Vers une sécurité centrée sur les données : Gestion des droits numériques de l’entreprise, couramment appelée EDRM (Enterprise Digital Rights Management)

Avec l’amenuisement des frontières des entreprises, une sécurité basée sur le périmètre traditionnel pourrait ne pas être en mesure de protéger les patrimoines de données des sociétés. Pour faire face à ce risque croissant, il est nécessaire d'appliquer une protection au niveau des données et de les sécuriser tout au long de leur cycle de vie, c'est-à-dire lorsqu'elles sont créées, stockées, utilisées ou échangées entre les employés, les partenaires et les parties externes de l'entreprise jusqu'à leur archivage final ou leur destruction définitive.

Enterprise Digital Rights Management en quelques mots

En tant que spécialistes de la cybersécurité de Deloitte, nous observons au sein de notre clientèle, un intérêt croissant pour la sécurité centrée sur les données. Une technologie qui a acquis une popularité particulière et qui apparaît fréquemment sur les feuilles de route de sécurité de nos clients est l’Enterprise Digital Rights Management (EDRM). La technologie EDRM existe depuis plusieurs années, mais sa disponibilité sur les appareils mobiles et sa compatibilité avec les plateformes de collaboration et de messagerie électronique les plus largement utilisées ont permis son expansion récente. Il s'agit d'une combinaison de la gestion des identités et accès avec le cryptage. Le contenu protégé par EDRM est crypté et associé à une politique de protection qui spécifie les autorisations pour différents utilisateurs et groupes d'utilisateurs, pour des fonctions telles que visualiser, éditer, télécharger, imprimer, enregistrer ou transférer. Pour qu'un utilisateur accède à un contenu protégé, l'authentification est nécessaire. En fonction de l'identité, l'utilisateur dispose des autorisations conformément à la politique de protection. À l’inverse d’une solution traditionnelle de gestion des accès et des identités orientée par application, la protection par EDRM demeure attachée au contenu et garantit une sécurisation indépendamment de l'application, du périphérique ou du point d’accès.

L’EDRM est habituellement utilisé pour les documents particulièrement sensibles et les e-mails échangés et consultés par une multitude d’intervenants. Parmi les exemples marquants figurent les mémos du conseil d’administration, les documents sensibles sur le plan commercial, tels que les documents de conception de produits, les plans de fusion-acquisition, les rapports financiers ou les informations relatives à la clientèle. Le titulaire du contenu est habilité à révoquer ou à modifier à tout moment les droits d’accès ou à fixer une date d’expiration pour que, dès que le contenu ne revêt plus un caractère sensible, les droits d’accès puissent être assouplis voire supprimés. La granularité de la protection est spécifique à la solution et au fournisseur, allant de la protection d’une bibliothèque de documents, d’un répertoire ou d’un fichier unique, à la simple protection de la partie confidentielle d’un fichier.

Observations et recommandations en matière de mise en œuvre

Bien que l’EDRM offre de véritables capacités de protection des données, il s’agit d’une technologie récente, dont l’impact sur les processus opérationnels existants doit être soigneusement évalué. À titre d'exemple, l’EDRM présente des écueils fréquents, comme l’excès de protection du contenu, un blocage inadéquat des accès ou un impact sur les capacités de l'e-discovery (la découverte par voie électronique). En vue de remédier aux problèmes précités, nous conseillons à nos clients d'adopter une approche de mise en œuvre structurée et par phases. Il convient notamment de sélectionner soigneusement les cas d’utilisation et d’identifier les avantages commerciaux, de procéder à des déploiements de pilotes et à la démonstration de l'intérêt du concept, d’évaluer les impacts et d’impliquer étroitement les parties prenantes. Par ailleurs, l’EDRM ne se limite pas à une technologie : la disposition d'une structure de gouvernance robuste, d'une formation adéquate et la prise de conscience par la communauté des utilisateurs constituent également des facteurs de succès importants.

Pour conclure, notre expérience révèle que l'EDRM est l'approche la plus efficace lorsqu'il est combiné avec d'autres technologies de protection centrées sur les données, telles que les systèmes de prévention contre la perte de données (communément appelée Data Loss Prevention ou DLP). Les technologies EDRM et DLP offrent des capacités complémentaires, dont il est possible de tirer parti pour élaborer une architecture de protection des données plus homogène. Par exemple, une solution se fondant sur DLP est en mesure de détecter des données sensibles et d’appliquer une politique d’EDRM pour restreindre l'accès aux données identifiées.

Si vous souhaitez participer à une première discussion concernant l’EDRM et l’approche de Deloitte permettant d’assurer le succès de la démarche, nous vous invitons à prendre contact avec notre équipe.