La perte de données peut être dévastatrice, entraînant des revers financiers, des problèmes juridiques et une mauvaise réputation. La lutte contre les menaces commence par une politique de prévention des pertes de données bien conçue, mais le succès exige des mises à jour et une pratique soutenue au sein de la politique.
Une politique DLP est un ensemble de processus, de procédures et d’outils destinés à prévenir la perte, l’utilisation abusive ou le transfert non autorisé de données sensibles. La DLP n’est pas seulement une question de technologie ; cela exige également de la stratégie et de la collaboration. Les organisations ont besoin de formation des employés et de gouvernance des données pour que cela fonctionne.
Une hypothèse courante concernant la DLP est qu’elle est simplement négative et préventive. Une DLP efficace ne consiste pas seulement à ériger des murs, mais à jeter les bases d’une plus grande innovation et d’une plus grande agilité. Avec les bonnes protections en place, les utilisateurs professionnels, les analystes et les développeurs peuvent explorer, expérimenter et innover plus librement avec les données.
Créer une politique DLP
Suivez ces sept étapes pour élaborer une politique DLP solide qui contribuera à protéger les actifs de données de base et à atteindre les objectifs stratégiques. Les spécialistes des données et leurs cohortes doivent classer les données ; rechercher les fuites de données ; créer un ensemble d’outils ; obtenir l’adhésion des entreprises ; et testez, préparez et surveillez pour une protection constante.
1. Identifiez les données sensibles
La première tâche critique dans l’élaboration d’une politique DLP est de savoir quelles données protéger. Commencez par identifier les grandes catégories de données confidentielles. Ces types incluent les éléments suivants :
- Informations personnellement identifiables de toute nature.
- Informations financières sur les particuliers et les entreprises.
- Propriété intellectuelle.
- Données clients et partenaires.
- Plans d’affaires tels que prévisions et rapports internes.
Effectuer un audit approfondi de tous les systèmes de stockage de données. Examinez les bases de données existantes et autres référentiels vulnérables qui peuvent être mal sécurisés. Vous pourriez découvrir des actifs non officiels, tels qu’un stockage cloud malveillant ou des serveurs de fortune, qui pourraient contenir des données sensibles. Pour trouver des poches de données cachées, consultez les unités informatiques, de sécurité, juridiques et commerciales clés lors de votre audit.
Le résultat est un inventaire classifié de données, cartographiées à des emplacements spécifiques et classées par niveaux de risque. Utilisez le document pour établir des contrôles DLP. Pour être efficace, le document doit rester à jour. Effectuez des analyses régulières pour mettre à jour l’inventaire, en particulier à mesure que les besoins organisationnels et les systèmes évoluent.
2. Repérez les risques de fuite de données
Après avoir identifié ce qui doit être protégé, évaluez dans quelle mesure les données sensibles pourraient potentiellement être exposées. La connaissance des faiblesses permet d’élaborer une politique DLP à la fois proactive et adaptative.
Réfléchissez aux moyens par lesquels les utilisateurs pourraient transférer des données en dehors des limites du système. Les canaux potentiels de fuite de données incluent le courrier électronique, le stockage dans le cloud, les téléchargements sur le Web et les appareils finaux tels que les téléphones et les clés USB.
Identifiez les menaces externes et internes potentielles sur ces canaux de données vulnérables. L’analyse des menaces fournit un aperçu des canaux les plus à risque. Ce processus peut nécessiter que des experts en cybersécurité analysent les risques en détail et prennent en compte diverses formes de risque.
Ne limitez pas la conversation DLP aux experts en sécurité. Collaborez avec le personnel clé qui gère des données sensibles dans son travail quotidien. Leurs connaissances peuvent révéler des points faibles qui pourraient ne pas être apparents d’un point de vue purement technique, comme de mauvaises pratiques en matière de stockage des sauvegardes.
Après l’évaluation, catégorisez à nouveau les risques en fonction de leur probabilité et de leur impact. Concentrez les efforts DLP initiaux sur les vulnérabilités les plus critiques.
3. Choisissez les outils DLP
Les outils logiciels sont un élément essentiel d’une stratégie DLP efficace.
Les équipes chargées des données peuvent soit utiliser une suite DLP dédiée, soit intégrer des contrôles aux systèmes existants. Les outils DLP offrent des fonctionnalités complètes, mais les organisations doivent peser les fonctionnalités par rapport à l’investissement dans de nouveaux logiciels. L’intégration du DLP dans les piles de sécurité existantes, en particulier si l’infrastructure actuelle est déployée sur une plateforme cloud majeure, nécessite moins de dépenses et de changements, mais offre généralement un contrôle politique moins granulaire.
Lors du choix d’un outil, tenez compte des capacités suivantes :
- Gamme de méthodes de détection.
- Capacité à affiner les politiques.
- Flux de travail pour l’escalade des incidents.
- Analytique.
- Interopérabilité avec la pile de données existante.
Lors de la configuration des outils, n’adoptez pas une approche universelle. Alignez les politiques et les contrôles sur les catégories de sensibilité et de risque identifiées lors des deux premières étapes. Les documents financiers très sensibles nécessitent des contrôles plus stricts que les communications commerciales générales. L’objectif est une politique DLP qui assure la sécurité sans entraver inutilement l’agilité.
4. Faites l’analyse de rentabilisation
Vient maintenant une étape cruciale : réaliser une analyse de rentabilisation convaincante pour garantir l’adhésion au programme DLP de la direction et des départements concernés.
Faire valoir ses arguments à cette étape du processus de création de politiques DLP, plutôt qu’avant, permet d’élaborer une proposition ciblée et crédible. Si vous demandez l’approbation d’un plan avec des généralisations plutôt que des détails, il existe un risque d’erreurs dans la budgétisation, la sélection des outils et l’assistance. Le calendrier du projet pourrait également être irréaliste. Faire les devoirs dès le départ crée un argumentaire plus réaliste pour la mise en œuvre de la politique DLP.
La première chose à faire est d’identifier les risques potentiels auxquels l’organisation est confrontée. Utilisez des statistiques, des études et des études de cas provenant de fournisseurs ou d’analystes pour présenter les coûts financiers et de réputation des incidents de perte de données.
Tenez compte de l’investissement requis pour la mise en œuvre du DLP, y compris les coûts des logiciels, la formation et éventuellement le recrutement. Comparez les coûts de mise en œuvre avec les pertes financières que l’organisation pourrait subir en cas de violation de données. Établir un retour sur investissement possible qui justifie les coûts initiaux.
En plus de prévenir la perte de données, une politique DLP bien mise en œuvre peut donner aux équipes la confiance nécessaire pour innover et améliorer la gestion des données. Expliquez ces avantages aux parties prenantes même s’ils n’ont pas d’impact financier quantifiable.
5. Testez la politique
Il est temps de tester cette politique dans la pratique. L’objectif est de valider les règles tout en minimisant les perturbations commerciales et les faux positifs, qui peuvent miner la confiance et l’adoption.
Avant les tests, établissez une référence pour les indicateurs clés, tels que l’utilisation des ressources système, les faux positifs et les mesures de l’expérience utilisateur.
Commencez par un test pilote impliquant un petit groupe représentatif au sein de l’organisation. Un projet pilote permet de montrer comment les politiques fonctionnent dans un environnement réel sans affecter l’ensemble de l’entreprise. Ajustez les règles en fonction des résultats du projet pilote.
Une fois que l’équipe a confiance dans la politique testée, commencez à la déployer par étapes dans toute l’organisation. Une approche progressive permet aux organisations de gérer la politique et de procéder à des ajustements rapides si de nouveaux problèmes surviennent.
6. Préparez-vous aux incidents
Aucun système n’est complètement sécurisé. Les organisations doivent être prêtes à réagir à une éventuelle perte de données ou à un accès non autorisé.
Un plan formalisé de réponse aux incidents doit décrire les procédures et les responsabilités pour gérer les incidents de perte de données. Incluez des étapes de confinement, d’enquête et de mesures correctives immédiates.
Le plan de réponse aux incidents doit désigner une équipe interfonctionnelle composée de membres des unités informatiques, juridiques, de communication et commerciales pour répondre aux incidents. Les membres de l’équipe ont besoin d’une formation sur leur rôle dans le processus de réponse aux incidents. Établissez des procédures opérationnelles standard pour les scénarios d’incidents typiques afin que l’équipe dispose de guides de référence rapide en cas de crise.
Définir des procédures d’enquête médico-légale pour déterminer la cause profonde, la portée et les effets des violations de données. Contrat avec des spécialistes pour aider à une enquête sur un incident à grande échelle, si nécessaire.
N’attendez pas une crise pour tester vos capacités de réponse. Simulez régulièrement les incidents de perte de données pour tester l’état de préparation, identifier les lacunes du plan et ajuster en conséquence.
7. Continuez à surveiller
Dans un environnement commercial et technologique dynamique où les menaces évoluent continuellement, une politique DLP statique peut être aussi néfaste qu’une absence de politique du tout. Une surveillance continue et une adaptation des politiques sont essentielles pour une défense efficace contre les menaces.
Examinez régulièrement les données traitées par l’organisation. Les entreprises ajoutent parfois de nouveaux types de données, et les plus anciens peuvent changer d’importance. Réanalysez périodiquement les référentiels à la recherche de nouvelles sources de données confidentielles nécessitant une protection. Encore une fois, ajustez les politiques en conséquence.
Définissez des KPI pour les politiques, telles que les faux positifs, la prévention des fuites et l’utilisation des ressources système. Les KPI offrent un aperçu de l’efficacité. Analysez régulièrement les KPI pour identifier les faiblesses.
Modifiez les règles pour les aligner sur les changements dans les flux de travail, les réseaux, les appareils et les logiciels. Les politiques statiques deviennent remarquablement rapidement obsolètes. Par exemple, étendez les fonctionnalités DLP au cloud pour correspondre à la migration des données au sein de l’organisation.
Comparez les mesures DLP aux normes et meilleures pratiques du secteur pour repérer les lacunes et les opportunités d’amélioration. Tenez les principales parties prenantes informées et impliquées régulièrement : leurs idées et leurs commentaires sont importants.
L’élément humain est essentiel à toutes les politiques commerciales. Les gens contourneront des contrôles d’une rigidité prohibitive, exposant souvent involontairement des données en cours de route. Les politiques doivent suivre les pratiques de travail.
Pièges potentiels dans la mise en œuvre et la gestion du DLP
Les erreurs peuvent nuire à l’efficacité d’un programme DLP. Soyez conscient des pièges courants :
- Des politiques trop compliquées. Des règles trop complexes constituent un fardeau. Gardez les politiques aussi simples que possible.
- Menaces internes ignorées. Se concentrer uniquement sur les menaces externes rend une organisation vulnérable aux violations venant de l’intérieur. Tenez compte des risques internes intentionnels et non intentionnels.
- Formation inadéquate. Les employés qui ne sont pas bien informés des politiques peuvent ne pas les respecter.
- Mauvaise planification des incidents. Sans plan d’intervention structuré, les réponses peuvent être chaotiques et inefficaces.
- Politiques statiques. Une politique DLP qui n’est pas régulièrement mise à jour et adaptée tombera progressivement en obsolescence.
Assurez-vous de répondre aux questions suivantes : Quelles données l’organisation gère-t-elle ? Où est-il situé? S’agit-il de données sensibles ? Et n’oubliez pas, posez les mêmes questions chaque semaine. C’est une politique.
Donald Farmer est le directeur de TreeHive Strategy, qui conseille les éditeurs de logiciels, les entreprises et les investisseurs sur la stratégie de données et d’analyse avancée. Il a travaillé sur certaines des principales technologies de données du marché et dans des startups primées. Il a auparavant dirigé des équipes de conception et d’innovation chez Microsoft et Qlik.