Lionel Mourer a plus de 10 ans d’expérience en conseil stratégique et opérationnel en sécurité pour des grands groupes et de nombreuses PME/PMI. Il a rejoint Bull en 2004 pour créer et développer l’activité Conseil & Audit en Réseau et Sécurité du Système d’Information. Outre son activité de développement de l’offre et de direction de l’équipe (près de 20 personnes), Lionel participe à de nombreuses avant-ventes et intervient également en production sur des missions d’expertise et/ou de conduite de projets complexes. Lionel est Ingénieur en Technologies de l'Information et de la Communication, diplômé de Télécom Lille 1

Il y a longtemps… les ‘malveillants’ étaient bien identifiés, ils étaient nos ennemis et venaient de ‘l’extérieur’ ! Pour se protéger furent inventées les ‘ceintures externes’ – peuplées de pare-feux, d’IDS/IPS, d’anti-virus et d’autres anti-malware… – véritables murs infranchissables, protégeant les systèmes d’information (SI) de ses agresseurs. Puis, l’on se rendit compte que la menace venait aussi (surtout ?...) de l’intérieur, alors on développa le contrôle utilisateur, sortes de ‘bretelles internes’ – intégrant les procédures, les outils d’authentification et l’IAM, etc. – assurant que l’utilisateur est connu et reconnu… Aujourd’hui tout est sous contrôle ! Et pourtant, l’information n’a jamais circulé aussi librement (trop ?...) : des messageries aux blogs en passant par le peer-to-peer, les transferts FTP ou les sites Web, comment contrôler la diffusion de l’information, parfois sensible, confidentielle ou critique, de entreprise ? Le DLP est un élément de réponse : nous allons voir comment.

Oh, bien évidemment, loin de nous l’idée de penser à enlever ‘ceinture et bretelles’. Ces éléments de sécurité restent indispensables et il faut continuer à les faire évoluer afin de garantir le bon niveau de sécurité du SI, en accord avec la Politique de Sécurité. Toutefois, le monde est ouvert ! L’information y circule de plus en plus facilement et généralement à bon escient !… Mais, de la ‘bonne circulation’ à la ‘fuite d’information’, il n’y a qu’un pas, souvent assez simple à franchir et avec (encore) peu de risques d’être pris. C’est pourquoi de nombreuses entreprises cherchent des moyens à mettre en œuvre permettant, au mieux, d’éviter cette fuite a priori ou, au pire, de la signaler a posteriori. Outre les aspects organisationnels (sur lesquels nous reviendrons), les technologies évoluent pour les y aider.

La suite de cet article s’organisera autour des sections suivantes :

• la valeur de l’information ou comment et pourquoi identifier les informations et leur niveau de confidentialité/criticité ;
• la ‘disparition’ d’informations : une menace permanente. Pourquoi les informations sont-elles détournées ? Qui y a intérêt ? etc. ;les conséquences de la perte de données ;
• les techniques de prévention/réaction : vision organisationnelle, juridique et technique, avec un focus sur les technologies DLP.

La valeur de l’information
La ‘valeur’ des informations n’est que rarement identifiée au sein des entreprises, pas plus que leur mode de circulation et la manière dont elles sont utilisées ! Pourtant, il est primordial de connaître ces aspects et tout particulièrement de classer les informations présentes dans l’entreprise. Il existe deux axes de classification de l’information :

• La confidentialité : qui doit pouvoir accéder à telle ou telle information ? Classiquement, trois niveaux de classification de confidentialité de l’information sont utilisés (voir Tableau 1). Selon les études, on estime à moins de 10 % la part d’informations secrètes ou confidentielles et plus de 50 % la part publique (ces pourcentages peuvent varier d’un secteur à l’autre).
• La criticité : quelles sont les informations importantes au sein de l’entreprise ; par exemple, celles permettant de reprendre l’activité suite à un sinistre ? Ici aussi on utilise en général trois niveaux  (voir Tableau 2).

Tableau 1 - Exemple de classification de confidentialité de l’information (sur 3 niveaux)

Tableau 2 - Exemple de classification de criticité de l’information (sur 3 niveaux)

Toutefois, s’il est simple de dire « Il faut classifier les informations au sein de l’entreprise. », il est plus difficile de faire ce travail, tout simplement parce ce qu’il y a souvent beaucoup d'informations dans l'entreprise, que ces informations sont réparties de manière pas toujours connue, qu’il n’est pas toujours évident d’identifier le ‘véritable propriétaire’ de l’information, etc. !

La fuite d’informations : une menace permanente…
Il existe deux façons de ‘perdre’ de l’information :

• par accident : il s’agit, par exemple de l’envoi d’un message à une ‘mauvaise’ personne (erreur de frappe, homonyme, etc.), ou de documents ‘traînants’ sur l’imprimante ou sur un bureau accessible (manque de sensibilisation), etc. ;
• par malveillance : on parlera alors de vol d’informations. Le voleur sait ce qu’il vient chercher et pour qui il le fait ; par exemple, la récupération d’informations confidentielles pour les revendre (appât du gain), pour se venger, nuire à l’image de marque (employé aigri, etc.), ou se ‘simplifier le travail’ (changement d’employeur, etc.).

Les canaux de ‘perte’ sont, quant à eux, bien plus nombreux et correspondent aux différents moyens de s’échanger des informations (voir Figure 1, liste non exhaustive).

Figure 1 - Mode d’échange et source de fuite potentielle

Globalement, la majorité des ‘disparitions’ d'informations en entreprise vient d’individus autorisés à accéder à ces informations (78 % selon le Ponemon Institute). De même, la perte ou la dispersion d’informations est souvent réalisée dans un but non malveillant. Toutefois, dans tous les cas, l’entreprise se doit (d’essayer…) de contrôler ces informations.

…aux conséquences diverses
Que se passerait-il si des informations stratégiques pour l’activité de l’entreprise ou des données ‘personnelles’ étaient divulguées ? Régulièrement, les ‘feux de l’actualité’ nous rappelle que ces pertes existent (cf. Encadré 1) et les entreprises qui sont touchées en subissent plus ou moins les conséquences, comme par exemple :

• une atteinte à l’image de marque, entraînant un recul de part de marché (cas de certaines banques ayant perdus des clients suite à une perte de données médiatisée) ;
• des poursuites judiciaires peuvent avoir lieu et entraîner une sanction financière ;
• dans certains cas, cela peut même mettre l’entreprise en péril (projets de rachat ou de fusion avortés suite à une fuite d’informations pendant les négociations), etc.

Les ‘techniques’ de prévention/réaction
Pour se protéger des fuites d’information, trois axes sont à prendre en compte. En effet, pour traiter le problème de façon globale, l’entreprise doit gérer les aspects juridiques, organisationnels et techniques.

Les aspects juridiques
Nous l’avons déjà écrit, la prise en compte du problème de fuites d’informations passe par ‘l’humain’. De fait, chaque personne pouvant accéder à une information ‘classifiée’ (d’un point de vue confidentialité ou criticité) devrait avoir sa responsabilité engagée en cas de ‘perte’ d’information.

Dans le cas de salariés de l’entreprise, il est possible d’utiliser une clause précisant l’importance des informations auxquels ils vont avoir accès et d’insister sur la non divulgation. Cela peut passer par le contrat de travail, par une charte utilisateur, par un engagement personnel de confidentialité, voire dans certains cas extrêmes, par une habilitation (Confidentiel ou Secret Défense par exemple), etc.

Pour les personnes externes (client, fournisseur, etc.), l’entreprise peut traiter le problème de la même façon au travers d’une clause spécifique dans le contrat de service, par la signature d’engagements personnels de confidentialité, par la demande d’une habilitation de l’entreprise intervenante et/ou personnelle de ses salariés, etc.

Les aspects organisationnels
L’organisation tient également un rôle particulièrement important dans un projet DLP. En effet, parmi les points à prendre en compte on retrouve l’identification des données en question, la sensibilisation et/ou la formation des différents acteurs, la mise en place de procédures couplées à un mécanisme d’audit et de contrôle, etc.

Premier pas à effectuer, l’identification et la classification des données sensibles, selon un schéma tel qu’expliqué plus haut dans cet article. À cette fin, les aspects légaux et réglementaires, les règles internes (Politique de Sécurité, etc.), mais aussi la nécessité éventuelle de protection de sa propriété intellectuelle doivent être prise en compte pas l’entreprise. Un questionnaire peut être soumis à chaque Direction interne (métier et support) afin d’aider à cette identification/classification.

Deuxième élément, en rapport direct avec les aspects juridiques, la sensibilisation des salariés (voire des personnes externes intervenant au sein de l’entreprise) aux problèmes de fuite d’information. Si l’arsenal juridique est en place, il reste de la responsabilité de l’entreprise d’expliquer le pourquoi il est important de protéger ses informations sensibles.

Autre point important à prendre en compte : comment les personnes utilisent leurs informations et comment ils les font circuler (messagerie, support CD/DVD, clé USB, papier, etc.) ? Les ‘flux informationnels’ sont particulièrement important dans une approche DLP, c’est en fonction d’eux que les outils vont être paramétrés et déployés (cf. aspects techniques).

Enfin, des procédures doivent permettre à chacun de rester dans le cadre de ses prérogatives. Et que seraient des procédures sans un minimum de contrôle et d’audit de ces dernières ?... Là encore, l’organisation est un point majeur. Il est à noter, que d’un point de vue général, la mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI) est pertinente afin de gérer les aspects organisationnels incombant au RSSI.

Les aspects techniques
Ils sont principalement portés par des outils logiciels, développés par des éditeurs (cf. Encadré 2), répartis entre des spécialistes exclusifs et des acteurs historiques de la protection du poste de travail. Globalement, les outils de DLP n’apportent pas d’innovation technologique. Ils utilisent des mécaniques déjà existantes et bien connues, tels que le contrôle de port, la cryptologie, l’authentification, etc. Leur valeur ajoutée se situe dans la capacité à automatiser la prise en compte des informations, mais aussi les contrôles et le suivi de l’activité.

Le fonctionnement standard d’un outil de DLP consiste à prendre une ‘empreinte’ numérique des données sensibles identifiées, assurant ainsi la traçabilité de l'information dans l'entreprise. L’outil observe alors les données à protéger, leur cheminement au sein du Système d’Information et applique, si besoin, des politiques prédéfinies de sécurité. De fait, l'administrateur et/ou le RSSI seront avertis si un utilisateur essaye de transmettre ou de copier des données jugées sensibles ; l'action quant à elle pourra être bloquée. Une alerte peut aussi remonter (avant ou après la fin de l’action) à l’utilisateur, permettant de lui rappeler qu'il traite des données sensibles. En effet, les utilisateurs n'ont pas (ou plus) toujours conscience du caractère sensible de certaines informations…

Parmi les principales caractéristiques d’une solution de DLP, on retrouve (liste non exhaustive) :

• La prise en compte des informations confidentielles, intégrant :
  • les données structurées et non structurées – et indépendantes de la langue (multilingue) ;
  • la correspondance via mots-clés et métadonnées, les expressions rationnelles, voire les‘empreintes’ ;
  • la correspondance de fichiers texte avec des fichiers binaires.
• L’étude et la gestion de la topologie des ordinateurs (points finaux) de l'entreprise, avec :
• la détection des points finaux de l'entreprise ;
• l’affichage sous forme de ‘carte’ de l'état des points finaux ;
• la surveillance et l’administration centralisées de l'état des clients ;
• la détection de dispositifs d'entrée/sortie non autorisés au niveau des points finaux.
• Le contrôle de tous les dispositifs d'entrée/sortie (USB, CD/DVD, disquettes, Bluetooth, IrDA, port de communication et port imprimante, etc.) et le blocage de la fonction ‘Impécr’.
• Diverses stratégies de sécurité granulaires, telles que :
  • la journalisation, les alertes côté serveur et/ou client, le blocage, etc. ;
  • la possibilité de stratégies distinctes pour les cas de violation en ligne et hors connexion ;
  • des stratégies de sécurité basées sur des groupes et domaines de points finaux.
• La génération de rapports, par exemple :
  • via des boîtes de dialogue interactives personnalisées pour informer les administrateurs et le RSSI, voire les employés en temps réel des actions ‘illicites’ effectuées ;
  • des rapports en temps réel des cas de violation de sécurité et tableaux de bord par points finaux, utilisateurs, etc. ;
  • l’analyse des tendances et ruptures des chaînes de violations ;
  • les rapports programmés et/ou à la demande, relatifs aux violations de sécurité.
• Une administration à base de rôles et le contrôle de l'accès aux contenus confidentiels.

Une fois le choix de l’outil réalisé, reste à l’intégrer et à le déployer. Ce type de projet est généralement porté par la DSI, en relation avec le RSSI et la Direction de l’entreprise.

Pour finir, n’oublions pas que toutes les informations ne sont pas ‘numériques’ et face à une personne mal intentionnée, il est parfois difficile d’éviter le ‘vol physique’ (dossier papier, ordinateur portable, etc.). Autrement dit, aucun système de prévention de fuite d’informations n'est absolu et la confiance que l’entreprise met dans ‘l’humain’ reste au cœur du problème !...

 ¹ Data Leak/Loss/Leakage Prevention : prévention de la fuite d'informations