DLP, des nuages à la terre ferme
Aucune plate-forme dans le cloud ne prendra jamais en compte tous les composants de l'infrastructure (postes de travail, tablettes ou smartphones). Quel rôle peut jouer la technologie DLP (Data Loss Protection) pour améliorer la sécurité des terminaux dans le nuage ?
Protéger les données sensiblesAu cours des quatre dernières années, la DLP est devenu partie prenante des systèmes de sécurité, notamment à des fins de conformité réglementaire (par exemple, HIPAA et PCI DSS). Wikipedia définit la DLP comme un ensemble de technologies intégrées ou systèmes qui identifient, surveillent et protègent les données en action, les données en mouvement et les données stockées, par le biais du filtrage du contenu couplée à l'analyse contextuelle et à une gestion centralisée. Les systèmes sont conçus pour détecter et prévenir l'utilisation non autorisée et la transmission de renseignements confidentiels.
En parallèle, l’adoption du Cloud Computing ne cesse de progresser, mais n’offre aucune sécurisation des données. En effet, lorsque l’on regarde le Cloud Computing, on trouve une architecture distribuée où les données peuvent se retrouver un peu partout. Ce qui conduit à une observation : les applications ne sont pas, en elle-même, développées pour intégrer des fonctions de DLP, alors que c’est là que sont traitées les données. On voit donc des données sensibles se promener d’un serveur à l’autre, sans pour autant descendre jusqu’au terminal. Avec des applications qui ne vérifient pas si l’information a effectivement le droit de lui parvenir ou d’aller vers une autre destination. On peut y voir soit une brèche, soit une nouvelle opportunité.
La DLP, une nécessité dans le nuage
Il existe une raison rationnelle et simple à cela. Toutes les autres technologies de sécurité – à l’exception de l’Information Rights Management – décident de leurs mesures d'application et définissent des paramètres contextuels basés sur des opérations de données (qui ?, quand ?, quoi ?, où ?, vers où ?) - et non sur la valeur ou la sensibilité des renseignements que contiennent les données exploitées. En conséquence, dans de nombreux scénarios, surtout lorsque des données non structurées sont impliquées (comme l'envoi de courriels ou le téléchargement de documents via des supports amovibles), les technologies basées sur le contexte ne peuvent protéger les données sensibles contre la fuite incontrôlée. Même si l’IRM permet de classer péremptoirement et manuellement un document selon la valeur de l'information qu'il contient lorsqu'il a été créé par son auteur. Sa classification manuelle s’avère fastidieuse et lourde. En outre, l'IRM ne peut être utilisée pour les échanges de données externes. Cette technologie se retrouve ainsi dans de nombreux cas inutile.
Alors qu’au contraire, les technologies DLP, basées sur l'analyse intelligente et automatique du contenu, permettent de contrôler la valeur de l'information contenue dans les données exploitées – ce qui couvre ainsi tous les scénarios non pris en charge par des mécanismes de sécurité axés sur le contexte.
Position de la DLP dans le nuage
On peut effectivement imaginer placer des appliances qui vont traiter les données dès qu’elles sortent des applications, mais c’est comme pour le spam : ce n’est pas parce que l’on filtre dans le réseau qu’il ne faut rien faire au niveau du terminal ou de l’application. Ce qui est d’autant plus vrai dans le cloud que les données sont susceptibles d’être répliquées dans de nombreux endroits. D’où le besoin de bloquer avant.
Au-delà, il y a aussi une question de performances. Si les fonctions de DLP sont assurées directement au niveau du serveur, à la source, on allège les besoins en CPU et en bande passante. Mais l’appliance de DLP peut être une machine virtuelle fonctionnant sur le même hyperviseur que les machines virtuelles des applications... Reste que la gestion des données sera meilleure si la fonction de DLP est intégrée directement à l’application.
De plus, selon les données et les modèles (IaaS, PaaS et SaaS), les fonctions de DLP vont incombées soit directement aux utilisateurs des terminaux ou aux fournisseurs de services cloud qui devront les intégrer dans leur offre :
Protection des données en mouvement dans le cloud - Il est clair que les scénarios de fuite des données en mouvement ne peuvent être contrôlés uniquement que par des agents DLP directement dans le cloud.
Protection des données en utilisation dans le cloud - Les deux approches DLP dans le nuage et depuis les points d’extrémité du terminal sont nécessairement requises pour se protéger contre tous les divers scénarios de fuites de données en utilisation. En effet, certains clients cloud ne nécessitent pas fondamentalement le transfert des données vers et à partir des points de sortie du poste de travail où elles sont hébergées parce que les applications s'exécutent dans le nuage. Toutes les opérations des données en cours d'utilisation sont donc pratiquement locales dans le nuage – et pas sur le terminal. Par exemple, avec Google Docs, les utilisateurs distants créent et stockent des documents sans transférer leurs fichiers sur l'ordinateur, même pour l'édition.
Protection des données stockées dans le cloud – Les données sont généralement stockées sur plusieurs systèmes sans aucune maîtrise possible. La protection des données s’effectue dans ce cas-ci directement au niveau de la recherche pour pouvoir établir un schéma et une cartographie des données sensibles.
Conclusion
Dans un environnement cloud, il faut donc répartir les différents rôles au niveau de la DLP entre le terminal et le fournisseur. D’une part, l’ajout de composants DLP et d’une gestion centralisée grâce à des API par le fournisseur présente un avantage concurrentiel non négligeable. D’autre part, l’intégration des composants DLP aux systèmes d’alertes déjà existants ainsi qu’aux services associés est évidente. L’avènement du Cloud Computing est aussi en train d’accélérer l'apparition d’agents DLP sur les terminaux mobiles fonctionnant aussi bien sur Android qu’iOS.