DLP (Data Loss Prevention)
Ensemble de technologies qui inspectent les données au repos, en transit ou en usage pour empêcher l'exfiltration d'informations sensibles hors des frontières autorisées.
La Data Loss Prevention (DLP) est une famille de technologies et de processus visant à empêcher les données sensibles — données personnelles, numéros de carte, code source, dossiers santé, propriété intellectuelle — de sortir des frontières autorisées. Les solutions DLP classent la donnée, l’inspectent sur plusieurs canaux (poste, réseau, email, SaaS) et appliquent des politiques qui bloquent, mettent en quarantaine, chiffrent ou alertent lorsqu’un contenu classé se déplace là où il ne devrait pas.
La DLP se déploie classiquement selon trois modes : données au repos (analyse des espaces de stockage), données en transit (inspection email et réseau), données en usage (surveillance des actions sur le poste — copier-coller, écriture USB, capture d’écran). Propriétés essentielles :
- Classification de contenu d’abord. L’efficacité dépend de classifieurs précis — regex pour les formats connus, dictionnaires de mots-clés, ML pour le non-structuré. Les faux positifs sont la taxe opérationnelle.
- Pilotée par politique. Chaque règle associe une classification à une action : autoriser, bloquer, chiffrer, alerter, demander une justification.
- Couverture multi-canal. Une DLP mature couvre la passerelle email, le proxy web / CASB, l’agent endpoint et les API SaaS. Les trous dans un canal deviennent des voies d’exfiltration.
- Ancrage réglementaire. La DLP est l’un des rares contrôles qui se mappe proprement à l’article 32 du RGPD, PCI-DSS, HDS, et autres exigences de « mesures techniques appropriées ».
La DLP est une brique fondamentale et ne disparaîtra pas des environnements régulés. Sa limite honnête est la même que celle des CASB : la DLP applique des règles de contenu, mais une part croissante du risque SaaS vit dans des comportements qui ne déclenchent aucun classifieur — accorder un scope OAuth à un outil productivité gratuit, laisser un compte prestataire dormant six mois, partager un lien anodin qui expose une stratégie. C’est la couche que la surveillance SaaS centrée comportement adresse, en complément (pas en remplacement) de la DLP.
Termes liés
- CASB (Cloud Access Security Broker)Couche d'application des politiques entre les utilisateurs et les SaaS, qui inspecte le trafic et bloque les actions interdites — le modèle « gardien » de la sécurité SaaS.
- Shadow ITLogiciels, SaaS ou services cloud utilisés dans l'organisation sans approbation IT ou sécurité — invisibles à l'inventaire, non gouvernés, rarement désactivés à la sortie.
- Partage public de fichiersPartage d'un fichier ou d'un dossier SaaS via une option « toute personne disposant du lien » qui contourne l'authentification — la fuite silencieuse la plus fréquente dans Drive, SharePoint, Dropbox, Notion.
- Octroi OAuthJeton d'accès qu'un utilisateur délivre à une application tierce via OAuth, donnant à cette application un droit permanent de lire ou écrire dans un SaaS — souvent au-delà du MFA, souvent à vie.