Qu’est-ce que Cloud DLP (protection contre la perte de données) ?

Pourquoi Cloud DLP est-il important ?

À l’époque où les informations sensibles étaient imprimées sur papier, la protection contre la perte de données pouvait être aussi simple qu’une armoire verrouillée. Désormais, les données circulent entre les data centers, les fournisseurs de cloud et les terminaux, potentiellement exposés à une multitude de vulnérabilités en chemin. Pour les protéger contre tout accès non autorisé, vous devez mettre en œuvre une stratégie complète de protection contre la perte de données (DLP).

Votre stratégie DLP doit amener les dirigeants et les responsables informatiques à déterminer ensemble quelles données peuvent être qualifiées de « sensibles » pour votre entreprise, convenir de la manière dont ces données doivent être utilisées et définir ce qu’est une violation. Ces lignes directrices concernant la sécurité des informations, dont notamment la classification des données, la confidentialité des données et les informations de conformité, tout comme les procédures de correction, peuvent ensuite être traduites en politiques de DLP.

Diverses normes de conformité (par exemple, RGPD, HIPAA, PCI DSS) peuvent exiger que votre entreprise déploie la DLP pour éviter des amendes ou des restrictions de vos activités. Cependant, les violations de données peuvent également exposer les données personnelles des utilisateurs finaux, exposant ainsi votre entreprise au risque de perdre des clients, de subir des dommages de réputation ou faire face à des conséquences juridiques. Une politique DLP bien définie et renforcée par une technologie de support bien gérée, peut vous aider à réduire considérablement ces risques.

Avantages de la protection contre la perte de données dans le cloud

La DLP basée sur le cloud offre de nombreux avantages à toute entreprise, à savoir :

• Évolutivité flexible pour répondre aux besoins de volumes de données croissants et d’écosystèmes d’informations changeants
• Réduction des coûts d’infrastructure grâce à l’élimination du matériel sur site et des dépenses de modernisation/maintenance qui y sont liées
• Protection omniprésente pour les utilisateurs et les filiales sans devoir procéder à un backhauling vers votre data center
• Déploiement et configuration plus rapides que la DLP sur site, sans aucun boîtier à gérer
• Mises à jour automatiques depuis le cloud qui fournissent les dernières informations et de nouvelles fonctionnalités sans temps d’arrêt

Techniques de la protection contre la perte de données dans le cloud

En termes simples, la technologie DLP, y compris la DLP basée sur le cloud, fonctionne en identifiant les données sensibles vulnérables, puis en les protégeant. Une solution DLP peut être conçue pour identifier les données en cours d’utilisation, en mouvement ou au repos (ou n’importe quelle combinaison) et déterminer si elles sont sensibles. Pour ce faire, les agents DLP peuvent faire appel à de nombreuses techniques différentes, telles que :

• Correspondance basée sur des règles ou « expressions régulières » : cette technique identifie les données sensibles sur la base de règles pré-écrites (par exemple, les nombres à 16 chiffres sont souvent des numéros de carte de crédit). En raison d’un taux élevé de faux positifs, la mise en correspondance basée sur des règles n’est souvent qu’un premier passage avant une inspection plus poussée.
• Correspondance exacte des données (empreintes de la base de données) : cette technique identifie les données qui correspondent exactement à d’autres données sensibles dont l’empreinte a déjà été prise, généralement à partir d’une base de données fournie.
• Correspondance exacte de fichiers : cette technique fonctionne essentiellement comme la correspondance exacte de données, si ce n’est qu’elle identifie les hachages de fichiers correspondants sans analyser le contenu du fichier.
• Correspondance partielle de documents : cette technique identifie les données sensibles en les faisant correspondre à des schémas ou des modèles établis (par exemple, le format d’un formulaire standard des patients d’un centre de soins d’urgence).
• Apprentissage automatique, analyse statistique, etc. : cette famille de techniques repose sur l’alimentation d’un modèle d’apprentissage avec un grand volume de données afin de « l’entraîner » à reconnaître une chaîne de données donnée susceptible d’être sensible. Cette technique est particulièrement utile pour identifier les données non structurées.
• Règles personnalisées : de nombreuses entreprises doivent identifier et protéger des types de données uniques, et la plupart des solutions de DLP modernes leur permettent d’élaborer leurs propres règles qui s’exécutent parallèlement aux autres.

Une fois les données sensibles identifiées, il appartient à votre politique de DLP de déterminer la manière de les protéger. Par ailleurs, la façon dont vous allez les protéger est étroitement liée à la raison pour laquelle vous devez les protéger.

Principaux cas d’utilisation de Cloud DLP

Comme nous l’avons déjà évoqué, la sécurisation des données sensibles protège votre entreprise contre d’autres formes de perte (clients, chiffre d’affaires, réputation) et vous aide à rester en conformité avec les réglementations sectorielles et légales. Pour protéger ces données, il faut évidemment être en mesure d’identifier leur nature et leur emplacement, ce qui constitue un autre cas d’usage fondamental : la visibilité des données.

En bref, les principaux cas d’utilisation d’une solution DLP consistent à :

• Protéger les données sensibles en mouvement et au repos : la DLP protège les données lorsqu’elles se déplacent entre plusieurs terminaux, réseaux et clouds ou qu’elles y sont stockées, en assurant leur chiffrement, en appliquant des contrôles d’accès et en surveillant les activités suspectes.
• Maintenir la conformité aux réglementations : les politiques et technologies de DLP vous aident à appliquer des contrôles d’accès, à surveiller l’utilisation et à effectuer des audits pour garantir que vous traitez les données sensibles conformément aux réglementations telles que le RGPD, la HIPAA et la PCI DSS.
• Acquérir une visibilité sur vos données : la DLP vous procure une visibilité sur vos données (un aperçu de l’endroit où résident et se déplacent les informations sensibles, les utilisateurs qui y ont accès et la manière dont elles sont utilisées) pour vous aider à identifier les vulnérabilités, à détecter les activités à risque et, à terme, à remédier aux violations de données et à y mettre fin.

5 types de solutions Cloud DLP

Étant donné qu’aucune technologie ne peut à elle seule couvrir tous les cas d’utilisation ou prendre en compte toutes les façons dont les données peuvent être perdues, les offres efficaces de protection des données actuelles intègrent plusieurs fonctions. Examinons certaines des technologies DLP cloud les plus courantes et les plus essentielles.

1. Les CASB (Cloud Access Security Brokers) surveillent et contrôlent l’activité des utilisateurs et les transferts de données entre les terminaux et les applications cloud, en appliquant des politiques de sécurité pour empêcher les accès non autorisés, les fuites de données et les manquements à la conformité. Le CASB procure une visibilité sur le comportement des utilisateurs, l’utilisation des applications et le stockage des données dans les environnements cloud.
2. Le logiciel de DLP protège les données sensibles contre les fuites de données sur les terminaux, la messagerie électronique, les services cloud et d’autres canaux. En surveillant les données et en appliquant les politiques en temps réel, le logiciel de DLP identifie et prévient les violations potentielles.
3. L’analyse du comportement des utilisateurs et des entités (UEBA) surveille, analyse et corrèle le comportement des utilisateurs, les modèles d’accès, les événements système, etc. afin de détecter les anomalies et les menaces potentielles, telles que les menaces internes malveillantes, les comptes compromis et les déplacements latéraux.
4. La gestion de la posture de sécurité SaaS (SSPM) aide les entreprises à évaluer et à gérer les configurations de sécurité, les autorisations et les vulnérabilités dans différentes applications SaaS afin de combler les failles de sécurité et d’atténuer les risques associés à l’exposition des données et aux accès non autorisés.
5. L’isolation du navigateur exécute le contenu Web dans un environnement sécurisé, empêchant le contenu Web potentiellement malveillant (par exemple, les téléchargements à la volée, les malwares, le phishing) d’accéder directement ou d’affecter le terminal, le réseau ou les données sensibles de l’utilisateur.

Cloud DLP et le besoin de visibilité des données

La DLP ne peut pas empêcher la perte de données si elle ignore le trafic. Ceci est crucial alors que les entreprises migrent de plus en plus de données vers le cloud, où trois défis fondamentaux empêchent la DLP traditionnelle basée sur le réseau de voir le trafic qu’elle est censée inspecter :

• Utilisateurs distants : avec la DLP réseau, les niveaux de visibilité et de protection dépendent de l’endroit où se trouvent les utilisateurs. Ils peuvent facilement contourner l’inspection lorsqu’ils sont en dehors du réseau, en se connectant directement aux applications cloud. Des politiques de DLP et de sécurité efficaces doivent suivre les utilisateurs partout où ils se connectent et sur tous les appareils qu’ils utilisent.
• Chiffrement : la croissance inouïe du trafic chiffré TLS/SSL a créé un angle mort important pour la DLP basée sur le réseau qui se trouve incapable de le déchiffrer pour l’inspecter.
• Limitations de performances : les solutions DLP basées sur des appliances disposent de ressources limitées qui les empêchent d’évoluer efficacement pour procéder à l’inspection inline d’un trafic Internet en constante augmentation.

Cloud DLP dans un monde axé sur le cloud et le mobile

Pour relever les défis de protection des données qui accompagnent la transformation digitale et surmonter les faiblesses de la DLP d’entreprise traditionnelle, vous devez adopter une nouvelle approche et une nouvelle technologie. La reconfiguration d’une pile matérielle traditionnelle pour le cloud ne suffit pas ; elle est inefficace et ne bénéficie pas de la protection et des services d’une solution de DLP basée sur le cloud, notamment :

• Protection identique pour tous les utilisateurs sur le réseau ou en dehors, garantissant une protection complète des données pour tous les utilisateurs, où qu’ils se trouvent, au siège, dans une filiale, dans un aéroport ou à leur domicile
• Inspection native du trafic chiffré TLS/SSL, octroyant à l’entreprise une visibilité cruciale sur le trafic où se dissimulent actuellement plus de 85 % des attaques
• Évolutivité dynamique pour l’inspection inline, ce qui permet d’éviter la perte de données en inspectant l’ensemble du trafic à mesure qu’il arrive et en mettant en quarantaine les fichiers suspects ou inconnus, plutôt que se contentant de limiter les dégâts après une compromission

Correspondance exacte des données pour Cloud DLP

Les solutions de protection contre la perte de données font depuis longtemps appel à la recherche de modèles pour identifier les numéros de carte de crédit, les numéros de sécurité sociale, etc. Cette technique manque toutefois de précision. Un trafic sécurisé peut toujours être bloqué simplement parce qu’il contient un modèle sélectionné pour la protection, saturant les équipes de sécurité de faux positifs.

La correspondance exacte des données (EDM) constitue une innovation de poids pour la technologie DLP qui augmente la précision de la détection et élimine pratiquement tous les faux positifs. Au lieu de faire correspondre des modèles, l’EDM prend l’empreinte des données sensibles, puis surveille les tentatives de déplacement de ces données et empêche qu’elles soient partagées ou transférées de manière inappropriée.

Bonnes pratiques de Cloud DLP

La stratégie de DLP idéale dépend des données de votre entreprise et de ses besoins. Les bonnes pratiques varient donc, mais ce sujet fait l’objet d’un article distinct. Nous examinerons ici quelques bonnes pratiques plus larges de DLP qui s’appliquent à toutes les situations :

• Commencez en mode « surveillance seule » lors de votre premier déploiement afin de vous faire une idée du flux de données au sein de votre entreprise et de pouvoir définir les meilleures politiques.
• Tenez les employés informés par le biais de notifications afin que les politiques ne soient pas exécutées à leur insu, ce qui pourrait perturber les flux de travail et créer un sentiment de frustration.
• Assurez-vous que vos utilisateurs peuvent envoyer des commentaires sur les notifications pour justifier leurs actions ou signaler des politiques qui n’auraient pas été respectées. Vous pourrez ensuite les utiliser pour affiner vos politiques.
• Mettez à profit les mesures de classification avancées telles que l’EDM pour réduire les faux positifs.
• Utilisez une solution qui puisse déchiffrer le trafic chiffré TLS/SSL, car la grande majorité du trafic Web est désormais chiffrée.

Prise en main de Zscaler Cloud Data Loss Prevention

Face à l’augmentation des menaces et le nombre sans cesse croissant de réglementations liées à la protection des données, votre entreprise doit combler les failles de sécurité inhérentes au cloud et à la mobilité, qu’elles soient imputables à des vulnérabilités ou à des erreurs de configuration.

Par le passé, cela aurait signifié ajouter davantage d’appliances à des piles déjà complexes. Aujourd’hui, il existe Zscaler Data Loss Prevention entièrement fournit dans le cloud, qui est une composante de la suite Zscaler Data Protection. Zscaler DLP vous permet de combler les lacunes de votre protection des données, quel que soit l’endroit où se trouvent vos utilisateurs ou vos applications, tout en réduisant simultanément les coûts et la complexité informatiques.

Zscaler DLP propose les avantages suivants :

• Protection identique pour les utilisateurs et les données, où qu’ils soient
• Protection sur Internet, les terminaux, la messagerie électronique, les SaaS, les applications privées et la posture cloud
• Inspection TLS/SSL évolutive assurée par le plus grand cloud de sécurité inline au monde
• Flux de travail et opérations rationalisés grâce à une découverte innovante des données optimisée par l’AA