles sont chiffrees, si elles sont hors site — vous pouvez verifier la conformite avec une strategie de sauvegarde appropriee.

Une strategie de sauvegarde 3-2-1 (3 copies, 2 types de supports differents, 1 hors site) est la norme de l'industrie. Mais elle ne fonctionne que si vous l'avez effectivement documentee et verifiee.

Traitez les risques fournisseurs

Si vous avez cartographie vos services tiers, vous pouvez verifier : y a-t-il un DPA en place ? Quand expire-t-il ? Quel est le niveau de dependance au fournisseur ? Pouvez-vous exporter vos donnees ?

Un fournisseur sans DPA est un risque de fuite de donnees par definition — vous n'avez aucun controle contractuel sur ce qu'il fait de vos donnees.

Notez et priorisez

Tous les risques ne se valent pas. Un service traitant des donnees de sante de categorie particuliere, accede depuis des appareils BYOD non chiffres, represente un risque plus eleve qu'un outil de gestion de projet interne utilise par trois personnes.

La notation des risques vous permet de vous concentrer sur ce qui compte le plus. Classez chaque service par sensibilite des donnees, schemas d'acces, securite des appareils et conformite des sauvegardes. Traitez d'abord les elements a haut risque.

A quoi ressemble un vrai programme de protection contre les fuites de donnees pour une PME

1. Semaine 1 : Documentez tous les services, en utilisant des modeles pour les plus courants (Microsoft 365, Google Workspace, Salesforce, etc.).
2. Semaine 2 : Cartographiez les utilisateurs vers les services. Documentez quels roles accedent a quels systemes.
3. Semaine 3 : Evaluez les appareils. Documentez le chiffrement, le MDM, les politiques de mise a jour.
4. Semaine 4 : Documentez les elements de donnees avec les classifications, les bases juridiques et les durees de conservation.
5. Mois 2 : Cartographiez les transferts de donnees et les flux de sauvegarde. Evaluez la conformite de la strategie de sauvegarde.
6. Mois 3 : Effectuez votre premiere revue d'acces. Corrigez les lacunes evidentes.
7. En continu : Revisez trimestriellement. Mettez a jour lorsque les services, les personnes ou les donnees changent.

Cout total : votre temps plus un outil de documentation. Pas d'agents DLP, pas de CASB, pas de contrats a six chiffres.

L'outil qui rend tout cela gerable

Readmodel® est concu specifiquement pour cette approche. Il fournit plus de 200 modeles de services pour ne pas partir de zero, cartographie les flux de donnees avec un graphe interactif, note automatiquement les risques en fonction de la sensibilite des donnees et des controles de securite, verifie la conformite de la strategie de sauvegarde par rapport aux normes comme 3-2-1, evalue la posture de securite des appareils et genere des rapports d'analyse assistes par IA.

Le registre des risques vous montre exactement ou se trouvent vos risques de fuite de donnees — tries par gravite, avec des actions concretes. L'export ROPA gere la conformite au RGPD comme sous-produit.

Vous n'avez pas besoin d'un budget d'entreprise pour une protection efficace contre les fuites de donnees. Vous avez besoin de savoir ce que vous possedez. Tout le reste en decoule.