• Assurez la sécurité des applications de la bonne manière! Détectez, protégez, surveillez, accélérez et plus encore…
  • Les actifs les plus précieux d'une entreprise sont également les plus difficiles à protéger.

    Nous parlons de données, la substance essentielle qui maintient le système nerveux de chaque entreprise en vie. Heureusement, il existe toute une industrie dédiée exclusivement à aider les entreprises à éviter la perte de données. Cette industrie est dirigée par une poignée de fournisseurs qui fournissent une technologie connue sous le nom de Prévention des pertes de données, ou DLP pour faire court.

    DLP les technologies remplissent deux fonctions essentielles.

    • Identifiez les données sensibles à protéger
    • Empêcher la perte de ces données

    Les types de données qu'ils protègent peuvent être divisés en trois groupes principaux:

    • Données utilisées
    • Données en mouvement
    • Données au repos

    Les données utilisées font référence aux données actives, généralement des données qui résident dans la RAM, les mémoires cache ou les registres du processeur.

    Les données en mouvement font référence aux données qui transitent par un réseau, soit un réseau interne et sécurisé, soit un réseau public non sécurisé (internet, réseau téléphonique, etc.).

    Et les données au repos font référence aux données qui sont dans un état inactif, qu'elles soient stockées dans une base de données, un système de fichiers ou une infrastructure de stockage.

    En termes de capacités de couverture, les solutions DLP peuvent être classées en deux catégories.

    • Enterprise DLP ou EDLP
    • DLP ou IDLP intégré

    Les solutions qui entrent dans la catégorie EDLP sont celles qui couvrent tout le spectre des vecteurs de fuite. En revanche, les solutions IDLP se concentrent sur un seul protocole ou sur un seul des trois types de données mentionnés précédemment. Quelques exemples de solutions IDLP sont sécurité web, le cryptage des e-mails et le contrôle des appareils.

    À quoi s'attendre d'une excellente solution DLP?

    Il n’existe pas de solution unique dans DLP. La bonne solution pour chaque nécessité dépend de nombreux facteurs. Il s'agit notamment de la taille et du budget de l'organisation, des types de données sensibles, de l'infrastructure réseau, des exigences techniques, entre autres. Déterminer quelle solution convient le mieux à votre entreprise nécessite des efforts et des recherches, afin de déterminer le choix entre les approches DLP, les méthodes de détection et les architectures de solution.

    Après avoir recherché et analysé vos besoins, votre solution DLP idéale devrait offrir l'équilibre optimal de ces aspects:

    • Couverture complète: Les composants DLP doivent couvrir la passerelle réseau afin de surveiller tout le trafic sortant et de bloquer les fuites sous forme d'e-mails et de trafic Web / FTP. Ils doivent également couvrir les données stockées sur toutes les ressources de stockage de l'entreprise, et tous les points de terminaison, pour éviter les pertes sur les données utilisées.
    • Console de gestion unique: La gestion de la solution DLP nécessite des efforts et du temps consacrés à la configuration / maintenance du système, à la création / gestion de politiques, au reporting, à la gestion / triage des incidents, à la détection / atténuation précoce des risques et à la corrélation des événements. La prise en charge de ces zones nécessite une seule console de gestion. Sinon, vous pouvez introduire des risques inutiles.
    • Gestion des incidents pour la conformité: Lorsqu'un incident de perte de données se produit, sa bonne gestion est cruciale. Vous devez être conscient que la perte de données est inévitable, mais la différence entre une amende coûteuse et une gifle au poignet peut être faite dans la façon dont un incident de perte de données est géré.
    • Précision de la méthode de détection: Last but not least, cet aspect d'une solution DLP sépare les bonnes des mauvaises. Les technologies DLP dépendent d'un ensemble réduit de méthodes de détection lorsque vient le temps d'identifier les données sensibles. La correspondance de modèles, utilisant des expressions régulières, est la méthode de détection la plus utilisée. Cependant, cette méthode est très imprécise, ce qui entraîne de longues files d'attente d'incidents faux positifs. Les bonnes technologies DLP devraient ajouter d'autres méthodes de détection à la correspondance de modèle traditionnelle afin d'améliorer la précision.

    Principales approches DLP

    Lorsque les solutions DLP ont commencé à monter en flèche, tous les fournisseurs ont approché DLP avec des ensembles de composants conçus pour couvrir l'infrastructure de l'entreprise. Aujourd'hui, la situation a changé et tous les fournisseurs n'utilisent pas la même approche. Ces approches se divisent en deux catégories principales.

    • DLP traditionnel
    • Agent DLP

    Le DLP traditionnel est proposé par certains des fournisseurs du marché, tels que Forcepoint, McAfee et Symantec. L'approche traditionnelle proposée par ces fournisseurs est également multidimensionnelle: elle fournit une couverture au niveau de la passerelle réseau, dans l'infrastructure de stockage, aux points de terminaison et dans le cloud. Cette approche a eu suffisamment de succès pour décrire le marché DLP actuel et a été la première à saisir une part de marché importante.

    La deuxième approche de DLP est appelée Agent DLP ou ADLP. Il utilise des agents de point de terminaison au niveau du noyau qui surveillent toutes les activités des utilisateurs et du système. C'est pourquoi les solutions qui s'inscrivent dans cette approche sont également appelées solutions Endpoint DLP.

    Il n'est pas facile de déterminer quelle approche convient le mieux aux besoins d'une organisation. Cela dépend fortement des types de données à protéger, du secteur dans lequel l'organisation opère et des raisons de la protection des données. Par exemple, les organisations des secteurs de la santé et de la finance sont obligées d'utiliser DLP pour se conformer à la réglementation. Pour ces entreprises, une solution DLP doit détecter les informations personnelles et de santé sur différents canaux et sous de nombreuses formes différentes.

    En revanche, si une entreprise a besoin de DLP pour la protection de la propriété intellectuelle, la solution DLP à appliquer nécessiterait des méthodes de détection plus spécialisées. En outre, une détection et une protection précises des données sensibles sont beaucoup plus difficiles à réaliser. Toutes les solutions DLP traditionnelles ne fourniront pas les bons outils pour ce travail.

    Architecture DLP: comment survivre à la complexité des solutions

    Les technologies DLP sont sophistiquées. Ils nécessitent des apports de nombreux domaines disparates: Web, e-mail, bases de données, mise en réseau, sécurité, infrastructure, stockage, etc. Pour le rendre encore plus complexe, les solutions DLP sont généralement très difficiles à déployer, à configurer et à gérer.

    Les solutions DLP traditionnelles ajoutent encore plus de complexité à la recette. Ils nécessitent plusieurs appareils et logiciels pour exécuter la solution complète. Ceux-ci peuvent inclure des appliances (virtuelles ou réelles) et des serveurs.

    L'architecture réseau de l'organisation doit intégrer ces périphériques, et cette intégration doit inclure inspection du trafic réseau, blocage des e-mails, etc. Une fois l'intégration terminée, un autre niveau de complexité survient en termes de complexité de gestion, qui dépend de chaque fournisseur.

    Les solutions Agent DLP sont généralement moins complexes que les solutions traditionnelles, principalement parce qu'elles nécessitent peu ou pas d'intégration réseau du tout. Cependant, ces solutions interagissent avec le système d'exploitation au niveau du noyau. Par conséquent, un réglage étendu est nécessaire pour éviter les conflits avec le système d'exploitation et d'autres applications.

    Répartition des fournisseurs DLP:

    Gardien numérique

    Gardien numérique est né en 2003 sous le nom de Verdasys, dans le but de fournir une technologie pour empêcher le vol de propriété intellectuelle. Son premier produit était un agent de point final capable de surveiller toutes les activités des utilisateurs et du système.

    Outre la surveillance des activités illégales, la solution enregistre également les activités apparemment bénignes, afin de détecter les actions suspectes. Le rapport de journalisation peut être analysé pour détecter les événements que les solutions TDLP ne peuvent pas capturer.

    DG a acquis Code Green Networks afin de compléter sa solution ADLP avec des outils DLP traditionnels. Cependant, il y a peu d'intégration entre les solutions ADLP et TDLP de DG. Ils sont même vendus séparément.

    Forcepoint

    Forcepoint est situé dans une position privilégiée dans le «quadrant magique» de Gartner des fournisseurs TDLP. Sa plate-forme de sécurité comprend un ensemble de produits pour le filtrage d'URL, la messagerie électronique et la sécurité Web. Ces outils sont complétés par des solutions tierces renommées: SureView Insider Threat Technology, Stonesoft NGFW de McAfee et Skyfence CASB d'Imperva.

    L'architecture de la solution Forcepoint est simple, en comparaison avec d'autres solutions. Il comprend des serveurs pour la gestion, la surveillance du trafic des données et du réseau et le blocage des e-mails / surveillance du trafic Web. La solution est conviviale et comprend de nombreuses politiques, classées par pays, industrie, etc.

    Certaines caractéristiques rendent la solution Forcepoint DLP unique. Par exemple, la capacité OCR pour détecter les données sensibles dans les fichiers image. Ou le classement des risques d'incident, pour permettre aux administrateurs système de voir quels incidents doivent être examinés en premier lieu.

    McAfee

    Depuis son acquisition par Intel, McAfee n'a pas trop investi dans son offre DLP. Par conséquent, les produits n'ont pas fait l'objet de nombreuses mises à jour et ont perdu du terrain face aux produits DLP concurrents. Quelques années plus tard, Intel a séparé sa division de sécurité et McAfee est redevenue une entreprise autonome. Après cela, sa gamme de produits DLP a reçu les mises à jour nécessaires.

    La solution McAfee DLP est composée de trois parties principales, couvrant

    • Réseau
    • Découverte
    • Endpoint

    Un composant est tout à fait unique parmi les autres offres DLP: le moniteur McAfee DLP. Ce composant permet de capturer les données des incidents déclenchés par des violations de politique, ainsi que tout le trafic réseau. De cette façon, le composant permet d'examiner la plupart des données et peut découvrir des incidents qui, autrement, pourraient passer inaperçus.

    EPolicy Orchestrator de McAfee prend en charge la majeure partie de la gestion de la solution DLP. Cependant, certaines tâches de gestion doivent encore être effectuées en dehors de l'orchestrateur. L'entreprise doit encore intégrer pleinement son offre DLP. On ne sait pas encore si cela sera fait dans le futur.

    Symantec

    Symantec est le leader incontesté dans le domaine des solutions DLP, grâce aux innovations continues qu'il applique à son portefeuille de produits. La société possède la plus grande base installée de tous les fournisseurs de DLP. La solution a une approche modulaire, avec un composant logiciel différent requis pour chaque fonction. La liste des composants est assez impressionnante, y compris Network Prevent for Web, Network Prevent for Email, Network Monitor, Endpoint Prevent, Data Insight, Endpoint Discover, etc.

    En particulier, le composant Data Insight unique offre une visibilité sur l'utilisation, la propriété et les autorisations d'accès des données non structurées. Cet avantage lui permet de concurrencer les produits en dehors de l'arène DLP, offrant une valeur supplémentaire aux organisations qui peuvent tirer parti de cette capacité.

    Le DLP de Symantec peut être personnalisé de différentes manières. Presque toutes les fonctionnalités ont leurs configurations, offrant un haut niveau de réglage des politiques. Cependant, cet avantage se fait au prix d'une plus grande complexité. C'est probablement le plus complexe du marché et il peut nécessiter de nombreuses heures pour le déploiement et le support.

    RSA

    La solution DLP d'EMC, Prévention de la perte de données RSA, vous permet de découvrir et de surveiller le flux de données sensibles, telles que l'adresse IP d'entreprise, les cartes de crédit des clients, etc. La solution aide à éduquer les utilisateurs finaux et à appliquer des contrôles dans les e-mails, le Web, les téléphones, etc.

    RSA Data Loss Prevention se différencie en fournissant une couverture complète, une intégration de plate-forme et une automatisation du flux de travail. Il offre une combinaison de classification de contenu, d'empreintes digitales, d'analyse des métadonnées et de politiques d'experts pour identifier les informations sensibles avec une précision optimale.

    La couverture étendue d'EMC comprend de nombreux vecteurs de risque. Non seulement le courrier électronique, le Web et le FTP les plus courants, mais également les médias sociaux, les périphériques USB, SharePoint et bien d'autres. Son approche centrée sur l'éducation des utilisateurs vise à sensibiliser les utilisateurs finaux aux risques, en guidant leur comportement face à des données sensibles.

    Protection des données CA

    Protection des données CA (L'offre DLP de Broadcom) ajoute une quatrième classe de données - en plus des données en cours d'utilisation, en mouvement, au repos - qui doivent être protégées: à l'accès. Il se concentre sur l'endroit où se trouvent les données, comment elles sont traitées et quel est leur niveau de sensibilité. La solution cherche à réduire la perte et l'utilisation abusive des données en contrôlant non seulement les informations, mais aussi leur accès.

    La solution promet aux administrateurs réseau de réduire les risques pour leurs actifs les plus critiques, de contrôler les informations sur tous les sites de l'entreprise, d'atténuer les modes de communication à haut risque et de permettre la conformité aux politiques réglementaires et d'entreprise. Il prépare également le terrain pour une transition vers les services cloud.

    Vous faire économiser des millions ou vous coûter des millions?

    La meilleure solution DLP pourrait en effet vous faire économiser des millions. Mais il est également vrai que cela pourrait vous coûter des millions si vous ne choisissez pas celui qui convient à vos besoins ou si vous ne le déployez pas de la bonne manière. Si vous pensiez que choisir la bonne solution DLP ne consistait qu'à parcourir un tableau de comparaison des fonctionnalités, vous vous êtes trompé.

    Soyez donc prêt à consacrer beaucoup d'efforts non seulement pour mettre en œuvre une solution DLP une fois que vous l'avez achetée, mais aussi pour analyser toutes les offres et choisir celle qui convient le mieux à votre organisation.