Comment les entreprises évitent les fuites de données inopportunes
Data Loss Prevention: entre hommes et technologie
La Data Loss Prevention, la protection contre les fuites de données confidentielles, n’est pas seulement une affaire de technique. Elle nécessite aussi l’implication du personnel. Ces approches peuvent être fructueuses.
Texte: Andreas Heer, 18 Juin 2019, actualisé le 21.07.2021
C’est si vite arrivé: pressé, on choisit un mauvais destinataire pour un e-mail et le document de présentation confidentiel est divulgué ou des données professionnelles sont déposées dans le stockage en ligne privé peu avant d’être dérobées lors d’une effraction. Sans parler de tous les cas où des collaborateurs transmettent sciemment des informations confidentielles.
Des amendes et une réputation ternie comme conséquences d’une perte de données
Comme le montrent ces exemples, la protection des données confidentielles de l’entreprise est une tâche tout aussi importante que complexe. Le terme Data Loss Prevention (DLP) ou Data Leakage Prevention désigne toutes les mesures qui doivent empêcher les fuites d’informations inopportunes. Les exigences de conformité par rapport à la réglementation et à la législation sur la protection des données jouent ici un rôle prépondérant. En effet, en cas de violation de ces règles, les amendes peuvent être lourdes. Cependant, la réputation, en tant que base de la confiance des clients, est tout aussi importante. «A juste titre, les clients attendent des entreprises qu’elles gèrent les données qui leur sont confiées avec fiabilité», déclare Raffael Peluso, Head of Product Management Cybersecurity chez Swisscom. C’est pourquoi une fuite de données peut avoir une fuite de clients comme conséquence.
En même temps, dans le sillage de la numérisation, l’importance des données augmente pour l’entreprise. La propriété intellectuelle enregistrée sous forme numérique doit rester cachée aux yeux des tiers, tout comme une feuille de route pour les produits qui apporterait un avantage concurrentiel à un rival. Ici aussi, il est nécessaire de prendre des mesures de DLP.
La Data Loss Prevention comme combinaison de mesures
Les exemples ci-dessus de l’erreur de destinataire d’un e-mail et du stockage en ligne privé montrent que la DLP doit être constituée d’une combinaison de mesures techniques, de processus et d’actions de sensibilisation des collaborateurs. Peut-être qu’il aurait été possible d’empêcher techniquement l’expédition de la présentation du produit. Les collaborateurs qui sont formés à utiliser correctement des données confidentielles savent toutefois qu’ils ne doivent pas envoyer de documents confidentiels par e-mail ou les sauvegarder sur leur cloud de stockage personnel.
L’étude «Cost of a Data Breach» d’IBM montre que la sensibilisation est nécessaire en complément des mesures techniques: en 2020, près du quart des vols de données dans le monde résultent d’une erreur humaine. Lorsque des collaborateurs formés mettent en pratique leurs connaissances dans leur quotidien, ils réduisent le taux d’erreurs. En d’autres termes: la sensibilisation offre une protection.
Equilibre entre charge de travail et risque résiduel
Il existe des approches plus ou moins complexes pour la formation de personnel. «J’ai fait l’expérience que la formation en ligne convient particulièrement bien, par exemple sous la forme de vidéos éducatives clôturées par un test», explique Raffael Peluso. «La formation devrait être accompagnée par d’autres campagnes d’information, par exemple sur l’Intranet.»
De telles activités de sensibilisation préventives contribuent à une meilleure compréhension de la manière de traiter les données confidentielles; et aussi des directives, des processus et des mesures de protection technique nécessaires.
Cependant, il n’est pas possible d’atteindre une sécurité absolue. Si un collaborateur possède un niveau d’énergie criminelle suffisamment élevé, il trouvera des moyens de contourner les mesures de protection. Raffael Peluso ne se fait donc pas d’illusions: «Comme toutes les mesures de sécurité, la Data Loss Prevention consiste à trouver un équilibre entre efforts et risque résiduel.»
Il voit la clé de la réussite de la prévention des fuites de données dans la façon de la mettre en œuvre: «Les mesures ne doivent pas entraver les activités commerciales. Sinon, elles ne sont pas acceptées et les collaborateurs trouveront des moyens créatifs de contourner la DLP.
Newsletter
Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?
En savoir plus sur ce thème