Protection des données : après le contenant, au tour du contenu

McAfee prône une solution de prévention de la perte des données contenues sur les réseaux informatiques corporatifs. La manipulation des fichiers et de leurs contenus est restreinte en fonction de règles pour éviter les fuites, qu’elles soient intentionnelles ou non.

De passage à Montréal, le directeur de comptes pour les entreprises de McAfee Canada Jean-Pascal Hébert a présenté une solution à architecture client-serveur qui pousse le concept de la protection des données un cran plus loin que l’étape de l’accès physique au réseau. Cette solution de contrôle de l’accès aux données permet la consultation des documents, mais en limite le déplacement ou la copie, de façon intégrale ou fragmentaire, en vertu de règles qui ont été établies par l’entreprise.

Le représentant de l’éditeur de produits de sécurité informatique a fait la démonstration des capacités de la solution DLP (pour data loss prevention en anglais) en procédant à diverses manipulations de fichiers et de données, contenus sur un serveur ou un poste de travail, pour tenter de les transmettre par courriel ou de les sauver sur un média amovible. Les essais, qu’ils s’agisse d’un changement de nom, d’un changement d’extension, d’une compression dans une archive, d’une copie d’extraits, d’une impression, etc. ont été infructueux. À chaque fois, un message d’avertissement est apparu pour indiquer que l’action exécutée n’était pas permise.

En clair, la solution garde à l’œil les contenus protégés et en empêche les déplacements complets ou partiels vers des canaux de transmission ou de stockage qui sont interdits en fonction des règles définies par une organisation. La solution contrôle les divers points de fuite possible, soit le courriel SMTP et le courriel Web, la messagerie instantanée, le transfert HTTP, la fonction copier/coller, la capture d’écran, l’impression et les transferts sur des médias amovibles, etc.

Les éléments centraux de la solution sont un serveur d’orchestration de règles électroniques (ePO, pour electronic policy orchestrator en anglais) où sont édictées les permissions et les limitations établies pour les documents d’entreprise, un serveur contenant les données protégées où les documents et leurs contenus sont indexés, et un serveur de rapports qui compile des informations provenant d’agents logiciels. Ces agents, présents sur les postes de travail fixes, les ordinateurs portables et les assistants numériques personnels, intègrent localement la liste des règles établies pour les contenus d’entreprise.

La solution étant conçue pour les environnements Windows, une passerelle matérielle DLP effectue le contrôle des accès aux données pour les ordinateurs fonctionnant sous d’autres plates-formes, pour les ordinateurs d’utilisateurs invités n’ayant pas d’agent client installé et pour le courriel des téléphones mobiles qui se connectent au réseau corporatif.

Enfin, une console de gestion permet d’établir des règles de sécurité en fonction des applications, des emplacements et des contenus, pour les documents regroupés dans des répertoires ou des dossiers définis, et ce, pour plus de 390 formats de fichiers. La console, qui est contrôlée par le responsable de la sécurité informatique ou du directeur de l’information, permet de procéder à une surveillance des données en allouant un transfert, à une prévention en interdisant un transfert, à une quarantaine en requérant une autorisation, au chiffrement obligatoire avant un transfert ainsi qu’à une alerte pour avertir les administrateurs et les utilisateurs finaux de l’exécution d’actions.

Conscientisation

Jean-Pascal Hébert de McAfee explique que la solution, acquise l’an dernier d’une entreprise israélienne, sert à prévenir des situations de perte de données confidentielles, alors que plusieurs incidents ont fait la manchette au cours des derniers mois. Elle sert aussi à assurer une conformité à des règles de gouvernance organisationnelle ainsi qu’à préserver la propriété intellectuelle des contenus d’une entreprise.

« Les entreprises mettent des systèmes de contrôle d’accès à l’information pour permettre aux personnes autorisées d’y accéder pour travailler, mais une fois qu’elles ont accès à l’information, on a peu de méthodes pour contrôler la façon par laquelle ces personnes vont gérer l’information, indique-t-il. Elles vont modifier un document, mais après vont l’imprimer ou l’envoyer par courriel. C’est là où les gens n’ont pas conscience que l’information ne leur appartient pas, mais qu’elle appartient à l’organisation, et qu’elles n’ont pas le droit d’en faire ce qu’elles en veulent. »

M. Hébert ajoute qu’une organisation peut utiliser une solution dans une première étape pour observer les comportements des utilisateurs avant de procéder à l’application de règles, ce qui permet de prendre conscience de la situation en matière de manipulation des données, autant pour les gestionnaires que pour les employés.

« Chez McAfee, on a procédé à un déploiement bêta de la solution à l’insu du personnel. Nous avions accès à des documents indexés qui étaient balisés publics, partenaires externes et confidentiels. À l’interne, comme dans n’importe quelle organisation, les gens se permettaient de prendre des documents et se les envoyer à l’externe. N’ayant pas encore mon ordinateur de travail, je m’envoyais des documents de marketing par courriel à mon ordinateur personnel », explique-t-il.

« Mais lorsque nous sommes allés à l’événement annuel des ventes, un document imprimé indiquait les noms et des employés et combien de politiques internes avaient été enfreintes. Je vous garantis qu’on fait beaucoup plus attention à ce que l’on fait! »

Jean-François Ferland
Jean-François Ferland
Jean-François Ferland a occupé les fonctions de journaliste, d'adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.

Articles connexes

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Investissements majeurs de 500 M$US de Microsoft au Québec

Au cours des deux prochaines années, Microsoft investira 500 millions de dollars américains dans l'expansion de son infrastructure infonuagique et d'intelligence artificielle à grande échelle au Québec.

Balado Hashtag Tendances, 23 novembre 2023 — Crise chez OpenAI, des puces Microsoft et investissements majeurs au Québec pour Microsoft

Cette semaine : Grave crise à la tête d’OpenAI, Microsoft conçoit ses propres processeurs et investissements de 500 M$ de Microsoft au Québec.

Consultation publique sur la cybersécurité

Le ministère de la Cybersécurité et du Numérique lance cette semaine une consultation publique sur la cybersécurité. Celle-ci permettra au gouvernement du Québec de solliciter un grand nombre d'intervenants ainsi que la population générale sur les enjeux et les besoins en cybersécurité.

Plus de six PME québécoises sur dix touchées par la cybercriminalité au cours de la dernière année

Un nouveau sondage mené par KPMG au Canada le mois dernier révèle que plus de six PME sur dix au Québec ont été attaquées par des cybercriminels au cours de la dernière année, et près des trois quarts d'entre elles affirment que leurs anciens systèmes d'information et de technologie opérationnelle les rendent vulnérables aux attaques.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.