GS Mag : Pouvez-vous nous présenter votre offre de DLP ?

Benoit Grunemwald : DeviceLock est une solution innovante car elle propose d’appliquer des règles de DLP complètes aux postes utilisateurs qu’ils soient dans le réseau ou à l’extérieur. L’administration en est bien sûr centralisée (repose sur un annuaire ou non). Au-delà du blocage des périphériques USB, Devicelock contrôle les échanges sur les réseaux sociaux, les webmails (yahoo, google …) en ne laissant sortir que les données autorisées. Ce filtrage s’effectue lorsque l’utilisateur est chez lui ou en déplacement. Les politiques de sécurité peuvent être plus contraignantes dans ce cas.
DeviceLock est conçue de manière à s’adapter en toute transparence aux installations de toutes tailles et à faciliter le déploiement et la gestion d’une solution DLP. Les entreprises peuvent ainsi renforcer la sécurité des données sur leurs postes de travail avec des outils de contrôle des contenus et des réseaux à travers une interface de gestion éprouvée de type MMC (Microsoft Management Console), déjà bien connue des administrateurs de sécurité Windows.

GS Mag : Quel est le champ d’action de votre solution ?

Benoit Grunemwald : DeviceLock est une solution pour PC et serveurs, fixes ou nomades, et a l’avantage de ne pas devoir s’installer sur les terminaux mobiles, mais uniquement sur le PC de l’utilisateur. Le champ d’application est large et très fin : par exemple sur un iPhone, il est possible de synchroniser les emails, contacts et agenda, mais refuser l’entrée sur le PC de travail des photos ou media (musique et vidéo). Le filtrage des périphériques est la 1ere fonction de contrôle, puis vient le filtrage réseau (webmail autorisé mais sans pièces jointes par exemple) et enfin le filtrage de contenu. Il est important de noter que l’on peut combiner ses 3 types de filtrage.

GS Mag : Sur quels aspects techniques repose votre technologie de DLP (Comment fonctionne la technologie) ?

Benoit Grunemwald : Nous analysons le trafic échangé ainsi que les données copiées au niveau du noyau. Nous ne ralentissons pas le fonctionnement de la machine car une fois l’accès autorisé, nous n’intervenons plus. Sur la partie réseau, nous procédons par « deep-packet inspection ». Cette technologie permet le filtrage et l’assemblage des communications mêmes chiffrées. Il faut savoir que la plupart des webmails ou réseau sociaux forcent le HTTPS.
Au niveau du filtrage de document, nous n’analysons bien sur pas uniquement l’extension du fichier, mais son entête. Si l’on va plus loin, c’est à dire le filtrage par mots clefs ou expressions, il est possible de créer des expressions régulières via l’éditeur (assistant) pour des formes complexes si besoin.
A partir d’objets de stratégie de groupe (GPO) Microsoft Windows Active Directory® centralisés et de consoles associées, les administrateurs peuvent gérer de façon dynamique des agents distribués en appliquant des règles DLP définies au niveau central afin d’autoriser ou d’interdire les flux de données en fonction de l’utilisateur, du type de données, de l’interface, de la direction du flux, de l’état de cryptage, de la date et de l’heure, etc.

GS Mag : D’autres technologies protègent d’ores et déjà, directement ou indirectement, contre la fuite d’informations, quelle est la valeur ajoutée votre offre ?

Benoit Grunemwald : Force est de constater que les modèles de DLP existant ne sont pas complets. Si les droits d’accès aux ressources (partages réseaux, applicatifs …) sont la base d’une politique de DLP, ils ne permettent pas de contrôler l’utilisation ultérieure faite de la donnée. Pour cela des UTM sont placées en tête de réseau afin de filtrer la fuite d’informations. Mais la plus part des fuites se produisent par les clefs USB et les imprimantes. Dans ces cas un boîtier n’est d’aucune utilité. Notre solution poste de travail permet de palier à ces lacunes.

GS Mag : Quelles sont les principales étapes à penser et mettre en œuvre en amont ?

Benoit Grunemwald : Lors du choix d’une solution DLP, les entreprises doivent évaluer leurs besoins de façon réfléchie, en fonction des menaces intérieures qui pèsent réellement sur leur organisation. Avant toute chose, elles doivent s’assurer que les contrôles DLP sur base contextuelle des solutions qu’elles envisagent d’installer couvrent l’intégralité des scénarios de fuite de données possibles en ce qui les concerne. C’est n’est qu’après avoir trouvé le juste équilibre au niveau contextuel qu’elles pourront commencer à établir les critères des composants de filtrage de contenu. Il existe un large éventail de techniques disponibles : formes de mots, expressions standard, prise d’empreintes de données, analyses lexicales conceptuelles et adaptatives, mise en grappes, etc. Comme les prix de ces solutions varient considérablement, l’approche la plus rationnelle consiste à ne déployer que les méthodes qui répondent aux menaces réelles, et à veiller à une stricte application des politiques de protection de données de l’entreprise.

GS Mag : Quelles sont les différentes phases de mise en œuvre d’un projet de DLP ?

Benoit Grunemwald : Il convient d’impliquer toutes les directions stratégiques au projet de DLP.
La 1ere phase est la définition des objectifs et la détection des données sensibles et l’avertissement des utilisateurs (charte, règlement intérieur ...).
A partir de ces constat, il convient d’effectuer des audit DLP par la mise en œuvre de l’agent et l’analyse des données échangées (avec ou sans filtrage à ce moment).
Une fois cette phase terminée, nous pouvons appliquer le filtrage à proprement parler. Il convient ensuite de suivre le projet, tant au niveau des données (nouvelles données sensibles) que des produits et solutions.

GS Mag : Quels sont les acteurs qui doivent être impliqués dans un tel projet ? De quelle manière ?

Benoit Grunemwald : La DSI mais aussi la direction générale et les ressources humaines sont acteurs car la solution de DLP est un outil qui restreint l’accès aux informations et contrôle l’utilisation des périphériques pour prévenir la fuite de données. La direction générale définira avec ses grandes divisions les politiques des droits et filtrages. De son côté, la DRH aura plutôt la fonction de mise en place d’un accord d’entreprise ou de division si certaines fonctionnalités de la DLP sont mises en œuvre comme par exemple la copie « shadow » de tous les fichiers copiés sur clef USB par un employé ou le filtrage des envois de fichiers par email.

GS Mag : Existe-t-il aujourd’hui de réels projets qui ont été mené de bout en bout et qui sont aujourd’hui maintenus en conditions opérationnelles ?

Benoit Grunemwald :Oui, dans de nombreuses banques en France et à l’étranger, ainsi que dans différentes entités gouvernementales. Des entreprises privées ont également installées les solutions DeviceLock sur une partie de leur parc (R&D). Nous ne pouvons malheureusement en dire davantage.

GS Mag : Quels conseils pouvez-vous donner aux entreprises en matière de DLP ?

Benoit Grunemwald : Les fautes professionnelles ou les actes de négligence représentent une part essentielle de la plupart des scénarios de fuite de données sur les postes de travail. En dépit des règlements et des chartes, des formations spéciales, des sanctions et des pénalités administratives, la nature humaine est immuable : même les collaborateurs les plus loyaux continueront de commettre des erreurs par inadvertance, les curieux de mettre leur nez là où ils ne devraient pas, et les employés indélicats de rechercher délibérément des informations de grande valeur. C’est pourquoi, la discipline en matière de communication de données et de sécurisation du stockage sur les postes de travail doit être assurée par des moyens qui ne dépendent pas de la nature humaine, à savoir un outil qui autorise de manière transparente toutes les actions des utilisateurs sur la base de leurs fonctions et qui peut bloquer toute tentative accidentelle ou délibérée d’intervention en dehors de ce cadre prédéfini.