Qu’est-ce que la prévention des pertes des données (DLP) ?

DLP est l’acronyme de Data Loss Prevention (prévention de la perte de données). Il s’agit d’une approche ou d’un ensemble de stratégies comprenant des outils ou des processus qui, lorsqu’ils sont utilisés par un administrateur réseau, permettent d’éviter que des utilisateurs non autorisés accèdent à des données sensibles, les utilisent à mauvais escient ou les perdent. Avec la DLP, les utilisateurs n’envoient pas d’informations sensibles ou critiques en dehors du réseau de l’entreprise. Les utilisateurs du réseau peuvent, de manière accidentelle ou malveillante, partager des données qui pourraient nuire à l’entreprise à laquelle appartient le réseau. Par exemple, en transférant des e-mails professionnels hors du domaine de l’entreprise ou en téléchargeant des fichiers sensibles vers un service commercial de stockage cloud tel que Dropbox. Les logiciels DLP classent et protègent les données sensibles, qu’elles soient critiques pour l’entreprise, confidentielles ou réglementées.

Raisons d’adopter la DLP

Les circonstances n’ont jamais été aussi favorables à l’adoption généralisée des logiciels DLP. Le volume de données exposées par les violations augmente d’année en année. Entre 60 et 70 % des violations de données doivent être divulguées publiquement, ce qui a d’importantes conséquences sur la réputation des entreprises touchées, et souvent sur leur situation financière. 84 % des responsables informatiques pensent que la protection des données est plus difficile à mettre en œuvre avec un personnel qui travaille à distance. Toutes les 11 secondes, une entreprise est victime d’une cyberattaque. Aux États-Unis, le coût moyen d’une violation de données est de 9,44 millions $. La DLP s’attaque à trois points sensibles de la sécurité informatique des entreprises : la protection des informations personnelles/la conformité, la protection de la propriété intellectuelle et la visibilité des données.

• Protection des informations personnelles/conformité : toute entreprise qui collecte et stocke des IIP (informations d’identification personnelle), des ISP (informations de santé protégées) ou des ICP (informations de cartes de paiement) est probablement soumise à des réglementations de conformité telles que l’HIPAA ou le RGPD. Cela signifie qu’elles doivent protéger les données sensibles de leurs clients.
• Protection des IP : si votre entreprise détient des informations personnelles (IP) de valeur, des secrets commerciaux ou même des secrets d’État, leur perte ou leur vol peut la mettre en péril. Les solutions DLP qui utilisent une classification basée sur le contexte peuvent classer les IP sous des formes structurées et non structurées. En appliquant des politiques et des contrôles, vous pouvez empêcher l’exfiltration de vos données.
• Visibilité des données : une solution DLP d’entreprise complète permet de voir et de suivre vos données sur les terminaux, les réseaux et le cloud. Vous pourrez ainsi voir comment les utilisateurs de votre entreprise interagissent avec les données.

La DLP est également utile pour la surveillance des menaces liées au personnel en interne, la sécurité des données Office 365, l’analyse du comportement des utilisateurs/entités et les menaces avancées.

Meilleures pratiques en matière de prévention des pertes de données

Lorsque vous commencez à évaluer la meilleure façon de mettre en œuvre la stratégie de prévention des pertes de données de votre entreprise, il est important de se rappeler que toutes les données ne sont pas critiques. Les entreprises n’accordent pas toutes la même priorité aux données. Quelles sont les données dont le vol serait le plus désastreux ? Concentrez votre stratégie DLP initiale sur la protection de ces données.

Classez vos données en fonction du contexte. Associez une classification à l’application source, au data store ou à l’utilisateur créateur. Les étiquettes de classification persistantes permettent aux entreprises d’échanger l’utilisation des données.

Une formation et des instructions adéquates peuvent réduire le risque de perte accidentelle de données par le personnel en interne. Les solutions DLP avancées permettent d’alerter les employés sur le fait que leur utilisation des données peut enfreindre la politique de l’entreprise ou augmenter les risques, ainsi que de contrôler les activités à risque.

Si votre personnel comprend la manière dont les données sont utilisées dans votre entreprise et que les comportements à risque sont identifiés, le déploiement de votre stratégie DLP aura plus de chance de succès. Les entreprises doivent surveiller les données en mouvement dans le cadre d’une stratégie afin d’observer ce qui arrive à leurs données les plus sensibles et de comprendre les problèmes que toute stratégie DLP devrait aborder.

Le niveau de risque varie naturellement en fonction de la destination de vos données (partenaires, clients, chaîne d’approvisionnement, etc.). Le risque est souvent le plus élevé lorsque les données sont utilisées sur des terminaux, par exemple dans un e-mail électronique ou sur un appareil de stockage amovible. Un programme DLP efficace doit tenir compte de ces risques liés aux données mobiles.

Quel est votre principal objectif en matière de protection des données ? Il ne s’agit peut-être pas d’un type de données spécifique. Protéger la propriété intellectuelle, respecter la conformité réglementaire, gagner en visibilité sur les données : tous ces objectifs se valent. Le fait d’avoir un objectif établi permet de déterminer plus facilement la manière de déployer efficacement votre solution DLP.

En matière de DLP, il est important de ne pas mettre la charrue avant les bœufs. Fixez des objectifs rapides et mesurables pour définir votre approche initiale. Vous pouvez adopter une approche par projet, c’est-à-dire réduire la portée initiale du programme pour vous concentrer sur un type de données spécifique. Par exemple, concentrez-vous sur la découverte et l’automatisation de la classification des données sensibles. Cette stratégie est préférable à un déploiement initial trop élaboré et trop ambitieux.

Lors du déploiement de votre programme DLP, définissez et surveillez les indicateurs clés de performance afin de pouvoir mesurer son efficacité et d’identifier les domaines à améliorer. Partagez ces indicateurs avec les dirigeants de votre entreprise afin de démontrer la valeur ajoutée de la DLP.

Lorsque vous déployez votre programme DLP initial, ne commettez pas l’erreur de le mettre en œuvre un département à la fois. Les pratiques DLP appliquées ponctuellement et de manière incohérente seront ignorées par les sections de l’entreprise auxquelles elles ne se rapportent pas directement, ce qui se traduira par un gaspillage de ressources.

Dans ce contexte, il est préférable d’obtenir l’adhésion des dirigeants de votre entreprise, tels que le directeur financier et le directeur général, afin d’obtenir un budget approuvé pour un programme de protection des données. Montrez-leur les avantages que peut apporter la DLP aux différentes unités opérationnelles, tels que la croissance rentable et l’utilisation efficace des ressources (la DLP éliminant le besoin de personnel supplémentaire). De cette manière, l’adoption du programme à l’échelle de l’entreprise est plus facile à défendre et à coordonner. Lorsque vous collaborez avec les responsables des unités opérationnelles pour définir les politiques DLP qui régiront les données de votre entreprise, toutes les unités opérationnelles connaîtront les politiques, la manière dont elles les ont intégrées et leur impact.