Ressources > Glossaire des termes de sécurité > Qu'est-ce que l'EDM (Exact Data Match)

Qu'est que l'EDM (Exact Data Match) ?

Qu'est que l'EDM (Exact Data Match) ?

L'EDM (Exact Data Match) est un composant essentiel de la protection contre la perte de données (DLP), une approche de sécurité conçue pour assurer la protection des informations métiers et d'autres données sensibles. Dans son rapport Data Breach Investigation Report (Enquête sur les fuites de données) pour l'année 2019, Verizon affirme qu'environ 34 % des failles sont imputables aux erreurs involontaires ou aux mauvaises manipulations d'acteurs internes. Il est donc clair que la DLP demeure un aspect essentiel de la sécurité des entreprises.

Les systèmes de DLP utilisent généralement la correspondance de modèles pour identifier les données nécessitant une protection. Les numéros de carte de crédit, numéros de compte, numéros de sécurité sociale, et bien d'autres, font partie des types de modèles qu'un système DLP surveille en fonction des types de documents identifiés par l'administrateur comme nécessitant une protection, et des politiques qui leur sont associées.

L'approche EDM est différente. Plutôt que d'identifier les données nécessitant une protection en les mettant en correspondance avec les modèles, l'EDM surveille les données réelles qui doivent être protégées, avec comme résultat une détection plus précise et l'élimination quasi-complète des faux positifs.

Pourquoi une telle précision est-elle importante ?

Prenons l'exemple d'un numéro de carte de crédit : le simple fait de surveiller le trafic à la recherche de numéros de carte de crédit pourrait déclencher des alertes chaque fois qu'un membre de l'entreprise utilise une carte de crédit, quelle qu'en soit la raison. De ce fait, un employé effectuant un achat en ligne durant une pause peut voir sa transaction bloquée et l'administrateur de sécurité recevra une alerte. Dans un tel cas, l'alerte serait un « faux positif », car le système a fort justement détecté une tentative d'envoi des données de la carte de crédit, mais l'activité en soi ne représentait aucun danger pour l'entreprise. Avec l'EDM, seuls les numéros de carte de crédit spécifiques qu'une société enregistre dans ses bases de données (comme celles appartenant à ses clients ou partenaires) déclencheraient des alertes. L'employé qui effectue un achat ne déclenchera pas d'alerte, pas plus que le service comptable qui paie les factures.

En termes simples, la plupart des faux positifs sont de vrais positifs, ce qui signifie que le moteur de détection a correctement fonctionné puis identifié du contenu correspondant à une politique. Toutefois, dans le contexte où il est utilisé, ce contenu ne représente aucun danger pour l'entreprise. Les faux positifs ont des conséquences réelles. Ils ne causent aucun préjudice direct, mais ils brouillent le système. Alors que l'administrateur filtre chaque semaine des centaines de faux positifs voire plus, il ne dispose pas d'assez de temps pour mener une enquête et déterminer les alertes légitimes.

Les faux positifs ont des conséquences réelles. Ils ne causent aucun préjudice direct, mais ils brouillent le système. Alors que l'administrateur filtre chaque semaine des centaines de faux positifs voire plus, il ne dispose pas d'assez de temps pour mener une enquête et déterminer les alertes légitimes.

Toute opportunité commerciale numérique nécessite une stratégie de sécurité centrée sur les données et permettant d'accorder la priorité à la réduction des risques commerciaux croissants causés par les lois sur la protection des données et la confidentialité, le piratage, la fraude et les ransomwares. – Gartner, juillet 2019
Gartner, juillet 2019

Comment fonctionne l'EDM ?

L'EDM prend l'empreinte digitale de données sensibles provenant de sources structurées, telles que des bases de données ou des feuilles de calcul, puis surveille les tentatives de déplacement de ces données et empêche leur partage ou leur transfert inapproprié.

Tout commence par du texte brut provenant d'une base de données ou d'une feuille de calcul Excel contenant des dossiers sensibles. Pour des raisons de confidentialité, les données de ce document sont obscurcies (en général par hachage). Grâce à ce procédé, des algorithmes sont appliqués aux données, les transformant en chaînes de données plus courtes, des hachages, et ces derniers sont stockés dans la solution DLP. Les mêmes algorithmes sont ensuite appliqués à tout le trafic sortant. Ainsi, lorsque le trafic haché correspond aux hachages stockés dans la solution DLP, le transfert est bloqué ou une alerte est déclenchée.

Toutes les entreprises devraient désormais accorder une place de choix aux outils de protection contre la perte de données dans leurs systèmes de sécurité, car ils prendront encore plus d'importance dans un futur proche.
SC Labs, 3 mars 2020

Pourquoi l'EDM fournie dans le cloud est idéale

Exact Data Match est une opération exigeant d'énormes ressources informatiques (et de stockage), nécessitant une plateforme sous-jacente hautement évolutive capable de répondre à ses demandes de traitement. Bâti sur une architecture cloud multi-entité et globale, Zscaler Cloud DLP avec EDM détecte et bloque les tentatives d'envoi de données protégées, indépendamment de l'endroit où l'utilisateur se connecte et quelles que soient les applications utilisées. Il n'y a aucun impact sur les performances, et le portail d'administration Zscaler centralisé offre une visibilité en temps réel sur les incidents.

La plupart des systèmes de DLP ne sont pas conçus pour inspecter le trafic chiffré, ce qui les rend invisibles pour la majorité du trafic d'entreprise. Mais Zscaler Cloud DLP fait partie de la Zscaler Cloud Security Platform intégrée, qui inspecte tout le trafic, notamment tout le trafic crypté.

Grâce à Zscaler EDM, vous pouvez réaliser une empreinte digitale et faire correspondre des milliards de cellules de vos données sensibles uniques. Ces empreintes digitales seront stockées dans le cloud Zscaler pour vous permettre d’empêcher toute perte de données à l’échelle mondiale. Zscaler vous aide également à optimiser la protection de vos données tout en respectant les obligations imposées par l’industrie, telles que HIPAA, ainsi que les réglementations en matière de confidentialité des données telles que le RGPD. En exploitant un ensemble complet de fonctionnalités, notamment l'EDM, l’apprentissage automatique, le contrôle du type de fichier et la politique granulaire qui suit l’utilisateur, Cloud DLP simplifie la conformité avec les réglementations régionales.

Un système de prévention des pertes de données avec Exact Data Match, comme Zscaler Cloud DLP, vous aidera à augmenter la posture de sécurité de votre entreprise, à réduire la frustration des utilisateurs finaux consécutive aux transactions inutilement bloquées, et à passer plus de temps à enquêter et à remédier aux incidents réels des pertes de données au lieu de fouiller dans la botte de foin des faux positifs.

 

Ressources supplémentaires :