A première vue, la question des différences entre DRM (Documents Rights Management) et DLP (Data Leakage Prevention) pourrait sembler purement académique : il s’agit après tout dans un cas comme dans l’autre de protéger l’information de l’entreprise.

Mais lorsque celle-ci y regarde de plus près, elle découvre que le périmètre et les motivations des deux approches sont très différents, au point de représenter deux projets vraiment distincts. « Le DLP est historiquement une approche plus réactive alors que le DRM est une approche pro-active, mais également beaucoup plus lourde et plus disruptive pour l’entreprise », tranche Derek Tumulak Vice President Product Management pour l’éditeur SafeNet.

Pourtant la promesse du DRM a de quoi séduire : pouvoir définir qui peut faire quoi avec le document que l’on vient de créer, et avoir l’assurance qu’il en sera toujours ainsi, même lorsque le document aura quitté les murs de l’entreprise. « L’avantage que je trouve au DRM est que les droits sont contenus dans le fichier protégé, et le suivent donc sur tous les médias. Il n’est plus besoin de contrôler tous les vecteurs de fuite d’information », faisait ainsi remarquer un RSSI membre de SecurityVibes lors d’une discussion sur le sujet.

Mais le DRM n’est pas sans inconvénient : chaque utilisateur doit, de lui-même, attribuer les droits qui conviennent aux fichiers qu’il crée. Et en matière de IT, compter sur l’utilisateur pour ne pas faire d’erreur est rarement une bonne idée. « On ne peut pas laisser une telle responsabilité à l’utilisateur, car il ne peut en aucun cas avoir une vision d’ensemble – stratégique – de la politique de sécurité de son entreprise. Ce n’est pas à lui à décider si l’information est confidentielle », martèle Eric Domage, directeur des études sécurité pour l’Europe chez IDC et membre de SecurityVibes . Même Microsoft, qui propose pourtant avec Windows Rights Management Services (RMS) une solution de DRM mûre, le reconnaît bien volontiers : « Avec RMS c’est à l’auteur de définir lui-même les politiques et les droits d’accès applicables à son document. Et cela n’offre effectivement pas l’assurance qu’un document contenant des informations sensibles sera classé comme tel », reconnaît Bernard Ourghanlian, Directeur technique et sécurité pour Microsoft France.

Le DRM seul ne peut donc offrir une vision d’ensemble de l’information en circulation dans l’entreprise, ni lui appliquer des règles centralisées en accord avec la politique de sécurité. Et c’est précisément ici la force du DLP, qui fera d’ailleurs souvent faire pencher la balance en sa faveur lorsque l’entreprise doit choisir entre les deux approches. « Nous nous sommes d’abord intéressés au DRM. Mais nous nous sommes vite rendu compte qu’une solution de DRM sans contrôle sur la fuite des données n’était pas suffisante », explique un autre RSSI membre de SecurityVibes.

Du DLP, oui mais…

Mais si le DLP permet effectivement cette nécessaire prise d’altitude, il souffre lui aussi de ses propres limitations. Parmi les plus connues figurent l’obligation de définir une classification préalable de l’information dans l’entreprise, puis de faire « l’inventaire » de l’existant. Deux exigences qui font du DLP un projet d’envergure.

Pour Eric Domage, cependant, une telle objection doit être tempérée : « Automatiser la découverte et la classification des données, c’est possible et ça marche. Cela prend certes du temps, et c’est très intrusif, mais ça fonctionne. Les meilleures technologies pour cela viennent du monde du stockage et de celui des moteurs de recherche (Autonomy ou Exalead, par exemple). Les RSA et autres Symantec arrivent certes avec des solutions DLP intégrées, mais les briques de base demeurent en définitive une technologie pour marquer les données et une autre pour découvrir les données antérieures qui n’ont pas été marquées », explique-t-il.

Une technologie pour la découverte des données, une autre pour leur marquage ? On entrevoit ici un lien évident entre le DRM – champion du marquage – et le DLP, expert de la classification. « Il y a effectivement une association naturelle entre DLP et DRM, on oublie juste d’en parler ! », confirme Eric Domage.

Mais quelle forme pourrait bien prendre une telle association ? « Idéalement, l’objectif est d’avoir une politique centralisée qui pilote à la fois le DRM et le DLP », résume Derek Tumulak. Avec une politique centralisée, la solution de DLP pourrait informer le DRM des restrictions à placer sur les fichiers découverts automatiquement, tandis que le DRM pourrait en retour alimenter la politique DLP (tel fichier a été déclaré confidentiel par tel utilisateur, l’empreinte de son contenu est donc remontée à la solution de DLP afin qu’elle en surveille des fuites éventuelles via d’autres vecteurs).

En la matière, cependant, tout reste à faire : aucun standard n’existe pour assurer l’échange de messages entre DRM et DLP, et il n’existe encore aucun langage de description des règles qui soit commun aux deux technologies. « Il y pourtant a un intérêt certain à ouvrir le DLP a DRM, mais à condition de ne pas être dépendant d’un éditeur de DRM. Cela devra passer par un cadre d’échange commun, un framework, par exemple. Mais il faudra pousser vers une norme ouverte », explique David Grout, EMEA Data Protection Specialist chez McAfee.

Ce cadre commun, pour l’instant, fait cruellement défaut. « Ca commence à bouger sur le front de la gestion des clés et du chiffrement automatique grâce à KMIP, et je pense que nous allons voir les standards évoluer vers du vrai policy management dans le futur », estime cependant Derek Tumulak.

Et, effectivement, la convergence est bien en marche. Découvrez comment, et grâce à qui, dans la seconde partie de notre enquête : Faites l’API, pas la guerre !