La sécurisation des données non structurées, priorité négligée de la GDPR
Lorsqu’on examine les fuites de données massives rapportées ces dernières années dans la presse, on constate que la plupart d’entre elles ont été causées par des comportements imprudents, maladroits ou malveillants dans ou autour de l’entreprise. Ces données n’ont pas été aspirées des bases applicatives par des méthodes sophistiquées mais récupérées beaucoup plus simplement dans des fichiers où elles apparaissaient, en outre, sous une forme bien plus intelligible. Les fuites de données non structurées à caractère personnel constituent un risque majeur et s’en protéger doit impérativement figurer au chantier de la GDPR.
La GDPR n’exige pas seulement la mise en place de moyens, comme le registre des traitements. Elle tend aussi vers une obligation de résultats au travers de ses exigences en matière de sécurisation et de notification. L’entreprise doit donc déployer toutes les mesures nécessaires pour prévenir, détecter, circonscrire et corriger d’éventuelles fuites de données personnelles. Or, ces dernières ne se trouvent pas uniquement dans les systèmes transactionnels et décisionnels cœur de métier, qui sont les cibles prioritaires des mesures de protection. Pour les besoins de leur activité, les collaborateurs de l’entreprise produisent, manipulent et échangent des données parfois très sensibles : versions préliminaires du rapport d’activité, ébauches du plan stratégique, liste de clients, compte-rendus de réunion et d'entretiens, grille des salaires… Et, au gré de leur utilisation, ces données se retrouvent souvent sur des systèmes beaucoup plus exposés que des systèmes applicatifs centraux, comme un serveur de fichiers ou de messagerie, un service de stockage dans le cloud, un poste de travail ou une clé USB. Pourquoi mettre longuement au point l’attaque complexe de serveurs ultra-protégés s’il suffit, pour obtenir les mêmes données, de voler l’ordinateur portable d’un cadre insouciant ou de lui envoyer un mail malicieux ?
Sécuriser sans brider l’agilité
Pour sécuriser ses données non structurées, l’entreprise ne peut toutefois pas mettre en place des mesures trop coercitives. En effet, la liberté de créer et d’échanger de telles informations est la condition même de son agilité et de son efficacité. Tout l’enjeu va donc consister à aider les utilisateurs à adopter les gestes simples, les outils appropriés et les bonnes pratiques, qui suffisent souvent à réduire drastiquement les risques, sans pour autant nuire à leur productivité. Pour cela, elle peut s’appuyer sur des solutions éprouvées de Data Loss Prevention (DLP), qu’il suffit d’étendre aux données personnelles.
En partant du principe qu’on ne protège bien que ce que l’on connaît bien, la première étape d’un projet de DLP consiste à réaliser un état des lieux. Durant trente jours, on observe les flux sur le réseau à l’aide d’une sonde de manière à identifier les données non structurées produites, consommées et échangées. Cette analyse permet de mettre en évidence des risques souvent méconnus et de convaincre tant les acteurs IT que métier de la nécessité d’agir.
« L’enjeu va consister à aider les utilisateurs à adopter les gestes simples, les outils appropriés et les bonnes pratiques, qui suffisent souvent à réduire drastiquement les risques. »
Sensibiliser et accompagner les utilisateurs
Fort de ces connaissances, on met ensuite en place la solution de DLP proprement dite afin d’influer sur les comportements. Des agents positionnés sur les postes de travail évaluent la légitimité et la dangerosité des actions de l’utilisateur sur des données identifiées comme sensibles et/ou personnelles (copier-coller, impression, envoi par mail…). Selon les règles que l’on aura implémentées, les actions à risque seront bloquées ou, plus souvent, signalées et accompagnées d’une recommandation : ajouter un mot de passe au document, ne pas oublier de le supprimer par la suite, utiliser une alternative plus sécurisée…
Des mails de rappel ou un rapport hebdomadaire personnalisé peuvent venir appuyer cette démarche qui vise avant tout à sensibiliser les utilisateurs et à les accompagner vers davantage de maturité. On s’attachera d’ailleurs à bien clarifier ce point auprès des représentants du personnel, lesquels devront nécessairement être informés d’un dispositif qui n’est aucunement un outil de surveillance mais qui est parfois perçu comme tel.
De multiples bénéfices
En instaurant un suivi inédit des usages au sein de l’entreprise, la solution va nourrir un processus d’amélioration continue bénéfique à plusieurs niveaux. Pour commencer, les règles et les fonctionnalités du DLP lui-même seront affinées au fil de l’évolution des pratiques et des ressources. On pourra par exemple le coupler avec d’autres outils pour renforcer et automatiser progressivement certaines mesures de protection comme le chiffrement ou le tatouage des documents. Les données d’usage recueillies permettront également à la DSI de mieux comprendre les besoins des utilisateurs, de mieux cibler ses projets et de mieux en mesurer les retombées : repérer le Shadow IT, proposer des outils collaboratifs sécurisés, différencier les équipements… Enfin, ces informations seront précieuses pour les analystes d'un Security Operations Center (SOC) à qui elles permettront de déceler des signaux faibles et des comportements anormaux, et ainsi d’anticiper davantage les risques.
À travers une approche pragmatique et orientée utilisateurs de la gestion d’un risque de sécurité majeur, le DLP se révèle ainsi comme un outil clé de la conformité à la GPDR, mais aussi comme un puissant levier d’optimisation et de sécurisation de l’environnement informatique de l’entreprise.