Important: The GCConnex decommission will not affect GCCollab or GCWiki. Thank you and happy collaborating!
Tendances Technologiques/Prevention des fuites de donnees
|
|||||||
---|---|---|---|---|---|---|---|
Status | Publié | ||||||
Version originale | 30 janvier 2020 | ||||||
Mise à jour | 31 janvier 2020 | ||||||
Publication Officielle | Prévention de Fuites de Données.pdf | ||||||
La prévention des fuites de données, également connue sous le nom de « prévention de la perte de données », est une solution de cybersécurité qui comprend une variété de stratégies, de processus et d’outils dont le but est d’empêcher que des utilisateurs non autorisés accèdent aux données précieuses d’une organisation et que ces données soient diffusées dans un environnement non fiable ou qu’elles soient détruites.
Sommaire opérationnel
La prévention des fuites de données fournit des outils permettant d’atténuer les risques de fuite de données au sein d’une organisation. Un logiciel de prévention des fuites de données comprend généralement les fonctionnalités suivantes :
- Protection : Les outils de prévention des fuites de données mettent en œuvre des mesures de protection, comme des chiffrements, des contrôles d’accès et des restrictions, afin d’atténuer les vulnérabilités possibles. Une organisation peut réglementer l’accès aux fichiers en classant les données en fonction de leur niveau de sécurité et en définissant un ensemble de règles auxquelles chaque utilisateur doit se conformer.
- Détection : Le logiciel de prévention des fuites de données peut alerter les administrateurs en générant un rapport détaillé en temps réel sur les violations des politiques, par exemple lorsqu’un attaquant tente d’accéder à des données sensibles. En créant un profil comportemental de base des habitudes courantes, le logiciel peut détecter les activités anormales ou suspectes des utilisateurs. Pour ce faire, certaines solutions utilisent l’apprentissage machine.
- Surveillance : Le logiciel de prévention des fuites de données surveille le comportement des utilisateurs en ce qui concerne la façon dont les données sont consultées, utilisées et transférées au sein de l’infrastructure de technologie de l’information (TI) afin de détecter les activités irrégulières ou dangereuses des utilisateurs. Si un événement est déclenché par une violation des règles, le système en informera le personnel de sécurité. Le système augmente la visibilité afin de s’assurer de manière proactive que les données ne quittent pas l’organisation en cas de violation des politiques.
Sommaire technique
La technologie de prévention des fuites de données est généralement divisée en trois composantes différentes liées à chaque état du cycle de vie des données : les données au repos, les données en mouvement et les données utilisées. La plupart des produits de prévention des fuites de données comportent également un serveur central de gestion qui sert de centre de contrôle pour le déploiement de la prévention des fuites de données. C’est généralement à cet endroit que les politiques de prévention des fuites de données sont gérées, que les données sont recueillies à partir des capteurs et des agents de points de terminaison, et que la sauvegarde et la restauration sont gérées. Les composantes d’un outil de prévention des fuites de données sont, en général, les suivantes :
Prévention des fuites de données concernant le stockage : Les « données au repos » désignent les données stockées sur un « dispositif », par exemple sur un serveur, une base de données, des postes de travail, des ordinateurs portables, des appareils mobiles, un support de stockage portable ou un support amovible. Le terme désigne les données inactives qui ne sont pas actuellement transmises sur un réseau ou qui ne sont pas traitées activement. La prévention des fuites de données concernant le stockage protège ce type de données à l’aide de plusieurs outils de sécurité :
- Le masquage de données cache les renseignements de nature délicate comme les données personnelles identifiables.
- Les contrôles d’accès empêchent tout accès non autorisé.
- Le chiffrement des fichiers constitue une mesure de protection supplémentaire.
- La classification des données utilise un agent de prévention des fuites de données pour étiqueter les données en fonction de leur niveau de sécurité. En adoptant également un ensemble de règles, une organisation peut réglementer l’accès des utilisateurs à l’utilisation, à la modification et à la suppression des renseignements.
- Un outil de surveillance de l’activité des bases de données inspecte les bases de données, les entrepôts de données ainsi que les ordinateurs centraux et envoie des alertes sur les violations des politiques. Pour classer les données, certains mécanismes utilisent des définitions conceptuelles, des mots-clés ou la correspondance d’expressions régulières.
Prévention des fuites de données concernant le réseau : Les « données en mouvement » sont les données qui circulent activement sur un réseau, comme les courriels ou les fichiers transférés au moyen du protocole de transfert de fichier ou du protocole SSH. La prévention des fuites de données concernant le réseau se concentre sur l’analyse du trafic réseau pour détecter les transferts de données sensibles qui enfreignent les politiques de sécurité et fournir des outils pour assurer la sécurité du transfert des données. En voici des exemples :
- Un outil de surveillance des courriels peut déterminer si un courriel contient des renseignements sensibles et bloquer l’action ou chiffrer le contenu.
- Le système de détection d’intrusion surveille toute activité malveillante se produisant sur le réseau et fait généralement rapport à un administrateur ou au serveur central de gestion au moyen d’un système de gestion des événements et des informations de sécurité.
- Les pare-feu et les logiciels antivirus sont des produits couramment disponibles qui font partie d’une stratégie de prévention des fuites de données.
Prévention des fuites de données concernant les points de terminaison : Les « données utilisées » désignent les données qui sont actuellement traitées par une application. Les données de cette nature sont en train d’être générées, mises à jour, consultées ou effacées sur un appareil local. La protection de ce type de données est une tâche difficile en raison du grand nombre de systèmes et de dispositifs, mais elle s’effectue généralement au moyen d’un agent de prévention des fuites de données concernant les points de terminaison qui est installé sur l’appareil local. Voici certaines caractéristiques :
- L’outil fournit une authentification forte des utilisateurs, une gestion de l’identité et des autorisations de profil pour sécuriser un système.
- Il peut surveiller et signaler les activités non autorisées que les utilisateurs peuvent effectuer intentionnellement ou non, comme l’impression et la télécopie, le copier/coller et la capture d’écran.
- Certains agents de prévention des fuites de données peuvent offrir le contrôle des applications afin de déterminer les applications qui peuvent accéder aux données protégées.
- Il existe des solutions avancées qui utilisent l’apprentissage machine et des algorithmes de raisonnement temporel pour détecter les comportements anormaux sur un appareil local.
Utilisation par l’industrie
En raison du risque constant de brèches possibles, comme dans l’exemple ci-dessus, la technologie de prévention de la perte de données est largement adoptée au sein de l’industrie technologique pour protéger les données. Lorsqu’il s’agit de solutions d’entreprise, Gartner indique quatre principaux fournisseurs de logiciels de prévention des fuites de données : Digital Guardian, Forcepoint, McAfee et Symantec. Le marché entourant la prévention des fuites de données est en croissance : en 2015, sa valeur estimée était d’environ 0,96 million de dollars et devrait atteindre environ 2,64 milliards de dollars d’ici l’année prochaine, à un taux de croissance annuel composé de 22,3 %. Même si les atteintes à la protection des données et les cyberattaques ont toujours été le moteur de la demande, la croissance du stockage infonuagique fera augmenter la demande à l’avenir. De plus, à mesure que l’utilisation des services numériques, des médias sociaux, d’Internet des objets et du commerce électronique prend de l’ampleur, la production de données, même de mégadonnées, augmentera avec elle, de même que les besoins de stockage, que ce soit dans le nuage ou par d’autres moyens. Par conséquent, le désir et les obligations réglementaires de protéger les données, par exemple par la prévention des fuites de données, augmenteront également.
Le marché de la prévention des fuites de données avait auparavant la même approche en ce qui concerne la surveillance et la protection des données d’une organisation, mais les solutions modernes diffèrent considérablement et sont devenues plus personnalisées. L’approche traditionnelle, parfois appelée approche projet ou suite, comporte une passerelle réseau qui agit en tant qu’intermédiaire pour surveiller le trafic. Elle exige que la source, la destination et le type de renseignements sensibles soient connus et bien définis. La nouvelle méthode, parfois appelée visibilité des données ou approche individuelle, utilise un agent installé localement sur chaque système pour surveiller toutes les activités des utilisateurs et du système. Cette approche fonctionne bien si une organisation est encore dans une ère de découverte en ce qui concerne la transmission et l’échange de ses données et que la plupart des utilisateurs des réseaux peuvent avoir accès à des formes de données sensibles. La majorité des organisations utilisent les deux approches de prévention des fuites de données à divers degrés.
Utilisation par le gouvernement du Canada
Le gouvernement du Canada a la responsabilité de protéger non seulement ses données et ses biens de TI, mais également ceux de ses citoyens, ainsi que les données recueillies à leur sujet. Malgré cela, le gouvernement du Canada lui-même n’est pas à l’abri de fuites de données. Par exemple, l’Agence du revenu du Canada a signalé 3 763 atteintes à la protection des données en 2013, y compris des incidents où les renseignements des contribuables ont été perdus, compromis ou communiqués accidentellement. Afin de prévenir de tels incidents, ainsi que ceux à petite et à grande échelle, divers protocoles de prévention des fuites de données sont en place dans l’ensemble du gouvernement du Canada. Actuellement, les opérations de prévention des fuites de données sont exécutées de façon indépendante dans chaque ministère. Toutefois, cette façon de faire est conforme aux politiques et aux procédures fédérales de soutien, dont certaines s’appliquent également à l’industrie.
Depuis le 1er novembre 2018, les entreprises et les industries privées canadiennes, ainsi que le secteur de la santé, qui sont assujettis à la Loi sur la protection des renseignements personnels et les documents électroniques , sont tenus de signaler toute atteinte à la protection des données touchant des renseignements personnels qui pourrait nuire à une personne, de tenir un registre de toutes les atteintes à la protection des données et d’informer les personnes concernées. Le but de cette loi est de s’assurer que les renseignements personnels des citoyens sont protégés par des mesures de protection appropriées, conformément à leur droit d’accès à leurs renseignements personnels. De même, la Loi sur la protection des renseignements personnels du gouvernement fédéral stipule la façon dont les ministères du gouvernement du Canada peuvent échanger des renseignements personnels sur des citoyens canadiens et donner accès à ces renseignements, et exige également le signalement des atteintes à la sécurité concernant ces données.
Étant donné que le gouvernement du Canada s’appuie largement sur les TI pour fournir ses services, la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information ainsi que la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités définissent une base de référence des exigences de sécurité que les ministères et les organismes fédéraux doivent respecter pour assurer la sécurité des renseignements sous leur contrôle. Ces mesures de prévention comprennent l’intégration de l’identification et de l’authentification dans tous les réseaux et les systèmes, l’autorisation et le contrôle de l’accès pour restreindre l’accessibilité selon le principe du « besoin de savoir », des protocoles cryptographiques et de chiffrement appropriés ainsi que des méthodes concernant la sécurité des signaux de valeur comme TEMPEST. En cas d’atteinte à la protection des données, la Politique sur la sécurité du gouvernement établit un mécanisme pour coordonner l’intervention et le rétablissement. Étant donné que les atteintes à la protection des données sont principalement causées par des personnes, le Centre canadien pour la cybersécurité offre des publications à jour dans le cadre d’une campagne de sensibilisation.
Répercussions pour Services partagés Canada (SPC)
Proposition de valeur
La proposition de valeur de la prévention des fuites de données est directement liée au mandat de SPC visant à concevoir et à exploiter une infrastructure de TI sécurisée qui protège les données et les biens technologiques du gouvernement du Canada. La principale valeur opérationnelle de la mise en œuvre d’une stratégie de prévention des fuites de données est la réduction des risques et des répercussions associés aux fuites de données. Ces incidents ont souvent des répercussions sur les aspects suivants d’une organisation :
- Opérationnel : Une atteinte à la protection des données entraîne souvent une interruption des services jusqu’à la fin du processus d’enquête. Ce processus peut prendre des semaines ou des mois, ce qui peut coûter des activités ou d’autres ressources à l’organisation entre-temps. La prévention des fuites de données permet de s’assurer que des redondances sont mises en place pour contrer les pertes de données importantes, évitant ainsi des coûts pour les ressources opérationnelles afin de remédier à la perte de données. Directive sur l’utilisation de périphériques USB et d’autres dispositifs de stockage externes pour aider à gérer ces types de risques. Tous les biens électroniques de SPC sont dotés d’un outil logiciel de prévention des fuites de données qui surveille l’utilisation de dispositifs non autorisés sur le réseau. Cela empêche la suppression de données du système de SPC ou l’infection du système par des logiciels malveillants, des virus ou d’autres entités malveillantes. Une deuxième phase du programme de prévention des fuites de données de SPC est en cours de planification et permettra de surveiller les données d’entreprise en mouvement et au repos; ce qui se fait toutefois déjà pour les données secrètes.
- Financier : Les atteintes à la protection des données entraînent d’importantes pertes financières, notamment des amendes, des honoraires de vérification et des frais juridiques. Le Ponemon Institute a estimé, dans une étude de 2018, que le coût global moyen d’une atteinte à la protection des données s’élève à 3,9 millions de dollars, et à 5 millions de dollars au Canada en particulier. En comparaison, le coût annuel moyen d’une solution de prévention des fuites de données par abonnement est d’environ 175 000 $, selon Forrester.
Défis
L’intégration d’une solution de prévention des fuites de données dans l’infrastructure est une entreprise complexe qui comprend plusieurs composantes, comme un analyseur de bases de données, un système de courriel, un serveur mandataire Web, etc. Pour ajouter à la complexité, les initiatives en matière de sécurité des données et de prévention des fuites de données sont confrontées à plusieurs difficultés en raison du paysage technologique moderne. SPC fait face à plusieurs difficultés et problèmes en ce qui concerne l’intégration d’une solution de prévention des fuites de données :
- Intégration complexe de la prévention des fuites de données : En général, l’application des technologies de prévention des fuites de données est complexe, varie en fonction de l’architecture de réseau de l’organisation et nécessite de travailler avec de nombreuses composantes, telles que la sécurité, la réseautique, l’infrastructure, les courriels, le Web, les points de terminaison, le stockage et les bases de données. Le déploiement, la configuration et la gestion de ces systèmes de prévention des fuites de données sont également compliqués. Afin de protéger pleinement une infrastructure de TI, il est important d’adopter une approche globale; cependant, les organisations n’ont souvent pas une stratégie claire à l’égard de la prévention des fuites de données et doivent trouver un équilibre entre les nouvelles méthodes de travail.
- Sensibilisation et mobilisation des utilisateurs : Les organisations font face à plusieurs difficultés concernant le contrôle des actions de leurs employés. Il y a souvent un manque de sensibilisation et de responsabilisation des employés à l’égard de leurs actions. Certaines formations et campagnes de sensibilisation ne mettent pas suffisamment l’accent sur la protection des données sensibles et l’utilisation d’outils de sécurité comme le chiffrement des fichiers. De plus, l’impression générale est qu’il n’y a aucun risque à enfreindre les règles.
Considérations
Comme pour tout programme ou outil, il est nécessaire d’harmoniser les politiques avec les contrôles. Le gouvernement du Canada a déjà mis en place diverses politiques concernant l’infrastructure de GI-TI, y compris la sécurité de ces ressources et de ces renseignements. Toutefois, si une organisation adopte des politiques qui interdisent ou surveillent certaines activités, mais qu’il n’y a aucun contrôle ou que le contrôle n’est pas encore en place, alors la fuite de données représente toujours un risque important pour l’organisation. Il existe des politiques de sécurité, mais la conformité ministérielle et la mise en œuvre des contrôles demeurent un problème.
Même si des protocoles et des contrôles de prévention des fuites de données ont déjà été mis en œuvre dans une grande partie de l’infrastructure de TI de SPC, des améliorations devraient être envisagées dans certains domaines. En raison des stratégies pangouvernementales axées sur le « gouvernement ouvert » et l’« informatique en nuage », SPC devra composer avec la nécessité croissante d’adapter les outils de prévention des fuites de données à ces plateformes au fur et à mesure de leur évolution et de leur expansion.
De plus, même si SPC jouera un rôle de premier plan dans l’acquisition des outils de prévention des fuites de données pour les ministères et la prestation de ces services, la protection des données exige un effort d’équipe. Une collaboration en matière de suivi, de surveillance et d’octroi de l’accès aux ressources et aux réseaux locaux ou ministériels sera nécessaire. De plus, la participation des intervenants aidera à cibler les vulnérabilités qui pourraient autrement être oubliées. Une mentalité de responsabilité collective constitue une pratique exemplaire pour garantir l’efficacité optimale de la prévention des fuites de données.
Une façon de contribuer à l’adoption de la prévention des fuites de données en tant que processus continu et de créer une culture de responsabilité collective pourrait être pour SPC, de concert avec ses ministères partenaires au sein du gouvernement du Canada, de désigner des « champions de la sécurité ». Le gouvernement du Canada a désigné un champion national, M. David Jean, le champion de la sécurité du gouvernement du Canada, pour faire le lien entre la sécurité ministérielle et les intérêts de sécurité nationale en ce qui concerne toutes les formes de menaces ou de problèmes de sécurité, et pas seulement celles qui sont liées à la cybersécurité. Cependant, des champions de la cybersécurité pourraient également être désignés à l’échelle locale et faire progresser la prévention des fuites de données « sur le terrain », comme il est proposé dans le document Consultations été-automne 2016 : Plan de transformation de la technologie de l’information – Rapport final Ce que nous avons entendu. Ces employés peuvent aider à promouvoir l’importance des protocoles et des comportements de sécurité, et peuvent constituer un élément important du cadre de prévention des fuites de données.
Références
- Arellano, N. E. (31 mars 2014). Data breaches in federal departments soar in 10 months. Récupéré de IT World Canada
- Brooks, R. (29 novembre 2018). What to Know about a Data Breach: Definition, Types, Risk Factors and Prevention Measures. Récupéré de Netwrix
- Canadian Centre for Cyber Security. (15 mai 2019). Five practical ways to make yourself cybersafe. Récupéré de cyber.gc
- Digital Guardian Guest Contributor. (5 février 2018). Getting Successful with DLP: Two Approaches for Quick DLP Wins. Récupéré de Digital Guardian
- DLPexperts. (17 mai 2019). DATA LOSS PREVENTION BUYER’S GUIDE & VENDOR COMPARISON. Récupéré de DLPexperts
- Ernst & Young. (octobre 2011). Data loss prevention. Récupéré de EY
- Governement of Canada. (31 mai 2004). Operational Security Standard: Management of Information Technology Security (MITS). Récupéré de Governement of Canada
- Government of Canada. (13 décembre 2018). The Privacy Act. Récupéré de Government of Canada
- Hughes, C. (3 septembre 2014). The Three States of Digital Data. Récupéré de ASPG
- Imperva. (17 mai 2019). Insider Threats. Récupéré de Imperva
- Imperva. (17 mai 2019). Security information and event management (SIEM). Récupéré de Imperva
- Imperva. (17 mai 2019). What is a Data Breach | Tips for Data Leak Prevention | Imperva. Récupéré de impperva
- Imperva. (17 mai 2019). What is Data Loss Prevention (DLP) | Data Leakage Mitigation | Imperva. Récupéré de imperva
- Janacek, B. (1er décembre 2015). Best Practices: Securing Data at Rest, in Use, and in Motion. Récupéré de DataMotion
- Larson, S. (4 octobre 2017). Every Single Yahoo Account was Hacked - 3 billion in all. Récupéré de CNN Business
- Markets and Markets. (septembre 2015). Data Loss Prevention Market by Solution Type (Network DLP, Storage DLP, Endpoint DLP), by Deployment Type (On-Premise, Cloud), by Applications, by Service, by Organization Size, by Vertical, and by Regions - Global Forecast to 2020. Récupéré de Markets and Markets
- Meizlik, D. (5 février 2008). The ROI of Data Loss Prevention. Récupéré de Websense, Inc.
- Office of the Privacy Commissioner of Canada. (janvier 2018). PIPEDA in brief. Récupéré de priv.gc
- Osakwe, M. (19 juillet 2018). Data Breaches vs. Data Leaks: What’s the Difference? Récupéré de NextAdvisor
- McCarthy, Niall. (13 juillet 2018). The Average Cost of a Data Breach is Highest in the U.S. Récupéré de Forbes
- Shared Services Canada. (24 avril 2018). 2017–18 Cyber and Information Technology Security Branch Business Plan. Récupéré de Shared Services Canada
- Shared Services Canada. (2 février 2018). Data Loss Prevention and the Use of Portable Storage Devices. Récupéré de Shared Service Canada
- Shared Services Canada. (11 avril 2019). SSC business planning. Récupéré de Shared Services Canada
- Treasury Board of Canada Secretariat. (2018). Digital Operations Strategic Plan: 2018-2022. Récupéré de Treasury Board of Canada Secretariat
- Treasury Board of Canada Secretariat. (1er novembre 2017). Direction on the Secure Use of Commercial Cloud Services: Security Policy Implementation Notice (SPIN). Récupéré de Treasury Board of Canada Secretariat
- SiteUptime. (8 juin 2017). Data Leakage Vs Data Loss: What’s The Difference? Récupéré de SiteUptime
- Verizon Enterprise Solutions. (17 mai 2019). 2019 Data Breach Investigations Report. Récupéré de Verizon Enterprise Solutions
- Wikipedia. (10 mai 2019). Data Breach. Récupéré de Wikipedia
- Wikipedia. (5 mai 2019). Information Security. Récupéré de Wikipedia
- Zhang, Ellen. (3 janvier 2019). What is Data Loss Prevention (DLP): a Definition of Data Loss Prevention. Récupéré de Digital Gaurdian