Date de mise à jour : 12 août 2024
Contributeurs : Jim Holdsworth, Matthew Kosinski
La prévention des pertes de données (DLP) est la discipline qui consiste à protéger les données sensibles contre le vol, la perte et l’utilisation abusive, en utilisant des stratégies, des processus et des technologies de cybersécurité.
Les données sont un facteur de différenciation concurrentielle pour de nombreuses entreprises. Un réseau d'entreprise typique contient une mine d’informations sensibles telles que des secrets commerciaux, des dossiers de ventes et des données personnelles de clients. Les pirates informatiques ciblent souvent ces données, et les entreprises rencontrent fréquemment des difficultés à sécuriser leurs données critiques.
Dans le même temps, des centaines, voire des milliers, d’utilisateurs autorisés accèdent chaque jour aux données de l’entreprise via des solutions de stockage dans le cloud ou des référentiels sur site.Prévenir la perte de données tout en facilitant l’accès autorisé est une priorité pour la plupart des organisations.
La DLP aide les entreprises à prévenir les fuites et les pertes de données en suivant les flux de données à travers le réseau et en appliquant des politiques de sécurité appropriées. Les équipes de sécurité s’efforcent de garantir que seules les personnes autorisées accèdent aux données, et ce, pour les bonnes raisons.
Une solution DLP inspecte les paquets de données au fur et à mesure de leur transit dans le réseau, détectant l’utilisation d’informations sensibles telles que les numéros de cartes de crédit, les données de santé, les dossiers clients ou la propriété intellectuelle. De cette manière, les entreprises peuvent appliquer les contrôles d’accès et les politiques d’utilisation adéquats pour chaque type de données.
Obtenez des informations pour mieux prendre en charge le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.
Inscrivez-vous pour obtenir le X-Force Threat Intelligence Index
Les données sont vulnérables, quel que soit l'endroit où elles sont stockées, ce qui fait de la protection des informations une priorité majeure pour les organisations. Le coût d’une défaillance peut être élevé. Le dernier rapport sur le coût d’une violation de données d’IBM a révélé que le coût moyen mondial d'une telle violation a augmenté de 10 % par rapport à l'année précédente, atteignant 4,88 millions de dollars, soit la plus forte hausse depuis la pandémie.
Les données personnelles identifiables (PII), en particulier, ont une grande valeur pour les cybercriminels et sont souvent ciblées. Le rapport sur le coût d’une violation de données a également révélé que près de la moitié des violations concernaient les données personnelles des clients, qui peuvent inclure des numéros d’identification fiscale, des adresses e-mail, des numéros de téléphone et des adresses personnelles. Les données relatives à la propriété intellectuelle suivent de près, représentant 43 % des violations.
La protection des données devient de plus en plus complexe, car les informations peuvent être utilisées ou stockées dans divers formats, à différents endroits, et par différentes parties prenantes au sein d’une organisation. De plus, chaque ensemble de données peut nécessiter des règles spécifiques en fonction de son niveau de sensibilité ou des réglementations en matière de confidentialité des données.
Les politiques et outils DLP aident les entreprises à se protéger en surveillant chaque donnée sur l'ensemble du réseau dans les trois états : en cours d'utilisation, en mouvement et au repos.
Données en cours d'utilisation : il s'agit des données lorsqu’elles sont accédées, traitées, mises à jour ou supprimées. Par exemple, les données d'une organisation utilisées pour des analyses ou des calculs, ou un document texte modifié par un utilisateur final.
Données en mouvement : également appelées données en transit, ce sont des données qui se déplacent sur un réseau, par exemple lorsqu’elles sont transmises par un serveur de diffusion d'événements ou une application de messagerie, ou encore lorsqu’elles sont transférées entre deux réseaux. Les données en mouvement sont les moins sécurisées des trois états et nécessitent une attention particulière.
Données au repos : il s'agit des données stockées, que ce soit sur un disque cloud, un disque dur local ou dans une archive. En général, les données au repos sont plus faciles à protéger, mais elles nécessitent néanmoins des mesures de sécurité appropriées. Les données au repos peuvent être compromises par un geste aussi simple que de récupérer une clé USB laissée sur un bureau sans surveillance.
Idéalement, la solution de prévention des pertes de données d'une organisation doit être capable de surveiller toutes les données, qu’elles soient en cours d'utilisation, en mouvement ou au repos, et ce, sur l’ensemble des logiciels utilisés. Par exemple, en ajoutant une protection DLP pour l'archivage, les applications de business intelligence (BI), les e-mails, les outils de collaboration et les systèmes d'exploitation tels que macOS et Microsoft Windows.
Les événements de perte de données sont souvent décrits comme des violations de données, des fuites de données ou une exfiltration de données. Ces termes sont parfois utilisés de manière interchangeable, mais ils ont des significations distinctes.
Violation de données : une violation de données est un incident de sécurité qui entraîne un accès non autorisé à des informations confidentielles ou sensibles. Cela inclut toute cyberattaque ou tout autre incident de sécurité permettant à des parties non autorisées d’accéder à des données sensibles ou confidentielles.
Fuite de données : il s'agit de l'exposition accidentelle de données sensibles ou d’informations confidentielles au public. Une fuite de données peut résulter d'une faille technique de sécurité ou d'une erreur procédurale, et peut concerner aussi bien des transferts électroniques que physiques.
Exfiltration de données: l’exfiltration fait référence au vol de données. C'est tout vol lorsqu'un attaquant déplace ou copie les données de quelqu’un d’autre sur un appareil sous son contrôle. Toute exfiltration de données nécessite une fuite ou une violation de données, mais toutes les fuites ou violations de données ne conduisent pas à une exfiltration de données.
Certaines pertes de données résultent de simples erreurs, tandis que d'autres sont causées par des cyberattaques telles que les attaques par déni de service distribué (DDoS) et l'hameçonnage. Presque toutes les pertes de données peuvent entraîner des perturbations majeures pour les entreprises.
Voici quelques-unes des causes les plus courantes de perte de données :
Les voleurs de données utilisent des tactiques pour inciter les gens à partager des informations qu'ils ne devraient pas divulguer. L'ingénierie sociale peut être aussi astucieuse qu'une attaque par hameçonnage qui convainc un employé d’envoyer par e-mail des données confidentielles ou aussi sournoise que de laisser une clé USB infectée par un logiciel malveillant à un endroit où un employé pourrait la trouver et la brancher sur un appareil fourni par l'organisation.
D'un autre côté, une erreur humaine peut être aussi simple que d'oublier un smartphone sur une caisse enregistreuse ou de supprimer des fichiers par inadvertance.
Les utilisateurs autorisés, qu'il s'agisse d'employés, de sous-traitants, de parties prenantes ou de fournisseurs, peuvent mettre les données en danger par négligence ou malveillance.
Les initiés malveillants sont souvent motivés par un gain personnel ou par un grief à l’égard de l’entreprise. Les menaces internes peuvent être involontaires, comme la négligence de ne pas mettre à jour les mots de passe, ou plus graves, comme l'exposition de données sensibles d'entreprise lors de l'utilisation d'une IA générative accessible au public.
Les attaques d'initiés malveillants sont fréquentes et coûteuses. Le dernier rapport sur le coût des violations de données d'IBM a révélé que, par rapport à d'autres vecteurs, les attaques d'initiés malveillants ont généré les coûts les plus élevés, avec une moyenne de 4,99 millions de dollars.
Il s’agit d’un logiciel créé spécifiquement pour nuire à un système informatique ou à ses utilisateurs. La forme la plus connue de logiciel malveillant est le ransomware, qui chiffre les données afin qu’elles ne puissent pas être consultées, et exige le paiement d’une rançon pour obtenir la clé de déchiffrement. Parfois, les pirates demandent même un second paiement pour éviter que les données ne soient exfiltrées ou partagées avec d'autres cybercriminels.
Selon le niveau de sauvegarde des données d'une organisation, un dysfonctionnement du disque dur peut s'avérer catastrophique. Cela peut être dû à une panne mécanique ou à une corruption logicielle. Renverser une boisson, comme du café, du thé, du soda ou de l'eau, sur un ordinateur peut court-circuiter la carte mère d'un PC, et cela arrive rarement au bon moment. Une coupure de courant peut également interrompre les systèmes au pire moment, interrompant ainsi la sauvegarde du travail ou coupant les transmissions.
Les vulnérabilités sont des faiblesses ou défauts de la structure, du code ou de l’implémentation d’une application, d’un appareil, d’un réseau ou d’un autre actif informatique exploitable par les pirates. Cela inclut des erreurs de codage, des mauvaises configurations, des vulnérabilités « zero-day » (faiblesses inconnues ou non encore corrigées) ou des logiciels obsolètes, comme une ancienne version de MS Windows.
Tout appareil numérique laissé sans surveillance – sur un bureau, un siège de voiture ou de bus – peut être une cible tentante et permettre au voleur d'accéder à un réseau et à des données. Même si le voleur souhaite simplement vendre l'équipement, l'organisation subira malgré tout les perturbations liées à l'arrêt de l'accès à cet appareil et à son remplacement.
Cela inclut les mots de passe que les pirates peuvent facilement deviner, ou les mots de passe ou autres identifiants (par exemple, les cartes d’identité) que les pirates ou les cybercriminels volent.
Les politiques DLP peuvent couvrir divers sujets, notamment la classification des données, les contrôles d'accès, les normes de chiffrement, la conservation et l'élimination des données, les protocoles de réponse aux incidents, ainsi que des contrôles techniques tels que les pare-feu, les systèmes de détection d'intrusion et les logiciels antivirus.
L'un des principaux avantages de ces politiques de protection des données est qu'elles établissent des normes claires. Les employés comprennent leurs responsabilités en matière de protection des informations sensibles et reçoivent souvent une formation sur les pratiques de sécurité des données, couvrant des sujets comme l'identification des tentatives de hameçonnage, le traitement sécurisé des informations sensibles et le signalement rapide des incidents de sécurité.
De plus, les politiques de protection des données peuvent améliorer l'efficacité opérationnelle en proposant des processus clairs pour les activités liées aux données, telles que les demandes d'accès, l'approvisionnement des utilisateurs, le signalement des incidents et la réalisation d'audits de sécurité.
Plutôt que de rédiger une seule politique pour toutes les données, les équipes de sécurité de l’information créent généralement différentes politiques pour les différents types de données de leurs réseaux. En effet, différents types de données nécessitent souvent des traitements spécifiques en fonction des cas d'utilisation afin de répondre aux exigences de conformité et d'éviter d'interférer avec le comportement approuvé des utilisateurs finaux autorisés.
Par exemple, les données personnelles identifiables (PII), telles que les numéros de carte de crédit, les numéros de sécurité sociale, les adresses personnelles et les adresses e-mail, sont soumises à des réglementations strictes en matière de sécurité des données, qui dictent leur traitement adéquat.
En revanche, l'entreprise peut gérer ses propres actifs de propriété intellectuelle comme elle le souhaite. En outre, les personnes qui ont besoin d’accéder aux PII peuvent ne pas être les mêmes que celles qui ont besoin d’accéder à la propriété intellectuelle de l’entreprise.
Les deux types de données doivent être protégés, mais de manière différente ; c'est pourquoi des politiques DLP distinctes, adaptées à chaque type de données, sont nécessaires.
Les organisations utilisent des solutions de DLP pour surveiller les activités réseau, identifier et marquer les données, et appliquer les politiques de DLP afin de prévenir les abus ou les vols.
Il existe trois principaux types de solutions de DLP :
Les solutions de DLP réseau se concentrent sur la manière dont les données circulent à travers, vers et hors d’un réseau. Ils utilisent souvent l’intelligence artificielle (IA) et le machine learning (ML) pour détecter les flux de trafic anormaux qui pourraient indiquer une fuite ou une perte de données. Bien que les outils de DLP réseau soient conçus pour surveiller les données en mouvement, beaucoup peuvent également offrir une visibilité sur les données utilisées et au repos sur le réseau.
Les outils de DLP au point de terminaison surveillent l’activité des ordinateurs portables, des serveurs, des appareils mobiles et d’autres appareils accédant au réseau. Ces solutions sont installées directement sur les appareils qu’elles surveillent et peuvent empêcher les utilisateurs d’effectuer des actions interdites sur ces appareils. Certains outils de DLP au point de terminaison bloquent également les transferts de données non approuvés entre les appareils.
Les solutions de sécurité du cloud se concentrent sur les données stockées et accessibles par les services cloud. Elles peuvent analyser, classer, surveiller et chiffrer les données dans des dépôts cloud. Ces outils peuvent également aider à appliquer des politiques de contrôle d’accès sur les utilisateurs finaux et tous les services cloud susceptibles d’accéder aux données de l’entreprise.
Les organisations peuvent choisir d’utiliser un type de solution ou une combinaison de plusieurs solutions, en fonction de leurs besoins et de la manière dont leurs données sont stockées. L'objectif reste clair : protéger toutes les données sensibles.
Les équipes de sécurité suivent généralement un processus en quatre étapes tout au long du cycle de vie des données pour mettre en œuvre les politiques de DLP à l'aide d'outils DLP :
Tout d’abord, l’organisation catalogue toutes ses données structurées et non structurées.
Les équipes de sécurité utilisent généralement des outils DLP pour analyser l'ensemble du réseau et découvrir les données, qu'elles soient stockées dans le cloud, sur des points de terminaison physiques, sur des appareils personnels d'employés, ou ailleurs.
Ensuite, l’organisation classe ces données, les triant en groupes en fonction de leur niveau de sensibilité et des caractéristiques qu’elles partagent. La classification des données permet à l’organisation d’appliquer les politiques de DLP appropriées selon les types de données.
Par exemple, certaines organisations peuvent regrouper des données en fonction de leur type : données financières, données marketing, propriété intellectuelle, etc. D'autres organisations regroupent les données en fonction des réglementations applicables, telles que le règlement général sur la protection des données (RGPD) ou le California Consumer Privacy Act (CCPA).
De nombreuses solutions de DLP peuvent automatiser la classification des données. Ces outils peuvent utiliser l’intelligence artificielle, le machine learning et la mise en correspondance de modèles pour analyser les données structurées et non structurées afin de déterminer de quel type de données il s’agit, si elles sont sensibles et quelles politiques doivent s’appliquer.
Une fois les données classées, l’équipe de sécurité surveille leur gestion. Les outils de DLP peuvent utiliser plusieurs techniques pour identifier et suivre les données sensibles utilisées. Ces techniques comprennent :
Lorsqu'un outil DLP trouve des données sensibles, il recherche des violations de politiques, des comportements anormaux des utilisateurs, des vulnérabilités du système et d'autres signes de perte potentielle de données, notamment :
Lorsque les solutions de DLP détectent des violations de politiques, elles peuvent réagir en temps réel. Voici quelques exemples :
Certains outils de DLP aident également à la récupération des données, en sauvegardant automatiquement les informations afin qu’elles puissent être restaurées après une perte.
Les entreprises peuvent également prendre des mesures plus proactives pour appliquer leurs politiques de DLP. Une gestion des identités et des accès (IAM) efficace, y compris des politiques de contrôle d’accès basées sur les rôles, peut restreindre l’accès aux données aux bonnes personnes. La formation des employés sur les exigences de sécurité des données et les bonnes pratiques peuvent aider à prévenir davantage de pertes et de fuites de données accidentelles avant qu’elles ne se produisent.
Les outils de DLP proposent généralement des tableaux de bord et des fonctions de reporting que les équipes de sécurité peuvent utiliser pour surveiller les données sensibles sur tout le réseau. Cette documentation permet à l’équipe de sécurité de suivre les performances du programme DLP au fil du temps afin que les politiques et les stratégies puissent être ajustées selon les besoins.
Les outils de DLP peuvent également aider les entreprises à se conformer aux réglementations pertinentes en enregistrant leurs efforts en matière de sécurité des données. En cas de cyberattaque ou d’audit, l’entreprise peut utiliser ces dossiers pour prouver qu’ils ont suivi les procédures appropriées de traitement des données.
Les stratégies DLP sont souvent alignées sur les efforts de conformité. De nombreuses organisations élaborent leurs politiques de DLP spécifiquement pour se conformer à des règlementations telles que le règlement général sur la protection des données (RGPD), le California Consumer Privacy Act (CCPA), la loi Health Insurance Portability Accountability Act (HIPAA) et la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS).
Les différentes réglementations imposent différentes normes selon les types de données. Par exemple, la loi HIPAA établit des règles pour les renseignements médicaux personnels, tandis que la norme PCI-DSS dicte la façon dont les organisations traitent les informations de carte de paiement. Une entreprise qui collecte les deux types de données aurait probablement besoin de deux politique de DLP distinctes afin de répondre aux exigences de conformité.
De nombreuses solutions de DLP comprennent des politiques de DLP pré-écrites alignées sur les différentes normes de sécurité et de confidentialité des données auxquelles les entreprises doivent se conformer.
De l'essor de l'IA générative aux réglementations émergentes, plusieurs facteurs modifient le paysage des données. En conséquence, les politiques et outils DLP devront évoluer pour répondre à ces nouveaux défis. Voici quelques-unes des tendances les plus marquantes en matière de DLP :
De nombreuses organisations stockent désormais des données à la fois sur site et dans plusieurs clouds, parfois même dans plusieurs pays. Ces pratiques offrent flexibilité et économies, mais elles augmentent également la complexité de la protection de ces données.
Par exemple, le rapport sur les coûts d'une violation de données a révélé que 40 % des violations se produisent dans des organisations qui stockent leurs données dans plusieurs environnements.
Les grands modèles de langage (LLM) sont, par définition, volumineux, et ils consomment d'énormes quantités de données que les organisations doivent stocker, suivre et protéger contre des menaces telles que les injections d'invites. Gartner prévoit que « d'ici 2027, 17 % du total des cyberattaques et fuites de données impliqueront l'IA générative ».1
Les violations de données majeures et les abus sur les réseaux sociaux entraînent une augmentation des appels à la réglementation des gouvernements et des industries, ce qui ajoute à la complexité des systèmes et des vérifications de conformité. Des développements récents, tels que la loi de l'UE sur l'IA et le projet de règles du CCPA sur l'IA, imposent certaines des règles de protection des données et de confidentialité les plus strictes à ce jour.
La gestion des données au sein d'un bâtiment ou d'un réseau est plus simple que l'octroi d'un accès système à une main-d'œuvre mobile ou à des travailleurs à distance, où les problèmes de communication et d'accès multiplient les efforts requis par le personnel informatique.
De plus, les travailleurs à distance peuvent parfois avoir plusieurs employeurs ou contrats, ce qui peut créer des « fils croisés » et entraîner davantage de fuites de données. Gartner prévoit que « d'ici la fin de 2026, la démocratisation de la technologie, la numérisation et l'automatisation du travail porteront le marché total des travailleurs entièrement distants et hybrides à 64 % de l'ensemble des employés, contre 52 % en 2021 ».1
Les employés utilisant de plus en plus de matériel et logiciels personnels au travail, cette informatique fantôme non gérée (shadow IT) crée un risque majeur pour les organisations.
Les employés pourraient partager des fichiers de travail sur un compte de stockage cloud personnel, se réunir sur une plateforme de vidéoconférence non autorisée ou créer un chat de groupe non officiel sans l'approbation du service informatique. Les versions personnelles de Dropbox, Google Drive et Microsoft OneDrive peuvent poser des problèmes de sécurité pour l'équipe informatique.
Les organisations sont également confrontées à une augmentation des données fantômes, c'est-à-dire des données présentes sur le réseau de l'entreprise dont le service informatique n'a pas connaissance ou qu'il ne gère pas. La prolifération des données fantômes contribue largement aux violations de données. Selon le rapport 2023 sur le coût d’une violation de données, 35 % des violations impliquent des données fantômes.
Mises en œuvre sur site ou dans un cloud hybride, les solutions de sécurité des données d’IBM vous aident à obtenir une meilleure visibilité et une meilleure compréhension pour enquêter sur les cybermenaces et y remédier, appliquer des contrôles en temps réel et gérer la conformité aux réglementations.
Découverte et classification précises, évolutives et intégrées de données structurées et non structurées dans tous les environnements.
Stoppez les menaces de sécurité mobile sur tout appareil. Gérez de manière centralisée les points de terminaison et la sécurité pour créer des expériences sans friction pour les utilisateurs, réduire les cybermenaces et maintenir un faible coût total de possession (TCO).
Un guide pour les responsables des données sur le développement d’une organisation axée sur les données et d’un avantage métier.
Le ransomware est une forme de logiciel malveillant qui menace de détruire ou de retenir les données ou les fichiers de la victime, sauf si une rançon est versée au pirate.
Les données structurées et non structurées sont obtenues, collectées et mises à l'échelle de différentes manières, et chacune réside dans un type de base de données différent.
1 « Forecast Analysis: Information Security and Risk Management, Worldwide ». Gartner. 29 février 2024. (Lien externe à ibm.com).