La prévention des pertes de données (DLP) fait référence aux stratégies, processus et technologies que les équipes de cybersécurité utilisent pour protéger les données sensibles contre le vol, la perte et l’utilisation abusive.
Les données sont un facteur de différenciation concurrentiel pour de nombreuses entreprises, et le réseau d’entreprise moyen héberge des secrets commerciaux, des données personnelles des clients et d’autres informations sensibles. Les pirates ciblent ces données pour leur propre gain, mais les entreprises ont souvent du mal à contrecarrer leurs plans. Il peut être difficile de sécuriser les données critiques alors que des centaines, voire des milliers d’utilisateurs autorisés y accèdent chaque jour via le stockage cloud et les référentiels sur site.
Les stratégies et outils de DLP aident les entreprises à prévenir les fuites et les pertes de données en suivant les données sur l’ensemble du réseau et en appliquant des politiques de sécurité granulaires. Ainsi, les équipes de sécurité peuvent s’assurer que seules les bonnes personnes peuvent accéder aux bonnes données pour les bonnes raisons.
Les événements de perte de données sont souvent décrits comme des violations de données, des fuites de données ou une exfiltration de données. Ces termes sont parfois utilisés de manière interchangeable, mais ils ont des significations distinctes.
Une violation de données est une cyberattaque ou tout autre incident de sécurité dans lequel des tiers non autorisés accèdent à des données sensibles ou confidentielles, y compris des données personnelles (numéros de sécurité sociale, numéros de compte bancaire, données de santé) ou des données d’entreprise (enregistrementsclients, propriété intellectuelle, données financières). Selon le rapport 2023 sur le coût d’une violation des données d’IBM, une violation coûte en moyenne 4,45 millions de dollars, soit une augmentation de 15 % ces trois dernières années.
La fuite de données est l’exposition accidentelle de données sensibles ou d’informations confidentielles au public. L’exfiltration de données est un véritable vol de données, lorsqu’un attaquant déplace ou copie les données de quelqu’un d’autre sur un appareil sous son contrôle.
La perte de données se produit pour de nombreuses raisons, mais les plus courantes sont les suivantes :
- Vulnérabilités de sécurité : faiblesses ou défauts de la structure, du code ou de l’implémentation d’une application, d’un appareil, d’un réseau ou d’un autre actif informatique exploitable par les pirates. Il s’agit notamment d’erreurs de codage, de problèmes de configuration et de vulnérabilités zero-day (inconnues ou encore non corrigées).
Identifiants faibles ou volés : mots de passe que les pirates peuvent facilement deviner, ou les mots de passe ou autres identifiants (par exemple, les cartes d’identité) que les pirates ou les cybercriminels volent.
Menaces internes : utilisateurs autorisés qui mettent leurs données en danger par négligence ou malveillance. Les personnes mal intentionnées sont souvent motivées par un gain personnel ou par un grief à l’égard de l’entreprise.
Logiciel malveillant : logiciel créé spécifiquement pour nuire à un système informatique ou à ses utilisateurs. La forme la plus connue de logiciel malveillant est le ransomware, qui chiffre les données afin qu’elles ne puissent pas être consultées, et exige le paiement d’une rançon pour obtenir la clé de déchiffrement (et parfois un deuxième paiement pour empêcher les données d’être exfiltrées ou partagées avec d’autres cybercriminels).
Ingénierie sociale : tactiques qui incitent les gens à partager des données qu’ils ne devraient pas partager. Elles peuvent être aussi astucieuses qu’une attaque par hameçonnage qui convainc un employé d’envoyer par e-mail les données confidentielles d’employés, ou aussi peu astucieuses que de laisser une clé USB infectée par un logiciel malveillant que quelqu’un trouvera et utilisera.
Vol d’appareils physiques : vol d’un ordinateur portable, d’un smartphone ou d’un autre appareil permettant au voleur d’accéder au réseau et aux données.
Les organisations créent des stratégies de DLP formelles pour se protéger contre tous les types de perte de données. Une stratégie de DLP repose sur un ensemble de politiques qui définissent la façon dont les utilisateurs doivent gérer les données d’entreprise. Les politiques de DLP couvrent les principales pratiques de sécurité des données telles que l’endroit où les stocker, qui peut y accéder, comment les utiliser et comment les protéger par des contrôles de sécurité.
Plutôt que de rédiger une seule politique pour toutes les données, les équipes de sécurité de l’information créent généralement différentes politiques pour les différents types de données de leurs réseaux. En effet, les différents types de données doivent souvent être traités différemment.
Par exemple, les informations personnelles (PII), telles que les numéros de carte de crédit et les adresses personnelles, sont généralement soumises aux réglementations en matière de sécurité des données qui dictent ce qu’une entreprise peut en faire. D’autre part, l’entreprise a toute latitude pour ce qu’elle fait de sa propriété intellectuelle (PI). En outre, les personnes qui ont besoin d’accéder aux informations personnelles peuvent ne pas être les mêmes que celles qui ont besoin d’accéder à la propriété intellectuelle de l’entreprise. Les deux types de données doivent être protégés, mais de différentes manières.
Les équipes de sécurité créent plusieurs politiques de DLP granulaires afin qu’elles puissent appliquer les normes de sécurité appropriées à chaque type de données sans interférer avec le comportement approuvé des utilisateurs finaux autorisés. Les organisations révisent régulièrement ces politiques pour suivre l’évolution des réglementations pertinentes, du réseau d’entreprise et des opérations métier.
L’application manuelle de politiques de DLP peut s’avérer difficile, voire impossible. Non seulement des ensembles de données différents sont soumis à des règles différentes, mais les organisations doivent également surveiller toutes les données du réseau, y compris les suivantes :
Les données en cours d’utilisation : ce sont les données utilisées ou traitées, telles les données utilisées pour l’analyse ou les calculs, ou un document texte en cours de modification par un utilisateur final.
Les données en mouvement : ce sont les données circulant sur un réseau, telles que les données transmises par un serveur de transmission d’événements en continu ou une application de messagerie.
Données au repos : données stockées, comme celles qui sont stockées dans un lecteur cloud.
Etant donné que l’application des politiques de DLP nécessite une visibilité continue des données dans toute l’entreprise, les équipes de sécurité des informations s’appuient généralement sur des logiciels de DLP spécialisés pour s’assurer que les utilisateurs respectent les politiques de sécurité des données. Ces outils de DLP peuvent automatiser des fonctions clés telles que l’identification des données sensibles, le suivi de leur utilisation et le blocage des accès illicites.
Les solutions de DLP fonctionnent souvent conjointement avec d’autres contrôles de sécurité pour protéger les données. Par exemple, les pare-feux peuvent aider à stopper le trafic malveillant entrant et sortant des réseaux. Les systèmes de gestion des informations et des événements de sécurité (SIEM) peuvent aider à détecter les comportements anormaux susceptibles d’indiquer des fuites de données. Les solutions de détection et de réponse étendues (XDR) permettent aux entreprises de lancer des réponses robustes et automatisées aux violations de données.
Il existe trois principaux types de solutions de DLP : DLP réseau, au point de terminaison et cloud. Les organisations peuvent choisir d’utiliser un type de solution ou une combinaison de plusieurs solutions, en fonction de leurs besoins et de la manière dont leurs données sont stockées.
Les solutions de DLP réseau se concentrent sur la manière dont les données circulent à travers, vers et hors d’un réseau. Ils utilisent souvent l’intelligence artificielle (IA) et le machine learning pour détecter les flux de trafic anormaux qui pourraient indiquer une fuite ou une perte de données. Bien que les outils de DLP réseau soient conçus pour surveiller les données en mouvement, beaucoup peuvent également offrir une visibilité sur les données utilisées et au repos sur le réseau.
Les outils de DLP au point de terminaison surveillent l’activité des ordinateurs portables, des serveurs, des appareils mobiles et d’autres appareils accédant au réseau. Ces solutions sont installées directement sur les appareils qu’elles surveillent et peuvent empêcher les utilisateurs d’effectuer des actions interdites sur ces appareils. Certains outils de DLP au point de terminaison peuvent également bloquer les transferts de données non approuvés entre les appareils.
Les solutions de DLP cloud se concentrent sur les données stockées et accessibles par les services cloud. Elles peuvent analyser, classer, surveiller et chiffrer les données dans des dépôts cloud. Ces outils peuvent également aider à appliquer des politiques de contrôle d’accès sur les utilisateurs finaux et tous les services cloud susceptibles d’accéder aux données de l’entreprise.
Les équipes de sécurité suivent un processus en quatre étapes pour mettre en pratique les politiques de DLP, et les outils de DLP jouent un rôle important à chaque étape.
Tout d’abord, l’organisation catalogue toutes ses données structurées et non structurées. Les données structurées sont des données ayant une forme normalisée. Elles sont généralement clairement étiquetées et stockées dans une base de données. Les numéros de carte de crédit sont un exemple de données structurées : ils comportent toujours 16 chiffres. Les données non structurées sont des informations à structure libre, comme des documents texte ou des images.
Les équipes de sécurité utilisent généralement des outils de DLP à cette étape. Ces outils peuvent souvent analyser l’ensemble du réseau pour trouver des données où qu’elles soient stockées : dans le cloud, sur des terminaux physiques, sur les appareils personnels des employés et ailleurs.
Ensuite, l’organisation classe ces données, les triant en groupes en fonction de leur niveau de sensibilité et des caractéristiques qu’ils partagent. La classification des données permet à l’organisation d’appliquer les politiques de DLP appropriées selon les types de données. Par exemple, certaines organisations peuvent regrouper des données en fonction de leur type : données financières, données marketing, propriété intellectuelle, etc. D’autres organisations peuvent regrouper des données en fonction des réglementations pertinentes, telles que le Règlement général sur la protection des données (RGPD), la Health Insurance Porability Act (HIPAA), la Payment Card Industry Data Security Standard (PCI DSS), etc.
De nombreuses solutions de DLP peuvent automatiser la classification des données. Ces outils peuvent utiliser l’intelligence artificielle, le machine learning et la mise en correspondance de modèles pour analyser les données structurées et non structurées afin de déterminer de quel type de données il s’agit, si elles sont sensibles et quelles politiques de DLP doivent s’appliquer.
Une fois les données classées, l’équipe de sécurité surveille leur gestion. Les outils de DLP peuvent utiliser plusieurs techniques pour identifier et suivre les données sensibles utilisées. Ces techniques comprennent :
La mise en correspondance des données, telle que la comparaison du contenu d’un fichier avec des données sensibles connues.
La mise en correspondance de modèles, telle que la recherche de données qui suivent un certain format (par exemple, un numéro à neuf chiffres au format XXX-XX-XXXX pourrait être un numéro de sécurité sociale).
L’analyse de contenu, telle que l’utilisation de l’IA et du machine learning pour analyser un e-mail à la recherche d’informations confidentielles.
La détection d’étiquettes, de balises et autres métadonnées qui identifient explicitement un fichier comme étant sensible.
Lorsqu’un outil de DLP détecte que des données sensibles sont traitées, il recherche des violations de politiques, des comportements anormaux, des vulnérabilités système et d’autres signes de perte potentielle de données, notamment :
Les fuites de données, comme un utilisateur qui essaie de partager un fichier confidentiel avec une personne extérieure à l’organisation.
Les utilisateurs non autorisés tentant d’accéder aux données critiques ou d’effectuer des actions non approuvées, comme la modification, l’effacement ou la copie d’un fichier sensible.
Les signatures de logiciels malveillants, le trafic provenant d’appareils inconnus ou d’autres indicateurs d’activité malveillante.
Lorsque les solutions de DLP détectent des violations de politiques, elles peuvent réagir en temps réel. En voici quelques exemples :
Chiffrage des données en mouvement dans le réseau
Résiliation des transferts de données non autorisés et blocage du trafic malveillant
Avertissement des utilisateurs lorsqu’ils enfreignent des politiques
Signalement des comportements suspects à examiner par l’équipe de sécurité
Déclenchement de problèmes d’authentification supplémentaires avant que les utilisateurs puissent interagir avec les données critiques
Certains outils de DLP aident également à la récupération des données, en sauvegardant automatiquement les informations afin qu’elles puissent être restaurées après une perte.
Les entreprises peuvent également prendre des mesures plus proactives pour appliquer leurs politiques de DLP. Une gestion des identités et des accès (IAM) efficace, y compris des politiques de contrôle d’accès basées sur les rôles, peut restreindre l’accès aux données aux bonnes personnes. La formation des employés sur les exigences de sécurité des données et les bonnes pratiques peuvent aider à prévenir davantage de pertes et de fuites de données accidentelles avant qu’elles ne se produisent.
Les outils de DLP proposent généralement des tableaux de bord et des fonctions de reporting que les équipes de sécurité peuvent utiliser pour surveiller les données sensibles sur tout le réseau. Cette documentation permet à l’équipe de sécurité de suivre les performances du programme DLP au fil du temps afin que les politiques et les stratégies puissent être ajustées selon les besoins.
Les outils de DLP peuvent également aider les entreprises à se conformer aux réglementations pertinentes en enregistrant leurs efforts en matière de sécurité des données. En cas de cyberattaque ou d’audit, l’entreprise peut utiliser ces dossiers pour prouver qu’ils ont suivi les procédures appropriées de traitement des données.
Les stratégies DLP sont souvent étroitement alignées sur les efforts de conformité. De nombreuses organisations élaborent leurs politiques de DLP spécifiquement pour se conformer à des règles telles que le règlement général sur la protection des données (RGPD), la loi Health Insurance Portability Accountability Act (HIPAA) et la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS).
Les différentes réglementations imposent différentes normes selon les types de données. Par exemple, la loi HIPAA établit des règles pour les renseignements médicaux personnels, tandis que la norme PCI-DSS dicte la façon dont les organisations traitent les informations de carte de paiement. Une entreprise qui collecte les deux types de données aurait probablement besoin de deux politique de DLP distinctes afin de répondre aux exigences de conformité.
De nombreuses solutions de DLP comprennent des politiques de DLP pré-écrites alignées sur les différentes normes de sécurité des données auxquelles les entreprises doivent se conformer.
Déjouez les cyberattaques grâce à une suite sécurité connectée et modernisée. Le portefeuille QRadar est doté d’une IA de niveau professionnel et offre des produits intégrés pour la sécurité des points de terminaison, la gestion des journaux, le SIEM et le SOAR, le tout avec une interface utilisateur commune, des informations partagées et des flux de travaux connectés.
Protégez les données sensibles sur site et dans le cloud. IBM® Security Guardium est une solution de protection des données qui s’adapte à l’évolution des menaces et offre une visibilité, une conformité et une protection accrues tout au long du cycle de vie des données.
Mises en œuvre sur site ou dans un cloud hybride, les solutions de sécurité des données d’IBM vous aident à obtenir une meilleure visibilité et une meilleure compréhension pour enquêter sur les cybermenaces et y remédier, appliquer des contrôles en temps réel et gérer la conformité aux réglementations.
Soyez mieux préparé face aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations. Bénéficiez de l’expérience de plus de 550 organisations affectées par une violation de données.
Le ransomware est une forme de logiciel malveillant qui menace de détruire ou de retenir les données ou les fichiers de la victime, sauf si une rançon est versée au pirate pour déchiffrer et restaurer l’accès aux données.
Un système SIEM (gestion des informations et des événements de sécurité) est un logiciel qui aide les organisations à reconnaître et à traiter les potentielles menaces et vulnérabilités de sécurité avant qu’elles ne puissent interrompre les opérations métier.