 Je suis étonné de constater combien l’accès est une notion à sens unique pour beaucoup de mes interlocuteurs. Certes, on se pose la question de savoir comment contrôler ce qui entre sur le réseau, mais on en oublie bien souvent de se soucier de ce qui en sort. C’est pourtant ici que se trouve le vrai défi de la sécurité aujourd’hui. D’une part, parce que les entreprises sont de plus en plus souvent soumises à des règles très strictes en matière de protection des données personnelles, et leur perte peut impliquer des pénalités légales bien réelles. Ensuite, parce que l’opinion publique est désormais prompte à lapider les mauvais élèves qui perdraient, au hasard, un ordinateur portable bourré des données personnelles de leurs clients. Plusieurs grands cabinets d’audit en ont d’ailleurs fait les frais ces derniers mois. Et enfin, parce que protéger les données sortantes, c’est aussi protéger ses secrets de fabrique, ses négociations confidentielles et ses plans.
Bien entendu, comme toute tendance émergente, le marché y répond aujourd’hui avec des acteurs et des solutions spécifiques aux noms exotiques.
Mais à y regarder de plus près, ces outils ne sont le plus souvent que des simple « sniffers », des analyseurs de protocoles chargés d’observer le trafic à la recherche des informations qui ne doivent pas quitter l’entreprise. Quels que soient leurs raffinements (facilité d’administration, déploiement en périphérie du réseau ou sur les postes de travail, contrôle des ports USB ou pas), ils restent en définitive de simples IDS dotés d’une base de signatures un peu particulière.
Alors, certes, ces solutions peuvent s’avérer utiles. Mais il me semble qu’avant de plonger dans – encore – une nouvelle solution de filtrage à essayer d’administrer, le contrôle d’accès « sortant » devrait être intégré à la réflexion de sécurité globale de l’entreprise.
Vous savez, celle qui parle avant tout d’hommes, de processus et d’information, et pas seulement de technologies. Cela passe donc d’abord par des chartes, des règles connues de tous, des séances de sensibilisation et surtout un bon « étiquetage » de l’information (les fameux « diffusion restreinte », « confidentiel », etc…).
Et lorsque le moment sera alors venu d’aborder le volet technologique, je ne saurai que trop vous conseiller de privilégier avant tout le contrôle de l’utilisation des documents : qu’est-ce qui peut-être imprimé, depuis n’importe où ou seulement depuis une imprimante située dans les locaux de l’entreprise, quelle famille de documents n’ont pas le droit d’être consultés depuis un accès VPN, mais seulement depuis un poste local, etc…
Le filtrage, c’est la cerise sur la gâteau. Mais comme souvent sur ce marché, les nouveaux vendeurs n’hésitent pas à vous faire mettre la charrue avant les bœufs ! |
|
