Qu’est-ce que Cloud DLP (protection contre la perte de données) ?

Pourquoi Cloud DLP est-il important ?

À l’époque où les informations sensibles étaient imprimées sur papier, la prévention des pertes pouvait être aussi simple qu’une armoire verrouillée. Désormais, les données circulent entre les data centers, les fournisseurs de cloud et les terminaux, potentiellement exposés à une multitude de vulnérabilités en chemin. Pour le protéger contre tout accès non autorisé, vous devez mettre en œuvre une stratégie complète de protection contre la perte de données (DLP).

Votre stratégie DLP doit amener les dirigeants et les responsables informatiques à déterminer ensemble quelles données peuvent être qualifiées de « sensibles » pour votre entreprise, convenir de la manière dont ces données doivent être utilisées et définir ce qu’est une violation. Ces lignes directrices en matière de sécurité des informations, dont notamment la classification des données, la confidentialité des données et les informations de conformité, tout comme les procédures de remédiation, peuvent ensuite être traduites en politiques de DLP.

Diverses normes de conformité (par exemple, RGPD, HIPAA, PCI DSS) peuvent exiger que votre organisation déploie la DLP pour éviter des amendes ou des restrictions de vos activités, mais les violations de données peuvent également exposer les données personnelles des utilisateurs finaux, exposant ainsi votre entreprise au risque de perdre des clients de subir des dommages à la marque ou faire face à des conséquences juridiques. Grâce à une politique DLP bien définie, renforcée par une technologie de soutien bien gérée, vous pouvez considérablement réduire ces risques.

Avantages de la protection contre la perte de données dans le cloud

La DLP basée sur le cloud offre plusieurs avantages à toute entreprise, à savoir :

• une évolutivité flexiblepour répondre aux besoins de volumes de données croissants et d’écosystèmes d’informations changeants
• Diminuer les coûts d’infrastructureen éliminant le matériel sur site et les dépenses de modernisation/maintenance qui y sont liées
• Protection des utilisateurs et des filiales où qu’ils se trouvent sans devoir procéder à un backhauling vers votre data center
• Déploiement et configuration plus rapides que le DLP sur site, sans aucun boîtier à gérer
• Mises à jour automatiques depuis le cloud, fournissant les dernières informations et nouvelles fonctionnalités sans temps d’arrêt

Techniques de la protection contre la perte de données dans le cloud

En termes simples, la technologie DLP, y compris la DLP basée sur le cloud, fonctionne en identifiant les données sensibles vulnérable, puis en les protégeant. Une solution DLP peut être conçue pour identifier les données en cours d’utilisation, les données en mouvement ou les données au repos (ou n’importe quelle combinaison) et déterminer si elles sont sensibles. Pour ce faire, les agents DLP peuvent faire appel à de nombreuses techniques différentes, telles que :

• Correspondance basée sur des règles ou « expressions régulières » : cette technique courante identifie les données sensibles sur la base de règles pré-écrites (par exemple, les nombres à 16 chiffres sont souvent des numéros de carte de crédit). En raison d’un taux élevé de faux positifs, la correspondance basée sur des règles n’est souvent qu’un premier passage avant une inspection plus poussée.
• Correspondance exacte des données (empreinte de base de données) : cette technique identifie les données qui sont strictement identiques à d’autres données sensibles dont l’empreinte a déjà été prise, généralement à partir d’une base de données fournie.
• Correspondance exacte de fichiers : cette technique fonctionne globalement comme la correspondance exacte de données, si ce n’est qu’elle identifie les hachages de fichiers correspondants sans analyser le contenu du fichier.
• Correspondance partielle de documents : cette technique permet d’identifier les données sensibles en les faisant correspondre à des modèles établis (par exemple, le format d’un formulaire standard pour chaque patient dans un centre de soins d’urgence).
• Apprentissage automatique, analyse statistique, etc. : cette famille de techniques repose sur l’alimentation d’un modèle d’apprentissage avec un grand volume de données afin de « l’entraîner » à reconnaître les cas où une chaîne de données particulière est susceptible d’être sensible. Cette technique est particulièrement utile pour identifier les données non structurées.
• Règles personnalisées : de nombreuses entreprises doivent identifier et protéger des types de données uniques, et la plupart des solutions de DLP modernes leur permettent d’élaborer leurs propres règles qui s’exécutent parallèlement aux autres.

Une fois les données sensibles identifiées, il appartient à votre politique de DLP de déterminer la manière de les protéger. Par ailleurs, la façon dont vous allez les protéger est étroitement liée à la raison pour laquelle vous devez les protéger.

Principaux cas d’utilisation de Cloud DLP

Comme nous l’avons déjà évoqué, la sécurisation des données protège votre entreprise contre d’autres formes de perte (de clients, de chiffre d’affaires, de réputation) et vous aide à rester en conformité avec les réglementations sectorielles et légales. Pour protéger ces données, il faut naturellement être en mesure d’identifier leur nature et leur emplacement, ce qui constitue un autre cas d’usage clé : la visibilité des données.

En résumé, les principaux cas d’utilisation d’une solution DLP sont les suivants :

• Protection des données sensibles en mouvement et au repos : la DLP protège les données lorsqu’elles se déplacent entre plusieurs terminaux, réseaux et clouds ou qu’elles y sont stockées, en assurant un chiffrement, en appliquant des contrôles d’accès et en surveillant les activités suspectes.
• Rester conforme aux réglementations : les politiques et technologies DLP vous aident à appliquer des contrôles d’accès, à surveiller l’utilisation et à mener des audits pour garantir que vous traitez les données sensibles conformément aux réglementations telles que le RGPD, l’HIPAA et la PCI DSS.
• Acquérir de la visibilité sur vos données : la DLP apporte de la visibilité sur les données (un aperçu de l’endroit où résident et circulent les informations sensibles, sur les personnes qui y ont accès et sur la manière dont elles sont utilisées) pour vous aider à identifier les vulnérabilités, à détecter les activités à risque et, en fin de compte, à remédier les violations de données et à y mettre fin.

5 types de solutions Cloud DLP

Parce qu’aucune technologie ne peut à elle seule couvrir tous les cas d’utilisation ou prendre en compte toutes les façons dont les données peuvent être perdues, les offres de protection des données actuelles efficaces intègrent plusieurs fonctions. Examinons certaines des technologies cloud DLP les plus courantes et les plus essentielles.

1. Les CASB (cloud access security brokers) surveillent et contrôlent l’activité des utilisateurs et les transferts de données entre les endpoints et les applications cloud, en appliquant des politiques de sécurité pour empêcher les accès non autorisés, les fuites de données et les manquements à la conformité. Le CASB procure une visibilité sur le comportement des utilisateurs, l’utilisation des applications et le stockage des données dans les environnements cloud.
2. Le logiciel DLP protège les données sensibles contre les fuites de données sur les endpoints, la messagerie électronique, les services cloud et d’autres canaux. En surveillant les données et en appliquant les politiques en temps réel, le logiciel DLP identifie et prévient les violations potentielles.
3. L’analyse du comportement des utilisateurs et des entités (UEBA) surveille, analyse et corrèle le comportement des utilisateurs, les modèles d’accès, les événements système, etc. afin de détecter les anomalies et les menaces potentielles, telles que les menaces internes malveillantes, les comptes compromis et les déplacements latéraux.
4. La gestion de la posture de sécurité SaaS (SSPM) aide les organisations à évaluer et à gérer les configurations de sécurité, les autorisations et les vulnérabilités dans différentes applications SaaS afin de combler les failles de sécurité et d’atténuer les risques associés à l’exposition des données et aux accès non autorisés.
5. L’isolation du navigateur exécute le contenu Web dans un environnement sécurisé, empêchant le contenu Web potentiellement malveillant (par exemple, téléchargements à la volée, malwares, phishing) d’accéder directement ou d’affecter l’endpoint, le réseau ou les données sensibles de l’utilisateur.

Cloud DLP et le besoin de visibilité des données

La DLP ne peut pas empêcher la perte de données si elle ignore le trafic. Ceci est crucial alors que les organisations continuent de déplacer de plus en plus de données dans le cloud, où trois défis clés empêchent la DLP traditionnelle basée sur le réseau de voir le trafic qu’elle est censée inspecter :

• Utilisateurs distants : avec la DLP de réseau, les niveaux de visibilité et de protection dépendent de l’endroit où se trouvent les utilisateurs. Ils peuvent facilement contourner l’inspection lorsqu’ils sont hors réseau, en se connectant directement aux applications cloud. Des politiques DLP et de sécurité efficaces doivent suivre les utilisateurs partout où ils se connectent et sur tous les appareils qu’ils utilisent.
• Chiffrement : la croissance inouïe du trafic chiffré TLS/SSL a créé un angle mort important pour la DLP basée sur le réseau qui se trouve incapable de le déchiffrer pour le vérifier.
• Limitations de performance : les solutions DLP basées sur des appliances disposent de ressources limitées, ce qui les empêche de s’adapter efficacement à l’inspection inline d’un trafic Internet en constante augmentation.

Cloud DLP dans un monde axé sur le cloud et le mobile

Pour relever les défis de protection des données qui accompagnent la transformation numérique et surmonter les faiblesses de la DLP d’entreprise traditionnelle, vous devez adopter une nouvelle approche et une nouvelle technologie. La reconfiguration d’une pile matérielle traditionnelle pour le cloud ne suffit pas : elle est inefficace et ne bénéficie pas de la protection et des services d’une solution DLP basée sur le cloud, notamment :

• Une protection identique pour tous les utilisateurs sur ou hors réseau, assurant une protection complète des données à tous les utilisateurs, où qu’ils se trouvent : au siège, dans une filiale, dans un aéroport ou à domicile.
• Une inspection native du trafic chiffré TLS/SSL, octroyant à l’entreprise une visibilité cruciale sur le trafic où se dissimulent plus de 85 % des attaques.
• Une évolutivité élastique pour l’inspection inline, ce qui permet d’éviter la perte de données en inspectant tout le trafic à mesure qu’il arrive et en mettant en quarantaine les fichiers suspects ou inconnus, et non en se contentant de limiter les dégâts après une attaque.

Correspondance exacte des données pour Cloud DLP

Les solutions de protection contre la perte de données utilisent depuis longtemps la recherche de modèles pour identifier les numéros de carte de crédit, les numéros de sécurité sociale, etc. Cette technique manque toutefois de précision. Un trafic sécurisé peut toujours être bloqué simplement parce qu’il contient un modèle sélectionné pour la protection, saturant les équipes de sécurité de faux positifs.

La correspondance exacte des données (EDM) constitue une innovation de poids pour la technologie de DLP et permet d’augmenter la précision de la détection tout en éliminant pratiquement tous les faux positifs. Au lieu de faire correspondre des modèles, l’EDM prend l’empreinte des données sensibles, puis surveille les tentatives de déplacement de ces données afin d’empêcher qu’elles soient partagées ou transférées de manière inappropriée.

Bonnes pratiques de Cloud DLP

La stratégie de DLP idéale dépend des données de votre entreprise et de ses besoins. Les bonnes pratiques varient donc, mais ce sujet fait l’objet d’un article distinct. Nous examinerons ici quelques bonnes pratiques plus larges en matière de DLP qui s’appliquent à toutes les situations :

• Commencez en mode « surveillance seule » afin de vous faire une idée du flux de données au sein de votre entreprise et de pouvoir définir les meilleures politiques.
• Tenez les employés informés grâce aux notifications faites aux utilisateurs afin que les politiques ne soient pas exécutées à leur insu, car cela pourrait perturber les flux de travail et créer un sentiment de frustration.
• Assurez-vous que vos utilisateurs peuvent soumettre des commentaires concernant les notifications (pour justifier leurs actions ou signaler des politiques non respectées), vous pourrez ensuite les utiliser pour affiner vos politiques.
• Mettez à profit les mesures de classification avancées telles que l’EDM pour réduire les faux positifs.
• Utilisez une solution capable de déchiffrer le trafic TLS/SSL chiffré, car la grande majorité du trafic Web est désormais chiffrée.

Prise en main de Zscaler Cloud Data Loss Prevention

Avec l’augmentation des menaces et le nombre sans cesse croissant de réglementations liées à la protection des données, votre entreprise doit combler les failles de sécurité causées par le cloud et la mobilité, qu’elles proviennent de vulnérabilités ou d’erreurs de configuration.

Par le passé, cela aurait signifié ajouter des appliances supplémentaires à des piles déjà complexes. Il existe à présent Zscaler Data Loss Preventionentièrement fournie dans le cloud, qui fait partie de la suite Zscaler Data Protection. Zscaler DLP vous permet de combler vos lacunes en matière de protection des données, quel que soit l’endroit où se trouvent vos utilisateurs ou vos applications, tout en réduisant simultanément les coûts et la complexité informatiques.

Zscaler DLP fournit :

• Une protection identique pour les utilisateurs et les données, où qu’ils se trouvent
• Protection sur Internet, les terminaux, la messagerie électronique, les SaaS, les applications privées et la posture cloud
• Inspection TLS/SSL évolutive assurée par le plus grand cloud de sécurité inline au monde
• Flux de travail et opérations rationalisés grâce à une découverte innovante des données optimisée par l’AA