Cet article fera peut-être « sourire » nombre de personnes à travers le monde, mais dans beaucoup de pays la vie privée ne se limite pas à la frontière de votre entreprise. Ca y est, vous vous dites que je me suis trompé d’endroit pour cet article et qu’il devrait se trouver sur un site dédié à la philosophie et aux questions métaphysiques J
Pour mettre en œuvre une solution de DLP dans ces pays, il est nécessaire de prendre un certains nombres de précautions sous peine de ne pas pouvoir remédier aux fuites d’informations qui seraient détectées, voire d’être passible de sanctions pour avoir effectué des actions illégales.
Le cas extrême étant une entreprise ayant de nombreuses filiales à travers le monde et que l’on veut garder l’avantage de la gestion centralisée de la solution SYMANTEC DLP. En plus on va devoir prendre en compte les contraintes de chaque pays et il faut aussi gérer celles liées au transfert de données entre ces pays.
Certains concluent directement qu’il n’est donc pas possible de mettre en œuvre la solution….un peu hâtif tout de même.
On peut arriver à déployer un contrôle DLP dans ces conditions, mais il va être nécessaire de faire quelques études et concessions :
- Il va vous falloir étudier les contraintes légales et réglementaires de chaque pays où se trouvent les filiales et la manière dont l’entreprise souhaite les prendre en compte (ces contraintes n’étant pas toujours très claires ou explicites mais plutôt soumise à interprétation).
- Il faudra satisfaire certaines formalités administratives (notamment auprès des autorités de protection des données)
- Il faudra transposer ces contraintes et limitations en profils pour contrôler qui accède à quoi dans la solution. Pour permettre une bonne ségrégation des droits et des accès il vous faudra surement ajouter des « custom attribute » qui permettront de contrôler qui accède à quoi.
- Au niveau des politiques DLP, il se pourrait que vous deviez utiliser des « policy groups » différents pour définir sur qui vous déployez vos politiques DLP, ou sinon vous devrez utilisez des règles de détection de groups pour spécifier les populations sur lesquelles s’appliquent une politique.
Donc oui cela va compliquer la mise en œuvre de votre solution DLP généralisé, mais il est possible de déployer une solution DLP en satisfaisant les contraintes légales et réglementaires (notamment lié à la gestion des données à caractères personnelles et du droit à la vie privée).