Qu'est-ce que la DLP (prévention des pertes de données) ?

La prévention des pertes de données (DLP) garantit que les données critiques ou sensibles ne quittent pas le réseau d'une organisation et qu'elles ne sont pas endommagées ou effacées.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Découvrir ce que signifie la protection contre la perte de données (DLP)
  • Découvrez les types de menaces que la DLP permet de prévenir.
  • Comprendre comment les logiciels DLP détectent les informations confidentielles

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que la DLP (prévention des pertes de données) ?

La prévention des pertes de données (DLP) est une stratégie de détection et de prévention de l'exfiltration ou de la destruction des données. De nombreuses solutions de sécurité DLP analysent le trafic réseau et les appareils internes « point de terminaison » pour identifier les fuites ou les pertes d'informations confidentielles. Les organisations utilisent la DLP pour protéger leurs informations commerciales confidentielles et leurs informations d'identification personnelle (PII), ce qui les aide à rester en conformité avec les réglementations du secteur et obligations de confidentialité des données.

Qu'est-ce que l'exfiltration de données ?

On parle d'exfiltration de données lorsque les données se déplacent sans l'autorisation de l'entreprise. Ce phénomène est également connu sous le nom d'extrusion de données . L'objectif principal de la DLP est d'empêcher l'exfiltration de données.

L'exfiltration de données peut se produire de différentes manières :

  • Les données confidentielles peuvent quitter le réseau par courrier électronique ou par messagerie instantanée.
  • Un utilisateur peut copier des données sur un disque dur externe sans y être autorisé.
  • Un employé pourrait télécharger des données sur un nuage public qui échappe au contrôle de l'entreprise.
  • Un attaquant externe peut obtenir un accès non autorisé et voler des données.
  • Un employé peut importer des données sensibles dans un outil d'IA, tel qu'un grand modèle de langage (LLM).

Pour empêcher l'exfiltration des données, la DLP suit le mouvement des données au sein du réseau, sur les appareils des collaborateurs et lorsqu'elles sont stockées dans l'infrastructure de l'entreprise. Elle peut alors envoyer une alerte, modifier les autorisations concernant les données ou, dans certains cas, bloquer les données lorsqu'elles risquent de quitter le réseau de l'entreprise. Certaines solutions de sécurité DLP peuvent aller jusqu'à bloquer les fonctions de copier-coller dans les applications web afin d'empêcher que des données confidentielles soient copiées dans une application non sécurisée ou déplacées sans autorisation.

Quels types de menaces la prévention des pertes de données permet-elle d'éviter ?

Menaces d'initiés: Toute personne ayant accès aux systèmes de l'entreprise est considérée comme un initié. Il peut s'agir d'employés, d'ex-employés, de sous-traitants et de fournisseurs. Les initiés ayant accès à des données sensibles peuvent les divulguer, les détruire ou les voler. La DLP peut aider à empêcher le transfert, la copie ou la destruction non autorisés de données sensibles en suivant les informations sensibles au sein du réseau.

Attaques externes : L'exfiltration de données est souvent le but ultime d'une attaque basée sur le phishing ou les logiciels malveillants . Les attaques externes peuvent également entraîner une perte ou une destruction permanente des données, comme dans le cas d'une attaque par ransomware lorsque les données internes deviennent chiffrées et inaccessibles. La DLP peut contribuer à empêcher les attaquants malveillants de réussir à obtenir ou à chiffrer des données internes.

Exposition accidentelle de données : les utilisateurs internes exposent souvent des données par inadvertance ; il peut arriver par exemple qu'un collaborateur transfère un courriel contenant des informations sensibles à une personne extérieure sans s'en rendre compte. De la même manière que la sécurité DLP peut stopper les attaques internes, elle peut détecter et prévenir cette exposition accidentelle de données en assurant un suivi des informations sensibles au sein du réseau.

Exposition des données d'IA : les applications d'IA accessibles au public utilisent les données qu'elles reçoivent pour enrichir leurs ensembles de données et perfectionner leurs modèles. Cela peut donner lieu à des fuites ou la divulgation ultérieure des données par les applications à des personnes extérieures. Les outils d'IA peuvent également ne pas respecter les réglementations auxquelles sont soumises les organisations en matière de données ce qui les met en situation d'infraction si elles importent leurs données.

Infractions à la réglementation : si une organisation est soumise à des cadres réglementaires en matière de données, comme le Règlement général sur la protection des données (RGPD), l'exposition des données est une infraction qui peut entraîner des amendes et d'autres sanctions. La DLP permet de réduire le risque de telles infractions.

Comment la DLP parvient-elle à détecter les données sensibles ?

Les solutions DLP peuvent utiliser un certain nombre de techniques pour détecter les données sensibles. Certaines de ces techniques comprennent :

  • Les empreintes de données : ce processus crée une « empreinte » numérique unique qui permet d'identifier un fichier spécifique, tout comme les empreintes digitales permettent d'identifier les individus. Toute copie du fichier aura la même empreinte digitale. Le logiciel DLP analysera les données sortantes à la recherche d'empreintes numériques pour voir si des empreintes numériques correspondent à celles des fichiers confidentiels.
  • Correspondance avec les mots clés : un logiciel DLP recherche certains mots ou expressions dans les messages des utilisateurs et bloque les messages contenant ces mots et expressions. Si une entreprise souhaite garder confidentiel son rapport financier avant sa conférence téléphonique sur les résultats trimestriels, un système DLP peut être configuré pour bloquer les e-mails sortants contenant la phrase « rapport financier trimestriel » ou des phrases spécifiques connues pour apparaître dans le rapport.
  • Correspondance de motifs : Cette technique classe le texte en fonction de la probabilité qu'il entre dans une catégorie de données protégées. Supposons qu'une réponse HTTP sortant de la base de données d'une entreprise contienne un numéro à 16 chiffres. Le système DLP classe cette chaîne de texte comme ayant une forte probabilité d'être un numéro de carte de crédit, qui est une information personnelle protégée .
  • Correspondance de fichiers : Le hachage d'un fichier se déplaçant à l'intérieur ou à l'extérieur du réseau est comparé aux hachages des fichiers protégés. (Un hachage est une chaîne de caractères unique qui permet d'identifier un fichier ; les hachages sont créés par des algorithmes de hachage, qui ont la même sortie à chaque fois lorsqu'on leur donne la même entrée).
  • Correspondance de données exactes : . Cette méthode permet de vérifier les données par rapport à des ensembles de données exactes contenant des informations spécifiques qui doivent rester sous le contrôle de l'organisation.

Quelles sont les pratiques recommandées en matière de prévention des pertes de données ?

La prévention des pertes de données est plus qu'une solution technologique : toute la stratégie de sécurité d'une organisation doit être axée sur la prévention des pertes de données. Hormis l'activation d'une solution DLP, voici quelques-unes des pratiques recommandées en matière de prévention des pertes :

  • Sensibiliser les utilisateurs internes aux mesures de sécurité
  • Maintenir la visibilité sur toutes les données stockées
  • Appliquer un contrôle des accès pour limiter le nombre de personnes autorisées à consulter ou à modifier les données
  • Chiffrement des fichiers en transit et au repos
  • L'application d'un modèle Zero Trust pour garantir qu'il ne sera fait confiance à aucun appareil ou utilisateur par défaut

Comment Cloudflare empêche-t-il la perte de données ?

La plateforme Cloudflare One réunit un ensemble de fonctionnalités de sécurité, y compris DLP, pour protéger les données en transit, en cours d'utilisation et au repos dans les applications Web, Saas et privées. Cloudflare One inspecte les fichiers et le trafic HTTPS pour détecter la présence de données sensibles, et permet aux clients de configurer des politiques d'autorisation ou de blocage. Cloudflare One comprend également l'isolement de navigateur à distance (RBI) afin de mettre en œuvre d'autres fonctionnalités DLP telles que la restriction des téléchargements et des importations, la saisie au clavier et l'impression. En savoir plus sur Cloudflare One.