Upload
marc-rousselet
View
623
Download
6
Embed Size (px)
Citation preview
Protection et surveillance des données
DLP – Data Leak Protection
Contexte et enjeux Méthodologie
Les approches possibles Outillage
Marc Rousselet – Directeur Damien Houillot - Consultant Le 19 Novembre 2012
2
1. Contexte et enjeux
2. Méthodologie de protection
3. Les approches pour se protéger
4. La DLP intrusive en action
5. La DLP analytique
6. Le DRM en complément de la DLP
7. Conclusions
AGENDA
1 | PROFIL 2 | EXPERTISE 3 | METIERS 4 | AGENCES
3
Qui sommes nous ?
Cabinet de conseil et d’ingénierie
Création en
1996
52 employés début 2013
25 % de croissance en 2012 et 2013
Gouvernance & Gestion des risques
Identités & Accès numériques
Infrastructures sécurisées
Cloud Computing & Mobilité
Conseil : 10%
Intégration : 60%
TMA : 25 %
Formation : 5 %
Paris Marseille Lille Genève
Introduction 07/11/2013
CONTEXTE ET ENJEUX
1
4
Pourquoi protéger les données ?
Tendance vers la dématérialisation de l’information
Les documents internes contiennent des informations sensibles
Les entreprises doivent se conformer aux règlementations de leur secteur
L’information est un actif valorisé dans les entreprise
Le risque peut se traduire en lourdes pertes financières
0%
10%
20%
30%
40%
50%
60%
Clients Marketing vente Propriété intellectuelle
Salariés Stratégies Finance compta
Etude Ponemon institute réalisée 2011
Typologie des données à protéger
Les causes liées aux pertes de données
24%
17%
29%
4% 5%
10% 11%
Réseau de l’entreprise
Application Web non sécurisées
Perte ou vol d’un équipement
E-mail envoyés par erreur
Média amovible non chiffré
Parc mobile non sécurisé
Autre
Les brèches de sécurité exploitées
Quelques chiffres autour de la protection des données
Les études réalisées par les cabinets d’analystes IT * montrent que :
1 message email sur 400 contient des données confidentielles
1 document sur 50 est partagé à tort
1 ordinateur portable sur 10 est perdu ou volé
1 clé USB sur 2 contient de l’information confidentielle non chiffrée
* Gartner, Forrester, FBI, Ponemon Institute
Le cas des entreprises françaises
En 2010, 70% des entreprises françaises ont subi une perte de données *
* Enquête réalisée par le cabinet Ponemon Institute en février 2011 auprès de 450 administrateurs de la sécurité informatique en France
En 2010, le coût lié aux fuites de données est en hausse de 16 % La perte la plus couteuse est évaluée à 8,6 M€ !
Le coût estimé lié à la perte de données
Augmentation continue des coûts en France
Coût / année 2009 2010 2011
Coût moyen par
information perdue 89€ 98€ 122€
Coût moyen (Millions) 1,90M€ 2,20M€ 2,55M€
MÉTHODOLOGIE DE PROTECTION
2
11
Application integration
OS
Database
Collaboration
Business intelligence/
Analytical applications
Application development tools
Hardware platform
Applications
Services
Computer Network Storage
FS Applications
Security IDS
Content Filtering
Management
AV/Spyware Anti-Spam
Identity Management
Regulatory Compliance
Firewalls
Vulnerability Assessment
Monitoring
Network & Systems Management
Management Vendors
Dynamic Provisioning
Storage
Un système d’information intègre des solutions hétérogènes
Le Système d’Information: Une entité complexe
Comment protéger ses données ?
Dans ce contexte, la protection de l’information est une priorité pour les entreprises. Plusieurs solutions/acteurs existent selon la méthode de protection souhaitée:
Data Loss Prevention « DLP » Méthodes Intrusives RSA, Symantec, Computer
Associates Méthodes Analytiques WhiteBox Security, Varonis
Digital Right Management « DRM » Microsoft, Fileopen, OwnerGuard
Afin de mener à bien un projet de sécurisation d’informations, il est nécessaire d’effectuer une analyse de risques afin les catégoriser clairement:
Quels sont les risques possibles?
Quelle est la probabilité de leur occurrence?
Quand apparaitraient-ils le plus souvent?
Quelle serait la nature des conséquences?
Une approche fondée sur la gestion du risque
Les informations de l’entreprise sont autant de risques potentiels. Il convient donc de classifier les informations selon leur niveau de risque.
Classifier l’information selon des critères de sécurité
Objectifs de la sécurité de l’information
Dommage correspondant ( si
objectif de sécurité compromis )
Catégorie de classification
Niveaux de classification type
Confidentialité
Divulgation
Sensibilité
• Public • Interne • Confidentiel • Secret
Intégrité
Modification
Criticité
• Faible • Moyen • Elevé
Disponibilité
Destruction
Quels sont les pré-requis à la protection des données
La classification des informations est la fondation de toute démarche de protection Tout document est classé selon un niveau de criticité, de sensibilité et de diffusion Une politique adaptée sera applicable selon le niveau de classification d’un document La classification prend en compte les critères suivants:
Basés sur des
définitions
Basés sur des dommages
Basés sur des documents
Classification de la sensibilité
PUBLIC
Information disponible publiquement et dont la révélation à un tiers externe ne peut pas nuire à l’entreprise.
INTERNE
Information ayant pour vocation à demeurer dans l’entreprise. Elle ne peut causer de réels dommages à l’entreprise car elle est non stratégique. Cependant, sa fuite doit être évitée.
CONFIDENTIEL
Information qui, accédée par une personne non autorisée peut nuire ou impacter négativement les activités de l’entreprise.
SECRET
Information très sensible pouvant se révéler très dommageable pour l’activité commerciale de l’entreprise en cas de divulgation.
Basés sur
des définitions
Exemples de marquage
• Interne Annuaires téléphoniques internes, politiques d’entreprise, standards, procédures, organigramme, communication interne…
• Confidentiel Fichiers clients, secret de fabrication, propriété intellectuelle,
rapports financiers, documents légaux, données partenaires…
• Secret Documents du conseil d’administration, délibération du conseil
d’administration, analyses stratégiques, business plans… Définition: Une information classifiée est une information sensible dont l’accès est restreint par une loi ou un règlement applicable à un groupe spécifique de personnes
Basés sur des
documents
La sensibilité comme reflet du risque
Niveau de dommage lié à la divulgation de l’information
Niveau de classification de la sensibilité
Nul Public
Limité Interne
Sérieux Confidentiel
Catastrophique Secret
Basés sur des
dommages
Démarche de protection de l’information
1) Classifier l’information sensible et confidentielle Marquer les documents avec leur niveau de sensibilité Indiquer le niveau de diffusion du document Localiser l’information sensible dans le Système d’Information
2) Protéger l’information
Moyens techniques: cryptographie, protection du poste de travail, droits d’accès, mot de passe, « surveillance » de l’information, création de « zones confidentielles »…
Moyens humains: sensibilisation du personnel, charte de confidentialité, politique de protection de l’information
• Ordinateurs portables • Imprimantes • Documents numériques • Clés USB, CDs, DVDs • Emails • Transfert de fichier • Espaces collaboratifs • Matériel perdu • Appareils mobiles
• Voix • Faces à faces • Téléphone • Documents imprimés
Les méthodes de protection par vecteur d’information
Contrôles logiciels et matériels
Sensibilisation des utilisateurs
Données de carte de crédit Données d’identité Informations de santé
Informations
sensibles personnelles
Propriété Intellectuelle Informations financières Secret du Métier
Informations
sensibles de l’entreprise
Données stockées
(Data-at-Rest) Données en
mouvement (Data-in-
Motion)
Données en cours
d’utilisation (Data-in-
Use)
La nature de l’information et des données dans le SI
LES APPROCHES POUR SE PROTÉGER
3
23
La typologie des solutions techniques
Fonctionnalités DLP Intrusive
DLP Analytique DRM
Analyse et Filtrage du contenu X X -
Prévention (accès, diffusion) X - X
Analyse et Filtrage du réseau X X -
Protection des « endpoints » X - -
Remonter les alertes X X -
Publication de rapports - X -
Implication des utilisateurs - - X
Chiffrement des documents X - X
Restriction d’accès sur les documents X - X
Droits « fins » sur les documents - - X
Analyse des activités X X -
Le DLP est un concept basé sur des règles centralisées qui permettent de surveiller, identifier et protéger les informations sensibles. Une méthode de protection est à adopter en fonction des 3 états de la donnée: • Stockée / au repos (Data at Rest) • Active / utilisée (Data in Use) • En mouvement (Data in Motion)
DLP : les concepts
Analyse du contenu en profondeur
Définition centralisée des règles
Surveillance des données quelque soit
leur emplacement
DLP : les étapes d’un projet
Identification de l’information
Affectation d’un niveau de classification
3-4 niveaux de classification recommandés
Autorisations adaptées à chaque niveau de classification
Ne pas oublier la dé-classification
Protection de l’information classifiée Mise en place des procédures de traitement/manipulation (ou
d’une politique de traitement de l’information classifiée)
Mesures de protection (Solutions de DLP, de DRM)
Fort
Fa
ible
IM
PAC
T
Faible RISQUE Fort
Ordinateur portable chiffré
Rencontres faces à face
Téléphone/Fax
Transferts de fichiers
Perte ou vol de données
Appareils mobiles (perte/vol)
Impressions Emails Propositions commerciales
Voix
Ordinateur portable non chiffré
Disques durs/Clé USB/CD/DVD
DLP : le niveau de risque et les impacts
Risque
Imp
act
Impression
Les impressions peuvent être récupérées par des personnes non habilitées, des visiteurs, des invités, des espions industriels et peuvent conduire à la fuite d’information sensible en cas de non-contrôle.
Stratégies de limitation du risque: • Former les utilisateurs à la technologie “SecurePrint” pour l’utilisation des
Imprimantes/photocopies. • Sécuriser l’accès aux imprimantes • Contrôler l’accès aux impressions avec une solution de DLP
DLP : se protéger contre la fuite de données (Impression)
Risque Im
pact
Disques dur, clés USB, CDs, DVDs
Des documents non chiffrés sur des clés USB, des CD ou des DVD représentent un risque majeur car ils sont très mobiles et facilement perdus et ciblés par les voleurs et par les espions ou concurrents. Ils peuvent contenir beaucoup d’informations sensibles mais aussi des virus et des malwares. Stratégies de limitation du risque: • Gravage de CD et DVD par le centre de support uniquement, utilisation des
disques dur externes par biométrie • Formation sur les dangers des clés USB, CD et DVD • Chiffrement de données, disques durs délivrées par l’entreprise, contrôle de
l’utilisation de clés USB par une solution de DLP
DLP : se protéger contre la fuite de données (Stockage)
Risque
Imp
act
Les Emails représentent un grand risque potentiel car ils peuvent être interceptés par n’importe qui, une fois qu’ils ont quittés le serveur de mails de l’entreprise. Leur volatilité les rend également très difficiles à récupérer. Stratégies de limitation du risque: • Chiffrer les Emails: la confidentialité et la non-répudiation sont assurées mais
l’implémentation et la sensibilisation sont difficiles, le contrôle du contenu impossible
• Former les utilisateurs sur les risques de l’échange d’ Emails • Contrôler le contenu des Emails grâce à une solution de DLP
DLP : Se protéger contre la fuite de données (Emails)
Risque
Appareils Mobiles
Les appareils mobiles représentent un grand risque de perte et de vol. Ils contiennent des informations sensibles telles que des Emails, des mots de passes pour divers systèmes, des listes de contacts et autres documents. Ils sont petits et peuvent communiquer facilement avec les ordinateurs. Stratégies de limitation du risque: • Chiffrer les appareils: la confidentialité et la non-répudiation sont assurées mais
l’implémentation et la sensibilisation sont difficiles, le contrôle du contenu impossible
• Former les utilisateurs sur le risque de l’utilisation des appareils mobiles • Contrôler le contenu et la connectivité grâce à une solution de DLP
Imp
act
Perte ou vol
Données
DLP : Se protéger contre la fuite de données (mobiles)
DLP : Un exemple de politique de sécurité
Important: Les mesures de classification (niveau de sensibilité ou de criticité) doivent être adaptées à la nature de l’information contenue dans le document.
Niveau sensibilité 3: Secret 2: Confidentiel 1: Interne 0: Publique
Préjudice potentiel
• Préjudice inacceptable • Séquelles très graves • Condamnation
• Préjudice grave • Séquelles graves avec
incidence forte pour l’entreprise
• Préjudice faible • Faible incidence pour
l’entreprise
Aucun préjudice
Risques tolérés Aucun risque ne peut être toléré
Les risques doivent êtres limités et sont inacceptables pour les documents les plus « sensibles »
Les risques sont pris en connaissance des conséquences par le propriétaire et les destinataires
Pas de risque pour l’entreprise
Protections envisagées
• Personnes habilitées dans l’entreprise
• Chiffrements fichiers et Emails
• Coffre fort pour les documents papier
• Marquage des documents
• Procédures de manipulation et diffusion très restreinte
• Chiffrement des documents les plus « sensibles »
• Marquage des documents
• Marquage des documents
• Listes de diffusion cloisonnées (Interne, Entreprise destinataires)
Aucune
LA DLP INTRUSIVE EN ACTION
4
33
Les 3 types de sources d’information à contrôler:
Data in Motion Information qui transite
via des protocoles réseaux (HTTP, FTP, SMTP…) elle est routée vers le serveur DLP pour action en fonction des règles métier
Data at Rest Information stockée dans
les serveurs de fichiers, de bases de données, et dans les terminaux effectuant du partage de répertoire (surveillée par des agents)
Data in Use (at End Points) Information située sur les
postes clients (surveillée par des agents)
DLP : adopter un contrôle adapté
DLP : comportement fonctionnel (1/2)
La DLP permet de contrôler les informations de l’entreprise en fonction de leur niveau de sensibilité et d’appliquer les politiques de sécurité adéquates.
Fonction Clés Comportement d’une solution de DLP
Contrôler les informations sensibles
• Trouver et contrôler les données • Protéger dynamiquement contre la perte et la création
Reconnaître la typologie des informations
• Informations personnelles • Propriété intellectuelle • Information non-publique
Protéger tout état de la donnée
• Terminaux (Data In Use) • Réseau (Data In Motion) • Stockage (Data at Rest)
Reporting et analyse • Publication de rapport, monitoring, traçabilité • Identification des activités « intéressantes » parmi toutes
les activités tracées
DLP : comportement fonctionnel (2/2)
Bloquer Approuver
Utilisateurs et Groupes
Règles de protection Règles
d’étiquetage
Convergence des activités et reporting
Règles de DLP
Surveiller
1) Classification • Localisation • Application • Contenu
2) Protection • Impression • Email • Lecture/Ecriture/Destruction • Stockage (Disque dur, Clé
USB)
3) Association Association entre règles d’étiquetage et règles de
protection
1) Les règles de marquage (ou étiquetage) identifient l’information sensible 2) Les règles de protection gèrent les autorisations 3) Les utilisateurs et les groupes apportent la granularité 4) La convergence des activités détermine la sévérité
Proxy web
INTERNET
AUTORISER
BLOQUER
CHIFFRER
ALERTER
DLP
DLP : protection des donnés en mouvement
Data-in-Motion
Agent DLP Agent DLP
Serveur central
Mise en quarantaine Chiffrement des données
Data-at-Rest
DLP : protection des donnés au Repos
Serveur central Agent
logiciel
DLP : protection des donnés en utilisation
Data-in-Use
Proxy web
DLP Console d’administration
INTERNET
Agent
DLP : architecture logique globale
Agent
Données en mouvement
Données en cours d’utilisation
Données au repos
1. L’utilisateur envoie un Email avec de l’information sensible
2. La solution DLP analyse dynamiquement le contenu et le contexte
3. La solution DLP avertit l’utilisateur que l’Email viole la politique de sécurité
DLP : un exemple d’approche coercitive - Email
Demo adding Classification that will cause an alert
DLP : un exemple d’approche coercitive – duplication
Sauvegarde sur clé USB – Warning
42
Document contenant de la
propriété intellectuelle
sous forme de spécifications
techniques d’un produit.
Clé USB
• Control Web – Block
43
L’utilisateur tente de poster le contenu d’un Email sur une
plateforme Web
Lorsqu’il tente de poster le message un
message clair apparaît , lui
indiquant que l’action ne peut être
effectuée
CA DLP
DLP : Un exemple d’approche coercitive - Web
Le contenu du fichier contenant des informations
sensibles et classé dans un repertoire -
protégé a été déplacé.
Contrôle SharePoint – Suppression et Reclassement
DLP : Un exemple d’approche coercitive - Intranet
Découverte
Classification
Création et application
des politiques
Identification et localisation de toutes
les données de l’entreprise.
Création d’une cartographie exhaustive.
L’implication des directions métiers.
Classification des données par niveau de
Sensibilité.
Définition des actions à entreprendre à la
détection de données sensibles (blocage, alerte,
Mise en quarantaine, chiffrement… etc.)
DLP : résumé de la méthode (1/2)
DLP : résumé de la méthode (2/2)
Data Loss Prevention (DLP)
SharePoint
Bases de données
Terminaux
Réseau de stockage
Serveurs de fichier
Module de gestion des informations sensibles
(RRM)
Appliquer DRM
Chiffrer
Supprimer
Changer les Permissions
Exceptions
Utilisateurs Métier
Découvrir les données sensibles
Gérer les processus de remédiation
Appliquer les Contrôles
Organisation avec une remédiation des risques
LA DLP ANALYTIQUE
5
48
La DLP Analytique permet de faire de la gouvernance des accès en répondant aux questions suivantes à travers une console centralisée:
Qui a accès à quoi? Qui fait quoi ? (comment, où et quand) Qui devrait avoir accès à quoi? Qui a approuvé quoi? Qui n’est pas conforme à la politique?
DLP analytique : les concepts
Pour répondre à ces questions la solution offre les services suivants:
Surveillance des identités et des activités Analyse des rôles Vérification de la conformité à la politique Levée d’alertes, enregistrement des activités et publication
de rapports
QUESTIONS:
REPONSES:
Serveurs d’applications
Systèmes de Sécurité
WhiteOPS
Utilisateur
DLP Analytique : fonctionnement avec WhiteOPS
LE DRM EN COMPLÉMENT DE LA DLP
6
51
.
La DRM Microsoft permet de protéger les documents de la suite
Microsoft Office:
spécifie les droits et les conditions d’utilisation du document,
Chiffre le document,
n’autorise la manipulation du document qu’aux utilisateurs
autorisés.
Le document reste protégé quelque soit son état
DRM : sécuriser les documents Office
Chiffre le document
Déchiffre le document pour les
personnes autorisées
Gère les droits:
- lire
- Modifier
- Transférer, …
Contrôle l’utilisation du
document
Gère des politiques
centralisées avec des
modèles de protection
Protège les documents et
les mails
DRM : cycle opérationnel
DRM : Fonctionnement avec Microsoft AD RMS
Serveur AD RMS
Licence d’utilisation
Droits spécifique à l’utilisateur
Licence de publication
Informations sur les droits
Licence de publication
Document chiffré
Clé de chiffrement Clé de chiffrement
CONCLUSIONS
7
55
Les conséquences d'une perte de donnée peuvent s'avérer
coûteuses et dégradent l'image de l’entreprise. L’apparition des solutions de protection de données a permis aux
entreprises de surveiller et contrôler leurs informations sensibles et ainsi réagir au moment opportun.
Trois approches sont connues pour mitiger les risques : Surveillance des activités et des permissions des utilisateurs sur les
données (DLP intrusive) Identification et analyse des données au niveau des principaux
points de contrôle (DLP Analytique) Protection permanente des documents par des droits (DRM)
Conclusions