Le marché de la prévention contre la fuite d’informations (Data Leakage Prevention,ou Data Loss Prevention – DLP – en anglais) est en devenir. Il n’en reste pas moins que la problématique est au nombre des préoccupations des professionnels de la sécurité. Selon une étude de RSA Conference – les organisateurs des conférences du même nom – menée auprès de plus de 300 Responsables de la Sécurité des Systèmes d’Information (RSSI), 49% d’entre eux placent la fuite d’informations concernant des clients ou employés, en tête des menaces planant sur leur entreprise. Suivent les attaques par email (malware et phishing) pour 41% des sondés, et celles par web (36%). Le vol d’informations par du personnel interne et le vol de propriété intellectuelle sont aussi dans le top 5 des menaces, respectivement pour 36 et 34% des personnes interrogées.

Indication supplémentaire que le DLP devrait s’imposer à terme, la perte ou le vol d’ordinateurs, téléphones ou PDAs, est le premier challenge que pensent devoir relever 49% des RSSI dans les 12 prochains mois. Et 47% mettent au second rang les erreurs involontaires des employés, causant ces pertes d’informations, et mises en danger des sociétés. Il n’est donc pas étonnant que 49% considèrent qu’un challenge sera d’éduquer les employés. Pas certain que cela ne suffise. Des solutions de DLP complèteraient cette étape toutefois identique. La crainte des pertes et vols de périphériques est une indication, voire une confirmation, que c’est via les solutions de chiffrement que le DLP pourra s’immiscer dans les entreprises. Cette brique permet d’annuler la perte de données sensibles lorsqu’un ordinateur portable disparaît.

L’étude s’est aussi intéressée aux incidents passés. Les diverses malveillances propagées par email (69%) et via le web (44%) sont le gros de l’activité. Et le constat fait froid dans le dos. Car seulement 11% des incidents de sécurité ont été rendu public par les entreprises du panel. Or 29% des incidents concernent des fuites d’informations, relatives à des employés ou des clients, et 19% le vol de propriété intellectuelle. Que 89% des entreprises ne prennent la peine de prévenir leurs clients, partenaires, ou employés d’incidents mettent en jeu des données plus ou moins sensibles, n’est pas la marque d’une grande éthique… C’est même illégal puisque de nombreux états américains imposent aux entreprises de communiquer sur tout vol ou perte de données.