Si une convergence totale entre DRM et DLP se fait attendre, la tendance est bien là. Grâce aux API de leurs solutions, et par des accords communs, les éditeurs ont entamés un rapprochement. Mais il leur reste encore beaucoup à faire pour offrir une solution globale de protection des données.
Premier espoir pour la convergence DRM – DLP : les solutions de DLP comme celles de DRM offrent généralement un jeu d’API complètes pour s’ouvrir au monde, ce qui a déjà permis un début de rapprochement.

McAfee a ainsi conclu un accord avec l’éditeur de DRM Liquid Machines , ce dernier proposant désormais sa « Liquid Machines Gateway for DLP », une solution de DRM capable de discuter avec le moteur de classification du DLP de McAfee. Et ce dernier vient d’annoncer un accord similaire avec Adobe, afin d’intégrer là aussi l’offre de DRM du géant à son DLP.

Quant à Symantec, si la convergence DRM-DLP n’est pas à l’ordre du jour, la porte n’est pas entièrement fermée grâce à ces mêmes interfaces applicatives : « Les outils Vontu disposent d’API qui nous permettent d’intervenir lorsqu’on découvre un fichier jugé sensible par la stratégie DLP et qui n’est pas à sa place. On peut alors déclencher du chiffrement ou appliquer une politique DRM automatiquement via un outil tiers si ce dernier dispose lui aussi d’API pour le piloter », détaille Laurent Heslault, Directeur technique EMEA chez Symantec.

McAfee – tout seul cette fois – adopte d’ailleurs lui aussi une approche similaire en ce qui concerne le chiffrement : « Nous intégrons Safeboot à notre solution de DLP, afin que celle-ci puisse décider de chiffrer automatiquement un document sortant parce que les données qu’il contient sont confidentielles », explique David Grout.

Plus en avance encore, Microsoft a acquis à la fin 2008 la technologie de classification des données de RSA. « Notre objectif est d’associer les modèles DRM de Windows Rights Management Services avec des politiques DLP. L’idée est d’être en mesure de définir des règles globales via le DLP et qu’elles puissent être traduites et adaptées automatiquement en modèles RMS, pour être poussées sur les documents », explique Bernard Ourghanlian (voir « Des éditeurs en ordre de bataille », dans ce dossier).

Deux autres éditeurs, plus modestes, tablent eux d’emblée sur l’association du DLP et du DRM en proposant chacun une solution hybride. L’américain NextLabs , avec son Enterprise DLP et l’israélien Secure Islands , avec IQProtector, sont deux pure-players de cette tendance émergente. Ils seront peut-être rejoints prochainement par SafeNet, qui envisage également d’intégrer la classification automatique des données à sa solution existante de DRM.

La gestion des identités entre dans la danse

Le paysage pourrait encore être relativement simple si les choses en restaient à des accords éventuels entre éditeurs et quelques API. Mais l’association du DRM et du DLP pourrait bien devoir à terme déborder sur un autre pan de la SSI : la gestion des identités.

Car les politiques communes que pourront partager DRM et DLP ont tout à gagner à s’ouvrir à la notion d’identité. « Le travail de classification des données réalisé pour le DLP aura permis d’identifier les personnes autorisées à communiquer tel ou tel type d’information. On peut imaginer ré-utiliser ensuite ces même informations afin de permettre à ces utilisateurs d’accéder à des documents protégés par le DRM », précise Arnaud Gallut, Directeur des ventes sécurité chez CA.

Le DRM pourra alors être considéré comme un contrôle parmi d’autres à la disposition du DLP (tel que le font déjà McAfee et Symantec pour le chiffrement par exemple). Et la notion d’identité viendra alors enrichir la granularité des règles qui peuvent mises en oeuvre. Et c’est en marche : « La plupart des solutions actuelles de DLP se contentent de protéger des devices spécifiques, sans se soucier de qui les utilise. Mais les solutions les plus récentes commencent toutefois à s’intéresser à l’identité de l’utilisateur », observe sur son blog l’analyste Martin Kuppinger, de Kuppinger Cole and Partner.

C’est donc bien un triptyque qui se dessine, avec l’identité au centre des décisions de protection de l’information, le DLP comme outil de classification avant tout mais aussi principal levier du contrôle, et le DRM comme filet de fond de court, capable de limiter l’impact d’une fuite éventuelle.

L’intégration de ces trois technologies pose cependant un défi à la fois technique (standards, administration, niveau d’abstraction des politiques) et, surtout, organisationnel (l’entreprise ne contrôlera que ce qu’elle connaît, et pourtant « 70% des droits d’accès attribués à un utilisateur ne lui sont d’aucune utilité », nous expliquait récemment Jim O’Boyle, VP en charge des ventes pour l’éditeur Varonis . Et pourtant, la gestion des droits d’accès, par opposition à l’information, est probablement l’aspect le plus aisé à auditer…

Il ne fait toutefois aucun doute que c’est dans cette direction que se dirige le marché. Et des solutions existent déjà : intégrées chez des pure players un peu plus audacieux qui offrent des produits hybrides, et via des accords entre spécialistes du DRM et les acteurs établis du DLP, par exemple. Vous découvrirez notre analyse des forces en présence dans la partie de notre dossier consacrée au marché : Le panorama de la convergence.