Gestion des données : Symantec joue les prosélytes anti-fuite
« Le marché français n'est pas mûr, mais très excité. » A l'heure où Symantec digère l'acquisition de Vontu (pour 350 M$ en novembre 2007), le temps est venu pour le spécialiste en sécurité de venir évangéliser, optimiste, le fruit technologique de son rachat sur le marché français. Et dans la foulée décrypter le concept populaire aux Etats-Unis – selon les mots de Symantec - du DLP (Data Loss Prevention), coeur de métier de Vontu.
« Le marché français n'est pas mûr, mais très excité. » A l'heure où Symantec digère l'acquisition de Vontu (pour 350 M$ en novembre 2007), le temps est venu pour le spécialiste en sécurité de venir évangéliser, optimiste, le fruit technologique de son rachat sur le marché français. Et dans la foulée décrypter le concept populaire aux Etats-Unis – selon les mots de Symantec - du DLP (Data Loss Prevention), coeur de métier de Vontu. Un concept, plus qu'une technologie, que l'éditeur définit comme les mesures protégeant contre « un incident lors duquel la confidentialité d'informations a été compromise », mais sans forcément savoir si, au final, les données volées vont être utilisées. C'est dire l'enjeu.
Pas du plug and play
Techniquement, le DLP opère « un glissement des mesures de sécurité de l'infrastructure vers l'information », définit Laurent Heslault, directeur technique de Symantec pour la région EMEA.
La technologie Vontu, par le biais d'une identification et classification de données sensibles, de définition de politiques et de catégories d'utilisateurs, sécurise les données et minimise leur évaporation hors de l'entreprise. « Si j'effectue un envoi de mail par Gmail, est ce normal ? », interroge Laurent Heslault. La classification, étape primordiale dans le processus, devra ainsi solliciter l'intervention de responsables métiers, pour identifier quelle donnée (structurée, non-structurée et décrite) est sensible par rapport à une autre, tant sur le réseau, les espaces de stockage ou des solutions comme les clés USB.
Reste à savoir si le marché français sera séduit. Et Symantec qui doit débuter la commercialisation dans l'hexagone des outils Vontu en version autonome dans un mois et intégrée à l'antivirus professionnel EndPoint dès l'hiver prochain, l'espère fortement.
Si IDC prédit un avenir radieux au DLP dans le monde (3,5 Md$ en 2011, mais 200 M$ en 2007), la prise de conscience des dangers et la mise en place de politiques adéquates doit faire son chemin en France. D'autant que le coût d'implémentation reste conséquent. « Entre 20 et 300 000 euros », répond vaguement Laurent Heslault. « Le prix moyen d'un projet aux Etats-Unis est de l'ordre de 300 000 dollars.» A cela doit également correspondre une longue période d'apprentissage, d'éducation et d'accompagnement, et donc de services.
« En France, ce ne sera pas plug and play. Il faudra donc du temps pour que ça devienne efficace », confirme Laurent Heslault.
L'espoir d'une législation contraignante
Au final, le DLP pourrait bien recevoir l'aide de la Commission européenne. L'exécutif travaille en effet sur la mise en place de directives censées réguler la protection et la conservation des données personnelles. « Il s'agit notamment d'importer une loi américaine nommée Data Breach Notification», explique Sarah Greenwood, qui travaille auprès de la Commission pour Symantec. Nul doute qu'une législation un peu contraignante en la matière favoriserait une adoption rapide par les entreprises. Ce qui mérite bien un peu de lobbying.
En France, la transposition des directives devraient en premier lieu impacter les FAI et avoir des conséquences sur le pouvoir de la CNIL. Pour d'ici quatre ou cinq ans, déferler sur d'autres secteurs que celui de l'Internet. Soit un terrain plus fertile à la mise en place de solutions DLP.