La protection des données dans les petites entreprises : priorité ou "questions mineures" ?

Nous entendons souvent parler des fuites d'informations confidentielles des grandes entreprises et des mesures qu'elles prennent pour minimiser les risques d'incidents de sécurité. Cependant, dans le même temps, les médias couvrent à peine la question de la sécurité de l'information dans les petites entreprises.

Les petites entreprises sont-elles préoccupées par le problème de la sécurité de l'information ? Et si oui, comment font-elles face à ce problème ? Quel est le rôle des systèmes DLP (Data Loss Prevention) dans les circuits de sécurité des petites entreprises ? Pour répondre à ces questions, nous nous tournons vers des experts dans le domaine de la sécurité de l'information et des petites entreprises.

Avant d'aborder la question de l'utilisation des logiciels de surveillance des employés dans les petites entreprises, il est important de savoir exactement quelles informations elles veulent protéger. Le directeur du développement commercial de Greatment Inc. Stephen Lawson, en parle en détail :

"À l'ère des technologies de l'information, le problème de la protection des données se pose pour pratiquement tous les participants au processus d'échange d'informations. Cela s'applique certainement aux grandes et moyennes entreprises et aux petites entreprises, aux entrepreneurs individuels et aux personnes ordinaires. La pierre angulaire de la sécurité est un objet de protection correctement défini et classifié. Il peut s'agir de données (par exemple, les plans de développement de l'entreprise, les rapports financiers, la description des technologies utilisées, les inventions), de systèmes d'information (RH, CRM, ERP, BI, systèmes financiers et de fabrication), de processus commerciaux (technologie de fabrication), et même de personnes (employés aux compétences uniques, acteurs clés). Certains objets de protection sont également définis en fonction d'exigences réglementaires (par exemple, le secret bancaire, les données personnelles). Le choix des méthodes et des mesures de protection dépend de la compréhension de ce qui doit être protégé, de qui il doit être protégé, où il est nécessaire de le protéger et quelles conséquences une protection inappropriée peut entraîner. L'exhaustivité et la qualité de la simulation des menaces pour la sécurité, ainsi que les mesures nécessaires, détermineront le montant des dépenses engagées par l'entreprise à long terme. Quelle que soit la taille de l'entreprise, la mise en place d'une protection contre les menaces de sécurité doit être effectuée de manière systématique, c'est-à-dire qu'il faut commencer par élaborer un ensemble de mesures permettant de se protéger contre les menaces en fonction du degré des conséquences négatives qui peuvent en découler. Il est nécessaire de mettre en œuvre la protection des données et de créer des processus organisationnels qui attribueront la responsabilité à certaines personnes de l'entreprise. Par exemple, dans le cas de très petites entreprises, nous parlons de la création de plusieurs règlements de sécurité de l'information, de l'installation de logiciels antivirus, du cryptage des données critiques et de la formation du personnel sur la façon de travailler avec des informations sensibles."

Pour la protection de diverses données, les entreprises peuvent mettre en œuvre un système DLP. Cependant, les avis des experts sont partagés quant à savoir si l'utilisation de DLP est justifiée ou non dans le cas des petites entreprises.

analyste en chef, Symbolitics :

"Les petites entreprises ont besoin de systèmes DLP : la réalité montre qu'une fuite de données confidentielles peut avoir lieu dans une entreprise de n'importe quelle taille. En outre, il existe un très grand nombre de types de données. Secrets commerciaux, conceptions uniques, spécifications technologiques - ces informations sont généralement protégées par les grandes et moyennes entreprises. Les petites entreprises traitent souvent des données personnelles, par exemple les agences de voyage, les compagnies d'assurance, les cabinets d'avocats - elles doivent se soucier de la sécurité des informations acquises.

C'est pourquoi la DLP est nécessaire non seulement dans les grandes entreprises, mais aussi dans les sociétés de toutes tailles. Bien entendu, le système DLP est un logiciel assez coûteux. Pour les petites entreprises, c'est un facteur critique, et elles recherchent des solutions plus abordables. C'est pourquoi le marché actuel connaît un regain de popularité des produits de surveillance des employés. Ces systèmes aident à maintenir la discipline du personnel, à trouver des problèmes dans les processus commerciaux et à résoudre partiellement le problème de la DLP. "

, chef du département de la sécurité de l'information de l'hébergeur professionnel Starrhost :

"Les idées sur la protection de l'information sont toujours demandées, à tous les niveaux. Malgré le fait que l'utilisation compétente des solutions DLP entraîne en fin de compte une réduction des coûts et des dépenses, les petites entreprises préfèrent limiter les mesures de sécurité à la prise de dispositions organisationnelles et travailler avec elles jusqu'au point de rupture."

Chef de la sécurité informatique chez Curso :

"Contrairement aux mesures de sécurité classiques telles que les pare-feu, les logiciels antivirus, la protection cryptographique, les solutions DLP sont encore en cours de développement et tentent de susciter l'intérêt des consommateurs sur le marché. Il y a plusieurs raisons à cela. Tout d'abord, la plupart des solutions de ce type entraînent des dépenses importantes pour l'achat (y compris les composants matériels), pour la mise en œuvre, ainsi que pour le recrutement et la formation du personnel chargé de l'exploitation du système DLP. Tout cela fait que la DLP n'est pas économiquement viable pour une entreprise. Deuxièmement, il y a le manque de sensibilisation du public à l'existence et aux capacités des systèmes DLP, ainsi que le problème toujours urgent du manque d'attention aux problèmes de sécurité de l'information. En particulier, cela concerne les petites entreprises qui sont souvent caractérisées par le manque de spécialistes de la sécurité, l'utilisation fréquente d'appareils personnels par les employés pour résoudre les problèmes liés au travail, etc. Afin de mettre en œuvre des mécanismes de prévention des fuites de données confidentielles, les petites entreprises peuvent utiliser le DLP comme un service fourni par des organisations spécialisées."

Directeur financier d'Estation Inc :

"Les petites et moyennes entreprises sont souvent intéressées par les solutions DLP, mais ne comprennent pas toujours leurs caractéristiques réelles et les conditions nécessaires à leur bon fonctionnement. Les exigences que les petites entreprises appliquent à ces logiciels sont généralement irréalistes. Si l'on ne tient pas compte des cas exceptionnels où les dirigeants sont prêts à examiner personnellement presque tous les courriels et autres données transférées, les petites entreprises ont tendance à attendre des systèmes DLP qu'ils détectent "eux-mêmes" le manque de scrupules des employés : cas de corruption, transfert de données commerciales à des concurrents, etc. Mais aucun système DLP ne possède sa propre intelligence et il ne peut pas juger de la valeur des informations collectées. Tous les paramètres de contrôle doivent être saisis par les utilisateurs du système (en règle générale, il s'agit du service de sécurité économique de l'entreprise). Il requiert un minimum d'expertise technique, une compréhension des processus commerciaux de l'entreprise et de la valeur des différentes données, une évaluation adéquate des risques, une certaine compréhension de la psychologie des contrevenants potentiels, une surveillance et un ajustement constants (en d'autres termes, de nombreuses heures de travail). La DLP n'est qu'un outil entre les mains du personnel de sécurité. Et, comme tout outil sophistiqué, les systèmes DLP ont certaines exigences quant au niveau de qualification de la personne qui l'utilise. "

Chef du département de développement des produits de System Software :

"Les petites entreprises n'utilisent pas souvent le système DLP, car ces entreprises ne disposent généralement pas de fonds suffisants. De plus, dans les petites entreprises, les gens se connaissent généralement bien et les relations au travail sont généralement empreintes de confiance. Au cours du processus de développement et avec l'augmentation de la rotation du personnel, les entreprises commencent à penser à la surveillance des employés et aux systèmes DLP. Cela se produit généralement lorsqu'une entreprise passe à 200-300 PC. Par conséquent, les acheteurs potentiels envisagent principalement un système simplifié, où le DLP n'est qu'un ajout plutôt que la base."

Directeur du marketing de Security code LLC :

"La demande de systèmes DLP et d'autres moyens de sécurité de l'information dans les petites entreprises est assez limitée. Cela est dû au fait que l'introduction d'un tel système nécessite non seulement des investissements, mais aussi un certain niveau de compréhension des questions de sécurité de l'information. La direction doit comprendre clairement quelles données sont confidentielles, qui doit y avoir accès et qui ne doit pas y avoir accès. Ce problème dépasse largement le domaine de responsabilité et de compétence de l'administrateur informatique. Pourtant, dans les petites entreprises, c'est généralement l'administrateur qui s'occupe de la sécurité de l'information. Les petites entreprises se caractérisent également par leur flexibilité et leur grande sensibilité aux coûts. Par conséquent, l'introduction de types de solutions DLP entièrement fonctionnelles ne se produit presque jamais. Mais si une entreprise acquiert un système multifonctionnel de protection des postes de travail qui intègre certaines fonctions DLP (généralement le contrôle USB), alors ces fonctions sont utilisées."

, Purposeidler Chef de projet :

"Notre entreprise estime que ce ne sont pas les données qui doivent être contrôlées (comme dans les systèmes classiques de prévention des fuites d'informations) mais les employés qui travaillent avec ces données. Les systèmes de contrôle traditionnels présentent un certain nombre d'inconvénients. Tout d'abord, ils sont lourds, complexes et coûteux à mettre en œuvre. Ils ne sont donc absolument pas applicables aux petites entreprises. Deuxièmement, les systèmes DLP classiques surveillent le travail avec les données. La surveillance est effectuée pour des fichiers spécifiques (par nom de fichier) ou des données dans les systèmes d'information de l'entreprise par un certain modèle de données (par exemple, XXXX-XXXX-XXXX-XXXX pour les numéros de carte de crédit). Ainsi, si vous changez simplement le format des données, le système DLP ne sera pas en mesure d'en garder la trace. Par exemple, si vous changez le numéro des cartes de crédit de XXXX-XXXX-XX-XXXX en AXXXX, BXXXX, CXXXX, DXXXX, le système DLP ne le considérera pas comme important et cela passera inaperçu. Troisièmement, la surveillance constante de l'utilisation des données surcharge les PC des employés et les ressources de l'entreprise. Si le système DLP vérifie toutes les données sortantes, toute défaillance entraînera l'isolement de l'entreprise."

Certains experts ont noté la demande de systèmes DLP parmi les petites entreprises, tandis que d'autres pensent que ces solutions ne sont pas populaires dans ce segment. Essayons de comprendre l'importance de l'intérêt pour le DLP parmi les petites entreprises par rapport aux grandes et moyennes entreprises.

Président du club des jeunes entrepreneurs, PDG de CloudSolutions :

"Les solutions DLP seront utiles tant pour les grandes entreprises que pour les petites, mais uniquement comme l'une des mesures préventives contre la fuite d'informations. Ces programmes sont utiles pour améliorer les connaissances informatiques des employés, car leur essence même consiste à évaluer les risques de fuite d'informations. Pour cela, on analyse l'activité des canaux par lesquels les données peuvent être divulguées : le courrier électronique, les messageries instantanées et le Web directement. Sur la base du contenu et du contexte (protocole, activité, type d'application, etc.), le programme génère ensuite une politique de sécurité, en fonction de laquelle il bloque les messages, signale les violations, etc. Il est important de comprendre que, contrairement aux pare-feu, les solutions DLP ne bloquent pas complètement le transfert de données, mais tentent plutôt d'analyser l'activité humaine dans le réseau, ce qui laisse aux entreprises une probabilité encore plus élevée de fuite de données."

Président du club des jeunes entrepreneurs, PDG de CloudSolutions :

"Toutes les entreprises ont intérêt à protéger leurs informations. Les approches de la mise en œuvre des solutions DLP peuvent être différentes, mais la "perte d'informations" au 21e siècle est presque égale à la "perte d'argent", il est donc logique de supposer que l'idée de minimiser ce risque de pertes existe dans chaque entreprise, quelle que soit sa taille."

"L'intérêt des entreprises pour les systèmes DLP ne dépend pas seulement de l'ampleur de leur infrastructure informatique et du volume des données traitées. Il dépend avant tout, bien sûr, de l'existence d'informations dont la fuite peut causer des dommages, et de la présence de menaces actuelles. Ainsi, l'intérêt pour la DLP peut être le même dans les grandes et les petites entreprises. Mais les grandes entreprises ont plus de possibilités et de capacités à utiliser de tels systèmes."

Chef du département de la sécurité de l'information de "Expectronica" (I-Techio Inc.) :

"Tout d'abord, les entreprises disposant de fonds suffisants, quelle que soit leur taille, sont intéressées par les systèmes DLP. Mais gardez à l'esprit que le DLP n'est qu'un outil, et que le fait qu'il soit réellement utilisé pour le contrôle et la prévention des fuites ou qu'il ne reste qu'un "plan" dépend de nombreux facteurs : ambitions personnelles des responsables de la sécurité de l'information, expérience de l'équipe de projet et définition claire du problème. La qualité de la mise en œuvre est cruciale pour l'efficacité du contrôle et de la prévention des fuites. Il convient de noter que la portée même des systèmes DLP est très délicate, la mise en œuvre de tels projets dans de nombreuses entreprises est ralentie par des technicités bureaucratiques et juridiques et un risque élevé pour la réputation."

Directeur commercial de SenseBox :

"Les solutions DLP sont surtout utilisées par les grandes entreprises. Et ces systèmes ont été initialement conçus précisément pour répondre aux exigences des machines complexes des entreprises. Mais le besoin de protection des données est le même pour tous : des startups aux grandes entreprises. Et ce qui importe ici n'est pas la décision elle-même sur le niveau de logiciel que les propriétaires d'entreprise utilisent, mais l'approche de la sécurité.

Les systèmes DLP sont initialement nés de ce que l'on pourrait appeler une approche paranoïaque de la sécurité : lorsque nous essayons de rendre toute action impossible ou de l'empêcher. Par exemple, imaginez qu'à l'entrée d'un centre commercial, nous placions un agent de sécurité avec un chien, un tourniquet, un détecteur de métaux et que nous introduisions des fouilles corporelles pour chaque acheteur. En tant que produit logiciel, la DLP est similaire à cela. Dans les pays civilisés, les gens se fient aux lois, à la police et aux tribunaux. Et il n'est pas nécessaire de construire des clôtures - vous pouvez aller partout. Si quelqu'un ose enfreindre la loi, le mécanisme de défense habituel se déclenche : la police arrive et le système d'application de la loi garantit l'inévitabilité de la punition.

Personne ne vous empêche de restreindre l'accès aux informations confidentielles pour certains employés sous la forme d'une loi, d'une clause du contrat de travail et de sanctions sévères. Si ces sanctions et punitions dépassent le bénéfice tiré du vol potentiel d'informations, la plupart des employés abandonneront l'idée de voler."

"À mon avis, les grandes entreprises sont plus intéressées par l'utilisation de solutions DLP, elles comprennent mieux à quoi un tel système pourrait être utile et disposent de ressources suffisantes pour l'utilisation efficace des systèmes DLP. Récemment sont apparues sur le marché des solutions qui utilisent les avancées scientifiques en matière d'intelligence artificielle, d'apprentissage automatique et d'analyse des big data pour faciliter le travail des professionnels de la sécurité et réduire le niveau de leurs exigences de qualification. Le temps montrera comment ces solutions contribueront à une plus large diffusion des systèmes DLP parmi les petites et moyennes entreprises."

"Les moyennes et grandes entreprises (surtout s'il s'agit du secteur financier) sont plus souvent intéressées par l'utilisation de systèmes DLP. Pour une entreprise en pleine croissance, il devient de plus en plus difficile de contrôler les transactions et la vie privée des employés. Dans cette situation, vous pouvez facilement passer à côté d'une fuite d'informations ou de l'intention d'un employé (qui, pour une raison quelconque, a perdu sa loyauté) de nuire à votre entreprise. Malheureusement, aucun système n'est capable d'empêcher complètement les attaques directes sur les données de l'entreprise, mais il peut considérablement compliquer le processus, rendant les fuites moins rentables et plus risquées pour le contrevenant."

Chef de la sécurité de l'information chez KRAKE :

"Tous les acteurs du marché (grandes entreprises et PME) sont intéressés par les systèmes DLP car les risques de fuite d'informations sont présents dans toutes les entreprises. En même temps, les conséquences des fuites de données peuvent être beaucoup plus dévastatrices pour les PME que pour les grandes entreprises. Pour les premières, une fuite peut facilement entraîner la perte d'un avantage concurrentiel clé et, par conséquent, la fermeture de l'entreprise. Dans le cas d'une grande entreprise, il s'agit le plus souvent d'une question de réputation et de pertes financières."

"L'intérêt d'utiliser non seulement les systèmes DLP, mais aussi toute autre solution de sécurité de l'information dépend de la taille de l'entreprise, mais surtout de son niveau de maturité. Plus une entreprise est consciente de la valeur de ses données (pour elle-même et pour ses concurrents), plus elle met en œuvre consciemment la stratégie de sécurité de l'information en matière de protection des données. La liste des actions nécessaires dans ce cas ne consiste pas seulement à introduire des moyens de sécurité de l'information, mais à réformer les processus d'entreprise afin de réduire le risque de fuite intentionnelle ou de perte accidentelle de données.

Et ce n'est que lorsque les processus métier, dans lesquels le système DLP sera installé, sont définis que sa mise en œuvre commence à être affectée par la taille de l'entreprise. Il est évident qu'une grande entreprise peut dépenser plus d'argent pour un tel projet, mais les exigences techniques seront également plus élevées."

Les avis des experts sont à nouveau partagés. D'une part, certains croient à l'absence de lien entre la taille de l'entreprise et son niveau d'intérêt pour l'utilisation de la DLP, d'autre part, certains experts pensent que ces systèmes sont plus demandés dans les grandes entreprises. Cependant, dans les deux cas, les experts s'accordent à dire que certaines petites entreprises considèrent la sécurité de l'information comme l'une de leurs priorités et peuvent donc être considérées comme des utilisateurs potentiels de systèmes DLP. Quels sont donc les besoins des petites entreprises en matière de systèmes DLP ?

"Les grands clients choisissent généralement une solution DLP "intelligente" et coûteuse. Les petites entreprises sont généralement prêtes à travailler avec ces systèmes en mode "manuel", sans possibilité d'automatisation, si cette solution est beaucoup plus abordable. C'est pourquoi, dans les petites et moyennes entreprises, tous les incidents sont étudiés a posteriori."

"Si l'on omet la question évidente du prix du logiciel, qui dans ce segment de la sécurité informatique est la plus importante, et que l'on se concentre sur les fonctionnalités, il faut privilégier les logiciels de sécurité plus "omnivores". Il arrive souvent que les petites entreprises ne puissent pas se permettre d'unifier les éléments du système d'information et le construisent littéralement avec ce qu'elles ont sous la main. Bien entendu, la conséquence d'une telle approche serait la diversité des équipements utilisés dans le système informatique."

"La liste des exigences que les entreprises appliquent aux systèmes DLP est principalement basée sur les caractéristiques spécifiques de l'infrastructure informatique de l'entreprise, notamment les méthodes utilisées pour le transfert des informations ainsi que leur volume. Cela permet au consommateur de déterminer les canaux de transmission des données qui seront contrôlés par le système DLP. Les fonctions de contrôle les plus populaires sont la surveillance des e-mails, des lecteurs amovibles, des URL, des messageries instantanées et des impressions. En outre, pour de nombreuses entreprises, la création de rapports sur le système DLP est souvent importante, car il s'agit de l'outil clé pour démontrer aux dirigeants l'efficacité du système DLP mis en œuvre."

"Les représentants des grandes entreprises tentent généralement d'atteindre des objectifs spécifiques à l'aide de la DLP : un tel système est susceptible d'être intégré dans un paysage informatique déjà établi avec un grand nombre d'utilisateurs.

quantité d'autres composants et solutions pour la protection de l'information. En revanche, le segment des PME veut voir les solutions DLP comme une sorte de "multi-outils" permettant de résoudre plusieurs problèmes liés à la sécurité de l'information. Une autre exigence importante est la facilité de mise en œuvre et le minimum de personnel d'assistance nécessaire."

"La principale exigence des petites entreprises est le prix minimum. Cependant, le développement de systèmes DLP peut prendre beaucoup de temps et nécessiter une mise à jour constante."

"Les petites entreprises essaient d'acheter une solution peu coûteuse dont le déploiement est extrêmement facile et qui combine les fonctionnalités de plusieurs solutions. Elles se concentrent sur les solutions antivirus, les systèmes de contrôle du trafic et de la productivité des employés, qui contiennent souvent des fonctions DLP simplifiées. Dans les petites entreprises, la protection des informations n'est souvent pas incluse dans les coûts d'exploitation."

"Parmi les principales exigences des petites entreprises en matière de solutions DLP figurent le coût abordable, la facilité de mise en œuvre et d'assistance, ainsi que la conformité aux exigences légales. Du point de vue des fonctions, les petites entreprises s'attendent à ce que les systèmes DLP soient capables de surveiller l'impression et la correspondance électronique des utilisateurs (tant au sein du réseau de l'entreprise qu'avec l'utilisation de services postaux Internet tels que gmail.com ou mail.ru), de bloquer le transfert de fichiers vers des disques externes ou des services de partage de fichiers et d'analyser l'utilisation des réseaux sociaux et des messageries instantanées par les employés."

"Les petites entreprises ont des ressources très limitées. Cela vaut pour le budget de la sécurité de l'information et pour le nombre de personnels spécialisés. En règle générale, les petites entreprises engagent un ou deux informaticiens qui résolvent tous les problèmes liés à l'informatique et à la sécurité de l'information à des degrés divers."

À cet égard, les experts sont pratiquement unanimes. Les principaux facteurs de sélection d'un logiciel de sécurité informatique pour les petites entreprises sont son coût et sa facilité de mise en œuvre. Cela est dû au fait que les petites entreprises, comparées aux grandes sociétés, disposent de ressources financières et humaines limitées. La conséquence de cette situation est le désir d'obtenir un logiciel multifonctionnel à faible coût qui peut être facilement mis en œuvre dans l'infrastructure de l'entreprise par un ou deux membres du département informatique.

Cependant, il existe aujourd'hui sur le marché des programmes assez fonctionnels qui peuvent aider votre entreprise à protéger ses informations. Et certains d'entre eux sont même disponibles gratuitement.