Le coffre-fort électronique, premier pas vers le DLP

le 02/06/2009, par Jean Pierre Blettner, Actualités, 819 mots

Le coffre-fort  électronique, premier pas vers le DLP

Le DLP (Data Loss Prevention) encadre la protection des données sensibles de l'entreprise. On n'en est encore qu'aux premiers pas. Les rencontres du RIAM ont montré que les responsables sécurité débutent par des coffres-forts électroniques. Les 5èmes rencontres du RIAM (Rencontres de l'Identity et de l'Access Management) ont eu lieu du 27 au 29 mai dernier. Organisées superbement par l'intégrateur Atheos, elles sont l'occasion privilégiée d'aborder des thématiques clés de la protection des systèmes d'information et les meilleures pratiques avec les responsables sécurité des plus grandes entreprises françaises. On citera entre autres Carrefour, Areva, Michelin, Thomson, Société Générale, BNP Paribas, Crédit Agricole, Casino, Air Liquide, AGF, Louis Vuiton, Faurecia, EADS, etc ... Cette année plus de quatre vingt responsables étaient présents. Les rencontres du RIAM (Rencontres de l'Identity and Access Management) réunissent les responsables sécurité des grandes entreprises (Ici, un des nombreux ateliers de travail) Si les rencontres du RIAM étaient à l'origine conçues pour aborder les projets de gestion d'identités au sein des entreprises, un virage a été pris vers de nouvelles approches telles que le DLP (Data Loss Prevention) ou protection contre la fuite d'information. Plusieurs ateliers lui étaient consacrés, notamment animés par Utimaco (désormais racheté par Sophos) ou par Trend Micro. Pour mémoire, le principe du DLP consiste à tracer les données selon leur importance stratégique (Il faut donc classer ses données) et leur cheminement dans le système d'information. Une solution de DLP doit savoir stopper des données que l'on transfère indument vers une clé USB (un agent logiciel sur le PC empêchera cette action) ou que l'on envoie par email (la passerelle de messagerie bloquera le message). Afin de stopper des données, il faut mettre en place des règles de filtrage et d'identification de la criticité des données. Par exemple, si dans le modèle du document le mot "Confidentiel" apparaît, ... Photo : coffres sécurisés (D.R.) ... on pourra filtrer sur ce mot. Trend Micro propose également de filtrer sur "l'empreinte" (Fingerprint) du document, sur des expressions régulières (Regex), des mots clés (Keyword), un format, un template, ou des méta données. Si certains RSSI ne sont guère convaincus par le DLP La question principale demeure la gestion des risques ! » ), d'autres y voient une piste intéressante même s'ils ne l'ont pas encore déployé en interne. En fait, les solutions mises en place et décrites par de nombreux responsables sécurité lors des ateliers consistent à mettre en place des coffres forts électroniques. On a un peu l'impression de revenir quelques années en arrière, et cela sonne nettement moins moderne que le DLP mais cela paraît efficace. Ces coffres forts sont alors réservés à de petits groupes de personnes (dix à vingt personnes en général). Les responsables sécurité tracent ensuite tous les accès à ces coffres forts électroniques. Toutes les modifications des documents sont effectuées au sein du coffre fort électronique. Par où débuter cette mise en oeuvre ? "Par le corporate parce que l'on ne pourra pas s'attaquer à tout et qu'ils sont sensibilisés" répond sans hésitation le RSSI d'une grande société. « Par exemple, le rapport annuel de l'entreprise ne doit pas circuler avant qu'il ne soit rendu public. Idem pour les documents définissant la gouvernance de l'entreprise. Il s'agit du plan stratégique pluri annuel, et de sa déclinaison en de multiples programmes» souligne-t-il. Il protège ainsi le coeur de la stratégie de son groupe. Et il n'est pas le seul, plusieurs RSSI procèdent de la même façon pour les documents jugés les plus sensibles. Pour aller au-delà, et mettre en oeuvre un DLP à l'échelle de l'entreprise, il faudra toutefois arriver à résoudre plusieurs questions. Comme le remarquait un RSSI qui a déployé un coffre-fort ... ... électronique : "L'informatique ne sait pas quelles informations sont confidentielles. Il n'y a que les métiers qui peuvent le définir. Or, ils sont peu motivés pour le faire". Dans sa propre entreprise, c'est le service juridique qui s'y est attelé. Il a défini la classification de ce qui est confidentiel ou pas. Cette classification doit être simple à comprendre et ne pas occuper un document de 50 pages. Et il s'agit d'un projet d'entreprise. "Nous avons une matrice de décision pour définir la classification de nos informations, cela permet de déterminer qui est le propriétaire de l'information, cela prend 2 pages" insiste un autre RSSI. Les informations à accès restreint se voient chiffrées (sur les disques, les fichiers ou les bases de données), les autres ne l'étant pas. "Le chiffrement n'est pas du DLP", est alors intervenu un autre responsable sécurité, tout en admettant dans le même temps que le chiffrement était désormais mature, alors que le DLP n'en est encore qu'à ses débuts. Ultime frein, note un autre responsable : "si l'utilisateur comprend qu'il ne peut plus envoyer un document par email quand il y met le mot confidentiel, très vite, il ne l'indiquera plus afin de travailler sans être bloqué". Une stratégie de contournement que l'on retrouve très fréquemment quand la sécurité devient un frein au business.

T-Mobile authentifie de manière forte 15000 employés via leur mobile

L'opérateur mobile T-Mobile authentifie 15 000 collaborateurs via leurs téléphones mobiles. Les employés de T-Mobile

le 05/02/2013, par Jean Pierre Blettner, 341 mots

La cybercriminalité va faire l'objet d'un énième rapport du ministère...

Le ministère de l'intérieur entend mieux piloter la lutte contre la cybercriminalité. Le ministre de l'intérieur Manu

le 30/01/2013, par Jean Pierre Blettner, 222 mots

Mega déjà mis en cause pour violation de propriété intellectuelle

Le site de stockage et de partage de fichiers Mega a supprimé du contenu violant la propriété intellectuelle le

le 30/01/2013, par Véronique Arène et IDG News Service, 832 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...