Jean-Michel Tavernier, Armis : Vous ne pouvez protéger ce que vous ne connaissez pas

Abonnez-vous gratuitement à notre NEWSLETTER

Interviews

Mathieu Lahierre et Olivier Rousval, HAPSIS : Le DLP est un projet transverse

janvier 2012 par Marc Jacob

Mathieu Lahierre et Olivier Rousval, HAPSIS : Le DLP est un projet transverse
Pour les experts d’HAPSIS, le DLP est en premier lieu un projet d’entreprise, transversal et multidisciplinaire. En effet, il n’est pas seulement un problème technique, mais soulève des enjeux juridiques, techniques et organisationnels afin d’améliorer la gestion de l’information. Pour mener de tel projet, il est nécessaire non seulement d’impliquer la direction générale mais aussi les métiers. Il faut aussi être conscient que le DLP nécessite un travail régulier de mise à jour comme le constatent Mathieu Lahierre, consultant sécurité et Olivier Rousval, consultant manager.

Olivier Rousval

Mathieu Lahierre

GS MAG : Pouvez-vous nous présenter votre offre de DLP ?

Mathieu Lahierre et Olivier Rousval : HAPSIS se positionne en conseil sur la problématique de fuite d’information. La problématique DLP est très souvent abordée sous l’angle technique, alors que c’est en premier lieu un projet d’entreprise, transversal et multidisciplinaire. En effet, il convient de prendre la problématique sous tous les angles et pas seulement sur celui de la DLP car elle ne suffit pas à garantir la protection du périmètre informationnel ; Ce n’est pas une solution miracle que l’on achète et que l’on installe : elle nécessite de connaître les enjeux juridiques, techniques et organisationnels qui sont induits dans un projet global de protection des données.

En effet, le DLP n’est pas qu’une solution technique permettant de protéger vos données sensibles mais un réel dispositif organisationnel permettant d’améliorer la gestion de l’information et de sensibiliser les collaborateurs.

GS MAG : Quel est le champ d’action de votre offre de service ?

Mathieu Lahierre et Olivier Rousval : HAPSIS intervient dans le cadre d’une assistance à maîtrise d’ouvrage, du choix de la ou des solutions pertinentes pour couvrir les risques de l’entreprise en matière de fuite de données à la mise en production du projet en intégrant les contraintes juridiques et organisationnelles.

GS MAG : Sur quels aspects techniques repose votre technologie de DLP ?

Mathieu Lahierre et Olivier Rousval : Le DLP est une solution parmi d’autres pour couvrir ce type de risques.

GS MAG : D’autres technologies protègent d’ores et déjà, directement ou indirectement, contre la fuite d’informations, quelle est la valeur ajoutée votre offre ?

Mathieu Lahierre et Olivier Rousval : Notre valeur ajoutée réside dans le fait que nous avons une expérience de projet de DLP qui est un succès, que nous avons déjà été confrontés aux écueils techniques, juridiques et organisationnels de la mise en place d’une solution et que nous avons une vision des réelles capacités des solutions de DLP, leaders sur le marché.

GS MAG : Quelles sont les principales étapes à penser et mettre en œuvre en amont ?

Mathieu Lahierre et Olivier Rousval : Il est nécessaire de :

• Mobiliser la Direction Générale, seule autorité pour légitimer un projet transversal. L’adhésion à obtenir c’est celle de l’ensemble des collaborateurs à tout moment du traitement des données sensibles

• Mobiliser les directions Métier, seules compétentes pour définir les informations qui méritent tout particulièrement d’être protégées, et en déduire les ressources et les outils nécessaires

• Déterminer le niveau de maturité en matière d’intégration d’une démarche de DLP, en termes d’infrastructure et d’organisation, pour améliorer la maîtrise des flux d’informations,

• Cartographier les données et les savoir-faire stratégiques à protéger auprès des propriétaires des données et les vecteurs de fuites potentiels,

• Définir les points d’attention du système d’information qui seront couverts par le déploiement d’une solution technique de DLP (flux de messagerie et IAP, postes de travail …).

GS MAG : Quelles sont les différentes phases de mise en œuvre d’un projet de DLP ?

Mathieu Lahierre et Olivier Rousval : Il faut :

• Transformer les besoins en protection des informations sensibles en spécificités techniques dans la solution de DLP pour détecter les anomalies,

• Mettre en œuvre une organisation adaptée aux traitements des incidents en intégrant les contraintes réglementaires et juridiques de la cyber surveillance des collaborateurs,

• Mettre en place les campagnes de sensibilisation des collaborateurs et les procédures permettant de défendre les intérêts de l’entreprise en cas de fuites de données.

GS MAG : Quels sont les acteurs qui doivent être impliqués dans un tel projet ? De quelle manière ?

Mathieu Lahierre et Olivier Rousval : Le top management doit être l’initiateur de la demande de mise en œuvre d’un projet de DLP car il va induire de transformer ou du moins adapter l’organisation de l’entreprise, si elle n’est pas dans la configuration idéale. Son rôle sera de formaliser les politiques de confidentialité et de faire adhérer l’ensemble des employés aux contrôles qui seront opérés dans le cadre du projet. Cette même demande peut aussi provenir d’une ligne métier stratégique pour l’entreprise, ce sera ici le moyen de vérifier la faisabilité du projet DLP lors d’un POC avant une potentielle extension de la couverture. Quoiqu’il en soit la direction métier est aussi un moteur pour la réussite du projet. Elles ont les compétences pour déterminer les informations confidentielles dont elles ont propriétaires qui doivent être protégées.

Les fonctions support seront aussi sollicités pour divers sujets : techniques pour l’installation et la configuration de l’infrastructure, les ressources humaines et le service juridique pour régler les contraintes annexes à l’implémentation pour permettre aux opérationnels de disposer de preuves licites en cas de fuite avérée.

GS MAG : Existe-t-il aujourd’hui de réels projets qui ont été mené de bout en bout et qui sont aujourd’hui maintenus en conditions opérationnelles ?

Mathieu Lahierre et Olivier Rousval : Hapsis a accompagné pendant 12 mois un projet de DLP visant à couvrir un peu plus de 10 000 personnes sur une dizaine de pays d’Europe et d’Asie. Le projet, qui est un succès en termes de détection des fuites d’information et de sensibilisation, est en phase d’extension vers une dizaine de nouveaux pays. Devant les résultats du projet, une seconde extension plus importante encore, à l’échelle du groupe, est en discussion pour couvrir les autres divisions.

GS MAG : Quels conseils pouvez-vous donner aux entreprises en matière de DLP ?

Mathieu Lahierre et Olivier Rousval : HAPSIS a un retour d’expérience sur les projets DLP que l’on résume ainsi :

• Un projet DLP n’est pas uniquement un projet technologique

• Beaucoup de personnes de cultures différentes doivent intervenir sur le projet

• Une solution DLP ne se substitue pas aux autres solutions de sécurité

• Un projet DLP ne coûte pas forcément très cher et les retours sur investissement peuvent être très importants

• Un projet DLP ce n’est que pour les grands groupes

• Un projet DLP, ce n’est pas des problèmes juridiques à n’en plus finir, si ceux-ci sont traités avec les bonnes personnes préventivement.

• La mise en œuvre et le maintient en condition opérationnelle d’une solution DLP nécessite des compétences et une équipe dédiée, sachant que la notion de temporalité peut être conséquente. En effet, une donnée peut être à un instant stratégique et quelques temps plus tard public.