Qu’est-ce que la prévention des pertes de données (DLP) ?

Les données sont un facteur de différenciation concurrentielle pour de nombreuses entreprises. Un réseau d’entreprise typique contient une mine d’informations sensibles telles que des secrets commerciaux, des dossiers de ventes et des données personnelles de clients. Les pirates informatiques ciblent souvent ces données et les entreprises rencontrent fréquemment des difficultés à sécuriser leurs données critiques.

Dans le même temps, des centaines, voire des milliers d’utilisateurs autorisés accèdent chaque jour aux données de l’entreprise via des solutions de stockage dans le cloud ou des référentiels sur site. Prévenir la perte de données tout en facilitant l’accès sur autorisation est une priorité pour la plupart des entreprises.

La DLP aide les entreprises à prévenir les fuites et les pertes de données en suivant les flux de données à travers le réseau et en appliquant des politiques de sécurité appropriées. Les équipes de sécurité s’efforcent de garantir que seules les personnes autorisées accèdent aux données, et ce, pour les bonnes raisons.

Une solution de DLP inspecte les paquets de données à mesure qu’ils se déplacent dans le réseau, détectant l’utilisation d’informations sensibles telles que les numéros de cartes de crédit, les données de santé, les dossiers clients ou la propriété intellectuelle. De cette manière, les entreprises peuvent appliquer les contrôles d’accès et les politiques d’utilisation adéquats pour chaque type de données.

Les données sont vulnérables, quel que soit l’endroit où elles sont stockées, ce qui fait de la protection des informations une priorité majeure pour les entreprises. Le coût d’une défaillance peut être élevé. Le dernier Rapport sur le coût d’une violation de données d’IBM a révélé que le coût moyen mondial d’une telle violation a augmenté de 10 % par rapport à l’année précédente, atteignant 4,88 millions de dollars, soit la plus forte hausse depuis la pandémie.

Les données personnelles (PII), en particulier, ont une grande valeur pour les cybercriminels et sont une cible fréquente. Le Rapport sur le coût d’une violation de données a également révélé que près de la moitié des violations concernaient les données personnelles des clients, qui peuvent inclure des numéros d’identification fiscale, des adresses e-mail, des numéros de téléphone et des adresses personnelles. Les données relatives à la propriété intellectuelle suivent de près, représentant 43 % des violations.

La protection des données devient de plus en plus complexe, car les informations peuvent être utilisées ou stockées dans divers formats, à différents endroits, et par différentes parties prenantes au sein d’une organisation. De plus, chaque ensemble de données peut nécessiter des règles spécifiques en fonction de son niveau de sensibilité ou des réglementations en matière de confidentialité des données.

Les politiques et outils DLP aident les entreprises à se protéger en surveillant chaque donnée sur l'ensemble du réseau dans les trois états : en cours d'utilisation, en mouvement et au repos.

• Données en cours d'utilisation : il s'agit des données lorsqu’elles sont accédées, traitées, mises à jour ou supprimées. Par exemple, les données d'une organisation utilisées pour des analyses ou des calculs, ou un document texte modifié par un utilisateur final.

• Données en mouvement : également appelées données en transit, ce sont des données qui se déplacent sur un réseau, par exemple lorsqu’elles sont transmises par un serveur de diffusion d'événements ou une application de messagerie, ou encore lorsqu’elles sont transférées entre deux réseaux. Les données en mouvement sont les moins sécurisées des trois états et nécessitent une attention particulière.

• Données au repos : il s’agit des données stockées, que ce soit sur un disque cloud, un disque dur local ou dans une archive. En général, les données au repos sont plus faciles à protéger, mais elles nécessitent néanmoins des mesures de sécurité appropriées. Les données au repos peuvent être compromises par un geste aussi simple que de récupérer une clé USB laissée sur un bureau sans surveillance.

Idéalement, la solution de prévention des pertes de données d'une organisation doit être capable de surveiller toutes les données, qu’elles soient en cours d'utilisation, en mouvement ou au repos, et ce, sur l’ensemble des logiciels utilisés. Par exemple, en ajoutant une protection DLP pour l'archivage, les applications de business intelligence (BI), les e-mails, les outils de collaboration et les systèmes d'exploitation tels que macOS et Microsoft Windows.

Les événements de perte de données sont souvent décrits comme des violations de données, des fuites de données ou une exfiltration de données. Ces termes sont parfois utilisés de manière interchangeable, mais ils ont des significations distinctes.

• Violation de données : une violation de données est un incident de sécurité qui entraîne un accès non autorisé à des informations confidentielles ou sensibles. Cela inclut toute cyberattaque ou tout autre incident de sécurité permettant à des parties non autorisées d’accéder à des données sensibles ou confidentielles.

• Fuite de données : il s’agit de l’exposition accidentelle de données sensibles ou d’informations confidentielles au public. Une fuite de données peut résulter d’une faille technique de sécurité ou d’une erreur procédurale, et peut concerner aussi bien des transferts électroniques que physiques.

• Exfiltration de données: l’exfiltration fait référence au vol de données. C'est tout vol lorsqu'un attaquant déplace ou copie les données de quelqu’un d’autre sur un appareil sous son contrôle. Toute exfiltration de données nécessite une fuite ou une violation de données, mais toutes les fuites ou violations de données ne conduisent pas à une exfiltration de données.

Si certaines pertes sont le résultat d’une simple erreur, d’autres sont causées par des cyberattaques telles que les attaques par déni de service distribué (DDos) ou les attaques par hameçonnage. Toute perte de données, ou presque, peut perturber l’activité de manière significative.

Voici quelques-unes des causes les plus courantes de perte de données :

• Erreur humaine et ingénierie sociale
  
• Menaces internes
• Logiciels malveillants
• Menaces physiques
• Vulnérabilités de sécurité
• Vol de smartphone ou d'ordinateur
• Identifiants faibles ou volés

Les voleurs de données utilisent des tactiques pour inciter les gens à partager des informations qu’ils ne devraient pas divulguer. L’ingénierie sociale peut être aussi astucieuse qu’une attaque par hameçonnage qui convainc un employé d’envoyer par e-mail des données confidentielles ou aussi sournoise que de laisser une clé USB infectée par un logiciel malveillant à un endroit où un employé pourrait la trouver et la brancher sur un appareil fourni par l’entreprise.

D'un autre côté, une erreur humaine peut être aussi simple que d'oublier un smartphone sur une caisse enregistreuse ou de supprimer des fichiers par inadvertance.

Les utilisateurs autorisés, qu’il s’agisse d’employés, de sous-traitants, de parties prenantes ou de fournisseurs, peuvent mettre les données en danger par négligence ou malveillance.

Les personnes mal intentionnées sont souvent motivées par un gain personnel ou par un grief à l’égard de l’entreprise. Les menaces internes, quant à elles, peuvent être involontaires. Il peut s’agir d’une simple négligence (ne pas mettre à jour les mots de passe) ou d’actions très risquées (par exemple, exposer les données sensibles de l’entreprise en utilisant une IA générative accessible au public.
 
Les attaques d’initiés malveillants sont courantes et coûteuses. Le dernier  Rapport sur le coût d’une violation de données d’IBM a révélé que, par rapport à d’autres vecteurs, les attaques d’initiés malveillants ont généré les coûts les plus élevés, pour un montant moyen de 4,99 millions de dollars.

Il s’agit d’un logiciel créé spécifiquement pour nuire à un système informatique ou à ses utilisateurs. La forme la plus connue de  logiciel malveillant est le ransomware, qui chiffre les données afin qu’elles ne puissent pas être consultées, et exige le paiement d’une rançon pour obtenir la clé de déchiffrement. Parfois, les pirates demandent même un second paiement pour éviter que les données ne soient exfiltrées ou partagées avec d’autres cybercriminels.

Selon le niveau de sauvegarde des données d'une organisation, un dysfonctionnement du disque dur peut s'avérer catastrophique. Cela peut être dû à une panne mécanique ou à une corruption logicielle. Renverser une boisson, comme du café, du thé, du soda ou de l'eau, sur un ordinateur peut court-circuiter la carte mère d'un PC, et cela arrive rarement au bon moment. Une coupure de courant peut également interrompre les systèmes au pire moment, interrompant ainsi la sauvegarde du travail ou coupant les transmissions.

Les vulnérabilités sont des faiblesses ou défauts de la structure, du code ou de l’implémentation d’une application, d’un appareil, d’un réseau ou d’un autre actif informatique exploitable par les pirates. Cela inclut des erreurs de codage, des mauvaises configurations, des vulnérabilités « zero-day » (faiblesses inconnues ou non encore corrigées) ou des logiciels obsolètes, comme une ancienne version de MS Windows.

Tout appareil numérique laissé sans surveillance – sur un bureau, un siège de voiture ou de bus – peut être une cible tentante et permettre au voleur d'accéder à un réseau et à des données. Même si le voleur souhaite simplement vendre l'équipement, l'organisation subira malgré tout les perturbations liées à l'arrêt de l'accès à cet appareil et à son remplacement.

Cela inclut les mots de passe que les pirates peuvent facilement deviner, ou les mots de passe ou autres identifiants (par exemple, les cartes d’identité) que les pirates ou les cybercriminels volent.

Les politiques DLP peuvent couvrir divers sujets, notamment la classification des données, les contrôles d'accès, les normes de chiffrement, la conservation et l'élimination des données, les protocoles de réponse aux incidents, ainsi que des contrôles techniques tels que les pare-feu, les systèmes de détection d'intrusion et les logiciels antivirus.

L'un des principaux avantages de ces politiques de protection des données est qu'elles établissent des normes claires. Les employés comprennent leurs responsabilités en matière de protection des informations sensibles et reçoivent souvent une formation sur les pratiques de sécurité des données, couvrant des sujets comme l'identification des tentatives de hameçonnage, le traitement sécurisé des informations sensibles et le signalement rapide des incidents de sécurité.

De plus, les politiques de protection des données peuvent améliorer l'efficacité opérationnelle en proposant des processus clairs pour les activités liées aux données, telles que les demandes d'accès, l'approvisionnement des utilisateurs, le signalement des incidents et la réalisation d'audits de sécurité.

Plutôt que de rédiger une seule politique pour toutes les données, les équipes de sécurité de l’information créent généralement différentes politiques pour les différents types de données dans leurs réseaux. En effet, différents types de données nécessitent souvent des traitements spécifiques en fonction des cas d’utilisation afin de répondre aux exigences de conformité et d’éviter d’interférer avec le comportement approuvé des utilisateurs finaux autorisés.

Par exemple, les données personnelles identifiables (PII), telles que les numéros de carte de crédit, les numéros de sécurité sociale, les adresses personnelles et les adresses e-mail, sont soumises à des réglementations strictes en matière de sécurité des données, qui dictent leur traitement adéquat.

En revanche, l’entreprise peut gérer ses propres actifs de propriété intellectuelle comme elle le souhaite. En outre, les personnes qui ont besoin d’accéder aux PII peuvent ne pas être les mêmes que celles qui ont besoin d’accéder à la propriété intellectuelle de l’entreprise.

Les deux types de données doivent être protégés, mais de manière différente ; c'est pourquoi des politiques DLP distinctes, adaptées à chaque type de données, sont nécessaires.

Les entreprises utilisent des solutions de DLP pour surveiller les activités réseau, identifier et marquer les données, et appliquer les politiques de DLP afin de prévenir les abus ou les vols.

Il existe trois principaux types de solutions de DLP :

• DLP réseau
• DLP au point de terminaison
• DLP cloud

Les solutions de DLP réseau se concentrent sur la manière dont les données circulent à travers, vers et hors d’un réseau. Ils utilisent souvent l ’intelligence artificielle (IA) et le machine learning (ML) pour détecter les flux de trafic anormaux qui pourraient indiquer une fuite ou une perte de données. Bien que les outils de DLP réseau soient conçus pour surveiller les données en mouvement, beaucoup peuvent également offrir une visibilité sur les données utilisées et au repos sur le réseau.

Les outils de DLP aux points de terminaison surveillent l’activité des ordinateurs portables, des serveurs, des appareils mobiles et d’autres dispositifs qui accèdent au réseau. Ces solutions sont installées directement sur les appareils qu’elles surveillent et peuvent empêcher les utilisateurs d’effectuer des actions non autorisées sur ces appareils. Certains outils de DLP aux points de terminaison peuvent également bloquer les transferts de données non approuvés entre les appareils.

Les solutions de sécurité du cloud se concentrent sur les données stockées et accessibles par les services cloud. Elles peuvent analyser, classer, surveiller et chiffrer les données dans des dépôts cloud. Ces outils peuvent également aider à appliquer des politiques de contrôle d’accès sur les utilisateurs finaux et tous les services cloud susceptibles d’accéder aux données de l’entreprise.

Les organisations peuvent choisir d’utiliser un type de solution ou une combinaison de plusieurs solutions, en fonction de leurs besoins et de la manière dont leurs données sont stockées. L’objectif reste clair : protéger toutes les données sensibles.

Les équipes de sécurité suivent généralement un processus en quatre étapes tout au long du cycle de vie des données pour mettre en œuvre les politiques de DLP à l'aide d'outils DLP :

• Identification et classification des données
  
• Surveillance des données
• Application de mesures de protection des données
• Documentation et reporting des initiatives de DLP

Tout d’abord, l’entreprise catalogue toutes ses données structurées et non structurées.

• Les données structurées sont des données dont la forme est normalisée, comme un numéro de carte de crédit. Elles sont généralement clairement étiquetées et stockées dans une base de données.
  
  
• Les données non structurées sont des informations de forme libre, telles que des documents texte ou des images, qui peuvent ne pas être organisées de manière centralisée dans une base de données.

Les équipes de sécurité utilisent généralement des outils de DLP pour analyser l’ensemble du réseau et découvrir les données, qu’elles soient stockées dans le cloud, sur des points de terminaison physiques, sur des appareils personnels d’employés ou ailleurs.

Ensuite, ces données sont classées par groupes en fonction de leur degré de sensibilité et des caractéristiques qu’elles partagent. La classification des données permet à l’entreprise d’appliquer les politiques de DLP appropriées selon les types de données.

Par exemple, certaines organisations peuvent regrouper des données en fonction de leur type : données financières, données marketing, propriété intellectuelle, etc. D'autres organisations regroupent les données en fonction des réglementations applicables, telles que le règlement général sur la protection des données (RGPD) ou le California Consumer Privacy Act (CCPA).

De nombreuses solutions de DLP peuvent automatiser la classification des données. Ces outils peuvent utiliser l’intelligence artificielle, le machine learning et la mise en correspondance de modèles pour analyser les données structurées et non structurées afin de déterminer de quel type de données il s’agit, si elles sont sensibles et quelles politiques doivent s’appliquer.

Une fois les données classées, l’équipe de sécurité surveille leur gestion. Les outils de DLP peuvent utiliser plusieurs techniques pour identifier et suivre les données sensibles utilisées. Ces techniques comprennent : 

• L’analyse de contenu, telle que l’utilisation de l’IA et du machine learning pour analyser un e-mail à la recherche d’informations confidentielles.
  
  
• La mise en correspondance des données, telle que la comparaison du contenu d’un fichier avec des données sensibles connues.
  
  
• La détection d’étiquettes, de balises et autres métadonnées qui identifient explicitement un fichier comme étant sensible. Elle est parfois appelée « empreinte des données ». 
  
  
• La mise en correspondance des fichiers, où un outil de DLP compare les hachages (les identités des fichiers) des fichiers protégés.
  
  
• La correspondance de mots-clés, où un outil de DLP recherche des mots-clés souvent trouvés dans des données sensibles.
  
  
• La mise en correspondance de modèles, telle que la recherche de données qui suivent un certain format. Par exemple, une carte American Express aura toujours un numéro à 15 chiffres et commencera par « 3 ». Cependant, tous ces numéros ne sont pas associés à AmEx, donc une solution DLP peut également rechercher le nom de l’entreprise, une abréviation ou une date d’expiration à proximité.

Lorsqu’un outil de DLP détecte des données sensibles, il recherche des violations de politiques, des comportements anormaux des utilisateurs, des vulnérabilités du système et d’autres signes de perte potentielle de données, notamment : 

• Les fuites de données, comme un utilisateur qui essaie de partager un fichier confidentiel avec une personne extérieure à l’organisation.
  
  
• Les utilisateurs non autorisés tentant d’accéder aux données critiques ou d’effectuer des actions non approuvées, comme la modification, l’effacement ou la copie d’un fichier sensible.
  
  
• Les signatures de logiciels malveillants, le trafic provenant d’appareils inconnus ou d’autres indicateurs d’activité malveillante.

Lorsque les solutions de DLP détectent des violations de politiques, elles peuvent réagir en temps réel. En voici quelques exemples : 

• Chiffrage des données en mouvement dans le réseau.
  
  
• Interruption de l'accès non autorisé aux données.
  
  
• Blocage des transferts non autorisés et du trafic malveillant.
  
  
• Avertissement des utilisateurs en cas de non-respect des politiques.
  
  
• Signalement des comportements suspects à examiner par l’équipe de sécurité.
  
  
• Déclenchement de défis d’authentification supplémentaires avant que les utilisateurs puissent interagir avec les données critiques
• Appliquer le principe du moindre privilège pour l'accès aux ressources, par exemple dans un environnement Zero Trust.

Certains outils de DLP aident également à la récupération des données, en sauvegardant automatiquement les informations afin qu’elles puissent être restaurées après une perte.

Les entreprises peuvent également prendre des mesures plus proactives pour appliquer leurs politiques de DLP. Une gestion des identités et des accès (IAM) efficace, y compris des politiques de contrôle d’accès basées sur les rôles, peut restreindre l’accès aux données aux bonnes personnes. La formation des employés sur les exigences de sécurité des données et les bonnes pratiques peuvent aider à prévenir davantage de pertes et de fuites de données accidentelles avant qu’elles ne se produisent.

Les outils de DLP proposent généralement des tableaux de bord et des fonctions de reporting que les équipes de sécurité peuvent utiliser pour surveiller les données sensibles sur tout le réseau. Cette documentation permet à l’équipe de sécurité de suivre les performances du programme DLP au fil du temps afin que les politiques et les stratégies puissent être ajustées selon les besoins.

Les outils de DLP peuvent également aider les entreprises à se conformer aux réglementations pertinentes en consignant leurs efforts en matière de sécurité des données. En cas de cyberattaque ou d’audit, l’entreprise peut recourir à ces dossiers pour prouver qu’elle a suivi les procédures adaptées en matière de traitement des données.

Les stratégies DLP sont souvent alignées sur les efforts de conformité. De nombreuses organisations élaborent leurs politiques de DLP spécifiquement pour se conformer à des règlementations telles que le règlement général sur la protection des données (RGPD), le California Consumer Privacy Act (CCPA), la loi Health Insurance Portability Accountability Act (HIPAA) et la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS).

Les diverses réglementations imposent des normes différentes selon les types de données. Par exemple, la loi HIPAA établit des règles pour les informations de santé personnelles, tandis que la norme PCI-DSS dicte la manière dont les entreprises traitent les données de carte de paiement. Une entreprise qui collecte les deux types de données devra donc disposer de deux politiques de DLP distinctes afin de répondre aux exigences de conformité.

De nombreuses solutions de DLP comprennent des politiques de DLP prédéfinies alignées sur les différentes normes de sécurité et de confidentialité des données auxquelles les entreprises doivent se conformer.

De l'essor de l'IA générative aux réglementations émergentes, plusieurs facteurs modifient le paysage des données. En conséquence, les politiques et outils DLP devront évoluer pour répondre à ces nouveaux défis. Voici quelques-unes des tendances les plus marquantes en matière de DLP :

• Environnements hybrides et multicloud
• IA générative
• Renforcement de la réglementation
• Main-d'œuvre mobile et télétravail
• Shadow IT et données fantômes

De nombreuses organisations stockent désormais des données à la fois sur site et dans plusieurs clouds, parfois même dans plusieurs pays. Ces pratiques offrent flexibilité et économies, mais elles augmentent également la complexité de la protection de ces données.

Par exemple, le rapport sur les coûts d'une violation de données a révélé que 40 % des violations se produisent dans des organisations qui stockent leurs données dans plusieurs environnements.

Les grands modèles de langage (LLM) sont, par définition, volumineux, et ils consomment d'énormes quantités de données que les organisations doivent stocker, suivre et protéger contre des menaces telles que les injections d'invites. Gartner prévoit que « d'ici 2027, 17 % du total des cyberattaques et fuites de données impliqueront l'IA générative ».¹

Les violations de données majeures et les abus sur les réseaux sociaux entraînent une augmentation des appels à la réglementation des gouvernements et des différents secteurs d’activité, ce qui ajoute à la complexité des systèmes et des vérifications de conformité. Des développements récents, tels que la loi l’UE sur l’IA et le projet de règles du CCPA sur l’IA, imposent certaines des règles de protection des données et de confidentialité les plus strictes à ce jour.

La gestion des données au sein d’un bâtiment ou d’un réseau est plus simple que de fournir un accès au système à une main-d’œuvre mobile ou à des télétravailleurs, où les problèmes de communication et d’accès compliquent le travail du personnel informatique.

De plus, les travailleurs à distance peuvent parfois avoir plusieurs employeurs ou contrats, ce qui peut créer des « fils croisés » et entraîner davantage de fuites de données. Gartner prévoit que « d'ici la fin de 2026, la démocratisation de la technologie, la numérisation et l'automatisation du travail porteront le marché total des travailleurs entièrement distants et hybrides à 64 % de l'ensemble des employés, contre 52 % en 2021 ».¹

Les employés utilisant de plus en plus de matériel et logiciels personnels au travail, cette informatique fantôme non gérée (shadow IT) crée un risque majeur pour les organisations.

Les employés pourraient partager des fichiers de travail sur un compte de stockage cloud personnel, se réunir sur une plateforme de vidéoconférence non autorisée ou créer un chat de groupe non officiel sans l'approbation du service informatique. Les versions personnelles de Dropbox, Google Drive et Microsoft OneDrive peuvent poser des problèmes de sécurité pour l'équipe informatique.

Les organisations sont également confrontées à une augmentation des données fantômes, c'est-à-dire des données présentes sur le réseau de l'entreprise dont le service informatique n'a pas connaissance ou qu'il ne gère pas. La prolifération des données fantômes contribue largement aux violations de données. Selon le rapport 2023 sur le coût d’une violation de données, 35 % des violations impliquent des données fantômes.