Mesures de Data Loss Prevention

Protection des données commerciales

Comment les entreprises évitent les fuites de données inopportunes

La Data Loss Prevention n’est pas seulement une affaire de technique. Elle nécessite aussi l’implication du personnel. Ces approches peuvent être fructueuses.

Texte: Andreas Heer, 18 Juin 2019

C’est si vite arrivé: pressé, on choisit un mauvais destinataire pour un e-mail et le document de présentation confidentiel est divulgué. Ou alors, une clé USB (qui n’était bien entendu pas protégée) est perdue pendant un déplacement professionnel. Sans parler de tous les cas où des collaborateurs transmettent sciemment des informations confidentielles.

Des amendes et une réputation ternie comme conséquences

Comme le montrent ces deux exemples, la protection des données confidentielles de l’entreprise est une tâche tout aussi importante que complexe. Le terme Data Loss Prevention (DLP) ou Data Leakage Prevention désigne toutes les mesures qui doivent empêcher les fuites d’informations inopportunes. Les exigences de conformité par rapport à la réglementation et à la législation sur la protection des données jouent ici un rôle prépondérant. En effet, en cas de violation de ces règles, les amendes peuvent être lourdes. Cependant, la réputation, en tant que base de la confiance des clients, est tout aussi importante. «A juste titre, les clients attendent des entreprises qu’elles gèrent les données qui leur sont confiées avec fiabilité», déclare Raffael Peluso, responsable des solutions de sécurité chez Swisscom. C’est pourquoi une fuite de données peut avoir une fuite de clients comme conséquence.

 

En même temps, dans le sillage de la numérisation, l’importance des données augmente pour l’entreprise. La propriété intellectuelle enregistrée sous forme numérique doit rester cachée aux yeux des tiers, tout comme une feuille de route pour les produits qui apporterait un avantage concurrentiel à un rival. Ici aussi, il est nécessaire de prendre des mesures de DLP.

La Data Loss Prevention comme combinaison de mesures

L’exemple initial de l’erreur dans le destinataire d’un e-mail montre que la DLP doit être constituée d’une combinaison de mesures techniques, de processus et d’actions de sensibilisation des collaborateurs. Peut-être que dans ce cas, il aurait été possible d’empêcher techniquement l’envoi du document de présentation des produits. Toutefois, un collaborateur ayant reçu une formation sur la manipulation des données confidentielles n’aurait jamais eu l’idée de transmettre ce document par e-mail. L’étude «Cost of a Data Breach» montre que la sensibilisation est nécessaire en complément des mesures techniques: en 2018, près du quart des vols de données aux Etats-Unis ont eu lieu du fait d’une erreur humaine. Lorsque les collaborateurs mettent en pratique ces connaissances dans leur quotidien, le taux d’erreur est limité. En d’autres termes: la sensibilisation offre une protection.

 

Il existe des approches plus ou moins complexes pour la formation du personnel. «J’ai fait l’expérience que l’e-learning est particulièrement bien approprié, par exemple sous la forme de vidéos éducatives clôturées par un test», explique Raffael Peluso. «La formation devrait être accompagnée par d’autres campagnes d’information, par exemple sur l’Intranet.»

 

De telles activités de sensibilisation préventives contribuent à une meilleure compréhension de la manière de traiter les données confidentielles; et aussi des directives, des processus et des mesures de protection technique nécessaires. Cependant, il n’est pas possible d’atteindre une sécurité absolue. Raffael Peluso est convaincu que si un collaborateur possède un niveau d’énergie criminelle suffisamment élevé, il trouvera des moyens de contourner les mesures de protection: «Comme toutes les mesures de sécurité, la Data Loss Prevention consiste à trouver un équilibre entre efforts et risque résiduel.» Il voit la clé de la réussite de la prévention des fuites de données dans la façon de la mettre en œuvre: «Les mesures ne doivent pas entraver les activités commerciales. Sinon, elles ne sont pas acceptées et les collaborateurs trouveront des moyens créatifs de contourner la DLP.»

Newsletter

Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?


En savoir plus sur ce thème