DRM & Classifications : comment ces 2 solutions améliorent la sécurité des données non-structurées tout en favorisant la digitalisation des services ?

A la différence des données structurées qui se situent dans un environnement maîtrisé par l’entreprise (stockées dans des bases de données), les données non-structurées (documents bureautiques et messagerie) sont beaucoup moins maîtrisables car leur cycle de vie est complexe avec des conditions de partages hétérogènes. La protection des données non structurées est donc un enjeu majeur et stratégique pour l’entreprise.

Les solutions de DRM et de classification offrent à l’entreprise la possibilité de maîtriser le partage de ses secrets. Elles permettent de décliner de manière opérationnelle la politique de classification existante, de faciliter l’adoption de la classification par les utilisateurs et de proposer des services de protection de la donnée exploitant cette classification (chiffrement).

1. Comment fonctionne une solution de DRM – Digital Rights Management ?

Une solution DRM ou Digital Rights Management, est une solution qui s’articule autour de 4 grands axes :

  • La gestion des accès qui permet une gestion des droits transparente grâce au SSO, la possibilité d’ajouter des destinataires, des dates d’expiration et la suppression/modification des droits à distance.
  • La gestion des droits d’usage avec le contrôle des actions (ouvrir, enregistrer, enregistrer sous, imprimer, etc…) et la traçabilité des actions à posteriori en dehors du périmètre de l’entreprise (qui, quand, quoi et comment).
  • La protection des documents qui peut être automatique et chiffrée, ainsi que le blocage d’envoi de messages contenant des documents protégés.
  • La sensibilisation et le besoin de pédagogie envers l’utilisateur avec un système de notification utilisateur et de marquage document (filigrane).

2. DRM & Classification – Deux solutions qui placent l’utilisateur au centre du projet

Les solutions de DRM permettent de transformer la sécurisation périmétrique en sécurisation des données sensibles dans des environnements de moins en moins maîtrisés. L’impact est inférieur à 5% de l’IT mais couvre 100% des utilisateurs !

D’un point de vue utilisateur, les besoins fonctionnels sont simples, d’une part la classification et la protection des documents, d’autre part la consultation et la modification des documents. Sur le plan administration et gestion, il est possible de définir la classification à la création du document et à la reprise du stock. Cette stratégie outillée facilite grandement la mise à jour des politiques et gère en temps réel (synchronisation avec les groupes AD) la gestion de la mobilité interne. En cas d’incident, le DRM apporte de nouvelles capacités de sécurité car il permet un blocage des documents à distance, le recouvrement des documents, la consultation des accès, des actions et des documents déclassifiés (par les utilisateurs internes et externes).

La mise en place du DRM permet de faciliter le partage avec l’interne et l’externe tout en renforçant l’application de la PSSI. En terme d’auditabilité, les solutions permettent d’effectuer une traçabilité des actions à posteriori et en dehors du périmètre de l’entreprise en répondant à 4 questions :

  • Qui ? Identification des utilisateurs qui accèdent aux fichiers
  • Quoi ? Connaissance des actions réalisées sur les fichiers
  • Quand ? Détection des usages non autorisés aux fichiers
  • Où ? Connaissance des fichiers protégés

3. Prospectives & améliorations attendues

Comme toute solution technique, le DRM couvre un périmètre cible du risque lié à la sécurité des données non-structurées sensibles. D’autres solutions complémentaires existent : les solutions de Data Access Governance (DAG), qui permettent de contrôler et réduire le risque lié à l’accès aux informations stockées dans les ressources partagées.  Les solutions de Data Loss Prevention (DLP) peuvent également compléter les solutions de classification et de DRM pour détecter les documents sensibles non protégés et les actions illégitimes qui pourraient être réalisées.

Aujourd’hui, qu’il soit question de DRM, de classification ou de DLP, chacune de ces 3 solutions comportent des limites : le volume de faux positifs pour le DLP, le volume d’archivage et le nombre d’environnements et de conteneurs à intégrer pour le DRM, et l’humain pour la classification.

Parmi les principales solutions à connaître en matière de protection des données non structurées, nous pouvons également évoquer des « add-on » pouvant apporter une surcouche d’Intelligence Artificielle (IA). Le premier usage concerne l’Intelligent Assistant qui aurait la capacité d’améliorer la classification. Il permettrait de proposer à l’utilisateur le bon niveau de classification à appliquer après une analyse préalable des données sensibles dans le document (exemple RGPD). Le Machine Learning appliqué au DLP va offrir de nouvelles capacités permettant de réduire le volume de faux positifs sur les règles de détection de fuite et enfin le Machine Learning appliqué au DRM devrait permettre d’améliorer la reprise de stock avec le bon niveau de classification de façon unitaire.

Enfin, dans les principales solutions à connaître en matière de protection des données non structurées, nous pouvons également évoquer les add-on qui peuvent apporter une surcouche d’Intelligence Artificielle (IA). Nous conseillons d’étudier les capacités offertes par un Intelligent Assistant pour améliorer la classification (exemple RGPD), le Machine Learning, pour réduction le nombre de faux positifs sur les règles de détection de fuite dans le cadre de projet DLP et le Machine Learning pour optimiser la reprise de stock avec le « bon » niveau de classification dans le cadre de projet de DRM.

RENDEZ-VOUS 

Le 22 et 23 janvier 2019

FIC 2019 Security & Privacy by design

De 09h à 19h

Lille Grand Palais
1 boulevard des Cités Unies
59777 Lille – Euralille

L’expertise au centre de notre stratégie de croissance