Protection des données : après le contenant, au tour du contenu


Jean-François Ferland - 05/07/2007

McAfee prône une solution de prévention de la perte des données contenues sur les réseaux informatiques corporatifs. La manipulation des fichiers et de leurs contenus est restreinte en fonction de règles pour éviter les fuites, qu’elles soient intentionnelles ou non.

De passage à Montréal, le directeur de comptes pour les entreprises de McAfee Canada Jean-Pascal Hébert a présenté une solution à architecture client-serveur qui pousse le concept de la protection des données un cran plus loin que l’étape de l’accès physique au réseau. Cette solution de contrôle de l’accès aux données permet la consultation des documents, mais en limite le déplacement ou la copie, de façon intégrale ou fragmentaire, en vertu de règles qui ont été établies par l’entreprise.

Le représentant de l’éditeur de produits de sécurité informatique a fait la démonstration des capacités de la solution DLP (pour data loss prevention en anglais) en procédant à diverses manipulations de fichiers et de données, contenus sur un serveur ou un poste de travail, pour tenter de les transmettre par courriel ou de les sauver sur un média amovible. Les essais, qu’ils s’agisse d’un changement de nom, d’un changement d’extension, d’une compression dans une archive, d’une copie d’extraits, d’une impression, etc. ont été infructueux. À chaque fois, un message d’avertissement est apparu pour indiquer que l’action exécutée n’était pas permise.

En clair, la solution garde à l’œil les contenus protégés et en empêche les déplacements complets ou partiels vers des canaux de transmission ou de stockage qui sont interdits en fonction des règles définies par une organisation. La solution contrôle les divers points de fuite possible, soit le courriel SMTP et le courriel Web, la messagerie instantanée, le transfert HTTP, la fonction copier/coller, la capture d’écran, l’impression et les transferts sur des médias amovibles, etc.

Les éléments centraux de la solution sont un serveur d’orchestration de règles électroniques (ePO, pour electronic policy orchestrator en anglais) où sont édictées les permissions et les limitations établies pour les documents d’entreprise, un serveur contenant les données protégées où les documents et leurs contenus sont indexés, et un serveur de rapports qui compile des informations provenant d’agents logiciels. Ces agents, présents sur les postes de travail fixes, les ordinateurs portables et les assistants numériques personnels, intègrent localement la liste des règles établies pour les contenus d’entreprise.

La solution étant conçue pour les environnements Windows, une passerelle matérielle DLP effectue le contrôle des accès aux données pour les ordinateurs fonctionnant sous d’autres plates-formes, pour les ordinateurs d’utilisateurs invités n’ayant pas d’agent client installé et pour le courriel des téléphones mobiles qui se connectent au réseau corporatif.

Enfin, une console de gestion permet d’établir des règles de sécurité en fonction des applications, des emplacements et des contenus, pour les documents regroupés dans des répertoires ou des dossiers définis, et ce, pour plus de 390 formats de fichiers. La console, qui est contrôlée par le responsable de la sécurité informatique ou du directeur de l’information, permet de procéder à une surveillance des données en allouant un transfert, à une prévention en interdisant un transfert, à une quarantaine en requérant une autorisation, au chiffrement obligatoire avant un transfert ainsi qu’à une alerte pour avertir les administrateurs et les utilisateurs finaux de l’exécution d’actions.

Conscientisation

Jean-Pascal Hébert de McAfee explique que la solution, acquise l’an dernier d’une entreprise israélienne, sert à prévenir des situations de perte de données confidentielles, alors que plusieurs incidents ont fait la manchette au cours des derniers mois. Elle sert aussi à assurer une conformité à des règles de gouvernance organisationnelle ainsi qu’à préserver la propriété intellectuelle des contenus d’une entreprise.

« Les entreprises mettent des systèmes de contrôle d’accès à l’information pour permettre aux personnes autorisées d’y accéder pour travailler, mais une fois qu’elles ont accès à l’information, on a peu de méthodes pour contrôler la façon par laquelle ces personnes vont gérer l’information, indique-t-il. Elles vont modifier un document, mais après vont l’imprimer ou l’envoyer par courriel. C’est là où les gens n’ont pas conscience que l’information ne leur appartient pas, mais qu’elle appartient à l’organisation, et qu’elles n’ont pas le droit d’en faire ce qu’elles en veulent. »

M. Hébert ajoute qu’une organisation peut utiliser une solution dans une première étape pour observer les comportements des utilisateurs avant de procéder à l’application de règles, ce qui permet de prendre conscience de la situation en matière de manipulation des données, autant pour les gestionnaires que pour les employés.

« Chez McAfee, on a procédé à un déploiement bêta de la solution à l’insu du personnel. Nous avions accès à des documents indexés qui étaient balisés publics, partenaires externes et confidentiels. À l’interne, comme dans n’importe quelle organisation, les gens se permettaient de prendre des documents et se les envoyer à l’externe. N’ayant pas encore mon ordinateur de travail, je m’envoyais des documents de marketing par courriel à mon ordinateur personnel », explique-t-il.

« Mais lorsque nous sommes allés à l’événement annuel des ventes, un document imprimé indiquait les noms et des employés et combien de politiques internes avaient été enfreintes. Je vous garantis qu’on fait beaucoup plus attention à ce que l’on fait! »




Tags: , ,

À propos de Jean-François Ferland

Jean-François Ferland a occupé les fonctions de journaliste, d’adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.


Google+