Protection et surveillance des données

DLP – Data Leak Protection

Contexte et enjeux Méthodologie

Les approches possibles Outillage

Marc Rousselet – Directeur Damien Houillot - Consultant Le 19 Novembre 2012

2

1. Contexte et enjeux

2. Méthodologie de protection

3. Les approches pour se protéger

4. La DLP intrusive en action

5. La DLP analytique

6. Le DRM en complément de la DLP

7. Conclusions

AGENDA

1 | PROFIL 2 | EXPERTISE 3 | METIERS 4 | AGENCES

3

Qui sommes nous ?

Cabinet de conseil et d’ingénierie

Création en

1996

52 employés début 2013

25 % de croissance en 2012 et 2013

Gouvernance & Gestion des risques

Identités & Accès numériques

Infrastructures sécurisées

Cloud Computing & Mobilité

Conseil : 10%

Intégration : 60%

TMA : 25 %

Formation : 5 %

Paris Marseille Lille Genève

Introduction 07/11/2013

CONTEXTE ET ENJEUX

1

4

Pourquoi protéger les données ?

Tendance vers la dématérialisation de l’information

Les documents internes contiennent des informations sensibles

Les entreprises doivent se conformer aux règlementations de leur secteur

L’information est un actif valorisé dans les entreprise

Le risque peut se traduire en lourdes pertes financières

0%

10%

20%

30%

40%

50%

60%

Clients Marketing vente Propriété intellectuelle

Salariés Stratégies Finance compta

Etude Ponemon institute réalisée 2011

Typologie des données à protéger

Les causes liées aux pertes de données

24%

17%

29%

4% 5%

10% 11%

Réseau de l’entreprise

Application Web non sécurisées

Perte ou vol d’un équipement

E-mail envoyés par erreur

Média amovible non chiffré

Parc mobile non sécurisé

Autre

Les brèches de sécurité exploitées

Quelques chiffres autour de la protection des données

Les études réalisées par les cabinets d’analystes IT * montrent que :

1 message email sur 400 contient des données confidentielles

1 document sur 50 est partagé à tort

1 ordinateur portable sur 10 est perdu ou volé

1 clé USB sur 2 contient de l’information confidentielle non chiffrée

* Gartner, Forrester, FBI, Ponemon Institute

Le cas des entreprises françaises

En 2010, 70% des entreprises françaises ont subi une perte de données *

* Enquête réalisée par le cabinet Ponemon Institute en février 2011 auprès de 450 administrateurs de la sécurité informatique en France

En 2010, le coût lié aux fuites de données est en hausse de 16 % La perte la plus couteuse est évaluée à 8,6 M€ !

Le coût estimé lié à la perte de données

Augmentation continue des coûts en France

Coût / année 2009 2010 2011

Coût moyen par

information perdue 89€ 98€ 122€

Coût moyen (Millions) 1,90M€ 2,20M€ 2,55M€

MÉTHODOLOGIE DE PROTECTION

2

11

Application integration

OS

Database

Collaboration

Business intelligence/

Analytical applications

Application development tools

Hardware platform

Applications

Services

Computer Network Storage

FS Applications

Security IDS

Content Filtering

Management

AV/Spyware Anti-Spam

Identity Management

Regulatory Compliance

Firewalls

Vulnerability Assessment

Monitoring

Network & Systems Management

Management Vendors

Dynamic Provisioning

Storage

Un système d’information intègre des solutions hétérogènes

Le Système d’Information: Une entité complexe

Comment protéger ses données ?

Dans ce contexte, la protection de l’information est une priorité pour les entreprises. Plusieurs solutions/acteurs existent selon la méthode de protection souhaitée:

Data Loss Prevention « DLP » Méthodes Intrusives RSA, Symantec, Computer

Associates Méthodes Analytiques WhiteBox Security, Varonis

Digital Right Management « DRM » Microsoft, Fileopen, OwnerGuard

Afin de mener à bien un projet de sécurisation d’informations, il est nécessaire d’effectuer une analyse de risques afin les catégoriser clairement:

Quels sont les risques possibles?

Quelle est la probabilité de leur occurrence?

Quand apparaitraient-ils le plus souvent?

Quelle serait la nature des conséquences?

Une approche fondée sur la gestion du risque

Les informations de l’entreprise sont autant de risques potentiels. Il convient donc de classifier les informations selon leur niveau de risque.

Classifier l’information selon des critères de sécurité

Objectifs de la sécurité de l’information

Dommage correspondant ( si

objectif de sécurité compromis )

Catégorie de classification

Niveaux de classification type

Confidentialité

Divulgation

Sensibilité

• Public • Interne • Confidentiel • Secret

Intégrité

Modification

Criticité

• Faible • Moyen • Elevé

Disponibilité

Destruction

Quels sont les pré-requis à la protection des données

La classification des informations est la fondation de toute démarche de protection Tout document est classé selon un niveau de criticité, de sensibilité et de diffusion Une politique adaptée sera applicable selon le niveau de classification d’un document La classification prend en compte les critères suivants:

Basés sur des

définitions

Basés sur des dommages

Basés sur des documents

Classification de la sensibilité

PUBLIC

Information disponible publiquement et dont la révélation à un tiers externe ne peut pas nuire à l’entreprise.

INTERNE

Information ayant pour vocation à demeurer dans l’entreprise. Elle ne peut causer de réels dommages à l’entreprise car elle est non stratégique. Cependant, sa fuite doit être évitée.

CONFIDENTIEL

Information qui, accédée par une personne non autorisée peut nuire ou impacter négativement les activités de l’entreprise.

SECRET

Information très sensible pouvant se révéler très dommageable pour l’activité commerciale de l’entreprise en cas de divulgation.

Basés sur

des définitions

Exemples de marquage

• Interne Annuaires téléphoniques internes, politiques d’entreprise, standards, procédures, organigramme, communication interne…

• Confidentiel Fichiers clients, secret de fabrication, propriété intellectuelle,

rapports financiers, documents légaux, données partenaires…

• Secret Documents du conseil d’administration, délibération du conseil

d’administration, analyses stratégiques, business plans… Définition: Une information classifiée est une information sensible dont l’accès est restreint par une loi ou un règlement applicable à un groupe spécifique de personnes

Basés sur des

documents

La sensibilité comme reflet du risque

Niveau de dommage lié à la divulgation de l’information

Niveau de classification de la sensibilité

Nul Public

Limité Interne

Sérieux Confidentiel

Catastrophique Secret

Basés sur des

dommages

Démarche de protection de l’information

1) Classifier l’information sensible et confidentielle Marquer les documents avec leur niveau de sensibilité Indiquer le niveau de diffusion du document Localiser l’information sensible dans le Système d’Information

2) Protéger l’information

Moyens techniques: cryptographie, protection du poste de travail, droits d’accès, mot de passe, « surveillance » de l’information, création de « zones confidentielles »…

Moyens humains: sensibilisation du personnel, charte de confidentialité, politique de protection de l’information

• Ordinateurs portables • Imprimantes • Documents numériques • Clés USB, CDs, DVDs • Emails • Transfert de fichier • Espaces collaboratifs • Matériel perdu • Appareils mobiles

• Voix • Faces à faces • Téléphone • Documents imprimés

Les méthodes de protection par vecteur d’information

Contrôles logiciels et matériels

Sensibilisation des utilisateurs

Données de carte de crédit Données d’identité Informations de santé

Informations

sensibles personnelles

Propriété Intellectuelle Informations financières Secret du Métier

Informations

sensibles de l’entreprise

Données stockées

(Data-at-Rest) Données en

mouvement (Data-in-

Motion)

Données en cours

d’utilisation (Data-in-

Use)

La nature de l’information et des données dans le SI

LES APPROCHES POUR SE PROTÉGER

3

23

La typologie des solutions techniques

Fonctionnalités DLP Intrusive

DLP Analytique DRM

Analyse et Filtrage du contenu X X -

Prévention (accès, diffusion) X - X

Analyse et Filtrage du réseau X X -

Protection des « endpoints » X - -

Remonter les alertes X X -

Publication de rapports - X -

Implication des utilisateurs - - X

Chiffrement des documents X - X

Restriction d’accès sur les documents X - X

Droits « fins » sur les documents - - X

Analyse des activités X X -

Le DLP est un concept basé sur des règles centralisées qui permettent de surveiller, identifier et protéger les informations sensibles. Une méthode de protection est à adopter en fonction des 3 états de la donnée: • Stockée / au repos (Data at Rest) • Active / utilisée (Data in Use) • En mouvement (Data in Motion)

DLP : les concepts

Analyse du contenu en profondeur

Définition centralisée des règles

Surveillance des données quelque soit

leur emplacement

DLP : les étapes d’un projet

Identification de l’information

Affectation d’un niveau de classification

3-4 niveaux de classification recommandés

Autorisations adaptées à chaque niveau de classification

Ne pas oublier la dé-classification

Protection de l’information classifiée Mise en place des procédures de traitement/manipulation (ou

d’une politique de traitement de l’information classifiée)

Mesures de protection (Solutions de DLP, de DRM)

Fort

Fa

ible

IM

PAC

T

Faible RISQUE Fort

Ordinateur portable chiffré

Rencontres faces à face

Téléphone/Fax

Transferts de fichiers

Perte ou vol de données

Appareils mobiles (perte/vol)

Impressions Emails Propositions commerciales

Voix

Ordinateur portable non chiffré

Disques durs/Clé USB/CD/DVD

DLP : le niveau de risque et les impacts

Risque

Imp

act

Impression

Les impressions peuvent être récupérées par des personnes non habilitées, des visiteurs, des invités, des espions industriels et peuvent conduire à la fuite d’information sensible en cas de non-contrôle.

Stratégies de limitation du risque: • Former les utilisateurs à la technologie “SecurePrint” pour l’utilisation des

Imprimantes/photocopies. • Sécuriser l’accès aux imprimantes • Contrôler l’accès aux impressions avec une solution de DLP

DLP : se protéger contre la fuite de données (Impression)

Risque Im

pact

Disques dur, clés USB, CDs, DVDs

Des documents non chiffrés sur des clés USB, des CD ou des DVD représentent un risque majeur car ils sont très mobiles et facilement perdus et ciblés par les voleurs et par les espions ou concurrents. Ils peuvent contenir beaucoup d’informations sensibles mais aussi des virus et des malwares. Stratégies de limitation du risque: • Gravage de CD et DVD par le centre de support uniquement, utilisation des

disques dur externes par biométrie • Formation sur les dangers des clés USB, CD et DVD • Chiffrement de données, disques durs délivrées par l’entreprise, contrôle de

l’utilisation de clés USB par une solution de DLP

DLP : se protéger contre la fuite de données (Stockage)

Risque

Imp

act

Email

Les Emails représentent un grand risque potentiel car ils peuvent être interceptés par n’importe qui, une fois qu’ils ont quittés le serveur de mails de l’entreprise. Leur volatilité les rend également très difficiles à récupérer. Stratégies de limitation du risque: • Chiffrer les Emails: la confidentialité et la non-répudiation sont assurées mais

l’implémentation et la sensibilisation sont difficiles, le contrôle du contenu impossible

• Former les utilisateurs sur les risques de l’échange d’ Emails • Contrôler le contenu des Emails grâce à une solution de DLP

DLP : Se protéger contre la fuite de données (Emails)

Risque

Appareils Mobiles

Les appareils mobiles représentent un grand risque de perte et de vol. Ils contiennent des informations sensibles telles que des Emails, des mots de passes pour divers systèmes, des listes de contacts et autres documents. Ils sont petits et peuvent communiquer facilement avec les ordinateurs. Stratégies de limitation du risque: • Chiffrer les appareils: la confidentialité et la non-répudiation sont assurées mais

l’implémentation et la sensibilisation sont difficiles, le contrôle du contenu impossible

• Former les utilisateurs sur le risque de l’utilisation des appareils mobiles • Contrôler le contenu et la connectivité grâce à une solution de DLP

Imp

act

Perte ou vol

Données

DLP : Se protéger contre la fuite de données (mobiles)

DLP : Un exemple de politique de sécurité

Important: Les mesures de classification (niveau de sensibilité ou de criticité) doivent être adaptées à la nature de l’information contenue dans le document.

Niveau sensibilité 3: Secret 2: Confidentiel 1: Interne 0: Publique

Préjudice potentiel

• Préjudice inacceptable • Séquelles très graves • Condamnation

• Préjudice grave • Séquelles graves avec

incidence forte pour l’entreprise

• Préjudice faible • Faible incidence pour

l’entreprise

Aucun préjudice

Risques tolérés Aucun risque ne peut être toléré

Les risques doivent êtres limités et sont inacceptables pour les documents les plus « sensibles »

Les risques sont pris en connaissance des conséquences par le propriétaire et les destinataires

Pas de risque pour l’entreprise

Protections envisagées

• Personnes habilitées dans l’entreprise

• Chiffrements fichiers et Emails

• Coffre fort pour les documents papier

• Marquage des documents

• Procédures de manipulation et diffusion très restreinte

• Chiffrement des documents les plus « sensibles »

• Marquage des documents

• Marquage des documents

• Listes de diffusion cloisonnées (Interne, Entreprise destinataires)

Aucune

LA DLP INTRUSIVE EN ACTION

4

33

Les 3 types de sources d’information à contrôler:

Data in Motion Information qui transite

via des protocoles réseaux (HTTP, FTP, SMTP…) elle est routée vers le serveur DLP pour action en fonction des règles métier

Data at Rest Information stockée dans

les serveurs de fichiers, de bases de données, et dans les terminaux effectuant du partage de répertoire (surveillée par des agents)

Data in Use (at End Points) Information située sur les

postes clients (surveillée par des agents)

DLP : adopter un contrôle adapté

DLP : comportement fonctionnel (1/2)

La DLP permet de contrôler les informations de l’entreprise en fonction de leur niveau de sensibilité et d’appliquer les politiques de sécurité adéquates.

Fonction Clés Comportement d’une solution de DLP

Contrôler les informations sensibles

• Trouver et contrôler les données • Protéger dynamiquement contre la perte et la création

Reconnaître la typologie des informations

• Informations personnelles • Propriété intellectuelle • Information non-publique

Protéger tout état de la donnée

• Terminaux (Data In Use) • Réseau (Data In Motion) • Stockage (Data at Rest)

Reporting et analyse • Publication de rapport, monitoring, traçabilité • Identification des activités « intéressantes » parmi toutes

les activités tracées

DLP : comportement fonctionnel (2/2)

Bloquer Approuver

Utilisateurs et Groupes

Règles de protection Règles

d’étiquetage

Convergence des activités et reporting

Règles de DLP

Surveiller

1) Classification • Localisation • Application • Contenu

2) Protection • Impression • Email • Lecture/Ecriture/Destruction • Stockage (Disque dur, Clé

USB)

3) Association Association entre règles d’étiquetage et règles de

protection

1) Les règles de marquage (ou étiquetage) identifient l’information sensible 2) Les règles de protection gèrent les autorisations 3) Les utilisateurs et les groupes apportent la granularité 4) La convergence des activités détermine la sévérité

Proxy web

INTERNET

AUTORISER

BLOQUER

CHIFFRER

ALERTER

DLP

DLP : protection des donnés en mouvement

Data-in-Motion

Agent DLP Agent DLP

Serveur central

Mise en quarantaine Chiffrement des données

Data-at-Rest

DLP : protection des donnés au Repos

Serveur central Agent

logiciel

DLP : protection des donnés en utilisation

Data-in-Use

Proxy web

DLP Console d’administration

INTERNET

Agent

DLP : architecture logique globale

Agent

Données en mouvement

Données en cours d’utilisation

Données au repos

1. L’utilisateur envoie un Email avec de l’information sensible

2. La solution DLP analyse dynamiquement le contenu et le contexte

3. La solution DLP avertit l’utilisateur que l’Email viole la politique de sécurité

DLP : un exemple d’approche coercitive - Email

Demo adding Classification that will cause an alert

DLP : un exemple d’approche coercitive – duplication

Sauvegarde sur clé USB – Warning

42

Document contenant de la

propriété intellectuelle

sous forme de spécifications

techniques d’un produit.

Clé USB

• Control Web – Block

43

L’utilisateur tente de poster le contenu d’un Email sur une

plateforme Web

Lorsqu’il tente de poster le message un

message clair apparaît , lui

indiquant que l’action ne peut être

effectuée

CA DLP

DLP : Un exemple d’approche coercitive - Web

Le contenu du fichier contenant des informations

sensibles et classé dans un repertoire -

protégé a été déplacé.

Contrôle SharePoint – Suppression et Reclassement

DLP : Un exemple d’approche coercitive - Intranet

Découverte

Classification

Création et application

des politiques

Identification et localisation de toutes

les données de l’entreprise.

Création d’une cartographie exhaustive.

L’implication des directions métiers.

Classification des données par niveau de

Sensibilité.

Définition des actions à entreprendre à la

détection de données sensibles (blocage, alerte,

Mise en quarantaine, chiffrement… etc.)

DLP : résumé de la méthode (1/2)

DLP : résumé de la méthode (2/2)

Data Loss Prevention (DLP)

SharePoint

Bases de données

Terminaux

Réseau de stockage

Serveurs de fichier

Module de gestion des informations sensibles

(RRM)

Appliquer DRM

Chiffrer

Supprimer

Changer les Permissions

Exceptions

Utilisateurs Métier

Découvrir les données sensibles

Gérer les processus de remédiation

Appliquer les Contrôles

Organisation avec une remédiation des risques

LA DLP ANALYTIQUE

5

48

La DLP Analytique permet de faire de la gouvernance des accès en répondant aux questions suivantes à travers une console centralisée:

Qui a accès à quoi? Qui fait quoi ? (comment, où et quand) Qui devrait avoir accès à quoi? Qui a approuvé quoi? Qui n’est pas conforme à la politique?

DLP analytique : les concepts

Pour répondre à ces questions la solution offre les services suivants:

Surveillance des identités et des activités Analyse des rôles Vérification de la conformité à la politique Levée d’alertes, enregistrement des activités et publication

de rapports

QUESTIONS:

REPONSES:

Serveurs d’applications

Systèmes de Sécurité

WhiteOPS

Utilisateur

DLP Analytique : fonctionnement avec WhiteOPS

LE DRM EN COMPLÉMENT DE LA DLP

6

51

.

La DRM Microsoft permet de protéger les documents de la suite

Microsoft Office:

spécifie les droits et les conditions d’utilisation du document,

Chiffre le document,

n’autorise la manipulation du document qu’aux utilisateurs

autorisés.

Le document reste protégé quelque soit son état

DRM : sécuriser les documents Office

Chiffre le document

Déchiffre le document pour les

personnes autorisées

Gère les droits:

- lire

- Modifier

- Transférer, …

Contrôle l’utilisation du

document

Gère des politiques

centralisées avec des

modèles de protection

Protège les documents et

les mails

DRM : cycle opérationnel

DRM : Fonctionnement avec Microsoft AD RMS

Serveur AD RMS

Licence d’utilisation

Droits spécifique à l’utilisateur

Licence de publication

Informations sur les droits

Licence de publication

Document chiffré

Clé de chiffrement Clé de chiffrement

CONCLUSIONS

7

55

Les conséquences d'une perte de donnée peuvent s'avérer

coûteuses et dégradent l'image de l’entreprise. L’apparition des solutions de protection de données a permis aux

entreprises de surveiller et contrôler leurs informations sensibles et ainsi réagir au moment opportun.

Trois approches sont connues pour mitiger les risques : Surveillance des activités et des permissions des utilisateurs sur les

données (DLP intrusive) Identification et analyse des données au niveau des principaux

points de contrôle (DLP Analytique) Protection permanente des documents par des droits (DRM)

Conclusions