L’écosystème dans lequel évolue la donnée est, quant à lui, en constante complexification. En effet, les systèmes d’information, en pleine transformation, s’ouvrent sur l’extérieur et s’interconnectent avec différents services Cloud publics, constituant de nouvelles portes de sortie pour les données de l’entreprise.

Les événements menant à une fuite de données sont nombreux : négligence d’un employé, fraude interne, piratage par un tiers… Les moyens d’exfiltration eux aussi sont multiples : emails, Shadow IT, clés USB, imprimantes… En cas d’incident avéré, les conséquences peuvent être significatives. Les médias n’hésitent pas relayer avec insistance les cas de piratages menant à des fuites de données d’une grande entreprise, ce qui écornera durablement l’image de la marque. Les pertes financières liées sont également importantes, induites par les sanctions prévues des différents régulateurs et faisant suite à la perte de confiance des clients et partenaires.

 Le SI aujourd’hui, un écosystème complexe ouvrant de nombreuses voies à des fuites de données

Le DLP, un chantier rarement considéré mais à la portée de tous

Ce challenge de taille que constitue la lutte contre les fuites de données n’est cependant pas insurmontable. Certaines entreprises, et notamment les banques, ont pris de l’avance sur le sujet vis-à-vis d’autres secteurs d’activité, en déployant des outils prévenant la fuite des données appelés Data Leak Prevention (DLP, ou Data Loss Protection). Ces outils permettent notamment de suivre les données considérées comme sensibles et d’y appliquer des règles visant à contrôler les flux de données conformément aux politiques définies. Ces règles peuvent s’appliquer au niveau du terminal (poste de travail, serveur, etc.), de l’application (Office 365, etc.) ou du réseau (proxy, etc.).

La mise en œuvre de telles solutions nécessite cependant de mener un projet à part entière faisant intervenir à la fois le département de Sécurité de l’Information et les Directions métier. La complexité de cette réalisation sera modulée par trois facteurs principaux :

En effet, les problématiques à traiter et les solutions techniques à implémenter durant le projet dépendront des objectifs fixés par l’entreprise en termes de couverture du risque de fuites de données, ainsi que du niveau actuel des pratiques et méthodes de classification.

Il est par ailleurs impératif, lors de la mise en œuvre des solutions de DLP, de préserver l’expérience des utilisateurs, ces derniers ne devant pas voir leurs activités impactées par les mécanismes de protection. Les objectifs de sécurité devront ainsi nécessairement prendre en compte les besoins métiers, qui peuvent notamment impliquer l’échange d’informations sensibles avec l’extérieur.

Les bons tuyaux pour la réussite d’un projet DLP

Premièrement, la sélection de l’outil de DLP devra se baser sur les objectifs définis au lancement du projet concernant la structure des données à protéger et les canaux d’échange à analyser.

Certaines solutions du marché ont atteint un niveau de maturité avancé permettant de détecter si une donnée est sensible, quels que soient la structure de la donnée et le canal de transmission. La détection de données structurées est plus simple du fait que leur caractérisation est plus simple (par exemple : le nombre de chiffres est défini pour un numéro de sécurité sociale ou de carte de crédit). Concernant les données non structurées (80% des données selon le Gartner), la détection pourra se baser sur l’analyse des métadonnées introduites par la classification.

Par la suite, le cadrage du projet devra définir et formaliser les 4 grands chantiers caractéristiques d’un projet DLP, les clés du succès pour le déploiement de la solution :

La cartographie des données sensibles et la définition des règles de protection associées

Dans le cas où l’entreprise aurait déjà établi une cartographie répertoriant les données et traitements considérés comme sensibles, ainsi que les flux considérés comme légitimes, celle-ci constituera la base sur laquelle le projet DLP s’appuiera pour l’élaboration des politiques de DLP et des règles de protection fines.

Si cette cartographie n’existe pas, le projet DLP ne pourra aboutir sans l’implication forte des métiers sur le sujet. Il s’agira d’identifier avec eux, par Direction et par Activité, les données sensibles et les traitements associés. Cette première réflexion aboutira à la délimitation des traitements et des canaux de stockage et de transmission légitimes, à la fois à l’interne et l’externe de l’entreprise. Ce processus nécessite une collaboration rapprochée avec des contributeurs clés des différentes directions qui pourront lors d’entretiens fournir les informations nécessaires.

L’équipe projet peut alors à ce stade, créer les politiques de DLP associées aux scénarios assimilés à une fuite de données.

Les retours des grands comptes montrent toutefois qu’un facteur clé de la réussite du projet est de savoir choisir ses combats ; il est en effet illusoire de vouloir implémenter – à minima dans un premier temps – l’ensemble des potentielles politiques de DLP. La bonne couverture des données les plus critiques de l’entreprise sera déjà preuve d’un niveau de maturité satisfaisant vis-à-vis de l’état de l’art.

L’identification des contraintes réglementaires et légales s’appliquant aux traitements analysés

Les réglementations concernant les données sensibles, telles que les données à caractère personnel (Loi informatique et liberté, RGPD, etc.) imposent des restrictions particulières sur les traitements autorisés sur ces données. De plus, pour les entreprises évoluant dans un contexte international, des particularités réglementaires locales existent et créent une hétérogénéité quant aux règles à respecter concernant les traitements sur les données.

Pour les aspects de conformité légale, il est important de s’appuyer sur les compétences des départements Légal et Conformité de l’entreprise et des différentes entités internationales, qui pourront valider les analyses et règles de protection appliquées sur les données.

Les principaux points à adresser lors de cette Due diligence réglementaire sont le traitement des données à caractère personnel, la notification des utilisateurs sur les traitements effectués, le lieu de stockage des données analysées et les canaux de transfert utilisés.

La définition du processus de gestion des incidents de fuite de données

La déclinaison opérationnelle des scénarios de DLP précédemment théorisés requiert ensuite de définir les moyens et processus à mettre en œuvre lors de la détection d’une fuite de donnée. Ceux-ci devront bien sûr s’adapter aux processus de gestion des incidents au sein de l’entreprise :

• Qui recevra les alertes liées aux potentielles fuites de données (le SOC dans le cas où il existe, une équipe dédiée liée à une Direction métier, etc.) ?
• Quels moyens mettre en place lors de l’investigation sur le périmètre impacté (ex : dans le cas d’un périmètre sensible, l’enquête doit respecter une certaine confidentialité) ?
• Selon le niveau de criticité, quels niveaux hiérarchique et opérationnel contacter ?

À la différence d’incidents de sécurité techniques, il pourra être pertinent d’intégrer dans le processus des équipes métier ou le responsable sécurité de l’entité concernée afin de définir la criticité d‘une fuite de données et le périmètre impacté. En effet, dans le cas d’une donnée structurée, la criticité peut être évaluée simplement via des grilles de correspondance, mais cette réflexion est d’un tout autre ordre dans le cas de donnée non structurées (ex : email d’un responsable hiérarchique ou document lié à un projet confidentiel).

Un fort sponsorship sera également requis afin que les objectifs et moyens mis en œuvre dans le cadre du DLP soient approuvés par les différentes Directions Métier, le département Ressources Humaines ainsi que les représentants du personnel.

L’implémentation d’un outil adapté aux scénarios définis

En parallèle de la définition de processus de gestion d’incidents, vient la concrétisation du modèle de supervision avec le choix d’un outillage. Outre l’adéquation avec les scénarios de détection définis, l’outil choisi devra respecter un certain nombre de prérequis liés à l’écosystème de l’entreprise et à la Due diligence réglementaire réalisée. Parmi les critères de choix, la solution technique devra notamment :

• S’intégrer avec les outils du SOC (SIEM, etc.) et idéalement avec les autres solutions de sécurité de l’entreprise (proxy, outils de chiffrement / DRM, etc.) ;
• Être adapté à l’environnement métier (plateformes collaboratives, serveurs de fichiers, etc.) ;
• Prendre en compte la diversité du parc informatique et du système d’information dans le cas de déploiement d’agents sur les terminaux.

Par ailleurs, une implémentation efficace d’une stratégie de DLP devra impérativement couvrir l’ensemble des canaux d’échanges et des cas d’usages métiers, afin de ne pas laisser de vannes ouvertes (ex : installer un outil DLP au niveau des serveurs mail et de fichiers tout en laissant les ports USB sans surveillance aucune).

Les 4 piliers du DLP

L’implémentation de la solution ne marque pas la fin du sujet DLP : le processus de Data Leak Prevention devra entrer dans une démarche d’amélioration continue. L’étude des faux positifs et les remontées d’alertes devront aboutir à une revue régulière (à minima tous les 6 mois) afin d’améliorer les scénarios de détection implémentés. Pour cela, il sera intéressant de prévoir dès la genèse du projet cette charge dans les équipes de Run et de commencer avec des scénarios basiques.

Il sera également intéressant d’inscrire les objectifs du projet de Data Leakage Prevention dans un programme plus large traitant de la protection de la donnée, incluant la revue des droits et des habilitations liés aux serveurs de fichiers, l’authentification avec accès conditionnel, l’intégration de la supervision avec le SOC et le chiffrement des fichiers et applicatifs.

Cet article DLP : éviter les fuites, sans colmater les brèches est apparu en premier sur RiskInsight.

Pourquoi le sujet du Records Management nous intéresse-t-il si particulièrement ? Il a grandement gagné en importance ces deux dernières années avec la publication du RGPD (Règlement général sur la protection des données, ou GDPR en anglais). Ce règlement est en réalité une opportunité pour les entreprises de transformer un sujet de conformité en un indéniable atout métier qui doit être traité aux niveaux les plus stratégiques.

Avoir une cartographie des données de l’entreprise, détaillant leurs lieux de stockage, les finalités des traitements associés et les processus auxquels elles sont associées permettra d’améliorer les résultats opérationnels et sera l’une des clés pour améliorer la performance des entreprises.

La première étape de la formalisation du Records Management passe bien évidement la mise en conformité au RGPD. Les actions menées apporteront de la clarté aux métiers sur leurs activités, de l’information sur ce qui doit être protégé au département traitant de la Sécurité, de l’information aux clients sur le traitement de leurs données. Ces derniers n’en seront que plus satisfaits dans un contexte où la transparence et le contrôle de l’information relatif à leurs données sont des facteurs clés de la confiance accordée à l’entreprise et de sa valeur perçue.

Cette cartographie des données sera alors un vecteur pour la réduction des coûts de stockage et de sécurité de l’information. En effet, les informations essentielles et critiques devant être maintenues et protégées seront clairement identifiées et différenciées de celles qui ne le sont pas et ne nécessiteront pas de mécanismes de protection onéreux.

Par où commencer ? Il n’est pas nécessaire de faire appel à une armée d’experts en Records Management pour atteindre les objectifs fixés. Il s’avère que les métiers et leurs employés, ayant acquis un précieux savoir au fil des années sur le fonctionnement de l’entreprise, ses traitements et processus seront les plus grands atouts dans la définition du Records Management.

Trois étapes sont nécessaires pour définir et implémenter une stratégie de Records Management (ou Data Management) pour les entreprises :

1. Créer une politique de Records Management
2. Créer un registre des applications et et des partenaires en usage au sein de l’entreprise (registre pouvant être basé sur le catalogue de services)
3. Implémenter la politique de Records Management sur les applications et services identifiés afin de gagner en efficacité et faire des économies

La politique de Records Management

Chaque métier a des raisons différentes (légales, réglementaires, opérationnelles, etc.) de conserver des archives et ces données. Par exemple, un service client pourrait avoir la nécessité d’enregistrer les conversations téléphoniques à des fins de qualité ou de formation, de la même manière que dans un contexte de transaction financière elle devra enregistrer les conversations téléphoniques de ses employés, pour être en conformité avec la réglementation (MiFID).

La politique de Records  Management devra donc couvrir l’ensemble de ces besoins.

Chaque entité se doit d’être en mesure de préciser les types de données traitées, ainsi que les caractéristiques de son stockage, afin que la politique puisse être construite efficacement suite à des entretiens ciblés avec des responsables métiers expérimentés.

Une fois l’inventaire des différents types d’archivages obtenus, il conviendra de peser les différents impératifs (légaux, réglementaires et opérationnels) pour déterminer la période de rétention adéquate pour chacun des types d’archivages :

• La réglementation impose habituellement une durée minimale (par exemple, l’enregistrement audio des conversations est de 5 ans minimum avec MiFID II) ;
• La législation fixe de son côté une durée de rétention minimale ou maximale (par exemple, la CNIL demande de ne pas conserver les données personnelles plus longtemps que le temps nécessaire au traitement).

La politique de Records Management doit ainsi contenir le type des données archivées, les durées et raisons de rétention.

Le registre des applications et des partenaires

Une fois la politique de Records Management définie, la prochaine étape sera de la décliner sur les différents Systèmes d’Information de l’entreprise. Pour cela, la première brique de cette implémentation sera la construction d’une vue descendante (top-down en anglais) de l’ensemble des applications en service, via une consultation globale des équipes IT, RH, métiers et de sourcing. La revue de ces applications par les équipes Sécurité et de Direction sera alors nécessaire pour deux raisons :

• Vérifier que cette liste est cohérente avec les applications ajoutées dans le radar des équipes Sécurité suite aux demandes des utilisateurs ;
• Donner de la visibilité sur le Shadow IT en usage.

Cette liste finalisée et revue sera alors un ciment solide pour l’implémentation de la politique de Records Management de l’entreprise. L’organisation pourra ainsi tirer parti de la complétude de cette liste pour échanger régulièrement avec les équipes IT, RH, métiers et de sourcing, permettant de réduire le risque de perte de données au travers d’applications ou de partenaires non supervisés.

Il sera par la suite nécessaire de cartographier les systèmes d’information avec les différents types d’archives, leurs impératifs et leurs caractéristiques de rétention afin de pouvoir implémenter la politique de Records Management.

Implémentation de la politique de Records Management

Avoir défini sa politique de Records Management, la cartographie des archives dans le SI n’aura été qu’un exercice de conformité réglementaire si elle n’est pas appliquée par la suite. C’est effectivement l’implémentation de la politique qui apportera toute la valeur ajoutée en termes de performance et d’économies pour l’organisation.

Un exemple parlant est celui des sauvegardes de restauration. Il est possible de définir comme seule finalité pour ces sauvegardes la restauration des données perdues en cas d’incident majeur sur le réseau de l’entreprise. Dans ce cas, il faudra alors décrire dans la politique que la durée de rétention est d’une semaine pour les sauvegardes journalières, pas plus d’un mois pour les sauvegardes hebdomadaires, pas plus d’un an pour les sauvegardes mensuelles, etc. Mettre en place ce type de politique permettra d’économiser énormément d’espace de stockage et apportera de la clarté sur la gestion des sauvegardes aux équipes opérationnelles. Evidemment, il faut en parallèle ségréguer les enregistrements devant rester sauvegardés plus longuement pour des raisons opérationnelles, réglementaires et légales.

Les entreprises n’ayant pas défini de politique de Records Management auront des difficultés à valider les périodes de rétention pour les différents traitements. Elles auront également tendance à définir des périodes de rétention trop longues générant des coûts inutiles et induisant potentiellement un risque légal pour l’entreprise. Pour reprendre l’exemple des sauvegardes de restauration, si ces données sont stockées sans protection (chiffrement par exemple) et volées alors qu’elles n’avaient plus d’intérêt pour leur finalité initiale de restauration, elles seront exploitables par un tiers malveillant et leur divulgation implique divers risques pour l’entreprise.

Une fois l’implémentation de la politique de Records Management lancée, il est recommandé de revoir les diverses stratégies de l’entreprise liées à celle-ci : Sécurité de l’information, juridique, conformité, métier, etc. afin de les aligner et de les compléter grâce à cette nouvelle connaissance sur les données et traitements de l’entreprise. Des bénéfices additionnels pourront en être tirés au-delà du domaine du Records Management : concentration de la sécurité de l’information sur les données sensibles, identification des traitements les plus à risque pour l’entreprise afin de les sécuriser, d’en identifier une alternative moins sensible, voire de les interrompre en cas de fort impact potentiel dû à un manque de conformité.

Les gains que l’entreprise peut espérer d’une stratégie de Records Management claire et formalisée sont maintenant plus évidents : conformité avec les réglementations et lois sur la protection des données, meilleure performance opérationnelle, et actions de sécurité de l’information mieux ciblées. Afin de maximiser ces bénéfices, il est important d’intégrer le juridique, la conformité, la sécurité de l’information et la stratégie métier dans cette initiative : ils créeront les synergies nécessaires à la réussite du projet.

Cet article Comment faire du Records Management un atout pour les entreprises? est apparu en premier sur RiskInsight.