Prévention des fuites de données
Est-il possible de prévenir les fuites de données d'entreprise au milieu de canaux d'information excessifs ?
La solution semble être aussi simple qu'un fast-food : se procurer une application DLP ou de prévention des pertes de données auprès d'une entreprise renommée comme HP ou Symantec. Est-ce vraiment si simple ? Le problème est que les employés peuvent être les voleurs silencieux. Après tout, copier des données est devenu un rêve de nos jours, comme avec la clé USB. Vous n'avez plus besoin de vous battre avec des copies papier encombrantes. Un minuscule gadget peut contenir une bibliothèque d'informations. Et puis il y a les courriels, et les pièces jointes peuvent être utilisées pour envoyer des informations sensibles aux mauvaises personnes.
Une guerre silencieuse de l'information se déroule en permanence
À l'instar des guerres publicitaires que se livrent âprement les rivaux dans les affaires comme dans les smartphones, la guerre de l'information est bien réelle. L'information coûte cher, comme nous le constatons chaque jour dans les médias. Quelques secondes de publicité pour la marque de chocolat et l'entreprise paie une fortune. Imaginez seulement combien les gens paieraient en termes de brevets et de modèles concernant des produits avancés qui font l'objet de recherches 24 heures sur 24 et 7 jours sur 7.
Un marché DLP en plein essor !
Il n'est donc pas étonnant que 19 méga entreprises se disputent les premières places sur le marché de la DLP. La demande devrait augmenter de près de 2 milliards de dollars d'ici 2019. Nous pouvons imaginer pourquoi. La cybercriminalité est multipliée par dix chaque année et nous ne pouvons travailler qu'avec des estimations. La prévention des accès non autorisés est ce qui occupe tant de personnes. La plupart des médias se basent sur des estimations, mais nous considérons ces chiffres comme très réels. Personne ne connaît vraiment toute la vérité.
Des employés formés et dévoués pourraient gagner la moitié de la bataille
La vérification des antécédents du personnel peut aider à s'assurer de sa fiabilité et la signature d'un accord de confidentialité peut donner confiance à l'employeur. Si le personnel est vraiment satisfait de l'organisation, les risques de vol de données sont peut-être moins nombreux. Pourtant, la formation est essentielle pour s'assurer que les travailleurs comprennent le problème et savent comment contrôler le flux d'informations. Chaque ordinateur peut être connecté à vingt autres ordinateurs et les informations circulent entre eux en permanence. La surveillance du réseau assure systématiquement le bon passage des informations. Les pirates utilisent la même technologie pour pénétrer dans la forteresse et voler des données pour diverses raisons : affaires, espionnage, terreur ou simple méfait.
La fuite d'informations d'initiés semble être miniature, selon le rapport de Verizon en 2012, elle n'était que de 4%. Le problème redoutable est que les cadres de l'entreprise possèdent une mine d'or d'informations au bureau et qu'ils pourraient facilement les copier. Une banque d'Amérique a divulgué des informations sur ses clients à des voleurs d'identité et la perte financière s'est élevée à 10 millions de dollars, sans compter les problèmes de relations publiques. Difficile à croire ? Non, tout cela est vrai. Le sempiternel logiciel antivirus avec pare-feu à l'appui est constamment recommandé pour assurer la sécurité. Il forme un mur puissant qui n'est pas facile à franchir, du moins les grandes entreprises promettent-elles un tel bouclier. Les DLP surveillent le mouvement des données sur la base du profil de propriété intellectuelle de l'entreprise. Le logiciel examine chaque bit d'information qui sort par les ports et les protocoles et réagit de manière appropriée.
Ainsi, on pourrait empêcher la sortie des informations au-delà de certains seuils fixes. Le cryptage et le blocage USB semblent être des stratégies judicieuses pour préserver les précieuses informations et empêcher l'accès illégal et la falsification. Les banques utilisent constamment ce type de cryptage et le système semble bien fonctionner. Compte tenu des énormes quantités d'argent liquide qui changent légalement de mains chaque jour par le biais des services bancaires en ligne, il semble qu'il n'y ait pas lieu de s'alarmer. Les services de passerelle de sécurité Web, qui constituent une alternative aux DLP, protègent contre les sites Web et les logiciels malveillants. Ils analysent les fichiers dans toutes les voies de communication pour détecter les pertes de données potentielles, selon les termes linguistiques qu'ils contiennent. Si quelqu'un se comporte de manière irresponsable, le logiciel s'en aperçoit et donne l'alerte.
Le problème du BYOD aggrave la situation
Non seulement l'information est omniprésente, sous de multiples formes (DVD, messagerie instantanée, smartphones et blogs, courrier électronique et clés USB), mais la vie privée est constamment compromise par les smartphones équipés de caméras et d'enregistrements vidéo qui atteignent les zones les plus sensibles. Rien ne semble leur échapper, pas même les salles d'essai des entreprises. En outre, le fait d'être autorisé à apporter son propre équipement sur le lieu de travail comporte également des risques potentiels, comme une invitation ouverte au vol d'informations. Heureuse était l'époque de la machine à écrire manuelle, du téléphone et du fax seuls.
La perte accidentelle ou la mauvaise utilisation d'informations se produit parfois lorsque vous les envoyez par hasard à la mauvaise personne. Le problème n'est souvent pas ce qui se trouve au-delà du périmètre mais ce qui se passe à l'intérieur. Comme les informations sont constamment envoyées et renvoyées, il existe de nombreuses possibilités de manipulation ou de vol à l'intérieur. L'anti-malware et le cryptage, ainsi que d'autres contrôles de sécurité, jouent un rôle important. Trois couches de défense sont utilisées pour maintenir efficacement les choses en place. Imaginez le degré de sécurité que requièrent les numéros de carte de crédit et de sécurité sociale.
Classification des dossiers
Un système de classification des fichiers permettrait de s'assurer que les informations sensibles ne passent pas par un protocole ou une passerelle, en déclenchant une alarme si c'est le cas. Un tel système pourrait également être mis en œuvre dans les médias sociaux, où l'accès aux contenus ou images répréhensibles serait empêché. Des dispositions pourraient également être prises en fonction de la taille des fichiers. Les fichiers anormalement volumineux susciteraient des doutes et arrêteraient le processus. Les comportements inhabituels des employés pourraient également être surveillés de cette manière.
Tirer les leçons d'histoires criminelles réelles
Le cas du vol de 400 millions de dollars dans la base de données de DuPont sur plusieurs mois est révélateur. La personne en question avait accédé à 15 fois le nombre de fichiers sur lesquels travaillaient les autres employés du bureau. Un employé de Duracell a vendu des informations sur les piles, d'abord en les envoyant chez lui, puis à une société concurrente. Il est essentiel de maîtriser les données internes, mais il faut un logiciel distinct pour chaque catégorie d'information. Évitez de mettre tous les œufs dans le même panier.