Le coût, principal frein à la prévention des fuites de données en France
Vendre de la DLP en France n’a pas l’air chose aisée. Une large majorité des entreprises de l’Hexagone y semble encore réfractaire. Il est vrai que le coût de mise en oeuvre de ces solutions reste élevé et qu'il ne faut pas négliger non plus la dimension non-informatique. Et notamment la question de l’acceptation, par les utilisateurs, de ce type de protection.
Pas de doute, la DLP – pour Data Loss Prevention, ou Prévention des Fuites de Données – peine encore à décoller en France. Selon une étude Redshift pour DeviceLock, seules 45 % des entreprises hexagonales de plus de 500 salariés auraient déployé une solution de DLP. Une situation à peine meilleure que celle de l’Allemagne. Dans le détail, moins de 30 % des entreprises de cette taille, en France, auraient recours à une solution de contrôle des périphériques sur le poste de travail (38 % en moyenne pour toutes les entreprises françaises) et environ 15 % d’entre elles filtrent les contenus au niveau du poste de travail pour éviter les fuites de données. Selon RedShift, 40 % des entreprises de l’hexagone n’envisagent cependant pas de plus contrôler les données transitant depuis leurs postes de travail vers des comptes de messagerie personnel ou des réseaux sociaux. Pourquoi une telle frilosité alors même que les solutions de DeviceLock se veulent particulièrement économiques ?
Le coût en premier frein
Chez Athena Global Services, distributeur de DeviceLock pour la France, on reconnaît que le coût global d’un projet de déploiement de solution de DLP peut être onéreux, bien au-delà du simple coût d’acquisition des briques technologiques nécessaires : « c’est effectivement plus complexe que de déployer un anti-virus et il est vrai que ce n’est pas qu’un projet purement informatique. » Selon le distributeur, « le plus gros du travail, sur un tel projet, ce sont les dimensions organisationnelles et de création des politiques de sécurité. » De fait, il peut être nécessaire de « classifier » les contenus et, surtout, il faut veiller à faire adhérer les instigateurs de politiques de sécurité « à la réalité opérationnelle. »
DeviceLock 7.0 étend son périmètre fonctionnel |
La version 7.0 de la solution DeviceLock doit arriver en bêta d’ici la fin du mois d’avril, à l’occasion du salon britannique InfoSec. Cette nouvelle mouture doit notamment apporter nombre de nouvelles fonctions et, en particulier, étendre ses capacités de contrôle des échanges et de filtrage des contenus au-delà des périphériques pour toucher aux échanges réseau – SMTP, HTTP/HTTPS, messagerie instantanée, FTP ou encore Telnet. Le tout en tenant du contexte de l’échange – comme le destinataire d’un message, par exemple. Egalement au programme, le support de BitLocker To Go de Windows 7. DeviceLock 7.0 doit être commercialisé dans le courant du troisième trimestre 2010, à partir de 35 €/module et par poste de travail (tarifs dégressifs selon le volume). Trois modules seront proposés : l’agent de contrôle des périphériques de base ; le module de filtrage des contenus ; et le module de filtrage des flux réseau. |
Cliquez pour dérouler |
Quant à la mise en place effective, un peu comme dans un projet ERP, c’est « le paramétrage qui est la partie la plus lourde. » Du coup, Athena Global Services recommande une approche en douceur de la DLP : « le secret, c’est d’avancer étape par étape ; de ne pas activer toutes les fonctions d’un coup. Par exemple, certains clients commencent par simplement superviser les flux de données dans un premier temps, sans appliquer de filtrage. Des entreprises n’ont d’ailleurs adopté DeviceLock que pour disposer d’une visibilité nouvelle sur leurs flux de données. » Bref, le coût d'un projet DLP pourrait bien être établi en multipliant plusieurs fois le coût d'acquisition de la seule solution technologique.
A Chelles, une mise en œuvre à minima
Une approche partielle de la DLP, donc, retenue d’ailleurs par la ville de Chelles qui a mis en place la solution de DLP de DeviceLock en février dernier, après la signature d’une charte « Internet, Informatique et Téléphonie » avec les représentants du personnel. Charte servant constituant une sorte de framework organisationnel pour la définition technique des politiques sécurité. René-Yves Labranche, DSI de Chelles, explique que, dans son contexte, l’approche sécurité du système d’information s’inscrit principalement dans une logique de garantie de la disponibilité. Du coup, il cherchait à protéger notamment les postes de travail des périphériques extérieurs – clés USB ou disques durs externes apportés par les collaborateurs – pour éviter tout risque de contamination de l’infrastructure. D’ici la fin 2010, cette démarche doit d’ailleurs être complétée par un audit complet de la sécurité du SI de la ville pour, notamment, rechercher les failles et les risques d’intrusion.
Mais l’exercice a tout de même montré une limite : la DSI de Chelles s’occupe également du SI de la communauté d’agglomération Marne et Chantereine ; elle n’a pas réussi, pour l’heure, à étendre son projet à ce périmètre, faute de l’acceptation, par les représentants du personnel, d’une charte équivalente à celle appliquée à la ville de Chelles.