Aller au contenu principal

Office 365 – Evitez les projets qui n’intègrent pas de DLP avec Office 365

25 janvier 2011

Arnaud Alcabez

Petites comme grandes entreprises, le fait de protéger l’accès aux données est un élément incontournable de la mise en place de solutions de collaboration et de communication. Si celles-ci sont stockées dans un nuage, c’est encore plus vrai, et des expériences récentes de vol de données sont là pour nous le rappeler cruellement. Si vous avez lu le « factsheet » d’Office 365, vous l’avez peut être brièvement parcouru, sans vous arrêter sur le fait qu’Office 365 supporte désormais la mise en oeuvre de solutions de DLP (Data Leakage/Lost Prevention), et ce serait dommage, car il s’agit là d’un des points vitaux à prendre en compte pour un projet de déploiement vers Office 365.

Qu’est ce que DLP ?

Il s’agit souvent d’une suite de composants surveillant les centres de données, les réseaux et le point de destination (endpoint). Les logiciels de prévention de perte de données ont comme objectif d’empêcher les fuites d’information qu’elles soient en mouvement, en cours d’utilisation, et au repos.

La DLP s’appuie sur des techniques d’identification variées comme la description d’un contenu, des dictionnaires, expressions régulières, ou le marquage de données sensibles, et les solutions du marché prennent également en considération une verticalisation par métier (on ne protège pas les mêmes données selon le secteur d’activité ou le service dans lequel vous travaillez).

La surveillance doit ainsi s’appliquer aux postes de travail (supervision des copier-coller, copie d’écran,  impression, etc.), à la protection applicative et réseau pour surveiller les entrées/sorties des systèmes de messagerie d’entreprise, messageries Web, messageries instantanées, et scanner les flux au niveau des protocoles HTTP et FTP. Les supports amovibles et USB peuvent également être contrôlés. Toutes les issues possibles sont ainsi surveillées par les solutions de DLP, jusqu’aux données issues de solutions comme  Office ou Sharepoint, d’où leur interaction importante avec les services à consommer en ligne comme Office 365.

Office 365 embarque les briques fonctionnelles pour la mise en place d’un DLP (comme par exemple l’utilisation de AD RMS, ou l’application de stratégies de sécurité pour certains services du frontal de messagerie), mais ces composants ne pourraient à eux seuls couvrir efficacement les besoins fonctionnels d’une solution DLP où par exemple, l’un des points essentiels consiste à identifier et protéger les données sensibles (analyse en amont) et fournir les outils de monitoring adaptés (surveillance et alerte) dans le cas d’une tentative de fuite de données.

Peut-on réellement mettre en oeuvre un projet Office 365 sans DLP ?

A mon sens, non, à moins de faire preuve d’un optimisme sans faille sur le fait que vos opérations, données et échange de courriers n’intéressent pas vos concurrents, vos clients et fournisseurs ou vos syndicats, ou plus simplement, de se retrouver en libre accès sur Internet ou sur un ordinateur qu’on vient de vous voler.

Toutefois, les solutions DLP souvent d’un manque de reconnaissance de la plupart des entreprises ou plutôt faut-il mieux parler d’immaturité. Ce dernier point concerne à la fois les solutions du marché, qui doivent réduire le nombre de faux positifs (notamment aujourd’hui avec des analyses sémantiques), et sur les responsables IT des sociétés, souffrant de budgets serrés qui ne leur laisse pas souvent le choix de proposer à leur direction la mise en oeuvre de ce type de solution. Un peu comme cela fût le cas pour les sauuvegardes, les solutions de DLP sont souvent étudiées après la première fuite d’information, quand la perte est mécaniquement chiffrée… Mais le mal est fait.

Notez qu’en moyenne 70% des fuites de données sont réalisées en interne.

Il est clair qu’une telle analyse demande de l’avoir prévu dès la conception de votre dossier, et que la conception d’une architecture DLP peut vous demander autant de temps que celle consacré au déploiement d’Office 365, du moins, si vous voulez que votre service soit fiable et sécurisé. Malheureusement, s’il ne vous reste plus que 10% de votre budget à consommer pour ce sujet, j’ai bien peur qu’il soit traité de manière inefficace.

De nombreux éditeurs ont déjà annoncé la compatibilité de leur solution avec Office 365 (et également avec Google|Enterprise), et je vous ferais grâce de vous exposer un tableau comparatif de ces solutions et de leurs avantages et inconvénients de mise en oeuvre avec Office 365, mais si ce sujet ne vous est pas très familier, je vous propose de visionner une présentation réalisée par RSA Security que vous trouverez ici : http://www.rsa.com/experience/dlp/RSA_DLP_Flash_2.html

En complément, et par exemple, si vous vous orientez sur des architectures on premise ou des cloud privés, je vous invite à tester l’atelier de machines virtuelles mises à disposition par Microsoft dans le cadre de l’initiative Business Ready Security (http://www.microsoft.com/downloads/en/details.aspx?FamilyID=726f943e-d107-4b4d-a86e-dfb605e30ce5&displaylang=en).

Les commentaires sont fermés.

%d blogueurs aiment cette page :