La prevention des pertes de donnees (DLP) est une industrie qui pese des milliards. Les organisations deploient des outils sophistiques qui surveillent le trafic reseau, analysent les e-mails a la recherche de contenu sensible, bloquent les cles USB et classifient les documents en temps reel. Pourtant, les violations de donnees continuent — et la cause premiere est rarement une regle DLP manquante.

Le vrai probleme est plus simple : la plupart des organisations ne savent pas quelles donnees elles possedent, ou elles se trouvent, qui peut y acceder et comment elles circulent entre les systemes.

Vous ne pouvez pas empecher la perte de quelque chose dont vous ignorez l'existence.

Pourquoi les implementations DLP echouent

Un deploiement DLP typique se deroule ainsi : l'equipe securite achete un outil, definit quelques politiques (bloquer les numeros de carte bancaire dans les e-mails sortants, signaler les fichiers etiquetes « Confidentiel »), et deploie des agents sur les postes de travail et les passerelles reseau.

En quelques semaines, l'outil genere des milliers d'alertes. La plupart sont des faux positifs. Les vrais risques — un NAS Synology non securise contenant des annees de contrats clients, un ancien employe accedant encore au CRM via une cle API oubliee, une sauvegarde quotidienne circulant sans chiffrement vers un service cloud dans une juridiction aux lois de protection des donnees faibles — passent inapercus parce que l'outil DLP ne les connait pas.

Les outils DLP surveillent ce qu'ils peuvent voir. Mais ils ne peuvent voir que ce que vous leur dites de chercher. Et vous ne pouvez leur dire quoi chercher que si vous savez ce que vous possedez.

Les cinq choses que vous devez documenter avant de deployer une DLP

1. Vos services

Chaque plateforme SaaS, service cloud, application sur site et outil tiers qui traite vos donnees. Pas seulement ceux que le service informatique gere — aussi ceux que les departements ont souscrits par eux-memes.

Pour chaque service, vous devez connaitre : ce qu'il fait, qui le fournit, ou les donnees sont stockees (pays), quel role joue le fournisseur (responsable de traitement vs sous-traitant), et quelle est votre strategie de sortie si vous devez partir.

2. Vos elements de donnees

Quelles categories de donnees traitez-vous ? Donnees personnelles des clients, dossiers financiers, donnees RH des employes, informations de sante, propriete intellectuelle, secrets commerciaux. Chaque element de donnees necessite une classification (degre de sensibilite), une base juridique (pourquoi vous le traitez) et une duree de conservation (combien de temps vous le conservez).

3. Vos utilisateurs et leurs acces

Qui accede a quoi ? Cartographiez chaque role utilisateur vers chaque service qu'il utilise. Cela revele les risques de concentration (une personne ayant acces a tout) et le sur-approvisionnement (des personnes ayant des acces dont elles n'ont pas besoin).

4. Vos appareils

Les ordinateurs portables, telephones, tablettes et postes de travail que vos collaborateurs utilisent pour acceder aux services. Pour chaque appareil : le disque est-il chiffre ? Y a-t-il un MDM ? Le systeme d'exploitation est-il a jour ? L'effacement a distance est-il disponible ?

Un agent DLP sur un ordinateur portable d'entreprise est inutile si les memes donnees sont accessibles depuis un telephone personnel non gere.

5. Vos transferts de donnees

Comment les donnees circulent-elles entre les services ? Integrations API, exports de fichiers, transfert d'e-mails, replication de sauvegardes, telechargements manuels. Chaque transfert est un point de fuite potentiel. Les transferts transfrontaliers ont des exigences juridiques supplementaires en vertu du RGPD.

La cartographie des donnees comme fondement de la DLP

Une fois que vous disposez de cette documentation, tout change :

  • Les politiques DLP deviennent ciblees. Au lieu de « bloquer tous les numeros de carte bancaire partout », vous pouvez dire « surveiller les transferts sortants du Service X parce qu'il traite des dossiers financiers classes comme Restreints ».
  • L'evaluation des risques devient possible. Vous pouvez noter chaque service en fonction de la sensibilite des donnees qu'il detient, des appareils qui y accedent et des transferts auxquels il participe.
  • Les revues d'acces deviennent exploitables. Vous savez qui a acces a quoi, donc vous pouvez verifier si c'est toujours pertinent.
  • La reponse aux incidents devient plus rapide. Quand quelque chose ne va pas, vous savez deja quelles donnees se trouvaient dans ce systeme et qui pouvait y acceder.
  • La conformite devient un sous-produit. L'article 30 du RGPD exige un Registre des Activites de Traitement (ROPA). Si vous avez cartographie votre paysage de donnees, le ROPA s'ecrit de lui-meme.

Le cout de l'absence de cartographie

Les organisations qui sautent la cartographie des donnees et passent directement aux outils DLP se retrouvent souvent dans l'une de ces deux situations :

  1. Fatigue des alertes. L'outil DLP genere tellement de faux positifs que l'equipe securite commence a ignorer les alertes — y compris les vraies.
  2. Fausse confiance. L'outil DLP est deploye et « fonctionne », mais il ne couvre que 30 % du paysage de donnees reel. Les 70 % restants sont invisibles et non proteges.

Ces deux situations sont pires que de n'avoir aucune DLP du tout, car elles creent l'illusion de la securite.

Une approche pratique pour les PME

Les suites DLP d'entreprise coutent six chiffres et necessitent des equipes dediees. Les petites et moyennes entreprises ont besoin d'une approche differente :

  1. Commencez par la documentation. Cartographiez vos services, utilisateurs, elements de donnees, appareils et transferts. Cela seul revele la plupart de vos risques.
  2. Notez vos risques. Utilisez la documentation pour evaluer chaque service : quel est le pire scenario si ce service est compromis ?
  3. Corrigez les lacunes evidentes. Chiffrement manquant, acces inutiles, sauvegardes non surveillees, DPA expires — tout cela ne necessite pas d'outil DLP pour etre corrige.
  4. Envisagez des controles cibles. Une fois que vous savez ou se trouvent vos donnees sensibles, vous pouvez appliquer des controles cibles : chiffrement des donnees au repos, revues d'acces pour les services a haut risque, verifications de conformite des sauvegardes pour la reprise apres sinistre.
  5. Revisez regulierement. Les paysages de donnees changent. De nouveaux services sont adoptes, des personnes arrivent et partent, des flux de donnees sont ajoutes. Faites-en un processus trimestriel, pas un projet ponctuel.

Outils pour la cartographie des donnees

Readmodel® est concu specifiquement pour cet exercice de cartographie. Il fournit plus de 200 modeles de services preconfigures, note automatiquement les risques en fonction de la sensibilite des donnees et des schemas d'acces, verifie la conformite de la strategie de sauvegarde, evalue la securite des appareils et genere des rapports lisibles par l'homme ainsi que des exports conformes au RGPD.

Les organisations qui previennent le plus efficacement les pertes de donnees ne sont pas celles qui possedent les outils DLP les plus couteux. Ce sont celles qui savent ou se trouvent leurs donnees.

La prevention des pertes de donnees commence par la cartographie des donnees. Tout le reste vient apres.