La Data Loss Prevention, la protection contre les fuites de données confidentielles, n’est pas seulement une affaire de technique. Elle nécessite aussi l’implication du personnel. Ces approches peuvent être fructueuses.
Texte: Andreas Heer, 18 Juin 2019, actualisé le 13.02.2024
Une perte de données est vite arrivée: pressé, on choisit un mauvais destinataire pour un e-mail et on lui divulgue sans le vouloir un document de présentation confidentiel, ou l’on partage au grand public les données professionnelles stockées dans le cloud. A cela s’ajoutent les cybercriminels qui utilisent l’ingénierie sociale et le phishing pour tenter d’accéder à des données d’accès à des informations commerciales.
Comme le montrent ces exemples, la protection des données confidentielles de l’entreprise est une tâche tout aussi importante que complexe. Le terme Data Loss Prevention (DLP) ou Data Leakage Prevention désigne toutes les mesures qui doivent empêcher les fuites d’informations inopportunes. Les exigences de conformité découlant des réglementations et des lois sur la protection des données telles que la nouvelle LPD suisse jouent un rôle important à cet égard. En effet, en cas de violation de ces règles, les amendes peuvent être lourdes. Cependant, la réputation, en tant que base de la confiance des clients, est tout aussi importante. «A juste titre, les clients attendent des entreprises qu’elles gèrent les données qui leur sont confiées avec fiabilité», déclare Raffael Peluso, Head of Product Management Cybersecurity chez Swisscom. C’est pourquoi une fuite de données peut avoir une fuite de clients comme conséquence.
En même temps, dans le sillage de la numérisation, l’importance des données augmente pour l’entreprise. La propriété intellectuelle enregistrée sous forme numérique doit rester cachée aux yeux des tiers, tout comme une feuille de route pour les produits qui apporterait un avantage concurrentiel à un rival. Ici aussi, il est nécessaire de prendre des mesures de DLP.
Les exemples ci-dessus de l’erreur de destinataire d’un e-mail et de la divulgation involontaire de données montrent que la DLP doit être constituée d’une combinaison de mesures techniques, de processus et d’actions de sensibilisation des collaborateurs. Peut-être serait-il possible d’empêcher techniquement l’expédition de la présentation du produit. Les collaborateurs formés à la gestion des données confidentielles savent toutefois qu’ils ne doivent pas envoyer de tels documents par e-mail ou les partager sans protection.
L’étude «Cost of a Data Breach» d’IBM montre que la sensibilisation est nécessaire en complément des mesures techniques: En 2023, le comportement humain était également en cause dans 60 % des vols de données dans le monde. Lorsque des collaborateurs sensibilisés mettent en pratique leurs connaissances au quotidien, cette sensibilisation à la sécurité minimise les risques. En d’autres termes: la sensibilisation offre une protection.
Il existe des approches plus ou moins complexes pour la formation de personnel. «J’ai fait l’expérience que la formation en ligne convient particulièrement bien, Par exemple sous forme de vidéos éducatives clôturées par un test ou une formation au phishing», explique Raffael Peluso. «La formation devrait être accompagnée par d’autres campagnes d’information, par exemple sur l’Intranet.»
De telles mesures de sensibilisation à la sécurité contribuent à une meilleure compréhension de la manière de traiter les données confidentielles; et aussi des directives, des processus et des mesures de protection technique nécessaires.
Cependant, il n’est pas possible d’atteindre une sécurité absolue. Si un collaborateur possède un niveau d’énergie criminelle suffisamment élevé, il trouvera des moyens de contourner les mesures de protection. Raffael Peluso ne se fait donc pas d’illusions: «Comme toutes les mesures de sécurité, la Data Loss Prevention consiste à trouver un équilibre entre efforts et risque résiduel.»
Il voit la clé de la réussite de la prévention des fuites de données dans la façon de la mettre en œuvre: «Les mesures ne doivent pas entraver les activités commerciales. Sinon, elles ne sont pas acceptées et les collaborateurs trouveront des moyens créatifs de contourner la DLP.
Newsletter
Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?
En savoir plus sur ce thème