Devant les pertes de données abyssales de plus en plus fréquentes, certains éditeurs se sont spécialisés dans la fourniture d’une nouvelle famille d’outils, les DLP (Data Leak Prevention ou Data Loss Prevention), qui permettent de protéger les données sensibles de l’entreprise, contre leur détérioration, vol et détournement. Des outils que l’on peut raisonnablement classer dans les outils de gestion des risques.

C’est l’une de ces solutions DLP que vient d’annoncer Google, inquiet lui-aussi, devant la dégradation de la protection des données qui lui sont confiées avec Gmail.

Un triple objectif

Les DLP répondent à un triple objectif de contrôle des données :

  • « data at rest », pour localiser et référencer les données sensibles dans toutes les « zones » de l’entreprise
  • « data in motion » pour contrôler les mouvements de ces données dans les différents flux de réseaux, qui traversent et sortent de l’entreprise
  • « data in use » pour contrôler les mouvements et l’usage des données chez les utilisateurs.

Ces solutions DLP sont toujours de gros projets qui impliquent toute l’entreprise, avec une approche qui n’est pas sans rappeler celle des MDM (Master Data Management) et les solutions dédiées à la qualité des données.

Les outils DLP interviennent à différentes phases : établissement de règles précises pour la classification des données, gestion des catégories, mise en œuvre de l’outil, solutions à prévoir en cas de dysfonctionnement ou de non-respect des règles…

Gros travail donc en perspective, rien que pour délimiter les périmètres de données à protéger et faire un inventaire exhaustif de ce qui mérite une introspection DLP.

Et Google ne se sentira pas seul, puisque de nombreux fournisseurs sont déjà présents sur ce marché, les spécialistes du domaine qui se sont tous fait racheter « comme il se doit » par des plus gros qu’eux, généralement des spécialistes de la sécurité, pour qui le DLP constitue une disposition de plus : Vontu racheté par Symantec, Reconnex par McAfee, Tablus Content Sentinel par EMC/RSA, Orchestria par CA, Provilla DataDNA par Trend Micro, Vericept par Trustwave et PortAuthority par Websense.

En termes de popularité, Symantec reste le leader du marché, mais s’adresse surtout aux grandes entreprises, CA s’étant rendu presque indispensable auprès des sociétés financières (sa solution est au cœur de l’offre Bloomberg), les offres McAfee et Trustwave étant aussi adaptées à des profils de grandes entreprises. Microsoft est également présent sur ce créneau avec des outils de contrôle pour Exchange Server et Exchange Online.

L’annonce spécifique de Google

L’annonce de Google concerne Gmail for Work, doté dorénavant de fonctionnalités DLP, qui vont permettre aux administrateurs d’établir les règles de protection des données : l’inventaire de celles qui seront susceptibles d’être émises par Gmail et à contrario, celles qui ne devront jamais passer par Gmail, histoire de protéger les données d’un envoi intempestif, autant que des exfiltrations volontaires hors de l’entreprise.

Comme le note Google, les administrateurs pourront ainsi empêcher les comptables d’envoyer un courriel avec un fichier Excel en pièce attachée, ils pourront mettre en quarantaine certains messages qui mériteraient une analyse plus approfondie, quitte à les modifier, sans oublier de rappeler aux usagers qu’il existe des limites de sécurité qu’il ne faut désormais plus transgresser. Outils d’introspection qui ne se laisseront « pas avoir » par l’extension des fichiers, car si un utilisateur inconvenant veut absolument envoyer un fichier Excel, mais que la « policy » ne le lui permet pas, il aura beau changer l’extension .xls en .doc ou .psd, cela ne changera rien, car Gmail for Work ira s’assurer qu’il s’agit effectivement d’un fichier .doc ou .psd. Ce n’est pas à « un vieux singe que l’on apprendra à faire des grimaces »…

Gmail for Work comporte dans ce but des moyens d’analyse qui lui permet de « pénétrer » les pièces attachées et de proposer un diagnostic, quant au non respect des règles établies.

Histoire de faciliter la vie de ces « auxiliaires » de données, Google leur a préparé un certain nombre de scénarios types, que les administrateurs pourront s’approprier, des sortes de « templates », ce qui ne devrait pas les empêcher d’imaginer leurs propres protections, si ces templates ne les satisfont pas.

Pour Google tout cela s’insère évidemment dans une stratégie de séduction des entreprises, qui ont besoin de sécurité et d’outils protecteurs. C’est d’ailleurs dans le même but qu’il a fait certifier son Gmail for Work par rapport au standard ISO 27018 de protection des données dans les Clouds publics.

Une manière de dire :

« vous voyez messieurs les responsables de TI, nous faisons tout ce qui est en notre pouvoir pour professionnaliser et sécuriser nos services… VOTRE paranoïa devient NOTRE paranoïa et nous mettons tout en œuvre pour protéger le savoir-faire de votre entreprise, autrement dit vos données».

Le moyen aussi sans doute d’essayer de se rapprocher d’Office 365, qui a pris plusieurs longueurs d’avance ces derniers mois… précisément chez les clients soucieux de sécurité.