Qu’est-ce que le DLP et comment le mettre en œuvre de façon optimale ?

Le point sur le défi de la prévention contre la perte de données, et analyse des éléments à prendre en compte quand on choisit une solution dans ce domaine.

Encore récemment, la plupart des projets de sécurité informatique des entreprises se concentraient sur la protection contre les risques externes, notamment la défense contre les virus et les programmes malveillants arrivant par e-mail, ou la protection des applications via les firewalls.

Cependant, la protection des données commence à revêtir de plus en plus d'importance et la prévention contre la perte de données (DLP, Data Loss Prevention) est un sujet qui revient constamment au premier plan. Ce concept couvre les solutions de sécurité Internet et de messagerie électronique, le cryptage de disques durs et le contrôle des supports de stockage amovibles, les suites de sécurité des points d'entrée et bien d'autres choses encore. Mais comment des produits aussi disparates peuvent-ils couvrir un thème aussi vaste ?

La perte de données sensibles peut se produire de manières très diverses : via l'envoi d'informations confidentielles par e-mail ou sur Internet, le vol de carnet d'adresses électroniques ou la copie non autorisée de données sensibles sur des supports de stockage portables. Les produits DLP (de prévention contre la perte de données) ont été développés pour prévenir la perte de données. Voilà pourquoi certains produits qui actuellement ne peuvent contrôler qu'un seul ou plusieurs de ces canaux affichent souvent l'appellation DLP.

Il existe cependant des différences, et toutes ces solutions ne sont pas de vrais produits de prévention contre la perte de données.

Par exemple, une solution DLP se distingue d'un produit de contrôle des ports USB sur un point très important : le contrôle des ports limite uniquement l'utilisation de certains périphériques, tandis qu'une solution DLP va plus loin en contrôlant les données transmises à partir des ports. Certes, le contrôle des ports permet d'utiliser certains supports USB, mais il ne peut pas empêcher la copie de données sensibles sur les supports de stockage autorisés. Les solutions de cryptage de disques durs, les applications de contrôle des périphériques de stockage ou de cryptage d'e-mails revendiquent aussi à tort le statut DLP.

Une "véritable" solution DLP permet en revanche d'identifier les données sensibles et peut empêcher leur copie, même sur les supports de stockage autorisés. Parmi critères les plus importants de sélection d'un produit DLP, figurent le nombre de canaux contrôlables (HTTP, SMTP, supports amovibles, etc.) et la qualité de l'analyse de contenu pour l'identification des données confidentielles.

Comment les données sensibles sont-elles identifiées ?
L'identification des contenus confidentiels s'opère de différentes manières :

 - Décrire le contenu confidentiel à l'aide de mots clés et d'expressions récurrentes (code pour la description de motifs de caractères). Ceux-ci sont définis dans les règles DLP et assortis d'une pondération correspondante. Quand la somme des fréquences d'occurrences pondérées d'un document excède une valeur de seuil, le système classifie le document comme confidentiel.

- Le "fingerprinting" représente une autre possibilité d'analyse de contenu via le calcul de la valeur de hachage d'un document. Celle-ci résulte d'une fonction mathématique qui produit une expression précise plus courte et plus concise à partir de données d'entrée de longueurs différentes. Cette valeur de sortie est modifiée automatiquement en cas de variation des données d'entrée, même minimale, de sorte que la valeur de hachage représente le document intégral non modifié et permette son identification (les algorithmes de hachage les plus courants sont MD5 et SHA-1). Si cette méthode ne produit aucun faux positif, elle n'offre toutefois pas de protection contre les modifications les plus élémentaires apportées à un document.

Quels sont les aspects techniques en matière de DLP ?
Dans le domaine des solutions DLP, on distingue essentiellement deux approches techniques : les solutions orientées réseau et les solutions client.

Les solutions basées sur réseau sont faciles à mettre en œuvre et couvrent tous les protocoles courants comme HTTP, HTTPS, SMTP, POP3 et IMAP tout en protégeant l'ensemble du réseau de l'entreprise. Cependant, elles n'offrent aucune protection pour les supports de stockage amovibles, les captures d'écran ou les processus de copier/coller sur les postes client. Au niveau technique, les produits DLP orientés réseau sont installés comme des serveurs proxy de niveau applicatif ou des "sniffers".

Une autre variante ne permet généralement que de repérer les processus critiques, mais sans pouvoir les prévenir, contrairement aux serveurs proxy fonctionnant au niveau applicatif.

Les solutions client exigent en revanche l'installation d'un agent sur le poste client à contrôler. Les règles mises en œuvre par l'agent sont définies par un administrateur système sur une console de gestion DLP centrale. Comme l'agent travaille sur le poste client en soi, il peut réglementer toutes les opérations qui y ont lieu. Par rapport aux solutions basées sur le réseau, il est donc possible de mettre en œuvre des mesures de protection bien plus étendues.

En cas de violation d'une règle, la notification utilisateur peut même être visualisée immédiatement et très clairement via des messages d'avertissement sous forme de fenêtres pop up. L'agent étant également actif en dehors du réseau de l'entreprise, les ordinateurs portables fonctionnant à distance restent ainsi protégés. Par rapport à une solution basée le sur réseau, ce type de produit requiert une maintenance particulièrement intensive, ce qui peut représenter un inconvénient dans la mesure où les agents doivent être continuellement déployés et mis à jour. De plus, il n'existe pas d'agents disponibles pour tous les systèmes d'exploitation installés dans l'entreprise.

Comment choisir sa solution DLP ?
Outre les critères techniques, le choix d'un produit DLP bien adapté nécessite aussi la prise en compte de paramètres administratifs.

Au niveau technique, l'entreprise doit donc déterminer si elle a besoin d'une solution basée sur le réseau, sur le poste client ou les deux. Les responsables doivent aussi analyser les faiblesses de leurs processus techniques et les prévenir à l'aide de règles préalablement définies.

Il faut clairement identifier le contenu des informations confidentielles et le contexte autorisé, paramètres intimement liés au métier de l'entreprise. Ainsi, la définition des règles exige une bonne connaissance des processus métier et du contenu des données, ainsi que la capacité de traduire ces paramètres sous forme de directives techniques correspondantes.

Quelles limites techniques dans la mise en place d'une solution DLP ?
L'identification des données confidentielles via l'analyse du contenue échoue souvent quand celles-ci n'ont été que légèrement modifiées. Pourtant, les solutions DLP peuvent protéger les entreprises en luttant efficacement contre la manipulation malveillantes de données confidentielles, bien qu'il soit généralement impossible de prévenir les abus commis par des experts en informatique.