Qu’est-ce que Cloud DLP (protection contre la perte de données) ?

Pourquoi Cloud DLP est-il important ?

À l’époque où les informations sensibles étaient imprimées sur papier, la prévention des pertes pouvait être aussi simple qu’une armoire verrouillée. Désormais, les données circulent entre les data centers, les fournisseurs de cloud et les terminaux, potentiellement exposés à une multitude de vulnérabilités en chemin. Pour le protéger contre tout accès non autorisé, vous devez mettre en œuvre une stratégie complète de protection contre la perte de données (DLP).

Votre stratégie DLP doit amener les dirigeants et les responsables informatiques à déterminer ensemble quelles données peuvent être qualifiées de « sensibles » pour votre entreprise, convenir de la manière dont ces données doivent être utilisées et définir ce qu’est une violation. Ces lignes directrices en matière de sécurité des informations, dont notamment la classification des données, la confidentialité des données et les informations de conformité, tout comme les procédures de remédiation, peuvent ensuite être traduites en politiques de DLP.

Diverses normes de conformité (par exemple, RGPD, HIPAA, PCI DSS) peuvent exiger que votre organisation déploie la DLP pour éviter des amendes ou des restrictions de vos activités, mais les violations de données peuvent également exposer les données personnelles des utilisateurs finaux, exposant ainsi votre entreprise au risque de perdre des clients de subir des dommages à la marque ou faire face à des conséquences juridiques. Grâce à une politique DLP bien définie, renforcée par une technologie de soutien bien gérée, vous pouvez considérablement réduire ces risques.

Avantages de la protection contre la perte de données dans le cloud

La DLP basée sur le cloud offre plusieurs avantages à toute entreprise, à savoir :

• une évolutivité flexiblepour répondre aux besoins de volumes de données croissants et d’écosystèmes d’informations changeants
• Diminuer les coûts d’infrastructureen éliminant le matériel sur site et les dépenses de modernisation/maintenance qui y sont liées
• Protection des utilisateurs et des filiales où qu’ils se trouvent sans devoir procéder à un backhauling vers votre data center
• Déploiement et configuration plus rapides que le DLP sur site, sans aucun boîtier à gérer
• Mises à jour automatiques depuis le cloud, fournissant les dernières informations et nouvelles fonctionnalités sans temps d’arrêt

Techniques de la protection contre la perte de données dans le cloud

En termes simples, la technologie DLP, y compris la DLP basée sur le cloud, fonctionne en identifiant les données sensibles vulnérable, puis en les protégeant. Une solution DLP peut être conçue pour identifier les données en cours d’utilisation, les données en mouvement ou les données au repos (ou n’importe quelle combinaison) et déterminer si elles sont sensibles. Pour ce faire, les agents DLP peuvent faire appel à de nombreuses techniques différentes, telles que :

• Correspondance basée sur des règles ou « expressions régulières » : cette technique courante identifie les données sensibles sur la base de règles pré-écrites (par exemple, les nombres à 16 chiffres sont souvent des numéros de carte de crédit). En raison d’un taux élevé de faux positifs, la correspondance basée sur des règles n’est souvent qu’un premier passage avant une inspection plus poussée.
• Correspondance exacte des données (empreinte de base de données) : cette technique identifie les données qui sont strictement identiques à d’autres données sensibles dont l’empreinte a déjà été prise, généralement à partir d’une base de données fournie.
• Correspondance exacte de fichiers : cette technique fonctionne globalement comme la correspondance exacte de données, si ce n’est qu’elle identifie les hachages de fichiers correspondants sans analyser le contenu du fichier.
• Correspondance partielle de documents : cette technique permet d’identifier les données sensibles en les faisant correspondre à des modèles établis (par exemple, le format d’un formulaire standard pour chaque patient dans un centre de soins d’urgence).
• Apprentissage automatique, analyse statistique, etc. : cette famille de techniques repose sur l’alimentation d’un modèle d’apprentissage avec un grand volume de données afin de « l’entraîner » à reconnaître les cas où une chaîne de données particulière est susceptible d’être sensible. Cette technique est particulièrement utile pour identifier les données non structurées.
• Règles personnalisées : de nombreuses entreprises doivent identifier et protéger des types de données uniques, et la plupart des solutions de DLP modernes leur permettent d’élaborer leurs propres règles qui s’exécutent parallèlement aux autres.

Une fois les données sensibles identifiées, il appartient à votre politique de DLP de déterminer la manière de les protéger. Par ailleurs, la façon dont vous allez les protéger est étroitement liée à la raison pour laquelle vous devez les protéger.

Principaux cas d’utilisation de Cloud DLP

Comme nous l’avons déjà évoqué, la sécurisation des données protège votre entreprise contre d’autres formes de perte (de clients, de chiffre d’affaires, de réputation) et vous aide à rester en conformité avec les réglementations sectorielles et légales. Pour protéger ces données, il faut naturellement être en mesure d’identifier leur nature et leur emplacement, ce qui constitue un autre cas d’usage clé : la visibilité des données.

En résumé, les principaux cas d’utilisation d’une solution DLP sont les suivants :

• Protection des données sensibles en mouvement et au repos : la DLP protège les données lorsqu’elles se déplacent entre plusieurs terminaux, réseaux et clouds ou qu’elles y sont stockées, en assurant un chiffrement, en appliquant des contrôles d’accès et en surveillant les activités suspectes.
• Rester conforme aux réglementations : les politiques et technologies DLP vous aident à appliquer des contrôles d’accès, à surveiller l’utilisation et à mener des audits pour garantir que vous traitez les données sensibles conformément aux réglementations telles que le RGPD, l’HIPAA et la PCI DSS.
• Acquérir de la visibilité sur vos données : la DLP apporte de la visibilité sur les données (un aperçu de l’endroit où résident et circulent les informations sensibles, sur les personnes qui y ont accès et sur la manière dont elles sont utilisées) pour vous aider à identifier les vulnérabilités, à détecter les activités à risque et, en fin de compte, à remédier les violations de données et à y mettre fin.

5 types de solutions Cloud DLP

Parce qu’aucune technologie ne peut à elle seule couvrir tous les cas d’utilisation ou prendre en compte toutes les façons dont les données peuvent être perdues, les offres efficaces de protection des données actuelles intègrent plusieurs fonctions. Examinons certaines des technologies Cloud DLP les plus courantes et essentielles.

1. Les CASB (cloud access security brokers) surveillent et contrôlent l’activité des utilisateurs et les transferts de données entre les endpoints et les applications cloud, en appliquant des politiques de sécurité pour empêcher les accès non autorisés, les fuites de données et les manquements à la conformité. Le CASB procure une visibilité sur le comportement des utilisateurs, l’utilisation des applications et le stockage des données dans les environnements cloud.
2. Le logiciel DLP protège les données sensibles contre les fuites de données sur les endpoints, la messagerie électronique, les services cloud et d’autres canaux. En surveillant les données et en appliquant les politiques en temps réel, le logiciel DLP identifie et prévient les violations potentielles.
3. L’analyse du comportement des utilisateurs et des entités (UEBA) surveille, analyse et corrèle le comportement des utilisateurs, les modèles d’accès, les événements système, etc. afin de détecter les anomalies et les menaces potentielles, telles que les menaces internes malveillantes, les comptes compromis et les déplacements latéraux.
4. La gestion de la posture de sécurité SaaS (SSPM) aide les organisations à évaluer et à gérer les configurations de sécurité, les autorisations et les vulnérabilités dans différentes applications SaaS afin de combler les failles de sécurité et d’atténuer les risques associés à l’exposition des données et aux accès non autorisés.
5. L’isolation du navigateur exécute le contenu Web dans un environnement sécurisé, empêchant le contenu Web potentiellement malveillant (par exemple, téléchargements à la volée, malwares, phishing) d’accéder directement ou d’affecter l’endpoint, le réseau ou les données sensibles de l’utilisateur.

Correspondance exacte des données pour Cloud DLP

Les solutions de protection contre la perte de données utilisent depuis longtemps la recherche de modèles pour identifier les numéros de carte de crédit, les numéros de sécurité sociale, etc. Cette technique manque toutefois de précision. Un trafic sécurisé peut toujours être bloqué simplement parce qu’il contient un modèle sélectionné pour la protection, saturant les équipes de sécurité de faux positifs.

La correspondance exacte des données (EDM) constitue une innovation de poids pour la technologie de DLP et permet d’augmenter la précision de la détection tout en éliminant pratiquement tous les faux positifs. Au lieu de faire correspondre des modèles, l’EDM prend l’empreinte des données sensibles, puis surveille les tentatives de déplacement de ces données afin d’empêcher qu’elles soient partagées ou transférées de manière inappropriée.

Bonnes pratiques de Cloud DLP

La stratégie de DLP idéale dépend des données de votre entreprise et de ses besoins. Les bonnes pratiques varient donc, mais ce sujet fait l’objet d’un article distinct. Nous examinerons ici quelques bonnes pratiques plus larges en matière de DLP qui s’appliquent à toutes les situations :

• Commencez en mode « surveillance seule » afin de vous faire une idée du flux de données au sein de votre entreprise et de pouvoir définir les meilleures politiques.
• Tenez les employés informés grâce aux notifications faites aux utilisateurs afin que les politiques ne soient pas exécutées à leur insu, car cela pourrait perturber les flux de travail et créer un sentiment de frustration.
• Assurez-vous que vos utilisateurs peuvent soumettre des commentaires concernant les notifications (pour justifier leurs actions ou signaler des politiques non respectées), vous pourrez ensuite les utiliser pour affiner vos politiques.
• Mettez à profit les mesures de classification avancées telles que l’EDM pour réduire les faux positifs.
• Utilisez une solution capable de déchiffrer le trafic TLS/SSL chiffré, car la grande majorité du trafic Web est désormais chiffrée.

Prise en main de Zscaler Cloud Data Loss Prevention

Avec l’augmentation des menaces et le nombre sans cesse croissant de réglementations liées à la protection des données, votre entreprise doit combler les failles de sécurité causées par le cloud et la mobilité, qu’elles proviennent de vulnérabilités ou d’erreurs de configuration.

Par le passé, cela aurait signifié ajouter des appliances supplémentaires à des piles déjà complexes. Il existe à présent Zscaler Data Loss Preventionentièrement fournie dans le cloud, qui fait partie de la suite Zscaler Data Protection. Zscaler DLP vous permet de combler vos lacunes en matière de protection des données, quel que soit l’endroit où se trouvent vos utilisateurs ou vos applications, tout en réduisant simultanément les coûts et la complexité informatiques.

Zscaler DLP fournit :

• Une protection identique pour les utilisateurs et les données, où qu’ils se trouvent
• Protection sur Internet, les terminaux, la messagerie électronique, les SaaS, les applications privées et la posture cloud
• Inspection TLS/SSL évolutive assurée par le plus grand cloud de sécurité inline au monde
• Flux de travail et opérations rationalisés grâce à une découverte innovante des données optimisée par l’AA

Data Visibility: The Foundation of Effective Cloud DLP

DLP can’t prevent data loss if it’s blind to traffic. This is crucial as organizations continue to move more and more data in the cloud, where three key challenges leave traditional network-based DLP unable to see the traffic it’s supposed to inspect:

• Remote users: With network DLP, the levels of visibility and protection depend on where users are. They can easily bypass inspection when off-network, connecting directly to cloud apps. Effective DLP and security policies must follow users wherever they connect, and on whatever devices they may be using.
• Encryption: The incredible growth of TLS/SSL-encrypted traffic has created a significant blind spot for network-based DLP incapable of decrypting it for inspection.
• Performance limitations: Appliance-based DLP solutions have finite resources that constrain them from scaling effectively to inspect the constantly growing amount of internet traffic inline.

Why Cloud DLP Is Critical for the Modern Cloud and Mobile-First Enterprise

To address the data protection challenges that accompany digital transformation and overcome the weaknesses of traditional enterprise DLP, you need a new mindset and new technology. Reconfiguring a traditional hardware stack for the cloud isn’t enough—it's inefficient and lacks the protection and services of a cloud-built DLP solution, including:

• Identical protection for all users on- or off-network, ensuring comprehensive data protection for all users, wherever they are—at HQ, a branch, an airport, or a home office.
• Native inspection of TLS/SSL-encrypted traffic, giving the organization crucial visibility into the traffic where more than 85% of today’s attacks hide.
• Elastic scalability for inline inspection, preventing data loss by inspecting all traffic as it comes and quarantining.

Cloud DLP Best Practices

The perfect DLP strategy depends on your organization’s data and its needs, so the best practices will vary—but that’s a subject for an entire article. Here, we’ll look at some broader DLP best practices that apply in any situation:

• Start in monitor-only mode when you first deploy to get a sense of the data flow across your organization to inform you on the best policies.
• Keep employees in the loop with user notifications so that policies aren't executed without their knowledge, as this can disrupt workflows and frustrate them.
• Ensure your users can submit feedback on notifications (to justify their actions or flag broken policies), which you can use to refine your policies.
• Leverage advanced classification measures like EDM to reduce false positives.

Get Started with Zscaler Cloud Data Loss Prevention

100% cloud-delivered Zscaler Data Loss Prevention, part of Zscaler Data Security. Zscaler DLP empowers you to close your data protection gaps no matter where your users or applications are—while simultaneously reducing IT cost and complexity.

Zscaler DLP provides:

• Identical protection for users and data anywhere
• Protection across internet, endpoint, email, SaaS, private apps, and cloud posture
• Scalable TLS/SSL inspection from the world’s largest inline security cloud
• Streamlined workflows and operations with innovative ML-powered data discovery

Ready to see how Zscaler DLP can safeguard your organization? Request a demo today!