Data Loss Prevention : un succès mitigé imputable aux intégrateurs ?

Habitués à vendre de la sécurité "in the box", les intégrateurs sécurités historiques ont pris le marché du DLP, comme un produit "de plus" à vendre. Grosse erreur.

Une des premières fonctions des produits de DLP (Data Lost/Leak Prevention) est de prévenir la fuite d'information de l'entreprise et, ce, que celle-ci soit intentionnelle ou non.

Ces produits peuvent aussi être utilisés dans le cadre d'audits et / ou d'analyse avec des objectifs métiers pour cartographier les données dite confidentielles au sein du Système d'Information, par exemple pour répondre à des problématiques normatives telles que PCI-DSS (recherche de numéro de carte bleu par exemple).


Les produits de DLP ne sont pas des produits Plug & Play.


Habitués à vendre de la sécurité "in the box", les intégrateurs sécurités historiques ont pris le marché du DLP, comme un produit "de plus" à vendre, avec les mêmes problématiques de déploiement que celle qu'implique la mise en place d'un pare-feu ou d'un antivirus.

Même si je grossis volontairement le trait, la problématique du DLP et de son succès mitigé peut être en (majeure) partie imputable à l'intégrateur. 

En effet, le contrôle des données "confidentielles" en mouvement ou stockées au sein du Système d'Information (sur les ressources qui le composent) peut s'avérer très complexe ! Ce constat démontre que les produits de DLP ne sont pas des produits Plug & Play.


L'importance négligée de l'étape préliminaire

 
Bien que l'installation d'un produit de DLP dans une problématique d'audit, par exemple, peut rester assez simple. La mise en place d'une politique de DLP pour répondre à une problématique de prévention de fuite d'information confidentielle peut s'avérer très complexe. Non pas en termes d'installation des produits (sur le réseau, les postes de travail ou encore sur les points de sorties Internet (messagerie compris), mais à cause de l'interaction produits / données de l'entreprise.

Cette configuration demande une étape préliminaire à la mise en place des produits qui est, selon moi, trop souvent négligée : un premier niveau de classification pragmatique des données par les métiers. Il est primordial d'impliquer les métiers dans de type de projet ! 
Sans cette étape le produit peut s'avérer être contreproductif.


Analogie avec les déploiements de solution SIEM ?


Pour mémoire, le même type de problème s'était posé lors de déploiement de solution SIEM. Beaucoup de clients ont déployé ce type de solution sans même avoir une connaissance rationnelle des logs importants dans leurs entreprises. L'impact est moindre, car si la solution SIEM est inefficace, elle n'affecte que l'analyse des risques issus des logs, et non l'utilisateur final, alors que le DLP peut impacter celui-ci directement.

La catégorisation des données doit donc être traitée comme un projet à part entière, qui peut dans certains cas être complètement décorélé des problématiques de DLP.
 
La mise en place d'une solution de DLP demande un changement de méthodologie de la part de l'intégrateur, il se doit travailler avec une compréhension complète du métier de son client et des problématiques liées à la donnée : confidentialité, intégrité, criticité.

Cette démarche demande une approche conseil de la part de l'intégrateur, ce qui peut engendrer un cycle de vente plus long, car une grosse partie de la vente est liée au service et non plus aux produits.