Au début de mon histoire, je tiens à souligner que les systèmes DLP ne doivent pas être considérés comme quelque chose qui résout un éventail restreint de problèmes liés uniquement à la sécurité du personnel. Aujourd’hui, les systèmes DLP résolvent un large éventail de tâches, notamment la conformité, la gestion des risques, la lutte contre la corruption, la sécurité du personnel et la sécurité interne des entreprises.
Sécurité du personnel et sécurité des informations
La sécurité du personnel est l’une des tâches principales des DLP. Ces outils aident à réduire les risques associés aux actions imprudentes des employés ainsi qu’aux activités internes malveillantes. De nombreuses entreprises disposent déjà d’un écosystème de sécurité de l’information intégré, mais même les systèmes matures et bien développés sont menacés si les initiés travaillent efficacement. Par conséquent, la sécurité du personnel joue un rôle accru de nos jours.
La sécurité de l’entreprise dépend fortement de trois domaines de sécurité : l’information, le personnel et le réseau. Si le problème de sécurité concerne des problèmes techniques, tels que la manière de pénétrer le stockage de données, il s’agit d’un problème de sécurité du réseau. Lorsque nous parlons des actions des gens, il s’agit de la sécurité du personnel. Enfin, si la tâche est liée aux processus métier, il s’agit de la sécurité de l’information.
Une efficacité élevée dans la lutte contre les menaces de sécurité ne peut être obtenue que grâce à une bonne interaction entre le service informatique, la sécurité de l’information et les équipes RH. Par conséquent, DLP devient un outil de plus en plus complet et intégré qui relie tous les domaines de la protection des entreprises.
Pour être mieux protégé, vous devez tenir compte non seulement des risques réels, mais aussi des menaces potentielles. Par conséquent, il est essentiel de collecter des données, de les analyser correctement et de tirer ensuite les bonnes conclusions.
Risques pour la sécurité du personnel
Les principaux risques auxquels les outils DLP répondent sont les violations de données, la fraude, les employés travaillant pour des concurrents, etc. Ces principaux risques concernent principalement la sphère économique. Cependant, DLP est un “couteau suisse” pour la sécurité de l’information, et ses fonctions peuvent se connecter à diverses tâches.
Les systèmes DLP aident les entreprises à éviter les risques principalement liés aux finances et à la réputation. Cependant, avec les organismes gouvernementaux, la situation est différente. Ces derniers traitent de données stratégiques, et les dégâts peuvent gravement affecter l’ensemble du pays. Ainsi, les DLP deviennent cruciaux dans le secteur public.
Le domaine de la sécurité du personnel évolue. Auparavant, nous devions traiter principalement des incidents dus à la négligence – la grande majorité des cas n’étaient pas intentionnels. Aujourd’hui, nous assistons à un net changement dans la méchanceté.
Les risques qui existaient principalement en tant que potentiels se sont maintenant matérialisés. De nombreuses entreprises de taille moyenne ont, jusqu’à présent, estimé qu’elles n’avaient pas besoin de protection particulière car elles ne détenaient pas d’informations importantes ou sensibles. Maintenant, ils sont confrontés au fait que les employés planifient délibérément des actions malveillantes. Les employés sont souvent les organisateurs d’attentats ou participent à des opérations organisées par des tiers. De plus, il n’est pas rare que des acteurs externes installent des applications de suivi cellulaire sur les appareils des employés et les utilisent de manière involontaire – “aveuglément”.
Auparavant, l’intention malveillante était souvent limitée au méfait ou à la vengeance. Le sabotage était également répandu. Maintenant, la tâche consiste à percer le périmètre et à prendre possession des données confidentielles.
Pour les systèmes DLP, cela donne lieu à de nouveaux facteurs et évaluations. Il est nécessaire de considérer le lieu de travail des employés et le niveau d’importance critique de leur poste en termes de sécurité.
La pratique de l’utilisation des systèmes DLP dans la sécurité du personnel
Les employés doivent être informés des contrôles de sécurité introduits. Ils reçoivent également un ensemble de documents à signer. Les employés doivent comprendre que les données collectées appartiennent au domaine de la sécurité de l’information et peuvent être utilisées en justice.
Avec l’aide de DLP, il est possible de prouver, par exemple, qu’un employé a fait quelque chose dans l’intérêt d’une organisation concurrente en lui envoyant des documents et des captures d’écran contenant des secrets commerciaux. Des preuves peuvent également être exploitées lorsqu’un employé utilise l’équipement de l’entreprise à des fins personnelles.
D’un point de vue technique, le système semble aussi simple que possible. Il existe des terminaux et des passerelles où les données sont collectées sur les événements légitimes et illégitimes. En réponse à des événements légitimes, des règles spéciales doivent être créées.
Problèmes des systèmes DLP
Le principal risque pour la sécurité du personnel provient d’initiés malveillants. Outre les initiés, il existe également des risques liés aux utilisateurs privilégiés. DLP peut collecter les données des utilisateurs de tous les services de l’entreprise. Cependant, cela nécessite une grande compétence et la définition correcte des règles DLP.
Lors de la mise en œuvre de DLP, il convient de prêter attention aux opérateurs de systèmes DLP. Ils peuvent tomber sur des informations personnelles et doivent comprendre leur responsabilité lorsqu’ils traitent ces données.
Les équipes de sécurité se concentrent excessivement sur la partie technique du travail des systèmes DLP. En même temps, peu d’attention est accordée au travail avec les gens. Par conséquent, il est essentiel de comprendre que les attaquants sont aussi des personnes. Une interprétation correcte de leurs actions et des mesures préventives opportunes vous permettront d’établir des contre-mesures efficaces.
Il convient également de prêter attention aux différences de culture d’utilisation du DLP dans différentes entreprises. Tous les clients ne partagent pas leurs problèmes avec le fournisseur DLP. Le fournisseur peut aider au choix des règles qui aident à identifier les origines du problème et à trouver des moyens de le résoudre. Cependant, de nombreux clients ne partagent pas ces informations. Les raisons peuvent être différentes. La première est que les informations peuvent être classées comme strictement confidentielles (dans certaines organisations, il s’agit d’un secret d’État). Mais nous avons souvent affaire à une culture de sécurité spécifique dans l’entreprise. Peu d’entreprises adhèrent à l’ouverture et la plupart préfèrent être aussi fermées que possible.
Certains clients DLP ne considèrent pas DLP comme un système « vivant » qui nécessite que les règles de contrôle soient régulièrement révisées pour résoudre de nouveaux problèmes. Au lieu de cela, ils pensent que DLP est un outil automate qu’il suffit de configurer une fois lors de l’installation et de ne plus y toucher.
Apprendre à travailler avec les systèmes DLP
Une attention particulière doit être portée aux questions de formation et d’apprentissage des règles de fonctionnement des systèmes DLP. Par exemple, qui et quand peut devenir opérateur ou analyste de systèmes DLP ? Ce sujet est assez brûlant, surtout avec un intérêt croissant pour l’externalisation.
Il n’y a pas de cours ou de manuels spéciaux pour apprendre de manière exhaustive les règles de fonctionnement DLP. Au lieu de cela, les universités n’enseignent que la sécurité économique. Cette connaissance n’est pas adaptée au DLP. Fondamentalement, la formation a lieu dans des centres spécialisés ouverts par les fournisseurs DLP qui enseignent comment travailler avec leur système. Le reste de la formation se déroule en mode auto-apprentissage lorsque les collaborateurs acquièrent de l’expérience par eux-mêmes.
Très souvent, d’anciens agents des forces de l’ordre sont recrutés pour travailler avec DLP. Cependant, eux seuls comprennent la valeur des informations collectées et ont l’expérience des outils, des méthodes et des scénarios. Malheureusement, le diplômé moyen qui a suivi une formation en sécurité économique est peu utile au DLP.
Mythes DLP
Il y a toujours eu beaucoup de mythes sur les outils DLP. Les mythes naissent d’une incompréhension du fonctionnement du système et de peurs primitives, souvent même exprimées par quelqu’un d’autre. Cependant, tous les mythes sont dissipés d’eux-mêmes lorsque vous vous plongez dans la structure du système DLP et ses principes. Voici quelques mythes :
- Il y a dix ans, vous pouviez entendre des employés parler de graves craintes apparues après l’introduction du DLP. Il existe toujours une opinion selon laquelle le DLP est l’ennemi personnel de nombreux employés car il les surveille et envahit leur vie privée.
- D’autres mythes apparaissent également. Il existe un mythe bien établi concernant le coût « élevé » des systèmes DLP.
- Il existe également un mythe désagréable sur la complexité excessive de l’installation DLP et l’impossibilité de l’exécuter hors de la boîte.
- Au stade initial du lancement du DLP, des centaines d’événements de sécurité ont été émis, effrayant de nombreux chefs d’entreprise. En conséquence, les gens pensent que le DLP est très difficile à utiliser et ont peur d’utiliser ce système.
- Il existe également un jugement bien établi sur la consommation excessive de ressources des systèmes DLP. “Ils éteindront tous les ordinateurs du réseau” – quelque chose comme ça peut souvent être entendu.
- Il convient également de noter la crainte que les fournisseurs de systèmes DLP puissent utiliser les données de leurs clients, créant des risques pour l’entreprise.
- Le mythe le plus dangereux est que les systèmes DLP peuvent soi-disant assurer la sécurité par eux-mêmes lors de l’installation. Mais la sécurité, c’est avant tout un employé compétent qui s’occupe des questions de sécurité. DLP n’est qu’un outil utilisé à des fins de sécurité.
Encore une fois, une bonne évaluation de vos risques et de vos besoins, une coopération étroite avec le fournisseur et une mise en œuvre correcte du DLP aideront à dissiper tous les mythes.
Technologies pour améliorer les systèmes DLP
Les perspectives futures du DLP sont principalement associées à l’introduction de l’analyse comportementale (UBA et UEBA). De tels systèmes vous permettent d’introduire une notation des employés, ce qui aide à suivre les risques et à identifier et prévenir les incidents graves.
L’intégration avec UBA et UEBA permet de prévoir les licenciements d’employés et d’identifier l’accumulation de données pour les sortir du périmètre. UBA et UEBA peuvent également aider à améliorer le DLP en identifiant les violations et les anomalies dans les processus métier associées au discrédit planifié de l’entreprise ou en détectant le comportement déloyal des employés.
Il est difficile de résoudre ces problèmes dans le cadre d’un DLP standard car il n’y a pas d’incidents de sécurité clairs associés à de tels événements. Cependant, les nouvelles technologies permettent de prévoir avec plus de précision l’évolution de diverses situations à risque.
Actuellement, UBA n’a pas vraiment “décollé” en raison de l’abondance de spéculations sur ce sujet. Craignant de ne pas suivre les tendances du marché, les fournisseurs ont essayé d’ajouter des fonctionnalités UBA, mais en l’absence d’expertise réelle et de recherche unique, ils ont eu peu de succès.
La mise en place de l’UEBA sous sa forme actuelle est également délicate car, en pratique, il existe trop de formats différents. De plus, les résultats du mécanisme UEBA dépendent trop des sources de données, et leurs moindres changements provoquent instantanément une différence dans les résultats. Par conséquent, il est d’abord nécessaire de formaliser les données d’entrée pour l’UEBA. Cela fournira la décomposition correcte.
Tendances dans le développement des systèmes de sécurité du personnel
Les clients DLP veulent toujours avoir un gros bouton rouge. En cliquant dessus, les clients veulent obtenir le résultat immédiatement. C’est le but idéal. Les fournisseurs de DLP commencent tout juste à s’y mettre. Nous y reviendrons lorsque les systèmes DLP pourront traiter de grands tableaux de données complexes.
Beaucoup est déjà fait. Une augmentation du niveau d’automatisation et de l’utilisation généralisée de l’IA est attendue prochainement. Les coûts de main-d’œuvre pour le fonctionnement du DLP diminueront. Il sera possible de mieux identifier les incidents et d’automatiser la configuration et les paramètres de politique. La machine doit faire la partie centrale du travail. L’agent DLP ne sera impliqué que dans la prise de décision, pas dans les problèmes techniques.
Du point de vue du développement technique, DLP s’orientera vers l’intégration avec d’autres solutions de sécurité. Par exemple, DLP devrait évoluer vers l’intégration avec DCAP, UBA et UEBA. L’intégration a déjà franchi les premières étapes. Par exemple, les journaux DLP sont activement utilisés dans les produits SIEM pour évaluer la corrélation des événements.
Crédit image en vedette : Danny Meneses ; Pexel ; Merci!
Alex Vakulov
Alex Vakulov est un chercheur en cybersécurité avec plus de 20 ans d’expérience dans l’analyse des logiciels malveillants. Alex possède de solides compétences en matière de suppression de logiciels malveillants. Il écrit pour de nombreuses publications liées à la technologie et partage son expérience en matière de sécurité.
