Inscrivez-vous gratuitement à la Newsletter BFM Business
Une nouvelle vague de start up américaines tente d'apporter une réponse technologique au problème posé par la fuite d'informations sensibles dans les entreprises. En France, cette tendance n'en est qu'à ses premiers
balbutiements.
Les entreprises ont des fuites, mais ne savent pas comment colmater la brèche. La fuite d'informations est en effet une menace bien réelle que le responsable sécurité de l'entreprise a bien du mal à endiguer, tout simplement parce que
ce risque est d'origine interne. Selon les analystes, un message envoyé sur quatre cents contient des données confidentielles, un ordinateur sur dix est volé, et un dispositif USB sur deux contient des informations sensibles. Ce n'est pas nouveau,
et pourtant, l'industrie ne s'est jamais vraiment attelée à la tâche, les réponses technologiques brillant jusque-là par leur absence. Un vide désormais comblé : aujourd'hui, plus de 25 start up fourbissent leur solution de
' Prévention de fuite d'information '. Pour désigner ce nouveau domaine, plusieurs termes existent, selon qu'ils émanent du Gartner, d'IDC ou de Forrester. On parle d'ILP (Information Leak Prevention)
ou d'ILDP (Information Leakage Detection and Prevention), mais aussi de DLP (Data Loss Prevention), CMF (Content Monitoring and Filtering) ou, encore, EPS (Extrusion Prevention System) en analogie avec la prévention d'intrusion IDP (Intrusion
Prevention System).Certaines start up, comme Vontu (vendu en France depuis quelques jours par Hermitage), ont déjà tiré leur épingle du jeu, et exhibent fièrement leurs dizaines de clients américains. D'autres ont déjà été gobées par les gros poissons
de la sécurité. McAfee s'est payé Onigma et Websense s'est offert PortAuthority il y a quelques semaines. Selon Gartner, même si ce marché est encore étroit (il n'aurait représenté que 60 millions en 2006), il devrait continuer de croître de
100 % en 2007. Des prévisions qui sont certainement davantage valables pour la zone nord-américaine que pour le marché français. Dans l'Hexagone, cette nouvelle tendance ne semble pas, en effet, faire déjà vibrer les RSSI. La majorité d'entre
eux n'ont pas entendu parler de ces nouvelles solutions. Pis, ' peu d'entreprises empêchent l'information de sortir, tout simplement parce qu'elles ne savent pas qu'il y a des fuites ! ', assure
Dominique Loiselet, DG France de Websense.
Epidémie de pertes de données aux Etats-Unis
La réalité est moins catégorique. Les grands comptes semblent tout à fait sensibilisés à cette problématique de fuite d'informations et ont souvent développé des solutions maison. ' Les enjeux ne sont évidemment
pas les mêmes. Les RSSI des grands comptes sont très en avance, parce qu'ils ont des compétences, ce que les PME n'ont pas forcément. Mais un prospect sur deux s'intéresse vraiment à ces nouvelles solutions. Simplement, personne n'est à l'aise avec
la technologie, et rares sont ceux qui ont envie de miser sur une start up ', résume Alain Takahashi, directeur de Hermitage Solutions. La spécificité française a encore frappé, et plusieurs mois seront certainement
encore nécessaires pour convaincre. Evidemment, ce nouveau secteur est déjà en pleine ébullition de l'autre côté de l'Atlantique. Tout a commencé là-bas avec MasterCard, qui a avoué avoir perdu des millions d'informations bancaires sur ses clients.
La mauvaise nouvelle a été rendue publique, car la réglementation (Sarbanes Oxley surtout) l'y oblige. D'autres ont aussi connu des déboires mémorables de perte d'informations, et Gartner parle déjà d'" épidémie de pertes de
données " '. En France, même si les cas sont probablement fréquents, le sujet reste encore tabou. ' Et Sarbanes Oxley n'est pas encore vraiment là. Le jour où l'Union Européenne prendra le
problème à bras-le-corps, la donne changera pour les entreprises ', ajoute Alain Takahashi.
Complémentaire du chiffrement et du DRM
Et pourtant, protéger ses informations critiques n'est pas une problématique toute neuve. ' Il est vrai qu'il est difficile de voir où est l'innovation. On a toujours bloqué des fichiers ! Cela rejoint même
les nouvelles problématiques du stockage qui aboutissent au chiffrement de la donnée pour éviter son vol ', indique Dominique Loiselet, DG France de Websense. En pratique, la proposition de ces start up est simple.
' Il s'agit d'abord d'identifier quelles sont les informations sensibles et quelles sont celles qui ne le sont pas. Ensuite, il faut être capable de suivre les premières et de les protéger ', explique
Dominique Loiselet. Certains estiment que cette phase de découverte des données sensibles prend plus de six mois.Selon les fournisseurs, la rupture technologique vient du fait que l'on sécurisait surtout le contenant et pas le contenu. ' On s'est beaucoup attaché à sécuriser les réseaux et les interfaces. Ce n'est que
depuis peu que l'on s'intéresse à la donnée elle-même ', explique Alain Takahashi. Deux approches existent pourtant déjà : le chiffrement des données, déjà bien implanté, et le DRM (Digital Right Management), qui attache
des droits utilisateurs aux documents qui se déplacent à l'intérieur et à l'extérieur de l'entreprise. Microsoft, Adobe et Sealed Media sont quelques-uns des grands spécialistes de ce domaine. Dans ce cas, lors de l'accès au document, il est
constamment vérifié, auprès d'un serveur de droits, s'il peut être ouvert ou non. Le procédé est efficace, mais pas forcément évident à maîtriser. Les règles d'accès doivent être applicables à la fois à l'intérieur et à l'extérieur du réseau.
' Aux deux premières approches vient s'en greffer une troisième, la détection des fuites de données, qui agit là où le chiffrement ne sert à rien, et où l'information ne sort pas forcément de
l'entreprise ', ajoute Alain Takahashi. Reste à convaincre l'entreprise que le jeu en vaut vraiment la chandelle. Outre la nouveauté technologique, l'argument choc serait que ces solutions vont forcer les entreprises à
prendre conscience du caractère sensible de leurs données.k.frascaria@01informatique.presse.fr
Votre opinion