Data Loss Prevention : une des missions essentielles du RSSI

Dans sa circulaire 12/522, la CSSF met en évidence la nécessité de procéder à la désignation d’un responsable de la sécurité des systèmes d’information. Le concept de DLP fait partie des points qu’il doit prendre en compte.
«Le RSSI», précise la circulaire, «C’est la personne chargée de l’organisation et du pilotage de la sécurité de l’information, c’est-à-dire de la protection de l’information. Il a comme missions essentielles la gestion de l’analyse des risques liés à l’information, la définition des moyens organisationnels, techniques, juridiques et humains requis, le contrôle de leur mise en place et de leur efficacité ainsi que la conception du/des plan(s) d’actions visant à l’amélioration de la couverture des risques». En ce sens, la prévention des fuites accidentelles ou intentionnelles d’informations confidentielles fait partie intégrante de cette responsabilité car celles-ci peuvent avoir des conséquences désastreuses sur les revenus et l’image d’une entreprise. On parle bien ici de brevets, de marques déposées, de données institutionnelles et organisationnelles critiques ou encore d’informations commerciales sensibles comme les prévisions de vente ou les réponses aux appels d’offre. A cela s’ajoute la nécessaire prise en compte de la dimension protection des données privées avec les règlements CNPD et l’arrivée d’un règlement européen en la matière.

 

Data in motion, data at rest, data in use.

Ce risque de fuite de données confidentielles se fait de plus en plus présent de par l’utilisation de nouveaux outils et les habitudes de la génération Y : utilisation intensive de la messagerie électronique, recours aux services de stockage en ligne comme Dropbox, Microsoft  OneDrive ou Google Drive, banalisation des clés USB haute capacité, omniprésence des médias sociaux. Avec l’évolution des technologies, les canaux de diffusion de données se multiplient, d’où l’importance d’un positionnement clair vis-à-vis de ces outils et pour ceux sélectionnés de la mise en place d’une solution DLP qui va assurer la classification, la surveillance et la gestion des données confidentielles quel que soit leur lieu de stockage ou d’utilisation. On peut les classer en 3 familles : celles qui circulent, celles qui sont stockées quelque part sur un serveur et celles qui sont utilisées par une application et/ou une personne.

 

Une solution DLP unifiée couplée à une gestion des risques

Sur base de cette triade, la réponse la plus cohérente en matière de DLP passera par une solution qui opérera une surveillance croisée sur les trafics Web, mail et sur le stockage et qui sera déployée sur base d’une analyse des risques. Pour la gestion de risque, la méthodologie Octave Allegro peut être utilisée à défaut d’autres méthodologies, justement parce qu’elle reprend dans son concept de  «container» la notion de séparation des données sur base des catégories « data in motion », « data at rest », « data in use ». Avec une solution unifiée intégrée, on pourra ainsi embrasser l’ensemble des vecteurs à partir d’un seul point de contrôle et assurer une cohérence dans la prévention des fuites de données. Deux autres points sont à prendre en compte. Le projet devra être contenu dans un scope défini, inutile de vouloir tout faire en une première étape. De plus, le projet DLP devra obligatoirement être orienté et appuyé par le business car on touche aux informations stratégiques et décisionnelles de l’entreprise.  En parallèle, il faudra veiller à être le plus concret et pragmatique possible. Vous avez beau mettre en place toutes les procédures DLP imaginables : si elles ne sont pas pratiques, les utilisateurs s’en détourneront !

En résumé, le projet DLP est avant tout une question de gestion des risques business et de classification pragmatique des informations critiques de l’entreprise.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *