16/01/2025
Cybersecurity Insights
Fuite de données : un enjeu crucial pour les entreprises
Dans un monde où les données sont devenues l’une des ressources les plus précieuses d’une organisation quelle que soit leur taille, leur protection est plus cruciale que jamais. Les informations financières, commerciales ont une valeur stratégique pour les entreprises, tout comme les données personnelles des collaborateurs. Cependant, elles sont également très convoitées, ce qui en fait une cible de choix pour des acteurs malveillants. Quant à l’erreur humaine, elle est toujours possible…
Une fuite de données peut causer des dommages irréversibles à une entreprise. Non seulement elle compromet la confidentialité des informations, mais elle peut aussi ternir la réputation de l’organisation et entraîner des sanctions financières sévères.

Pourquoi les données sensibles sont-elles si exposées ?
Ces dernières années, les violations de données se sont multipliées, souvent en raison de failles internes ou d’erreurs humaines. Prenons quelques exemples concrets pour mieux comprendre l’ampleur du problème :
- Tesla, mai 2023 : Deux anciens employés transfèrent des informations de plus de 75 000 clients sur leur Dropbox, les rendant accessibles publiquement
- Yahoo, février 2022 : Un chercheur est accusé de vol de données, qu’il comptait transmettre à un concurrent après avoir reçu une offre d’emploi. Outre ces données, des informations stratégiques et une analyse concurrentielle avaient également été dérobées
Ces incidents illustrent à quel point les entreprises, quelle que soit leur taille, restent vulnérables à des actions malveillantes. Que ce soit par négligence ou intention délibérée, ces actes mettent en danger leur compétitivité.
C’est pourquoi la protection des données ne peut être sous-estimée, elles représentent un atout stratégique majeur pour les concurrents, les entreprises sont de plus en plus exposées à des risques de vol ou compromission d’information.

Conséquences des fuites de données
Les répercussions d’une fuite de données vont bien au-delà du simple vol d’informations. Voici les principaux impacts de ce type de risque :
- Perte de confiance des clients : Les fuites entament la crédibilité et la réputation de l’entreprise, impactant durablement son image publique
- Sanctions réglementaires : les législations nationales liées au RGPD en Europe prévoient des amendes substantielles en cas de manquement à la protection des données
- Pertes financières : La fuite de données peut entraîner des résiliations de contrats, une baisse de clientèle ou encore des litiges coûteux
- Conséquences juridiques : Une entreprise exposée à des poursuites peut se retrouver engluée dans des litiges complexes, longs et onéreux
Dans ce contexte, il est essentiel de mettre en place des stratégies préventives solides C’est l’objet du Data Leak Prevention (DLP).

Prévenir les fuites avec des solutions DLP
Les solutions de Data Leak Prevention permettent aux organisations de protéger leurs informations sensibles en détectant et en bloquant les comportements à risque. Ces outils DLP, complétés par des dispositifs organisationnels adéquats, s’appuient sur des politiques de sécurité claires, définies pour surveiller et contrôler les transferts de données.
Les outils DLP agissent comme un filet de sécurité. Ils supervisent l’utilisation des données et empêchent les transmissions non autorisées, qu’il s’agisse d’emails, de fichiers ou de l’utilisation de services cloud non conformes.

Comment fonctionnent les solutions DLP ?
Pour être efficaces, les solutions DLP suivent un processus structuré :
1. Identifier les données critiques : Chaque entreprise doit définir ce qu’elle considère comme sensible : numéros clients, RIB, dates de naissance, numéro de téléphone, formes particulières de données métiers, etc.
2. Définir des cas d’usage : les fuites peuvent survenir par des trois vecteurs principaux
- Accès physique : Clés USB, connexions radio diverses (Bluetooth, WiFi, NFC, etc.)
- Navigation Internet : Utilisation de services cloud non conformes
- Outils collaboratifs : Envois d’emails, tchats, ou partages accidentels de documents sensibles
3. Mettre en place des règles de détection : Ces règles sont adaptées aux politiques internes pour repérer les comportements à risque, certains assez simples, par exemple :
- Détecter pour l’envoi par email plus de 10 numéros clients, déclenchant ainsi une alerte pour risque de fuite
- Détecter lors d’un envoi de plus de 5 contrats ou de 50 numéros de téléphone et activer une alerte ou un blocage automatique en fonction des règles de l’entreprise
Quelques pratiques recommandées pour mettre en place des mesures concrètes afin de limiter les risques :
- Bloquer l’utilisation des périphériques : Empêcher les transferts de fichiers via ports USB ou Bluetooth
- Limiter l’accès à certains sites web : Exclure les plateformes non sécurisées ou non conformes avec les règles de navigation depuis les outils de l’organisation
- Déployer une solution DLP complète : Superviser les transferts et appliquer les politiques de sécurité unifiées à l’échelle de l’organisation.

Comment la solution peut détecter ces derniers ?
Une première solution technique « simple » est de définir des expressions régulières qui correspondent à chaque type de donnée (parfois en s’appuyant sur les outils de sécurité, mais la plupart possèdent des règles qui s’adaptent mal au contexte français). Par exemple un numéro de téléphone est un ensemble de 10 chiffres qui commence par un 0 (ou +33, ou +0033)), puis définir le seuil qui permettra qu’une alerte soit déclenchée lorsqu’un collaborateur envoie plus de 10 numéros de téléphone par email.
Exemple d’expression régulière détectant les numéros de téléphones :
(?:?:\+|00)33[\s.-]{0,3}(?:\(0\)[\s.-]{0,3})?|0)[1-9](?:(?:[\s.-]?\d{2}){4}|\d{2}(?:[\s.-]?\d{3}){2})
Après l’identification des données, il faut définir les partenaires de confiance ou la liste des noms de domaine auxquelles les collaborateurs peuvent envoyer des emails par exemple sans que ce type d’alerte ne soit levé.
Une fois les règles mise en place, la solution surveille en temps réel les activités sur les terminaux (ordinateurs et smartphones) incluant tous les emails qui sont envoyés aux destinataires qui ne font pas parti des partenaires de confiance. Autre exemple, les fichiers qui sont mis sur des services de stockage comme Google Drive, Dropbox, etc. peuvent être vérifiés pour détecter s’ils répondent aux règles de détection définies dans la politique.
Ainsi, si un cas d’usage répond à la règle mise en place, une alerte sera déclenchée pour signaler un risque potentiel de fuite de données. À partir de là, la réaction dépend des politiques de sécurité propres à chaque organisation, qui peuvent varier en fonction de leurs besoins, de leur tolérance au risque et des réglementations en vigueur dans leur secteur.
Certaines organisations adoptent une approche stricte et décident de bloquer automatiquement l’envoi du message contenant des informations sensibles ou confidentielles, D’autres organisations préfèrent afficher un bordereau d’avertissement qui informe l’utilisateur qu’il est sur le point d’envoyer des informations sensibles. Ce message peut inclure une demande de justification, où l’utilisateur doit expliquer pourquoi l’envoi est nécessaire.

Exemple d’utilisation : mise en situation DLP
Prenons une mission menée récemment par Almond pour une organisation de 1500 collaborateurs, composée d’une équipe de 4 ingénieurs en cybersécurité rattachés à l’équipe SSI ayant implémenté une solution Microsoft Purview, avec une surveillance ciblée principalement sur la partie email.
- 13 règles DLP ont été configurées pour protéger les informations sensibles et réduire les risques de fuite de données. Ce système générait en moyenne 40 alertes par jour, un volume significatif en raison d’un taux élevé de faux positifs
- Après six mois d’ajustements, les faux positifs ont été réduits de 60 %, concentrant les alertes sur des incidents légitimes
- Les plateformes de stockage Cloud externes, comme Google Drive ou Dropbox, étaient bloquées. En cas d’alerte, l’envoi suspect était stoppé automatiquement et soumis à une analyse par l’équipe SSI
Les ingénieurs cybersécurité SecOps prenaient en charge chaque alerte pour déterminer si elle était légitime ou à classer en faux positif. En cas de faux positif ou d’email légitime, la procédure impliquait de débloquer manuellement l’email pour permettre son envoi. Cependant, si l’alerte s’avérait réelle (vraie positif) et qu’une fuite de données sensibles était identifiée, un processus d’escalade était mis en place. Dans ce cas, le responsable du collaborateur concerné, le DPO et l’équipe des ressources humaines étaient informés pour évaluer les motifs de l’envoi et déterminer les mesures correctives à mettre en place.
Ce processus garantissait une réponse rapide, impliquant les parties prenantes nécessaires pour limiter les risques et prendre les actions disciplinaires ou de sensibilisation appropriées.
Ce processus a permis de renforcer la sécurité tout en rationalisant les efforts.

Conclusion : l’importance des solutions DLP
Les solutions de DLP jouent un rôle essentiel afin de lutter contre la fuite de données au sein des organisations, en protégeant les informations sensibles et en garantissant leur intégrité. Elles offrent un cadre structuré permettant d’identifier, d’alerter et de bloquer les tentatives de fuite. La finalité étant bien sûr d’adopter des mesures proactives pour sécuriser leur patrimoine informationnel critique.
Cependant, l’efficacité des solutions DLP repose fortement sur un équilibre entre la mobilisation humaine, des outils technologiques et sur une organisation opérationnelle claire. Parce que l’automatisation ou l’IA ne sauraient remplacer à terme la compétence et l’expérience, la gestion des alertes, l’analyse des faux positifs, la coordination et la prise de décisions sont indispensables pour maximiser leur efficacité.

Melissa HADJ SAID
Consultante Infrastructure Security