DLP : le plombier de l'information sensible

Les solutions de Data Leak Prevention visent à répondre aux risques de perte ou de vol d'information. La sécurité s'opère donc au plus près de la donnée. Attention toutefois au manque de maturité et aux faux-positifs.

Qu'est-ce que le DLP ?

Les outils de DLP, Data Leak (Loss, Leakage) Prevention, ne sont pas sans rappeler l'IPS, Intrusion Prevention System. Comme son nom le laisse entendre, la finalité d'une solution de DLP est de prévenir la fuite d'information, notamment vers l'extérieur, et donc l'exposition et la manipulation de données identifiées comme sensibles. En effet, selon le type de données perdues, les conséquences peuvent notamment affecter l'image de la société ou déboucher sur des pénalités financières suite à des poursuites.

Le concept du DLP a germé en réponse à la médiatisation de multiples vols de données, orchestrés par des individus extérieurs, ou directement par des salariés en poste dans l'entreprise. Les outils de DLP vont donc pour prévenir ces malveillances, ou maladresses, effectuer une analyse des paquets IP transitant par le réseau afin d'estimer si celui-ci n'enfreint pas la politique de sécurité.

Il pourra s'agir, à titre d'exemple, d'empêcher à un informaticien d'accéder à un bilan comptable et de l'expédier vers une adresse de messagerie externe. Ce dernier n'a en effet a priori aucune raison d'accéder à de telles données dans le cadre de sa fonction. La protection est donc ici déplacée directement au niveau de la donnée elle-même. Mais comme tout concept encore jeune, la définition du DLP et de ses fonctionnalités varie d'un constructeur à un autre.

Objectif premier : lutter contre la menace interne ?

Le risque interne est en effet une menace à prendre en compte pour les entreprises. Toutefois la majorité des pertes de données résultent d'accidents, de maladresses des salariés, notamment via la messagerie électronique. Une erreur de destinataire peut ainsi survenir facilement.

Le DLP pour éviter la fuite de données par clef USB

Néanmoins, la fuite de données peut également être la conséquence de la volonté de commettre une malveillance. Le DLP interviendrait alors aussi en réponse à ces situations, comme par exemple le téléchargement sur une clef USB d'informations catégorisées comme confidentielles. Les offreurs de produits de sécurité ne manquent pas non plus de rappeler que l'entreprise s'expose également à des poursuites et des amendes pour la non-conformité avec une réglementation en vigueur.

Quelles sont concrètement les fonctionnalités d'une solution de DLP ?

Une application fonctionnellement développée permettra de contrôler l'accès aux données, leur impression et leur envoi sur le réseau et vers des périphériques d'entrée et de sortie. Ces mécanismes de contrôle s'appliqueront aussi bien sur le courrier électronique, un webmail, un réseau peer-to-peer, ou la messagerie instantanée, soit sur les protocoles HTTP, HTTPS, FTP, Wi-FI et SMTP.

Toutefois, cette surveillance sur le réseau et au niveau des postes de travail peut générer de nombreux faux-positifs (fausses alertes). Les règles de filtrage doivent donc s'appliquer au contenu des fichiers et au contexte dans lequel ils sont utilisés.

Les outils de DLP sont-ils matures ?

Ils ont commencé à faire véritablement parler d'eux en 2007. Le parcours du DLP n'est pas sans rappeler parfois celui de l'IPS, pour lesquels les éditeurs ont éprouvé quelques difficultés à promouvoir la valeur ajoutée face à l'IDS.

Des offres souvent encore en construction

Le cabinet 451 Group relevait d'ailleurs un taux d'adoption encore faible en juillet 2007 et recommandait aux entreprises d'attendre, notamment parce que les produits du marché ne combinaient pas encore monitoring réseau et agents sur les postes de travail. Le cabinet encourageait même déjà à un rapprochement avec le NAC, le contrôle d'accès au réseau.

Lors de la Black Hat d'août dernier, deux chercheurs en sécurité, Eric Monti et Thomas Ptacek, avaient également démontré les failles dans les agents des applications de DLP. Celles-ci leur permettaient d'éviter toute détection.

En outre, la prévention de la fuite d'information suppose préalablement d'identifier ses informations, de connaitre leur niveau de sensibilité, mais aussi les utilisateurs autorisés à les manipuler, voire s'assurer préalablement de leur identité. La solution technologique s'accompagne donc, comme pour un projet de chiffrement de données, d'un important volet organisationnel.

Quels sont les acteurs du marché du DLP ?

En juillet dernier, le cabinet 451 Group comptabilisait une quarantaine de vendeurs. Leur nombre s'est depuis réduit, principalement en raison de la concentration, les acteurs généralistes acquérant des spécialistes du secteur. Websense s'est ainsi offert PortAuthority, Provilla a rejoint Trend Micro, Symantec a acquis Vontu, RSA a opté pour Tablus, etc. 

Les principaux éditeurs de sécurité disposent désormais d'une offre de DLP. Les offreurs de solution auraient d'ores et déjà dépensé 1 milliard de dollars dans le DLP depuis fin 2006. Les spécialistes de la sécurité du poste de travail ont principalement opté pour des applications à base d'agents.

Ces agents sont toutefois multifonction afin de ne pas influer sur la consommation de ressources du poste. Un agent combinera donc plusieurs fonctions de sécurité, dont notamment le pare-feu, l'antivirus, le chiffrement, et donc également le DLP.