Check Point Software Technologies Ltd., leader mondial de la sécurité sur Internet, et le Ponemon Institute, un cabinet d’étude spécialisé dans le domaine de la gestion et la protection des données, révèlent aujourd’hui q ue 70 % des entreprises françaises interrogées ont subi une perte de données l’an dernier, contre 77% au niveau mondial.

D’après les principaux résultats du rapport, intitulé Understanding Security Complexity in 21st Century IT Environments (Comprendre la complexité de la sécurité dans les environnements informatiques du 21ème siècle), les répondants citent les informations clients (51%) comme le type d’information le plus souvent compromis. A cela s’ajoutent la propriété intellectuelle (41%), les informations sur les salariés (26%) et les plans de l’entreprise (20%). Avec l’adoption des applications Web 2.0 et la multiplication des terminaux mobiles se connectant au réseau, les entreprises se doivent d’appliquer des exigences renforcées en matière de sécurité des données et de gouvernance, de risque et de conformité informatiques (GRC) – soit un nouveau défi pour les responsables informatiques.

Selon l'enquête, menée en France auprès de 450 administrateurs de la sécurité informatique, la cause première de la perte de données est la perte ou le vol d’équipements, suivis des attaques réseau, des applications Web 2.0 et de partage de fichiers, des terminaux mobiles non sécurisés, et de l’envoi par inadvertance d’emails au mauvais destinataire. En outre, environ 74% des répondants français pensent que leurs salariés sont peu, voire pas du tout sensibilisés à la sécurité des données, à la conformité et aux règles informatiques. Ce fait doit inciter les entreprises à intégrer davantage la sensibilisation des utilisateurs à leurs stratégies de protection des données, car les usagers constituent souvent la première ligne de défense.

« Nous savons que la sécurité des données et la conformité sont souvent les priorités majeures des DSI. Cependant, si l’on examine les facteurs responsables de la perte de données, on s’aperçoit que la majorité des incidents est involontaire », explique Oded Gonda, directeur des produits de sécurité réseau chez Check Point Software Technologies. « Pour pouvoir passer de la simple détection à la prévention de la perte des données, les entreprises doivent songer à mettre davantage l’accent sur la sensibilisation des utilisateurs, et à instaurer des processus appropriés en vue d’une meilleure visibilité et d’une meilleure maîtrise de leur information. »

La prévention de la perte des données (DLP) étant l’un des défis majeurs pour la sécurité de l’information, il est important que les entreprises comprennent bien les causes à l’origine de la perte de données et instaurent un processus sécuritaire optimum afin d’empêcher les violations.

Celui-ci se compose des étapes suivantes :

• Calcul et compréhension des besoins de l’entreprise en matière de sécurité de données – Vous devez avoir une vision et une liste claires des types de données sensibles existant au sein de l’entreprise. Vous devez également savoir quels types de données sont soumis aux normes de conformité officielles (gouvernementales ou sectorielles).

• Classification des données sensibles – Commencez par établir la liste des types de données sensibles au sein de l’entreprise en définissant leur niveau de sensibilité. Vous pouvez envisager de créer un ensemble de modèles de documents permettant de classifier les données en différentes catégories (par exemple Publiques, Restreintes ou Hautement confidentielles), afin de sensibiliser davantage les utilisateurs aux politiques de l’entreprise et de leur apprendre à déterminer ce qui constitue une information sensible.

• Synchronisation des politiques de sécurité et des besoins de l’entreprise – La stratégie sécuritaire d’une entreprise doit protéger ses ressources en information, sans pour autant entraver l’utilisateur final. Commencez par définir les politiques de l’entreprise en termes métier simples, et adaptés aux besoins individuels et professionnels des salariés, des groupes ou de l’entreprise. Les solutions de sécurité basées sur l’identité peuvent offrir aux entreprises une meilleure visibilité sur leurs utilisateurs et sur leur environnement informatique, leur permettant ainsi une meilleure application de la politique de l’entreprise.

• Sécurisation des données sur l’ensemble de leur cycle de vie – Les entreprises doivent envisager de mettre en œuvre des solutions de sécurité des données capables de sécuriser leurs données sensibles sous leurs multiples aspects - tels que la corrélation des utilisateurs, des types de données et des processus - et de les protéger pendant tout leur cycle de vie (données immobilisées, données en transit, données en cours d’utilisation).

• Elimination des problèmes de conformité – Evaluez vos obligations de conformité au niveau gouvernemental et sectoriel, et l’impact sur la sécurité de l’entreprise et sur les activités professionnelles. Envisagez de mettre en œuvre des solutions incluant des meilleures pratiques personnalisées afin de respecter certaines réglementations telles que HIPAA, PCI DSS et la loi Sarbanes-Oxley, afin de disposer d’une prévention rapide dès le départ. Les politiques de meilleures pratiques permettent en outre aux équipes informatiques d’appliquer une protection des données proactive et complète.

• Mise en avant de la sensibilisation et de la participation des utilisateurs – Faites participer l’utilisateur au processus décisionnel sécuritaire. La technologie permet d’informer les utilisateurs sur les politiques de l’entreprise tout en leur donnant les outils nécessaires pour remédier aux incidents de sécurité en temps réel. L’association de la technologie et de la sensibilisation des utilisateurs permet aux salariés de prendre conscience des comportements à risque à travers le biais d’une auto-formation.

« Au vu des centaines d’incidents liés aux pertes de données qui surviennent chaque année – tant ceux qui sont signalés que ceux qui sont passés sous silence – il n’est pas surprenant que les problèmes de gouvernance, de risque et de conformité ne cessent d’amplifier », déclare Dr. Larry Ponemon, directeur du Ponemon Institute. « La sécurité des données dans le monde contemporain ne se limite pas au déploiement d’un ensemble de technologies capables de résoudre le problème. En fait, c’est la sensibilisation insuffisante des salariés qui est la cause première des pertes de données, et qui incite un nombre croissant d’entreprises à former leurs utilisateurs aux politiques d’entreprise en place. »

La lame logicielle DLP de Check Point se base sur l’Architecture Software Blade™ de la société. Offrant une combinaison unique en son genre de technologie et de sensibilisation des utilisateurs, Check Point aide les entreprises à protéger de manière préventive leurs informations sensibles contre les pertes accidentelles. Grâce à sa technologie inédite UserCheck™, la solution de DLP de Check Point va au-delà de la technologie et initie les utilisateurs aux politiques adéquates de gestion des données, en leur donnant les outils requis pour remédier aux incidents en temps réel.

L’enquête, intitulée Understanding Security Complexity in 21st Century IT Environments (Comprendre la complexité de la sécurité dans les environnements informatiques du 21ème siècle), a été réalisée indépendamment par le Ponemon Institute en février 2011, auprès de 450 administrateurs de la sécurité informatique en France et plus de 2 400 administrateurs de la sécurité informatique au total, situés aux États-Unis, Royaume-Uni, France, Allemagne et Japon. L’enquête porte sur des entreprises de toutes les tailles, issues de 14 secteurs d’activité différents. 

« Check Point considère la prévention de la perte de données comme une stratégie et non comme une science. Notre mission est de fournir aux clients les outils et la protection dont ils ont besoin pour empêcher les violations de sécurité et y réagir avant qu’elles ne se produisent, » conclut Oded Gonda.