Le DLP, ou l’archétype du techno-solutionnisme béat

Cet acronyme en apparence simple recouvre en réalité des produits, des approches, des solutions techniques ou organisationnelles multiples et variées, mais, dans l’idée, il s’agit d’éviter que nos données se fassent la malle. Et, entre le RGPD qui prévoit des amendes record (rarement appliquées dans leur intégralité, heureusement) et le fait que le pays du fromage détienne en 2025 le record mondial¹ des fuites de données en tout genre (le Taj, Free, CAF, Cegedim, etc.), je suis même presque surpris qu’il n’y ait pas plus de consultants encravatés qui fassent le pied de grue devant ma DSI.

Le premier problème avec le DLP, c’est justement que cela recouvre des technologies multiples : certains classent le firewall dans la batterie d’outils DLP – autant dire qu’à ce compte, on est tous déjà équipés. Le deuxième problème, c’est que le DLP « hard core » adresse des technologies qui sont, sur le papier, intellectuellement séduisantes, mais, opérationnellement, relèvent plutôt du cauchemar technologique.

On parle effectivement de classification et de tag de la donnée par des algorithmes ultra sophistiqués (supposés faire la différence entre le menu de la cantoche et le séquençage ADN d’un VIP), et surtout de la détection d’accès anormaux (ne serait-on pas plutôt dans la gestion des habilitations ?) en nature ou en volume, avec, cerise sur le gâteau, des détections d’exfiltration. À ce stade, le lecteur attentif aura noté que l’on parle de « P » pour « prévention » et non pas pour « protection », ce qui fait qu’au final le bouzin ne va pas dire « enfilez une petite laine, ça va cailler », mais plutôt « souriez, vous êtes à poils ».

Mais le côté drôle est ailleurs. Le côté drôle, c’est que cette débauche de technologie, pour autant qu’elle soit opérationnelle (que l’on me montre un algo efficace de classification de la donnée sur mes 300 logiciels de soins, chiche), ne sert à rien. Parce qu’une techno, ce n’est pas un besoin, c’est un moyen, donc la réponse à un besoin. Et, en l’occurrence, le besoin ici, c’est la réponse à un risque (perte / exfiltration de données), et cela suppose d’avoir analysé finement le risque. Et pan.

Selon que l’on veuille se protéger d’une exfiltration de données par mésusage d’un utilisateur en bout de chaîne ou d’un adminsys qui a pété un boulon, les dispositifs ne vont pas être les mêmes. On se souvient de la fuite des données de la base COVID hébergée par un acteur public en santé, ayant pour origine justement un adminsys antivax : tous les produits de classification / tag du monde n’y feront rien. Et cela commence par un minimum de veille techno, en particulier sur la liste longue comme un jour sans pain des fuites de 2025 susnommées, et surtout de leurs root causes. On trouve, à peu près partout, les mêmes causes classiques : pas de MFA des adminsys, pas de MFA des utilisateurs, serveur exposé sur Internet avec des vulnérabilités datant de la Reine Berthe, pas de contrôle élémentaire sur les volumes anormaux en sortie (par PC, par serveur, par protocole ou même globalement — soit dit en passant, quasi tous les firewalls disposent de cette fonction en natif), pas de veille rudimentaire sur Internet pour chercher des données en libre accès qui ne devraient pas s’y trouver (avec l’IA, on peut faire des trucs magiques pour pas un rond en 2026), etc.

Ne trouve-t-on pas d’ailleurs dans le Nouveau Testament (norme ISO 27001 v2022), au verset A8.12 (« Prévention de la fuite de données »), un court paragraphe où le mot « technique » est totalement absent, mais mentionne par contre à la fois le système, le réseau et les terminaux ? Un auditeur externe avisé ne manquerait pas de noter positivement si le sujet a été analysé, adressé, et qu’une veille est effectuée pour vérifier que le contexte général (par exemple, un nouveau mode d’exfiltration inconnu jusqu’alors) n’est pas sorti du chapeau de Belzébuth.

Bref, avant de sortir la Grosse Bertha, il est urgent de :

• connaître les scénarios les plus courants de fuite de données ;
• vérifier, d’abord et avant de dépenser le moindre kopeck, que l’on n’a pas déjà en magasin des outils rudimentaires pour mitiger le risque ;
• ensuite, mais seulement ensuite, envisager potentiellement, peut-être, éventuellement, de dépenser quelques sous à l’acquisition d’une solution plus évoluée (qui, dans la majorité des cas, finira à la poubelle, parce que si déjà on n’a pas les moyens d’utiliser ce que l’on a déjà, je ne vois pas par quelle opération du Saint-Esprit on aurait les moyens de gérer ce que l’on n’a pas encore) ;
• et mettre en place des contrôles, même rudimentaires, pour vérifier que tout se passe bien.

[1] Des pays de l’OCDE et ramené à la population