Un avis d’expert du VP Europe de Varonis, créée début 2005 par Yaki Faitelson et Ohad Korkus, experts reconnus dans le monde du stockage et du réseau. Une entreprise qui est aujourd’hui l’un des principaux fournisseurs de solutions de gouvernance de données non structurées et semi-structurées, avec plus de 4500 installations dans le monde, dans des secteurs d’activités variés.
Par Norman Girard, Vice Président Europe de Varonis
Alors que plus de 23 millions de dossiers contenants des informations personnelles identifiables (PII) ont été divulgués en 2011 (source: privacyrights.org), les entreprises doivent plus que jamais s’assurer que leurs données sensibles sont sécurisées. La récente décision de l’Union Européenne renforce la nécessité de mettre en place des solutions DLP (celle-ci prévoit, en effet, une sanction allant jusqu’à 2 % du chiffre d’affaires global en cas de fuite des données).
Dans la plupart des entreprises, il existe aujourd’hui des données sensibles surexposées à l’abus ou au vol, livrant l’informatique à une course frénétique pour endiguer la perte de données. Les IDS/IPS, reverse-proxies, pare-feux, anti-virus et autres filtres anti-spam font un bon travail de sécurisation périmétrique, mais qu’en est-il des menaces internes ? Les fuites de données causées involontairement (ou volontairement) par des utilisateurs autorisés sont désormais une menace courante. Les cabinets d’analystes tels qu’IDC estiment que les données non structurées (80 % des données d’une entreprise), vont croitre de 650% au cours des 5 prochaines années.
Face à cette telle croissance, et alors que les données n’ont jamais été autant transférées entre les réseaux, les boîtes mails, les sites SharePoint, voire les appareils mobiles, il apparait que les risques de fuite de données augmentent de manière inquiétante. En conséquence, les professionnels de la sécurité tentent souvent de limiter les risques en se tournant vers les solutions de Data Loss Prevention (DLP). Malheureusement, les entreprises constatent que ces solutions ne parviennent pas à protéger complètement les données critiques car elles ne font que traiter le problème en surface au lieu de s’attaquer à la source – les accès inappropriés ou excessifs à des informations sensibles par n’importe quel utilisateur.
La DLP seule n’est pas un remède miracle
Les solutions de DLP se concentrent principalement sur la classification des données sensibles et la prévention de leur transfert. Pour cela, une approche technologique en trois volets est utilisée:
• La protection des terminaux – cryptage des données sur les disques durs et désactivation du stockage externe des données afin d’empêcher leur transfert sur les appareils mobiles.
• La surveillance des passerelles et protocoles réseaux – analyse et filtrage des données sensibles afin d’éviter leur fuite via email, http, FTP ou tout autre protocole.
• L’analyse des serveurs – classification des contenus et identification des fichiers sensibles ayant besoin d’être protégés avant qu’ils aient une chance de s’échapper.
Cette approche fonctionne bien. Une entreprise sait ainsi à qui appartient les données sensibles et qui s’en sert. Mais une fois que les données sensibles ont été identifiées (ce qui peut prendre des mois dans une entreprise de taille moyenne), il faut répondre à plusieurs questions : « A qui appartiennent ces données sensibles? », « Qui doit y avoir accès? », et « Qui les utilise? ». Répondre à ces interrogations est nécessaire pour identifier les données sensibles prioritaires (c’est-à-dire celles en cours d’utilisation) et déterminer les procédures appropriées pour prévenir toutes pertes de données.
Les solutions existantes, principalement axées sur la protection du réseau, ont été rapidement débordées par les quantités massives d’informations qui circulent> Malheureusement, l’approche DLP basée sur les fichiers avec une classification des contenus est lourde. Sur la mise en œuvre des DLP, il n’est pas rare d’avoir des dizaines de milliers d’«alertes» sur des fichiers sensibles. C’est là le véritable défi. Sélectionnez une alerte au hasard – les fichiers sensibles en cause peuvent avoir été auto-cryptés et mis en quarantaine, mais que se passe-t-il après ? Qui dispose de l’autorité pour décider des contrôles d’accès appropriés ? Comment et pourquoi les fichiers sont-ils placés à cet endroit ?
Les solutions DLP fournissent très peu de renseignements concernant l’usage des données, les permissions et les propriétaires, rendant difficile l’assainissement durable du système informatique. L’IT ne dispose pas des informations nécessaires pour prendre les décisions utiles concernant l’utilisation et l’accessibilité des données. Même si ces informations sont disponibles, il serait difficilement envisageable pour l’IT de traiter les fichiers au cas par cas.
La réalité montre que les documents sensibles sont utilisés pour atteindre les objectifs les plus importants dans l’entreprise – la collaboration digitale est essentielle pour les entreprises en quête de croissance. Pour y parvenir, les données sensibles doivent être stockées pour permettre la collaboration tout en s’assurant que seules les personnes qualifiées puissent y accéder et ce de manière contrôlée.
Le contexte est roi
Lorsque survient un incident ou un problème de contrôle d’accès, il est nécessaire que les entreprises sachent répondre sans affecter le workflow. Il existe des solutions permettant aux propriétaires des données de prendre les décisions appropriées pour remédier rapidement à ce type de risques. Mais avant de pouvoir impliquer le propriétaire, les organisations doivent établir le contexte de l’entreprise – c’est-à-dire déterminer qui sont les propriétaires des données, qui les utilise, et qui doit ou ne doit pas y avoir accès.
Gérer et protéger les informations sensibles nécessite un processus continu et répétitif. Forrester définit cela comme la protection des informations en conformité avec le contexte d’identité (protecting information consistently with identity context (PICWIC)).
L’idée principale de PICWIC consiste à assigner les données à l’ensemble des propriétaires des informations. Lorsque, le contexte d’identité est combiné au data management, les entreprises peuvent établir des niveaux corrects d’accès, renouveler régulièrement les droits d’accès, et prendre les mesures nécessaires lorsqu’un employé change de poste ou quitte l’entreprise. En respectant la méthode PICWIC, les chances de fuites de données accidentelles sont considérablement réduites, tout en allégeant la charge de travail du service informatique.
Des DLP globales et avancées
La méthode PICWIC est très prometteuse, mais comment la mettre en œuvre et améliorer l’implémentation des solutions DLP ? La clé pour fournir le contexte nécessaire réside dans les métadonnées : collecter et analyser celles-ci de manière non intrusive, automatiser le workflow, auto-générer les rapports, et disposer d’un plan opérationnel à suivre. Avec les récents progrès en matière de métadonnées, les logiciels de gouvernance des données permettent aux entreprises d’améliorer l’implémentation des solutions DLP.
Il est non seulement possible d’automatiser le processus de reconnaissance des données sensibles, mais aussi d’identifier les informations les plus utilisées et leurs utilisateurs – c’est-à-dire fournir un contexte d’entreprise nécessaire à une DLP efficace. En collectant les métadonnées critiques de manière non intrusive et de façon continue, que ce soient les autorisations ou l’activité des utilisateurs – les logiciels de gouvernance des données offrent un niveau de compréhension impossible à atteindre avec la DLP traditionnelle. Lorsque la gouvernance des données est utilisée en conjonction avec les solutions DLP ordinaires, les données sensibles sont plus précisément identifiées et protégées.
L’intégration d’un logiciel de data gouvernance automatisé au sein d’une solution DLP ne permet pas seulement de sécuriser les données sensibles, mais augmente également l’efficacité d’une solution DLP traditionnelle. Parce que le logiciel de data gouvernance s’ajuste automatiquement à l’évolution de la structure des fichiers et aux changements des profils d’activités, les contrôles d’accès sont toujours à jour et basés sur les besoins de l’entreprise. La régulation du transfert des données entre ordinateurs portables, imprimantes et lecteurs USB permet de répondre efficacement au besoin de prévenir la fuite de données. De cette façon, les efforts visant à mieux protéger les données via le filtrage ou le cryptage peuvent être concentrés sur les seuls éléments précieux, sensibles ou fortement utilisés.
