Le récent CSO Interchange à Paris a été l'occasion de faire le point sur deux tendances fortes du moment que sont la lutte contre la fuite des données (DLP) et le modèle du Software as a Service (SaaS). Comme nous avons pu le constater, le besoin des entreprises en la matière - et la perception de ces tendances par les RSSI - ne sont pas toujours totalement en ligne avec les propositions du marché.

Sans surprise, le niveaux de maturité face à ces deux tendances est très différent. C'est le sujet du DLP qui semble avoir le plus évolué au cours de l'année écoulée. Ainsi lors de l'édition 2008 de l'événement, nous relevions le gouffre qui semblait exister entre les offres DLP du marché et les besoins des entreprises. Les RSSI s'avouaient en effet bien en peine de savoir exactement où sont leurs données, sans même espérer les contrôler !

Le discours était toutefois plus mesuré cette année. Certes la discussion a rapidement abordé l'éternel problème de la classification des données. Mais c'était cette fois de manière plus concrète, et notamment avec quelques suggestions d'actions simples à mener.

Il demeure bien entendu toujours aussi complexe de classifier les données. Mais un participant a toutefois fait remarquer qu'il est simple et peu coûteux de faire une passe sur les répertoires partagés des serveurs de fichiers de l'entreprise. "Il est utile de contrôler qui accède à quels fichiers sur ces serveurs, par métier si l'on a déjà abordé le role management, ou par service sinon. Et de resserrer les droits en fonction", explique un RSSI présent à la table. Cela ne coûte pas grand chose et permet effectivement de limiter l'exposition de l'information, sur la base du fameux "besoin de savoir" (les esprits chagrins feront certes remarquer que rien n'empêche la copie locale et la diffusion des-dits documents, mais c'est là partiellement une affaire de sensibilisation).

De même l'utilisation des fonctionnalités existantes dans les outils communs a été signalée comme un moyen simple de débuter en douceur avec le DLP. "Il faut encourager les collaborateurs à utiliser déjà les moyens à leur disposition, tels les drapeaux <confidentiel> dans la suite Office ou dans la messagerie", complète un autre participant. Et Eric Domage (IDC), le modérateur de cette discussion, d'ajouter que des fonctionnalités de gestion des droits des documents existent déjà dans la suite Microsoft Office et pourraient dans certains cas être mises à profit sans douleur.

En bref, et comme le résume parfaitement un RSSI présent, "il est nécessaire de commencer par un grand nettoyage chez soi avant d'aborder le DLP".

Sur le front des solutions, les participants semblaient également mieux connaître les offres du marché que l'an dernier, au point de débattre un instant sur les mérites respectifs du contrôle par fingerprinting ou par expressions régulières ! Nul ne saura toutefois s'il s'agit là d'une preuve de réelle maturité sur les technologies, ou le simple produit "du matraquage marketing de la part des éditeurs", comme le suggère Eric Domage.

Autre preuve de maturité sur la question DLP, le budget : totalement absent des discussions l'an dernier, celui-ci s'est invité cette année dans le débat. "Il n'existe pas à proprement parler de budget DLP. Mais en cas de besoin, on trouve facilement le financement" a-t-on ainsi pu entendre. Et d'ailleurs, plusieurs maquettes étaient déjà en oeuvre chez certains participants, et d'autres sont à l'étude.

En ce qui concerne le modèle du Software as a Service, en revanche, les RSSI semblent plus partagés. Tous sont conscients que la tendance du SaaS s'imposera à eux, sous la pression des métiers et sans qu'ils ne puissent sérieusement penser à la refuser. Et les participants de faire remarquer que ce n'est pas, en soit, très différent de ce qu'ils connaissent déjà : "Finalement, quelle différence entre une application en mode SaaS, comme le CRM, et l'externalisation de la paie que nous pratiquons déjà depuis de nombreuses années ? Aucune : dans les deux cas des données essentielles quittent l'entreprise pour être traitées chez un prestataire multi-clients chez qui nous n'avons aucun moyen de savoir quelles sont les mesures en place pour assurer leur protection", résume à merveille un RSSI présent.

Ainsi, plutôt que la question de la confidentialité des données externalisées - qui semble un vieux débat - les reproches faits aux offres SaaS proposées actuellement par le marché concernent plutôt deux points techniques : la journalisation et l'authentification.

"Nous attendons de vrais journaux, à la fois complets et fiables ! Il faudrait par exemple que les fournisseurs de SaaS soient en mesure de faire horodater et certifier ces journaux par un tiers de confiance avant de les mettre à notre disposition", propose un participant. L'objectif, ici, est de pouvoir en définitive avoir le même niveau de visibilité et d'assurance sur l'activité de l'application SaaS que sur les solutions internes. Voire, même, à terme de lier les deux : "dans l'idéal j'aimerais pouvoir appliquer des politiques internes à l'usage d'applications en mode SaaS, au même titre que les applications locales", imagine un RSSI.

Dernier sujet d'inquiétude évoqué, enfin : le contrôle d'accès aux applications en mode SaaS. "Le fait que les données soient externalisées chez un spécialiste multi-clients rend certes une attaque ciblée plus difficile. Mais en revanche l'effort de l'attaquant se déplace alors vers l'accès à l'interface web de l'application SaaS", observe un participant. Et de ce point de vue des efforts restent à faire chez les éditeurs : les RSSI regrettent notamment que l'absence de moyens d'authentification forte pour l'accès aux applications SaaS. Le support des tokens OTP, par exemple, ferait le bonheur de nos RSSI...