Réinventer la DLP : comment gérer la perte de données dans un monde en télétravail ?

Le télétravail a permis aux entreprises de se renouveler en matière d'embauche. Pourtant, ce mode de fonctionnement n'a pas été une avancée pour tous. En effet, les équipes informatiques, et en particuliers celles en charge de la sécurité informatique et de la protection des données, se sont retrouver face à un problème de taille : la gestion de la perte de données.

Les entreprises ont tiré des avantages considérables de la révolution du travail à distance. Le télétravail les a aidées à prospérer au milieu d’une pandémie mondiale, a permis d’accéder à des talents internationaux d’autres pays et a rendu les postes plus inclusifs. Pour les équipes informatiques, toutefois, le télétravail a été un cauchemar.

Ce mode de travail implique la dispersion des employés, ce qui entraîne d’énormes problèmes de sécurité en raison de l’extension des périmètres du réseau et de la réduction en visibilité. Les équipes de sécurité ont perdu leur supervision sur les interactions des utilisateurs avec les données et leur stockage des fichiers, sans parler du partage des informations et des documents.

Le flux chaotique et apparemment incontrôlable de données dans ce nouveau monde du télétravail a généré une dangereuse idée reçue : l’impression que la prévention des pertes de données (DLP) est inefficace pour gérer les employés en télétravail. Cette idée est pire que fausse, elle est extrêmement dangereuse. Les données sensibles que génèrent et traitent les entreprises sont vraiment précieuses, quelle que soit la manière dont elles sont traitées. Leur perte signe avec une quasi-certitude une catastrophe pour l’organisation.

Vous voulez rendre votre entreprise conforme aux exigences en matière de protection des données, protéger votre propriété intellectuelle et vous défendre contre les cybercriminels ? Vous devez pour cela minimiser les pertes de données, et la meilleure façon d’y parvenir est de mettre en place des solutions de DLP.

L’impact du télétravail

Le passage au télétravail a augmenté la fréquence de toutes les formes de perte de données. Certaines fuites, compréhensibles, sont accidentelles, comme l’envoi d’un fichier vers un compte de messagerie personnel. D’autres sont intentionnelles. Ces fuites délibérées peuvent impliquer des membres de l’équipe, qui conservent des informations confidentielles pour leur propre bénéfice, ou des piratages externes par des cybercriminels s’introduisant de l’extérieur. Le télétravail augmente également les risques pour les organisations en raison de la portée accrue du réseau, de l’introduction de nouveaux appareils et d’un manque général de visibilité.

La sauvegarde des données

Toutes les données sont précieuses, mais certaines le sont davantage. La première étape d’une DLP efficace consiste à déterminer quelles données il est important de sauvegarder et à les étiqueter comme telles. Les organisations doivent étiqueter les informations sensibles telles que la propriété intellectuelle, les informations financières, les informations de santé et celles qui sont soumises à des règles de conformité. Elles doivent ensuite s’assurer d’avoir mis en place des politiques solides pour empêcher tout accès non autorisé à ces données. Ces protections doivent interdire l’accès aux employés qui n’ont pas besoin d’interagir avec ces données, par exemple grâce aux fonctions de sécurité des fournisseurs de services cloud.

Vous pouvez encore améliorer la protection des données en renforçant la sécurité du réseau de votre organisation. Une entreprise qui emploie du personnel à distance doit utiliser un réseau privé virtuel (VPN) afin que les membres d’équipe qui utilisent des réseaux non sécurisés ou publics n’exposent pas le réseau à des attaques. Pour sécuriser correctement le réseau, utilisez une authentification multifactorielle avec un VPN, mais n’oubliez pas : les pirates peuvent quand même réussir une attaque de VPN.

L’infrastructure de bureau virtuel (VDI) vous offre un moyen supplémentaire de limiter le risque introduit par les télétravailleurs utilisant leurs appareils personnels sur un réseau d’entreprise. Les fournisseurs de VDI et de Desktop-as-a-Service (DaaS), comme Amazon Workspaces, permettent aux organisations de mettre en place des contrôles stricts pour empêcher les utilisateurs de déplacer ou de copier des données sur des périphériques locaux, ce qui renforce la gestion des menaces internes.

Mais même les meilleures défenses peuvent vaciller. C’est pourquoi la surveillance continue est un élément crucial de la DLP. Les outils qui surveillent l’activité du réseau et des terminaux aident à repérer les cyberattaquants externes qui ont pénétré dans un réseau et peuvent les arrêter avant qu’ils ne fassent de réels dégâts. Les outils de surveillance continue peuvent également fournir des preuves du siphonnage d’informations sensibles par certains employés, potentiellement pour les transmettre à des concurrents.

Formations et champions de la DLP

En matière de DLP, toutefois, les processus importent autant que la technologie. La formation est au cœur des meilleures pratiques de DLP. Tous les employés doivent être pleinement conscients des risques de sécurité, notamment de la manière dont chaque comportement protège ou menace la sécurité des données, ainsi que des conséquences pour l’entreprise.

Des sessions de sensibilisation à la sécurité offrent un moyen bien établi d’améliorer l’hygiène de la sécurité dans une entreprise. Mieux encore, pour véritablement intégrer la DLP aux processus métier, les organisations peuvent envisager de nommer des « champions » de la DLP dans chaque service. Tout comme les champions de la sécurité, ces personnes servent de relais entre l’équipe de sécurité et le reste de l’entreprise. Elles contribuent à l’intégration de la DLP à tous les niveaux et alertent les équipes de sécurité des problèmes de protection dont ces dernières ne sont peut-être pas conscientes.

Enfin, n’oubliez pas l’équipe juridique. L’intégration avec le service juridique de votre organisation est primordiale. Vous devez vous assurer que vos processus sont conformes à la réglementation en matière de conformité et vous tenir au courant de tout changement législatif ou juridique de ce type.

L’étude de rentabilité pour votre direction

La DLP n’est pas une décision limitée au domaine de la sécurité. Il faut absolument que la direction s’implique pour assurer la réussite de ces solutions. Il peut être difficile pour les membres non techniques du conseil d’administration de comprendre la valeur des programmes DLP en termes de temps, d’argent et d’énergie, mais ce temps n’est pas perdu.

L’essentiel ici est de souligner que l’investissement dans la protection serait largement surpassé par le coût d’une perte de données critiques. Que ce soit par le biais d’un secret commercial volé, d’une amende pour non-respect du RGPD (règlement général sur la protection des données) ou d’une attaque par ransomware, la moindre fuite de données possède un potentiel énorme de destruction des bénéfices.

Il est également important de rassurer la direction de l’entreprise sur le fait que les logiciels de DLP n’entraînent pas nécessairement des coûts énormes. Les services DLP gérés peuvent offrir une assistance évolutive et une sécurité de haut niveau à des prix avantageux.

Le télétravail et la DLP vont main dans la main. Avec des bureaux qui s’étendent sur des kilomètres et des données constamment échangées entre les appareils, le travail à domicile a compliqué la tâche des équipes de sécurité, mais il ne l’a pas rendu impossible. En étiquetant soigneusement les données, en choisissant la bonne technologie, en dispensant une formation à l’échelle de l’entreprise et en désignant des champions de la DLP, vous renforcerez considérablement la sécurité des données sensibles et contribuerez à créer une organisation résiliente adaptée à cette nouvelle ère du télétravail.