10 pratiques essentielles pour votre politique de prévention des pertes de données (DLP)

Chaque organisation, quelle que soit sa taille ou son secteur, a besoin d'une stratégie de prévention des pertes de données (DLP) pour éviter que les données ne soient accédées ou supprimées de manière inappropriée. La stratégie doit se concentrer sur la protection des données précieuses, sensibles ou réglementées, telles que les dossiers médicaux, les données financières et la propriété intellectuelle. La DLP implique généralement à la fois des technologies et des politiques. Par exemple, les techniques courantes incluent la configuration des postes de travail des utilisateurs pour bloquer l'utilisation des périphériques USB et l'existence de politiques formelles concernant le partage de données confidentielles par e-mail.

Pour une protection plus complète, de nombreuses organisations déploient un système de prévention des pertes de données, ce qui peut les aider à :

• Contrôlez les permissions pour accéder aux actifs d'information
• Surveillez les activités réussies et échouées sur les postes de travail, les serveurs et les réseaux, y compris qui lit ou copie quels fichiers ou prend des captures d'écran
• Auditez les flux d'informations à l'intérieur et à l'extérieur de l'organisation, y compris ceux provenant de sites distants utilisant des ordinateurs portables et d'autres appareils mobiles
• Contrôlez le nombre de canaux de transfert d'informations (tels que l'utilisation de clés USB et d'applications de messagerie instantanée), y compris l'interception et le blocage des flux de données sortants

Création d'une politique de prévention des pertes de données

Pour créer votre politique de prévention des pertes de données, vous devez déterminer le niveau de protection nécessaire. Par exemple, votre objectif est-il de repérer les tentatives d'accès non autorisées ou de surveiller toutes les actions des utilisateurs ?

Paramètres de base

Voici les paramètres de base que vous devriez définir :

• Quelles données organisationnelles doivent être protégées. Identifiez précisément le contenu nécessitant une protection. Les exemples incluent les numéros de sécurité sociale (SSN), les informations de carte de crédit, les secrets commerciaux, les plans, les données financières et les informations personnellement identifiables (PII). Assurez-vous de prendre en compte si votre organisation est soumise à une politique de conformité ; si c'est le cas, vous devez protéger toutes les données décrites dans le modèle de politique.
• Où se trouvent ces données. Pour protéger les données, vous devez identifier tous les endroits où elles peuvent se trouver, y compris les lecteurs réseau partagés, les bases de données, les stockages en nuage, les e-mails, les applications de messagerie instantanée et les disques durs. Si les employés peuvent utiliser leurs propres appareils pour accéder à votre environnement informatique, les données sur ces appareils doivent également être protégées.
• Conditions d'accès aux différents types de données. Différents types de données nécessitent différents niveaux de protection. Par exemple, les organisations partagent certaines données librement avec le public, tandis que d'autres données sont top secrètes et ne devraient être accessibles qu'à quelques individus sélectionnés. Les étiquettes numériques et les filigranes vous aideront à attribuer l'accès approprié à chaque donnée.
• Actions à prendre en cas de sécurité de l'information Précisez les mesures à prendre lorsqu'une activité suspecte est détectée et qui est responsable de chacune d'elles. N'oubliez pas que les solutions DLP peuvent souvent répondre automatiquement, par exemple en bloquant l'opération ou en envoyant une notification au service de sécurité.
• Quelles informations doivent être archivées et quand. Votre politique de DLP doit détailler les règles pour l'archivage des données, telles que votre piste d'audit et les informations concernant les incidents de sécurité informatique. N'oubliez pas que vous devez sécuriser votre système d'archive contre les attaquants externes et les menaces internes, tel qu'un administrateur système qui pourrait modifier les enregistrements dans l'archive.
• Menace Votre politique devrait prendre en compte les scénarios de fuite possibles et évaluer à la fois la probabilité de leur survenue et les dommages qui pourraient en résulter.

États des données

Lorsque vous formulez votre politique, n'oubliez pas de prendre en compte les données sous toutes leurs formes :

• Données au repos — Informations stockées dans des bases de données, des dépôts cloud, des ordinateurs, des ordinateurs portables, des appareils mobiles et ainsi de suite
• Données en mouvement — Données qui sont transmises entre parties (par exemple, lors de transactions de paiement)
• Données en cours d'utilisation — Données sur lesquelles les utilisateurs travaillent activement et qu'ils modifient éventuellement

Appliquez ces connaissances pour aider à définir les flux de données dans votre organisation et les chemins de transmission autorisés pour différents types de documents. Créez des règles qui spécifient les conditions de traitement, de modification, de copie, d'impression et d'autres utilisations de ces données. Assurez-vous d'inclure les processus commerciaux effectués au sein des applications et des programmes qui accèdent aux données confidentielles.

Questions juridiques et connexes

Assurez-vous d'évaluer les ramifications juridiques potentielles de votre politique de DLP. En particulier, l'enregistrement des actions des employés sur vidéo pourrait être perçu comme une violation de leurs droits constitutionnels, et les fausses alertes de votre système DLP peuvent générer des conflits avec les employés dont les actions légitimes sont signalées comme suspectes. Les options pour aborder ces préoccupations pourraient inclure la modification des contrats de travail et la formation des employés sur les politiques de sécurité.

Comment fonctionnent les solutions DLP

Une fois que vous avez créé une politique DLP sur papier, vous pouvez vous concentrer sur la configuration des politiques appropriées dans votre système DLP. Typiquement, un système DLP possède un ensemble de règles spécifiques qui sont strictement suivies par le programme. Chaque règle est composée d'une condition et de l'action à prendre lorsque cette condition est remplie. Les règles sont classées par priorité, et le programme les traite dans cet ordre. Certaines solutions incluent des technologies d'apprentissage automatique qui génèrent ou améliorent les règles.

Par exemple, le processus pourrait se dérouler ainsi :

• Une règle identifie un incident (par exemple, un utilisateur tente d'envoyer des informations sensibles via une messagerie instantanée).
• La solution bloque l'envoi du message.
• La solution génère un rapport avec les détails de l'incident, y compris l'utilisateur impliqué, et l'envoie à une adresse e-mail spécifiée (comme celle de l'officier de sécurité informatique) ou le stocke sur un partage spécifique, comme indiqué dans votre politique DLP.

Techniques de détection

La fonctionnalité principale d'un système DLP est de détecter les informations confidentielles dans un flux de données. Différents systèmes utilisent différentes méthodes, y compris les suivantes :

• Création d'empreintes digitales d'informations protégées
• Attribuer des étiquettes aux informations
• Recherche de certains mots-clés et expressions régulières souvent trouvés dans divers types de documents sensibles (tels que des contrats ou des états financiers)
• En utilisant l'analyse de texte

Naturellement, la précision est cruciale. Les faux négatifs — l'incapacité de détecter des informations qui sont réellement sensibles — peuvent conduire à des fuites non détectées. Les faux positifs — des alertes concernant des données qui ne sont pas réellement sensibles — gaspillent les ressources de l'équipe de sécurité et mènent à des conflits avec les utilisateurs faussement accusés de comportement inapproprié. Par conséquent, vous devriez rechercher une solution DLP qui minimise à la fois les faux négatifs et les faux positifs.

Meilleures pratiques de prévention de la perte de données

La prévention des pertes de données (DLP) et les techniques d'audit doivent être utilisées pour faire respecter en continu les politiques d'utilisation des données. L'objectif est de savoir comment les données sont réellement utilisées, où elles vont ou sont allées, et si cela respecte ou non les normes de politique de conformité telles que GDPR. Lorsqu'un événement suspect est détecté, des notifications en temps réel doivent être envoyées aux administrateurs pour qu'ils puissent enquêter. Les contrevenants doivent faire face aux conséquences définies dans la politique de sécurité des données.

Les meilleures pratiques suivantes de prévention de la perte de données vous aideront à protéger vos données sensibles contre les menaces internes et externes :

1. Identifiez et classez les données sensibles.

Pour protéger efficacement les données, vous devez savoir exactement quels types de données vous possédez. La technologie de découverte de données analysera vos dépôts de données et rapportera les résultats, vous donnant une visibilité sur le contenu que vous devez protéger. Les moteurs de découverte de données utilisent généralement des regular expressions pour leurs recherches ; ils sont très flexibles mais assez compliqués à créer et à affiner.

Using data discovery and data classification technology helps you control user data access and avoid storing sensitive data in unsecure locations, thus reducing the risk of data leaks and data loss. All critical or sensitive data should be clearly labeled with a digital signature that denotes its classification, so you can protect it in accordance with its value to the organization. Third-party tools, such as Netwrix Data Classification, can make data discovery and classification easier and more accurate.

Lorsque les données sont créées, modifiées, stockées ou transmises, la classification peut être mise à jour. Cependant, des contrôles doivent être mis en place pour empêcher les utilisateurs de falsifier les niveaux de classification. Par exemple, seuls les utilisateurs privilégiés devraient pouvoir rétrograder la classification des données.

Suivez ces directives pour créer une politique de data classification solide. Et n'oubliez pas de réaliser la découverte et la classification des données dans le cadre de votre processus d'évaluation des risques informatiques.

Listes de contrôle d'accès

Une liste de contrôle d'accès (ACL) est une liste qui détermine qui peut accéder à quelle ressource et à quel niveau. Elle peut être une partie interne d'un système d'exploitation ou d'une application. Par exemple, une application personnalisée pourrait avoir une ACL qui répertorie les permissions des utilisateurs dans ce système.

Les ACL peuvent être basées sur des listes blanches ou des listes noires. Une liste blanche est une liste d'éléments autorisés, comme une liste de sites Web que les utilisateurs peuvent visiter en utilisant les ordinateurs de l'entreprise ou une liste de solutions logicielles tierces autorisées à être installées sur les ordinateurs de l'entreprise. Les listes noires sont des listes de choses qui sont interdites, telles que des sites Web spécifiques que les employés ne sont pas autorisés à visiter ou des logiciels qui sont interdits d'installation sur les ordinateurs clients.

Les listes blanches sont plus couramment utilisées et sont configurées au niveau du système de fichiers. Par exemple, dans Microsoft Windows, vous pouvez configurer les permissions NTFS et créer des listes de contrôle d'accès NTFS à partir de celles-ci. Vous pouvez trouver plus d'informations sur la manière de configurer correctement les permissions NTFS dans cette liste des meilleures pratiques de gestion des permissions NTFS. N'oubliez pas que les contrôles d'accès doivent être mis en place dans chaque application disposant d'un contrôle d'accès basé sur les rôles (RBAC) ; par exemple, les groupes Active Directory et la délégation.

2. Utilisez le chiffrement des données.

Toutes les données commerciales critiques doivent être chiffrées au repos ou en transit. Les appareils portables doivent utiliser des solutions de disque chiffrées s'ils doivent contenir des données importantes.

Chiffrer les disques durs des ordinateurs et des ordinateurs portables aidera à éviter la perte d'informations critiques même si des attaques parviennent à accéder à l'appareil. La manière la plus élémentaire de chiffrer des données sur vos systèmes Windows est la technologie Encrypting File System (EFS). Lorsqu'un utilisateur autorisé ouvre un fichier chiffré, EFS déchiffre le fichier en arrière-plan et fournit une copie non chiffrée à l'application. Les utilisateurs autorisés peuvent visualiser ou modifier le fichier, et EFS enregistre les modifications de manière transparente sous forme de données chiffrées. Mais les utilisateurs non autorisés ne peuvent pas voir le contenu d'un fichier même s'ils ont un accès complet à l'appareil ; ils recevront une erreur « Accès refusé », empêchant ainsi une fuite de données.

Une autre technologie de chiffrement de Microsoft est BitLocker. BitLocker complète EFS en fournissant une couche supplémentaire de protection pour les données stockées sur les appareils Windows. BitLocker protège les appareils d'extrémité perdus ou volés contre le vol ou l'exposition de données, et il offre une élimination sécurisée des données lorsque vous mettez un appareil hors service.

Chiffrement matériel

En plus du chiffrement basé sur logiciel, le chiffrement basé sur matériel peut être appliqué. Dans les paramètres de configuration avancés de certains menus de configuration BIOS, vous pouvez choisir d'activer ou de désactiver un module de plateforme sécurisée (TPM), qui est une puce pouvant stocker des clés cryptographiques, des mots de passe ou des certificats. Un TPM peut aider à la génération de clés de hachage et peut protéger des appareils autres que les PC, tels que les smartphones. Il peut générer des valeurs utilisées avec le chiffrement de disque entier, tel que BitLocker. Une puce TPM peut être installée sur la carte mère.

3. Renforcez vos systèmes.

Tout endroit où des données sensibles pourraient résider, même temporairement, doit être sécurisé en fonction des types d'informations auxquelles ce système pourrait potentiellement avoir accès. Cela inclut tous les systèmes externes qui pourraient obtenir un accès au réseau interne via une connexion à distance avec des privilèges importants, car un réseau n'est sécurisé que dans la mesure où le maillon le plus faible l'est. Cependant, la convivialité doit toujours être prise en compte, et un équilibre approprié entre fonctionnalité et sécurité doit être déterminé.

Création de lignes de base pour les systèmes d'exploitation

La première étape pour sécuriser vos systèmes consiste à s'assurer que la configuration du système d'exploitation est aussi sécurisée que possible. Dès le départ, la plupart des systèmes d'exploitation sont livrés avec des services inutiles qui offrent aux attaquants des voies supplémentaires de compromission. Les seuls programmes et services en écoute qui devraient être activés sont ceux qui sont essentiels pour que vos employés puissent effectuer leur travail. Si quelque chose n'a pas de finalité commerciale, il devrait être désactivé. Il peut également être bénéfique de créer une image de système d'exploitation de base sécurisée qui est utilisée pour l'employé typique. Si quelqu'un a besoin de fonctionnalités supplémentaires, activez ces services ou programmes au cas par cas. Les systèmes d'exploitation Windows et Linux auront chacun leurs configurations de base uniques.

4. Mettez en œuvre une stratégie rigoureuse de gestion des correctifs.

Il est essentiel de s'assurer que tous les systèmes d'exploitation et applications de votre environnement informatique sont à jour pour la protection des données et la cybersécurité. Bien que certaines choses, telles que les mises à jour des signatures pour les outils antivirus, puissent être automatisées, les correctifs pour l'infrastructure critique doivent être minutieusement testés pour garantir qu'aucune fonctionnalité n'est compromise et qu'aucune vulnérabilité n'est introduite dans le système.

5. Attribuez des rôles.

Définissez clairement le rôle de chaque individu impliqué dans la stratégie de prévention de la perte de données. Précisez qui possède quelles données, quels responsables de la sécurité informatique sont responsables de quels aspects des enquêtes sur les incidents de sécurité, etc.

6. Automatisez autant que possible.

Plus les processus de DLP sont automatisés, plus vous pourrez les déployer largement au sein de l'organisation. Les processus de DLP manuels sont par nature limités en portée et ne peuvent pas être mis à l'échelle pour répondre aux besoins des environnements informatiques, sauf les plus petits.

7. Utilisez la détection d'anomalies.

Pour identifier les comportements anormaux des utilisateurs, certaines solutions modernes de DLP complètent l'analyse statistique simple et les règles de corrélation avec l'apprentissage automatique et l'analyse comportementale. Générer un modèle du comportement normal de chaque utilisateur et groupe d'utilisateurs permet une détection plus précise des activités suspectes susceptibles de conduire à une fuite de données.

8. Sensibilisez les parties prenantes.

Mettre en place une politique de prévention des pertes de données (DLP) ne suffit pas. Investissez dans la sensibilisation des parties prenantes et des utilisateurs des données à la politique, à son importance et aux actions qu'ils doivent entreprendre pour protéger les données de l'organisation.

9. Établissez des métriques.

Mesurez l'efficacité de votre stratégie DLP en utilisant des métriques telles que le pourcentage de faux positifs, le nombre d'incidents et le temps moyen de réponse aux incidents.

10. Ne conservez pas de données inutiles.

Une organisation devrait stocker uniquement les informations essentielles. Les données que vous n'avez pas ne peuvent pas disparaître.