Vie Privée

Notre site Web utilise des cookies pour vous offrir l’expérience en ligne la plus optimale en : mesurant notre audience, en comprenant comment nos pages Web sont consultées et en améliorant en conséquence le fonctionnement de notre site Web, en vous fournissant un contenu marketing pertinent et personnalisé.
Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies ». Veuillez trouver plus d’informations sur notre utilisation des cookies et comment retirer à tout moment votre consentement sur notre Vie Privée.

Gestion de vos cookies

Notre site Web utilise des cookies. Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies » .

Cookies nécessaires

Ceux-ci sont indispensables à la navigation de l’utilisateur et permettent de donner accès à certaines fonctionnalités comme les accès aux zones sécurisées. Sans ces cookies, il ne sera pas possible de fournir le service.
Matomo en auto-hébergement

Cookies marketing

Ces cookies sont utilisés pour vous proposer des publicités plus pertinentes, limiter le nombre de fois que vous voyez une publicité ; aider à mesurer l’efficacité de la campagne publicitaire ; et comprendre le comportement des individus après avoir vu une publicité.
Vie Privée Adobe | Vie Privée Marketo | Vie Privée MRP | Vie Privée AccountInsight | Vie Privée Triblio

Cookies de réseaux sociaux

Ces cookies sont utilisés pour mesurer l’efficacité des campagnes sur les réseaux sociaux.
Vie Privée de LinkedIn

Notre site Web utilise des cookies pour vous offrir l’expérience en ligne la plus optimale en : mesurant notre audience, en comprenant comment nos pages Web sont consultées et en améliorant en conséquence le fonctionnement de notre site Web, en vous fournissant un contenu marketing pertinent et personnalisé. Vous avez un contrôle total sur ce que vous souhaitez activer. Vous pouvez accepter les cookies en cliquant sur le bouton « Accepter tous les cookies » ou personnaliser vos choix en sélectionnant les cookies que vous souhaitez activer. Vous pouvez également refuser tous les cookies non nécessaires en cliquant sur le bouton « Refuser tous les cookies ». Veuillez trouver plus d’informations sur notre utilisation des cookies et comment retirer à tout moment votre consentement sur notre Vie Privée

Passer au contenu principal

La sécurisation des données non structurées, priorité négligée de la GDPR


Publié le: 19 avril 2018 par Jean-Baptiste Voron

Lorsqu’on examine les fuites de données massives rapportées ces dernières années dans la presse, on constate que la plupart d’entre elles ont été causées par des comportements imprudents, maladroits ou malveillants dans ou autour de l’entreprise. Ces données n’ont pas été aspirées des bases applicatives par des méthodes sophistiquées mais récupérées beaucoup plus simplement dans des fichiers où elles apparaissaient, en outre, sous une forme bien plus intelligible. Les fuites de données non structurées à caractère personnel constituent un risque majeur et s’en protéger doit impérativement figurer au chantier de la GDPR.

La GDPR n’exige pas seulement la mise en place de moyens, comme le registre des traitements. Elle tend aussi vers une obligation de résultats au travers de ses exigences en matière de sécurisation et de notification. L’entreprise doit donc déployer toutes les mesures nécessaires pour prévenir, détecter, circonscrire et corriger d’éventuelles fuites de données personnelles. Or, ces dernières ne se trouvent pas uniquement dans les systèmes transactionnels et décisionnels cœur de métier, qui sont les cibles prioritaires des mesures de protection. Pour les besoins de leur activité, les collaborateurs de l’entreprise produisent, manipulent et échangent des données parfois très sensibles : versions préliminaires du rapport d’activité, ébauches du plan stratégique, liste de clients, compte-rendus de réunion et d'entretiens, grille des salaires… Et, au gré de leur utilisation, ces données se retrouvent souvent sur des systèmes beaucoup plus exposés que des systèmes applicatifs centraux, comme un serveur de fichiers ou de messagerie, un service de stockage dans le cloud, un poste de travail ou une clé USB. Pourquoi mettre longuement au point l’attaque complexe de serveurs ultra-protégés s’il suffit, pour obtenir les mêmes données, de voler l’ordinateur portable d’un cadre insouciant ou de lui envoyer un mail malicieux ?

Sécuriser sans brider l’agilité

Pour sécuriser ses données non structurées, l’entreprise ne peut toutefois pas mettre en place des mesures trop coercitives. En effet, la liberté de créer et d’échanger de telles informations est la condition même de son agilité et de son efficacité. Tout l’enjeu va donc consister à aider les utilisateurs à adopter les gestes simples, les outils appropriés et les bonnes pratiques, qui suffisent souvent à réduire drastiquement les risques, sans pour autant nuire à leur productivité. Pour cela, elle peut s’appuyer sur des solutions éprouvées de Data Loss Prevention (DLP), qu’il suffit d’étendre aux données personnelles.

En partant du principe qu’on ne protège bien que ce que l’on connaît bien, la première étape d’un projet de DLP consiste à réaliser un état des lieux. Durant trente jours, on observe les flux sur le réseau à l’aide d’une sonde de manière à identifier les données non structurées produites, consommées et échangées. Cette analyse permet de mettre en évidence des risques souvent méconnus et de convaincre tant les acteurs IT que métier de la nécessité d’agir.

« L’enjeu va consister à aider les utilisateurs à adopter les gestes simples, les outils appropriés et les bonnes pratiques, qui suffisent souvent à réduire drastiquement les risques. »

Sensibiliser et accompagner les utilisateurs

Fort de ces connaissances, on met ensuite en place la solution de DLP proprement dite afin d’influer sur les comportements. Des agents positionnés sur les postes de travail évaluent la légitimité et la dangerosité des actions de l’utilisateur sur des données identifiées comme sensibles et/ou personnelles (copier-coller, impression, envoi par mail…). Selon les règles que l’on aura implémentées, les actions à risque seront bloquées ou, plus souvent, signalées et accompagnées d’une recommandation : ajouter un mot de passe au document, ne pas oublier de le supprimer par la suite, utiliser une alternative plus sécurisée…

Des mails de rappel ou un rapport hebdomadaire personnalisé peuvent venir appuyer cette démarche qui vise avant tout à sensibiliser les utilisateurs et à les accompagner vers davantage de maturité. On s’attachera d’ailleurs à bien clarifier ce point auprès des représentants du personnel, lesquels devront nécessairement être informés d’un dispositif qui n’est aucunement un outil de surveillance mais qui est parfois perçu comme tel.

De multiples bénéfices

En instaurant un suivi inédit des usages au sein de l’entreprise, la solution va nourrir un processus d’amélioration continue bénéfique à plusieurs niveaux. Pour commencer, les règles et les fonctionnalités du DLP lui-même seront affinées au fil de l’évolution des pratiques et des ressources. On pourra par exemple le coupler avec d’autres outils pour renforcer et automatiser progressivement certaines mesures de protection comme le chiffrement ou le tatouage des documents. Les données d’usage recueillies permettront également à la DSI de mieux comprendre les besoins des utilisateurs, de mieux cibler ses projets et de mieux en mesurer les retombées : repérer le Shadow IT, proposer des outils collaboratifs sécurisés, différencier les équipements… Enfin, ces informations seront précieuses pour les analystes d'un Security Operations Center (SOC) à qui elles permettront de déceler des signaux faibles et des comportements anormaux, et ainsi d’anticiper davantage les risques.

À travers une approche pragmatique et orientée utilisateurs de la gestion d’un risque de sécurité majeur, le DLP se révèle ainsi comme un outil clé de la conformité à la GPDR, mais aussi comme un puissant levier d’optimisation et de sécurisation de l’environnement informatique de l’entreprise.

Partager


Qui est Jean-Baptiste Voron
Tous les articles de Jean-Baptiste Voron
Manager & Consultant Senior en Sécurité des S.I, Atos
Jean-Baptiste Voron, accompagne depuis 10 ans les RSSI de grands groupes français aux nouveaux enjeux de cybersécurité. Chez Atos depuis 2012 en tant que conseil expert en gouvernance et stratégie SSI, il est aujourd’hui responsable du portefeuille des offres de cybersécurité en France et pilote l’équipe en charge des avant-ventes de cybersécurité couvrant un éventail de plus 50 technologies et partenaires. A l’international, il accompagne fréquemment les clients stratégiques d’Atos lors d’études et de déploiements de solutions de cybersécurité. Jean-Baptiste est Docteur en sécurité informatique (thèse mixte US/France) et titulaire d’un Master 2 en systèmes et applications complexes de l’Université Pierre & Marie Curie

Suivre ou contacter Jean-Baptiste


 
Tous les articles

Sur le même thème

La cybersécurité est-elle encore un métier d’avenir ?
Cybersécurité : les 10 menaces à surveiller en 2023
Télémédecine : une solution aux enjeux de la santé ?
Se déplacer autrement : comment le MaaS aide à décarboner nos transports

Catégories