Les solutions

Très à la mode, le DLP intéresse désormais les grands éditeurs après n’avoir été que l’apanage d’acteurs très spécialisés. Ainsi en 2006 Websense s’est-il offert PortAuthority tandis que McAfee achetait Onigma. En 2007 c’était au tour de deux autres éditeurs d’antivirus de s’offrir du DLP (Symantec en rachetant Vontu et Trend Micro avec Provilla), tandis que RSA achetait pour sa part Tablus. Toutes ces solutions partagent de nombreux principes en commun. Elles se basent sur une phase d’exploration initiale qui permet d’identifier les “contenants” de données : fichiers présents sur les postes de travail (via un agent à déployer) et les serveurs de fichiers (via des partages réseau ou des droits Windows par exemple), bases de données (via une connexion ODBC par exemple), etc. La plupart d’entre elles sont en mesure de déterminer une empreinte pour les données identifiées, ce qui permettra d’en suivre la circulation, même si le document est altéré ou si une partie seulement est copiée. “Nous retrouvons des traces à partir de 40% du document original”, révèle Laurent Gondicart. Les outils de DLP offrent aussi la possibilité de modéliser le trajet des données, ou encore de définir des règles d’utilisation (tous les documents Excel, ou uniquement ceux de la comptabilité, ne doivent jamais quitter l’entreprise via MSN ou par Webmail, par exemple). Ce travail, bien entendu, est à la charge de l’entreprise bien que les produits offrent un certain nombre de règles par défaut. Certains offrent aussi des “profils” de règles conformes à différentes législations (Sarbane- Oxley aux Etats-Unis, Bâle II en Europe, etc.). Enfin, une configuration avancée permettra également d’étiqueter les données (et les postes de travail) en fonction de leur service ou de l’application d’origine, ce qui permettra d’établir des règles plus génériques.
Une fois déployée et configurée, la solution peut passer à l’action et observer toutes les manipulations de données dans l’entreprise afin de les comparer avec les règles qui ont été définies au préalable. Les contrôles s’effectuent en temps réel sur le réseau et (ou) sur les postes de travail. Les solutions les plus avancées contrôlent les échanges réseau (HTTP, FTP, SMTP mais aussi les protocoles de messageries instantanées) ainsi que les postes de travail : elles sont en mesure d’identifier les données copiées sur un périphérique USB, envoyées à l’imprimante ou même simplement copiées dans le pressepapier. La plupart interdisent aussi l’impression de l’écran (via la touche “PrintScreen”) lorsque des informations ne devant pas quitter l’entreprise y sont affichées. Lorsqu’une opération illicite est détectée, la solution de DLP peut, en fonction des choix de l’entreprise, bloquer l’opération, avertir l’utilisateur et générer une alerte dans sa console centralisée. Dans cette dernière, un moteur de workflow permettra de suivre les étapes de l’incident : qui doit être contacté, qui doit valider la violation des règles, qu’estce qui a été fait pour y remédier, etc. C’est à ce stade que la phase organisationnelle initiale se révèle payante.