Ca «fuit» de partout!

Numéros de carte de crédit, système de paiements, profils médicaux, données comptables, identifiants de connexion... Plus de 82% des vols concerneraient des données numériques, contre moins de 18% pour le «papier».

A l’origine de ces ordres de grandeur, l'Indentity Thieft Resource Center (ITRC), organisme de tutelle américain chargé de recenser les vols de données, constate encore que plus de 89% des données volées ne disposent d'aucun système de protection, malgré leur caractère confidentiel ou stratégique! Toujours selon l'ITRC, ces pertes seraient majoritairement le fait de négligences internes à l'organisation -négligences humaines la plupart du temps.

Les besoins sont donc là, importants. Selon Cisco, la fuite de données par e-mail vient en tête des préoccupations des professionnels de l’informatique, tandis que 70% d’entre eux déclarent que l’accès des employés à des applications et sites Web 2.0 non autorisés (réseaux sociaux, logiciels de téléchargement musical, sites de commerce en ligne) est à l’origine de la moitié des fuites de données de leur entreprise…

Des fuites multiples et variées

La sortie non contrôlée d'une donnée critique hors de l'entreprise ne découle pas toujours d'un acte malveillant. La négligence humaine, reconnue aujourd'hui comme la première source de vulnérabilité en entreprise, y fait beaucoup: envoi d'un courrier électronique aux mauvais destinataires, diffusion d'un fichier PowerPoint porteur d'informations confidentielles, impression de données sensibles, etc.

Selon Symantec, les audits d'évaluation des risques montrent qu'un message électronique sur 400 et un fichier sur 50 qui sortent de l'entreprise comportent des données confidentielles. Parfois, la fuite emprunte des chemins insoupçonnés. Il peut s'agir du disque dur d'une imprimante réseau qui, lorsqu'il tombe en panne, est emporté par le technicien de maintenance avec toutes les données qu'il contient encore…

Concrètement, il y aura à déterminer si elle a besoin d'une solution basée sur le réseau, sur le poste client ou les deux. Les responsables doivent aussi analyser les faiblesses de leurs processus techniques et les prévenir à l'aide de règles préalablement définies.

Identifier les données sensibles et contrôler les fuites

Concrètement, que faire? Plutôt que de tendre vers une cartographie exhaustive, on se limitera à l'identification des informations sensibles grâce à un dialogue avec les métiers. Il s'agit ensuite d'agir.

Il faut clairement identifier le contenu des informations confidentielles et le contexte autorisé, paramètres intimement liés au métier de l'entreprise. Ainsi, la définition des règles exige une bonne connaissance des processus métier et du contenu des données, ainsi que la capacité de traduire ces paramètres sous forme de directives techniques correspondantes.

Le premier réflexe est de chiffrer, mais cette méthode n'est valable que pour les données non utilisées. Quand elles sont manipulées, une approche DLP doit prendre le relais. Elle consiste à répertorier dans un référentiel les données sensibles, puis à contrôler leur diffusion et leur stockage au travers d'une politique globale. Son application se traduira par exemple par l'interdiction de la copie, de l'impression ou de l'envoi de certains fichiers. Au contraire, on pourra autoriser certaines de ces opérations, mais en forçant le chiffrement. Si les fichiers sont déjà chiffrés, on déterminera la normalité et on identifiera l'algorithme utilisé. Enfin, il s'agira de générer des alertes lorsque les règles sont enfreintes.

Un marché en prise de conscience

Dans les pays anglo-saxons, la réglementation contraint les entreprises à déclarer les fuites de données. Pas en Belgique, ni au Luxembourg, ni d’ailleurs dans la majorité des autres pays de l’Union européenne. Si bien que les entreprises n'ont pour l'instant pas fait grand-chose et nient souvent les problèmes, constatent les spécialistes de la sécurité…

Aujourd’hui, si une organisation -publique ou privée- perd des données de citoyens, de consommateurs ou de clients, elle réagira de manière différente selon le pays dans lequel elle implantée. Au Royaume-Uni, la déclaration est obligatoire, pas en Italie. De là bien des soucis pour les entreprises «globales». Comment, par exemple, doit réagir une entreprise britannique avec ses clients italiens lorsqu'elle perd leurs données? Doit-elle suivre la législation britannique ou italienne? En clair, doit-elle n’avertir que ses clients anglais… et ne rien dire aux italiens?

La directive européenne «Vie privée et communications électroniques» (2002/58/CE) est en cours de révision. Objectif: obliger les opérateurs et fournisseurs d'accès à déclarer les violations de sécurité entraînant les pertes de données de leurs clients, tant auprès d'une autorité de tutelle -à créer- qu'auprès des entreprises comme des particuliers si l'autorité en question le jugera utile.

Intégrer dans l’infrastructure des fonctions de protection et de classification de l’information est le moyen le plus efficace pour une entreprise de se prévenir de fuites d’informations, estime Gartner. En somme, fusionner les deux approches -DLP (Data Leakage Protection) et DRM (Documents Rights Management)- pour protéger les informations sensibles, soit plus que la simple addition des deux solutions.

RSA, filiale de EMC, et Microsoft ont été les précurseurs. La suite DLP de RSA est maintenant intégrée à la technologie Microsoft de gestion des droits; elle prend également en charge le composant Microsoft Active Directory RMS de Windows Server 2008. On peut dès lors appliquer automatiquement les stratégies d’accès aux informations et d’utilisation des données créées dans RMS, en fonction de la confidentialité des informations. Qui plus est, l’intégration entre la solution RSA et Active Directory permet une prévention efficace de la perte de données, grâce à des contrôles portant sur l’identité des employés ou leur appartenance à un groupe.

Très avancé, aussi, McAfee qui a multiplié les accords avec les fournisseurs de DRM afin d’intégrer sa solution de DLP à leurs produits. Déjà, l’éditeur avait ajouté au DLP une capacité de chiffrement à la volée des courriers contenants des informations déterminées comme ne devant pas quitter l’entreprise en clair. Avec son partenaire Liquid Machine, McAfee applique les restrictions du DRM aux documents découverts. Début octobre, McAfee annonçait l’intégration de l’offre DRM de la suite LiveCycle d’Adobe. L’objectif, cette fois, est d’appliquer automatiquement les politiques DRM aux documents découverts par le processus de classification du DLP.

Pas de stratégie de convergence DRM et DLP pour Symantec. Cependant, tout comme McAfee, l’éditeur offre tout de même la possibilité de chiffrer automatiquement un document repéré par le moteur de classification du DLP. Et la solution est également ouverte à des outils tiers (DRM, chiffrement) via son API.

Avec des solutions en matière de gestion des identités et de DLP, CA devrait prochainement intégrer le DRM à son offre. Associant déjà les droits d’accès à l’infrastructure avec le DLP, intégrer le DRM s’inscrit dans la foulée, naturellement…

Si Oracle dispose de sa solution de DRM, Oracle Information Rights Management, et une autre de gestion des identités et des accès, Oracle Identity Management, contrairement à CA, les deux produits vivent actuellement dans des silos isolés -pas d’intégration à l’ordre du jour.

A côté des ténors, des start-up. Comme
 Secure Islands, éditeur israélien à l’origine d’une solution hybride associant DRM et DLP: IQProtector intègre un moteur de classification et un moteur de chiffrement et de DRM à base d’agent s’appuyant sur Microsoft RMS ou toute autre solution de chiffrement tierce.

Autre solution hybride, Enterprise DLP de l’américain NextLabs. Outre la prévention des fuites de données, le logiciel intègre aussi une capacité de DRM lui permettant d’associer des droits d’utilisation autonomes aux documents découverts lors de la classification.