Qu'est-ce que la prévention des pertes de données (DLP) ?

Qu'est-ce que la prévention des pertes de données (DLP) ?

La prévention des pertes de données (DLP) est une stratégie visant à détecter et à prévenir l'exfiltration ou la destruction de données. De nombreuses solutions DLP analysent le trafic réseau et les terminaux internes " " pour identifier la fuite ou la perte d'informations confidentielles. Les entreprises utilisent la DLP pour protéger leurs informations commerciales confidentielles et leurs informations personnelles identifiables (PII), ce qui les aide à rester en conformité avec les réglementations du secteur et sur la confidentialité des données .

Qu'est-ce que l'exfiltration de données ?

On parle d'exfiltration de données lorsque les données se déplacent sans l'autorisation de l'entreprise. Ce phénomène est également connu sous le nom d'extrusion de données . L'objectif principal de la DLP est d'empêcher l'exfiltration de données.

L'exfiltration de données peut se produire de différentes manières :

• Les données confidentielles peuvent quitter le réseau par courrier électronique ou par messagerie instantanée.
• Un utilisateur peut copier des données sur un disque dur externe sans y être autorisé.
• Un employé pourrait télécharger des données sur un nuage public qui échappe au contrôle de l'entreprise.
• Un attaquant externe peut obtenir un accès non autorisé et voler des données.

Pour empêcher l'exfiltration de données, le DLP suit les données qui se déplacent au sein du réseau, sur les appareils des employés et lorsqu'elles sont stockées sur l'infrastructure de l'entreprise. Il peut ensuite envoyer une alerte, modifier les autorisations pour les données ou, dans certains cas, bloquer les données lorsqu'elles risquent de quitter le réseau de l'entreprise.

Quels types de menaces la prévention des pertes de données permet-elle d'éviter ?

Menaces d'initiés: Toute personne ayant accès aux systèmes de l'entreprise est considérée comme un initié. Il peut s'agir d'employés, d'ex-employés, de sous-traitants et de fournisseurs. Les initiés ayant accès à des données sensibles peuvent les divulguer, les détruire ou les voler. La DLP peut aider à empêcher le transfert, la copie ou la destruction non autorisés de données sensibles en suivant les informations sensibles au sein du réseau.

Attaques externes : L'exfiltration de données est souvent le but ultime d'une attaque basée sur le phishing ou les logiciels malveillants . Les attaques externes peuvent également entraîner une perte ou une destruction permanente des données, comme dans le cas d'une attaque par ransomware lorsque les données internes deviennent cryptées et inaccessibles. La DLP peut contribuer à empêcher les attaquants malveillants de réussir à obtenir ou à chiffrer des données internes.

Exposition accidentelle de données : Les initiés exposent souvent des données par inadvertance - par exemple, un employé peut transférer un courriel contenant des informations sensibles à une personne extérieure sans s'en rendre compte. De la même manière que la DLP peut stopper les attaques d'initiés, elle peut détecter et prévenir cette exposition accidentelle de données en suivant les informations sensibles au sein du réseau.

Comment le DLP détecte-t-il les données sensibles ?

Les solutions DLP peuvent utiliser un certain nombre de techniques pour détecter les données sensibles. Certaines de ces techniques comprennent :

• Les empreintes de données : ce processus crée une « empreinte » numérique unique qui permet d'identifier un fichier spécifique, tout comme les empreintes digitales permettent d'identifier les individus. Toute copie du fichier aura la même empreinte digitale. Le logiciel DLP analysera les données sortantes à la recherche d'empreintes numériques pour voir si des empreintes numériques correspondent à celles des fichiers confidentiels.
• Correspondance avec les mots clés : un logiciel DLP recherche certains mots ou expressions dans les messages des utilisateurs et bloque les messages contenant ces mots et expressions. Si une entreprise souhaite garder confidentiel son rapport financier avant sa conférence téléphonique sur les résultats trimestriels, un système DLP peut être configuré pour bloquer les e-mails sortants contenant la phrase « rapport financier trimestriel » ou des phrases spécifiques connues pour apparaître dans le rapport.
• Correspondance de motifs : Cette technique classe le texte en fonction de la probabilité qu'il entre dans une catégorie de données protégées. Supposons qu'une réponse HTTP sortant de la base de données d'une entreprise contienne un numéro à 16 chiffres. Le système DLP classe cette chaîne de texte comme ayant une forte probabilité d'être un numéro de carte de crédit, qui est une information personnelle protégée .
• Correspondance de fichiers : Le hachage d'un fichier se déplaçant à l'intérieur ou à l'extérieur du réseau est comparé aux hachages des fichiers protégés. (Un hachage est une chaîne de caractères unique qui permet d'identifier un fichier ; les hachages sont créés par des algorithmes de hachage, qui ont la même sortie à chaque fois lorsqu'on leur donne la même entrée).
• Correspondance de données exactes : . Cette méthode permet de vérifier les données par rapport à des ensembles de données exactes contenant des informations spécifiques qui doivent rester sous le contrôle de l'organisation.

Comment le contrôle d'accès basé sur les rôles (RBAC) peut-il contribuer à la prévention des pertes de données ?

Le contrôle d'accès basé sur les rôles (RBAC) permet aux utilisateurs d'effectuer des actions en fonction de leur rôle au sein de l'organisation. Par exemple, dans une organisation qui utilise le RBAC, un comptable devrait pouvoir accéder aux données relatives à l'impôt sur les sociétés, ce qui n'est pas le cas d'un ingénieur.

Certaines solutions RBAC peuvent permettre l'accès aux données tout en limitant ce qui est fait avec ces données. Par exemple, Cloudflare One peut empêcher les utilisateurs d'enregistrer des données localement en limitant les téléchargements de fichiers. Cela empêche les données de se déplacer ou d'être copiées sans l'autorisation de l'organisation.

Comment Cloudflare empêche-t-il la perte de données ?

Cloudflare One est une solution de réseau en tant que service qui offre un certain nombre de fonctionnalités de prévention de la perte de données. En consignant les requêtes DNS et HTTP, en analysant les données sortantes et en contrôlant les autorisations des utilisateurs sur toutes les applications via RBAC, les entreprises peuvent utiliser Cloudflare One pour empêcher les données de quitter les environnements contrôlés. Cloudflare One offre également d'autres capacités de prévention des pertes de données : pour en savoir plus sur la solution DLP de Cloudflare.