La lutte contre la fuite d'information manque de maturité
Les outils de DLP (Data Loss Prevention) visent à empêcher la fuite d'informations sensibles. Ils tissent une toile qui surveille le réseau, le stockage, les serveurs et les PC. Les technologies, le degré de maturité des solutions et les prises de conscience des entreprises restent disparates. « De nombreux fournisseurs affirment être présents sur le marché du DLP (Data Loss Prevention), qui lutte contre la fuite d'informations, car beaucoup de solutions de sécurité en font un peu. Mais les solutions qui sont centrées sur cette problématique sont rares », affirme Damien Rilliard, directeur technique d'Ipélium, un intégrateur qui a opté pour l'offre de Symantec. La technologie semblerait mature si l'on se réfère à l'âge des principaux outils, nés il y a cinq ou six ans. Mais ces produits émanaient de petits éditeurs récemment rachetés par les leaders, qui ne les ont pas encore tous intégrés dans leurs gammes. RSA (division d'EMC), Symantec, McAfee et Websense ont ainsi respectivement absorbé Tablus, Vontu, Reconnex et Port Authority. Cisco ajoute pour sa part des fonctions de DLP dans ses produits et Microsoft vient de s'associer à RSA. Enfin, Code Green Networks est l'un des rares spécialistes encore indépendants. Labelliser et identifier les contenus sensibles : des technologies à valider Un outil de DLP applique une politique de sécurité basée sur l'identification à la volée des contenus sensibles. Cela consiste par exemple à ... ...bloquer la copie ou l'impression d'un document, interdire son envoi par un email ou forcer son chiffrement, ou bien encore empêcher son transfert sur une clé USB, et d'alerter un responsable ou l'utilisateur concerné. En amont, un travail très lourd de classification de la « sensibilité » des contenus doit être entrepris. Les contenus doivent être labellisés, avec un degré de sensibilité paramétrable. Réduit au niveau fichiers, ce processus serait simple mais il peut aussi s'agir de protéger plus précisément une phrase, un numéro de carte bleu ou un morceau d'image présent dans un fichier ou dans une base de données. Afin de réussir cette labellisation, on peut d'abord utiliser des méthodes explicites. Seront considérés comme sensibles les contenus stockés dans tel répertoire, généré par telle application (on filtre alors sur l'extension du fichier, .xls, .doc, ...) ou créés par telle personne. De même, certains utilisateurs auront le droit d'attribuer des niveaux de sensibilité à des fichiers. D'autres méthodes sont automatiques. La plus élémentaire revient à repérer des mots-clés. Plus efficace : les expressions régulières (séquence de caractères fixes ou variables) permettent d'identifier un type de données ou de documents, indépendamment de son contenu : carte de crédit, fiche de paye. Toutes ces méthodes montrent leurs limites lorsqu'il s'agit ... ... de détecter des fragments de documents (phrase, portion d'image ou de vidéo), dans un autre document. Il faut aller calculer des empreintes, grâce à des algorithmes à base de hash codes. « Par défaut, dans le cas d'un morceau de texte, la longueur minimum détectée est de quelques lignes car en dessous, l'utilisateur indélicat pourrait de toute façon le mémoriser. Mais il est possible de modifier ce paramètre, par exemple pour discerner des formules chimiques », explique Damien Rilliard. Des contournements simples Apprendre par coeur un texte ou - tout simplement - photographier l'écran sont les limites incontournables de ces outils. Autre risque, la méthode des empreintes est accusée de générer des faux positifs ou de laisser passer des contenus sensibles. Un doute renforcé par la supposée jeunesse de l'offre. Damien Rilliard s'insurge : « Vontu avait du succès bien avant d'être racheté par Symantec car sa technologie est au point. Elle a été développée il y a des années. ». L'intégrateur estime que la difficulté d'un projet de DLP n'est plus technique. Il reste que le degré de maturité de l'offre est disparate. Par exemple, chez McAfee,... ... la méthode des empreintes n'est pas encore implémentée sur le volet PC mais uniquement sur la sonde réseau. Quadriller l'ensemble du système d'information avec des agents et des sondes Dans l'idéal, l'identification des contenus sensibles doit être réalisée sur toutes les composantes du système informatique : réseau, stockage et PC. Une offre de DLP comprend donc des sondes analysant le trafic protocolaire (FTP, SMTP, HTTP), les contenus (emails) et d'autres scannant les baies de disques. Enfin, des agents sont installés sur les PC et surveillant les clés USB ou les unités de disques externes, et les divers ports de communication (Wifi). « Le déploiement de l'ensemble de la solution n'est pas obligatoire. Par exemple, l'installation d'agents peut être limitée aux PC les plus sensibles », affirme Dominique Loiselet, directeur général de Websense France. Ces sondes et agents sont en outre fédérés par une console qui permet de définir et déployer la politique de surveillance, puis de centraliser les alertes et le reporting. Le degré de maturité et les technologies sont disparates. Par exemple, Cisco a inclus des fonctions de DLP dans ses commutateurs Fibre Channel, son agent Cisco Secure Agent et son outil de filtrage de contenu IronPort. Mais ces morceaux de solutions ne sont pas encore fédérés chez le californien. De même, McAfee possède la surveillance des volets réseaux et stockage grâce au rachat de Reconnex mais l'intégration avec son agent maison (Host DLP) est encore en cours. De plus, les architectures retenues par les fournisseurs sont variables. Chez Symantec, deux appliances spécifiques sont dédiés au réseau et au stockage, tandis que Code Green Networks, qui adresse plutôt les PME, réunit ces fonctions dans un seul équipement. Au contraire, RSA propose trois appliances différentes rien que pour le réseau (SMTP, HTTP et multi-protocoles). Quant au stockage, il est pris en charge par une grille d'agents distribués sur les serveurs existants. Enfin, au-delà des technologies, une prise de conscience des informations qui ont de la valeur doit encore faire son chemin dans les entreprises françaises, trop souvent excessivement confiantes.