ILP, le système anti-fuite

13/04/2007 à 00h00

Une nouvelle vague de start up américaines tente d'apporter une réponse technologique au problème posé par la fuite d'informations sensibles dans les entreprises. En France, cette tendance n'en est qu'à ses premiers balbutiements.

Les entreprises ont des fuites, mais ne savent pas comment colmater la brèche. La fuite d'informations est en effet une menace bien réelle que le responsable sécurité de l'entreprise a bien du mal à endiguer, tout simplement parce que ce risque est d'origine interne. Selon les analystes, un message envoyé sur quatre cents contient des données confidentielles, un ordinateur sur dix est volé, et un dispositif USB sur deux contient des informations sensibles. Ce n'est pas nouveau, et pourtant, l'industrie ne s'est jamais vraiment attelée à la tâche, les réponses technologiques brillant jusque-là par leur absence. Un vide désormais comblé : aujourd'hui, plus de 25 start up fourbissent leur solution de ' Prévention de fuite d'information '. Pour désigner ce nouveau domaine, plusieurs termes existent, selon qu'ils émanent du Gartner, d'IDC ou de Forrester. On parle d'ILP (Information Leak Prevention) ou d'ILDP (Information Leakage Detection and Prevention), mais aussi de DLP (Data Loss Prevention), CMF (Content Monitoring and Filtering) ou, encore, EPS (Extrusion Prevention System) en analogie avec la prévention d'intrusion IDP (Intrusion Prevention System).Certaines start up, comme Vontu (vendu en France depuis quelques jours par Hermitage), ont déjà tiré leur épingle du jeu, et exhibent fièrement leurs dizaines de clients américains. D'autres ont déjà été gobées par les gros poissons de la sécurité. McAfee s'est payé Onigma et Websense s'est offert PortAuthority il y a quelques semaines. Selon Gartner, même si ce marché est encore étroit (il n'aurait représenté que 60 millions en 2006), il devrait continuer de croître de 100 % en 2007. Des prévisions qui sont certainement davantage valables pour la zone nord-américaine que pour le marché français. Dans l'Hexagone, cette nouvelle tendance ne semble pas, en effet, faire déjà vibrer les RSSI. La majorité d'entre eux n'ont pas entendu parler de ces nouvelles solutions. Pis, ' peu d'entreprises empêchent l'information de sortir, tout simplement parce qu'elles ne savent pas qu'il y a des fuites ! ', assure Dominique Loiselet, DG France de Websense.

Epidémie de pertes de données aux Etats-Unis

La réalité est moins catégorique. Les grands comptes semblent tout à fait sensibilisés à cette problématique de fuite d'informations et ont souvent développé des solutions maison. ' Les enjeux ne sont évidemment pas les mêmes. Les RSSI des grands comptes sont très en avance, parce qu'ils ont des compétences, ce que les PME n'ont pas forcément. Mais un prospect sur deux s'intéresse vraiment à ces nouvelles solutions. Simplement, personne n'est à l'aise avec la technologie, et rares sont ceux qui ont envie de miser sur une start up ', résume Alain Takahashi, directeur de Hermitage Solutions. La spécificité française a encore frappé, et plusieurs mois seront certainement encore nécessaires pour convaincre. Evidemment, ce nouveau secteur est déjà en pleine ébullition de l'autre côté de l'Atlantique. Tout a commencé là-bas avec MasterCard, qui a avoué avoir perdu des millions d'informations bancaires sur ses clients. La mauvaise nouvelle a été rendue publique, car la réglementation (Sarbanes Oxley surtout) l'y oblige. D'autres ont aussi connu des déboires mémorables de perte d'informations, et Gartner parle déjà d'" épidémie de pertes de données " '. En France, même si les cas sont probablement fréquents, le sujet reste encore tabou. ' Et Sarbanes Oxley n'est pas encore vraiment là. Le jour où l'Union Européenne prendra le problème à bras-le-corps, la donne changera pour les entreprises ', ajoute Alain Takahashi.

Complémentaire du chiffrement et du DRM

Et pourtant, protéger ses informations critiques n'est pas une problématique toute neuve. ' Il est vrai qu'il est difficile de voir où est l'innovation. On a toujours bloqué des fichiers ! Cela rejoint même les nouvelles problématiques du stockage qui aboutissent au chiffrement de la donnée pour éviter son vol ', indique Dominique Loiselet, DG France de Websense. En pratique, la proposition de ces start up est simple. ' Il s'agit d'abord d'identifier quelles sont les informations sensibles et quelles sont celles qui ne le sont pas. Ensuite, il faut être capable de suivre les premières et de les protéger ', explique Dominique Loiselet. Certains estiment que cette phase de découverte des données sensibles prend plus de six mois.Selon les fournisseurs, la rupture technologique vient du fait que l'on sécurisait surtout le contenant et pas le contenu. ' On s'est beaucoup attaché à sécuriser les réseaux et les interfaces. Ce n'est que depuis peu que l'on s'intéresse à la donnée elle-même ', explique Alain Takahashi. Deux approches existent pourtant déjà : le chiffrement des données, déjà bien implanté, et le DRM (Digital Right Management), qui attache des droits utilisateurs aux documents qui se déplacent à l'intérieur et à l'extérieur de l'entreprise. Microsoft, Adobe et Sealed Media sont quelques-uns des grands spécialistes de ce domaine. Dans ce cas, lors de l'accès au document, il est constamment vérifié, auprès d'un serveur de droits, s'il peut être ouvert ou non. Le procédé est efficace, mais pas forcément évident à maîtriser. Les règles d'accès doivent être applicables à la fois à l'intérieur et à l'extérieur du réseau. ' Aux deux premières approches vient s'en greffer une troisième, la détection des fuites de données, qui agit là où le chiffrement ne sert à rien, et où l'information ne sort pas forcément de l'entreprise ', ajoute Alain Takahashi. Reste à convaincre l'entreprise que le jeu en vaut vraiment la chandelle. Outre la nouveauté technologique, l'argument choc serait que ces solutions vont forcer les entreprises à prendre conscience du caractère sensible de leurs données.k.frascaria@01informatique.presse.fr

L'innovation bat son plein outre-Atlantique

L'innovation des solutions ILP réside dans le fait qu'aucun agent ni marquage sur les fichiers n'est nécessaire. L'entreprise fournit en amont des indications à un moteur de recherche pour savoir quelles sont les données sensibles. Le logiciel travaille ensuite selon trois axes : les données au repos, les données en mouvement (comme dans les transferts FTP ou e-mail) et les données au niveau du poste de travail nomade. Il envoie des alertes quand un fichier non autorisé a été déplacé ou copié.

Don't steal, d'Altra Software.
Eagle Eye OS Professionnal, d'Eagle Eye OS.
Content FingerPrint Professional, d'Entellectual.
Fidelis XPS, de Fidelis Security.
Infowatch Monitor, d'Infowatch.
Data Loss Prevention, d'Onigma (racheté par McAfee et commercialisé en France).
MessageGate Policy Enforcement, de MessageGate.
Oakley Networks SureView, d'Oakley Networks.
Orchestria Information Security, d'Orchestria.
Content Management, de Port Authority (racheté par WebSense et commercialisé en France.
Proofpoint Content Compliance, de Proofpoint.
LeakProof, de Provilla.
Safend Protector, de Safend.
Content Sentinel, de Tablus.
Digital Guardian, de Verdasys.
Vericept Control, Vericept.
VontuProtect and Monitor, de Vontu ; fraîchement distribuée en France par Hermitage Solutions. Une des rares solutions offertes dans l'Hexagone.
Workshare Protect, de Workshare.

GTB Inspector, de GTB Technologies.
Global Velocity Appliance, de Global Velocity.
Anti-Risk Appliance, d'InBoxer.
PacketSure, de Palisade.
iGuard Appliance, de Reconnex.
DS 1000, de Solera.

Avis d'expert : Hervé Schauer, fondateur de HSC Consultants, cabinet spécialisé en sécurité informatique

' Aucune innovation, que du marketing '

Une fois de plus, le marketing s'invite dans la sécurité. Nous n'avons pas changé de technologies depuis l'invention du filtrage IP par Network Systems en 1989. Gartner parle de ' Content monitoring and filtering ', ce que l'on fait depuis toujours dans les pare-feu. C'est vraiment réinventer la roue. Analyser le contenu et le faire de mieux en mieux, c'est la réponse naturelle aux menaces depuis le premier antivirus. Changer sans arrêt son nom ne sert vraiment à rien d'autre que de vendre ce dont les gens n'ont pas besoin.

' Une bonne organisation s'impose avant tout '

La fuite d'informations est provoquée avant tout par les relations humaines, et quand elle se fait par le biais de l'informatique, les vecteurs sont tellement nombreux (CD-ROM, mémoire USB, SD-Card, synchronisation Bluetooth, etc. ), qu'il semble vain de vouloir prévenir le danger. La mise en place d'une bonne organisation est le seul moyen de réduire les risques. Et aucun outil nouveau n'est nécessaire. Le plus efficace, c'est la génération d'alarmes à partir des journaux existants. Les nouveaux outils peuvent cependant être utiles pour réduire les possibilités de canaux cachés, comme les tunnels dans HTTP.

Ce qu'en pensent les RSSI : Yvon Klein (CNES) : ' des technologies peu adaptées aux contraintes françaises '

' La fuite d'informations est une problématique très connue, qui date des années 80. Des modèles mathématiques structurés traitent ce genre de problèmes à travers des marquages. Mais les obligations légales comme Sarbanes-Oxley ou Bâle II changent la donne. Elles imposent aux entreprises de savoir gérer la diffusion de l'information. La solution miracle n'existe pas encore, et celles qui peuvent à la fois être efficaces et conformes à la loi devront intégrer des mécanismes de marquage de l'information. Ces derniers ne sont encore ni automatiques ni assez fiables. Les start up qui émergent sont américaines et respectent la norme américaine de protection de l'individu, ce qui ne correspond pas aux besoins français. Des adaptations sont donc nécessaires. C'est ce qui est fait avec la mise en place de chartes dans nos relations entre l'entreprise et l'individu. '

Ce qu'en pensent les RSSI : Emmanuel Winckler (Saft) : ' l'entreprise n'est pas encore prête pour ces outils '

' C'est une vraie problématique pour les RSSI, mais pas forcément pour les entreprises aujourd'hui. Depuis un an, on parle du RSSI responsable de la sécurité des informations au sens large. La fuite d'informations ne concerne pas que les données électroniques. Je ne crois pas à la solution technologique. La solution se situe davantage au niveau de chaque utilisateur, et de son comportement. Aux entreprises de savoir prodiguer de bonnes pratiques à leurs utilisateurs. Mais c'est plutôt intéressant de savoir que ce domaine fait l'objet de recherches. Je ne crois pas que le marché soit mûr sur cette problématique. L'entreprise a conscience du besoin, mais, dans la pratique, n'a pas le temps de tester les solutions de ce type. Et la fuite de données n'est pas forcément le risque le plus critique pour l'entreprise, même si cela peut changer très vite. '

Ce qu'en pensent les RSSI : Bruno Hinfray (SPB) : ' la fuite d'informations est une réalité '

' Nous concevons des produits d'assurance, et avons eu le cas d'un commercial qui est parti avec des fichiers que l'on a retrouvés chez la concurrence. Pour nous, la fuite d'informations est donc une réalité, et un risque que nous devons prévenir. C'est une question de qualité de service délivrée à nos clients et partenaires. On évite ce problème en verrouillant l'information, en chiffrant les données et en anticipant. C'est surtout un problème de communication entre collaborateurs, et on doit être au courant des divergences de point de vue à la direction informatique. Les solutions qui émergent pour traiter ce problème sont loin d'être matures. Notre première stratégie reste basée sur la confiance humaine. Pour nous, prévenir des fuites est vraiment une obligation concurrentielle. Mais nous ne sommes pas encore soumis à des pressions réglementaires de type Sarbanes-Oxley. '

Kareen Frascaria

Votre opinion