Appréhender la prévention des pertes de données comme un processus

Associer les métiers…

Dès lors, Gartner recommande aux RSSI, dans une note de recherche dédiée à la prévention des pertes de données, de commencer par identifier précisément les informations critiques ainsi que les impératifs métiers et fonctionnels afférents : « ne commencez pas en sélectionnant la plateforme technique, puis en vous demandant quelle est l’étape suivante ».

Surtout, il convient, selon le cabinet, de ne pas attribuer à la DSI « toutes les responsabilités opérationnelles et de mise en œuvre de la prévention des pertes de données ». On retrouve là une adhérence forte à l’organisation et aux métiers de l’entreprise qui fait généralement toute la difficulté d’un projet de prévention des pertes de données.

En avril 2010, Athena global Services, distributeur de DeviceLock pour la France, ne disait pas le contraire, soulignant déjà que « le plus gros du travail, sur un tel projet, ce sont les dimensions organisationnelles et de création des politiques de sécurité ». Quelques mois plus tard, Benoît Grunemwald, chez l’éditeur, reconnaissait d’ailleurs que l’un des points clés de la DLP, c’est « connaître ses données ». Le sujet a depuis gagné en importance avec une évolution du contexte réglementaire faisant de la fuite de données personnelles un nouveau cauchemar pour les entreprises.

… une bonne pratique parfois difficile à adopter

Mais les analystes de Gartner ne se font pas d’illusion. Dans leur note de recherche, ils soulignent les raisons susceptibles d’expliquer l’absence d’une approche de la DLP fondée sur les processus.

Produire des rapports orientés sur le risque ou la sécurité afin de démontrer la valeur générée par la plateforme de DLP

Et cela commence par des méthodologies mettant l’accent sur la technologie plutôt que « sur l’atténuation d’un risque opérationnel », ou encore « le manque de discipline sur les processus au sein de l’entreprise », le manque d’investissement de la direction et des responsables métiers « entraînant des problèmes de conflits de ressources » et enfin l’insuffisance des équipes chargées notamment « d’identifier les moteurs opérationnels du projet d’obtenir le soutien des détenteurs des informations et des sponsors dans les unités opérationnelles ».

Mais voilà : faillir sur ces points ouvre la voie à des politiques de protection soit trop souples, soit trop rigides, en tout cas inadaptées aux risques et aux métiers, avec la perspective de rejet, par les utilisateurs, que l’on imagine aisément.

Cinq processus clés

C’est dans cette perspective que Gartner conseille la mise en place de cinq processus documentés, « pour la plupart très simples ».

Le premier est un processus de haut niveau qui « aide à communiquer la raison pour laquelle il est important que les autres processus existent et pourquoi il est également important que ces autres processus incluent des rôles pour les parties prenantes en dehors de l’entité informatique ».

Ce premier processus établit le lien entre processus métiers, contenus, processus de définition et de mise à jour des politiques de DLP, et processus de résolution des brèches. D’autres processus en découlent naturellement : celui de contrôle de l’accès à la plate-forme de DLP, et celui d’enregistrement des documents pour la création, ou non, d’empreintes numériques.

Le processus de résolution des brèches doit notamment « alimenter la génération de rapports orientés sur le risque ou la sécurité », dans l’objectif de « démontrer la valeur générée par la plateforme », relève Gartner : « le meilleur scénario serait de relier les événements à une perte réelle évitée », financière en particulier.

Mais le cabinet reconnaît toutefois que « cela peut être difficile ».