Introduction générale

Les organisations de toutes tailles doivent assurer la protection d'informations importantes

contre la négligence et la malveillance. L'augmentation des vols d'informations et l'émergence de
nouveaux besoins législatifs pour protéger la confidentialité des données sensibles soulignent la
nécessité de disposer de nouveaux outils et méthodes de sécurité des données. L'utilisation
croissante d'ordinateurs pour créer et utiliser ces types d'informations sensibles, l'introduction de
la connectivité extensive via les réseaux privés et publics (y compris Internet) et l'apparition de
matériel informatique de plus en plus puissant ont contribué à faire de la protection des données
un aspect essentiel de la sécurité.

Pour relever ces challenges, une nouvelle technologie est apparue : la Prévention contre la
fuite de Données (DLP : Data LossPrevention). La DLP est conçue pour protéger les données en
entravant l’activité de l’entreprise le moins possible. Elle offre une nouvelle analyse de
l’utilisation de l’information et applique des contrôles de protection pour prévenir les incidents
indésirables de vols de données.

Partant de ces considérations et dans la perspective de renforcer son portfolio de produits

sécurité, CBI, la société d’accueil pour notre projet de fin d’étude, souhaite qualifier ce secteur
de marché, développer une meilleure connaissance de la technologie DLP et plus spécialement
celle de son partenaire technologique Websense et enfin, la tester à travers une maquette
pratique.

Ainsi, dans ce rapport de projet de fin d’étude, et après présentation de la société d’accueil, il
a été d’abord question de commencer par une étude générale de la technologie DLP afin de
cerner les concepts et acquérir une vision générale de l’état de l’art sur le marché. Ensuite, nous
avons effectué une comparaison entre les différentes solutions existantes retenues selon des
critères bien déterminés. L’étape suivante a consisté à faire une étude détaillée de la solution
DLP Websense pour enfin mettre en place une maquette de tests avec le déroulement de
quelques tests pratiques et significatifs.

Ce rapport s’achèvera par une conclusion qui synthétise le travail réalisé durant la période de
notre stage de fin d’étude.

-1-
Contexte général
du projet

Le présent chapitre a pour but de

définir le cadre général de notre projet.
Nous commencerons par une
présentation de l’organisme d’accueil,
nous aborderons par la suite la
présentation du projet à réaliser ainsi
que de ses principaux objectifs.

-2-
Chapitre 1: Contexte général du projet

1. Présentationde CBI

1.1. Présentation générale :

CBI, Compagnie de Bureautique et d’Informatique, est le premier acteur du conseil au Maroc

pour les professionnels, se positionne avec une approche « Producteur de Productivité» pour
accompagner les grandes entreprises dans l'amélioration de leur performance. Ses plus de 150
consultants se différencient par la synergie multi-compétences tant sur les volets métier que
technologique.

Depuis sa création en 1970, CBI a toujours eu une démarche d’optimisation des systèmes de
l’information. Son offre globale solutions en produits et services est demeurée centré au fil des
années sur les technologies de l'information et n'a cessé de s'enrichir en intégrant les dernières
innovations afin de pouvoir répondre aux besoins de ses clients et d'être toujours en avance dans
un monde en perpétuelle mouvance.

L'offre solution de CBI intègre des activités complémentaires à savoir la bureautique,

l’informatique, l'intégration systèmes et les télécommunications.

Cette offre est constituée de produits de haute technologie leaders sur leurs marchés grâce à
des partenariats très étroits avec des constructeurs et des éditeurs internationaux. Elle témoigne
de la consolidation continue du savoir-faire et des compétences de CBI.

Les équipes de CBI sont formées en permanence aux technologies les plus récentes et
possèdent tous les atouts et l’enthousiasme pour accompagner les projets pour plus de
productivité.

1.2. Domaines d’intervention :

CBI a démarré son activité sur deux axes : la bureautique et l’informatique tourné
essentiellement vers la clientèle bancaire. CBI a ensuite eu l’ambition de se développer dans les
technologies de l'information et ce à travers tout le territoire marocain.

-3-
Chapitre 1: Contexte général du projet

CBI a ensuite poussé son expertise à de nouvelles activités: l’intégration systèmes & la
télécommunication, dans le but d’offrir les dernières technologies grâce à des partenaires
internationaux tels que Toshiba, Cisco Systems, IBM, Sun...

1.2.1. L’INFORMATIQUE:

Les changements organisationnels et les nouvelles technologies incorporées ont modifié le

paysage marocain de l’informatique. Les Architectures Informatiques allient aussi bien les
structures fixes que mobiles. Les premières nécessitent de plus en plus d’expertise pour répondre
aux besoins de plus en plus complexes des utilisateurs.

Les structures mobiles quant à elles, évoluent en réponse à des exigences de mobilité.

Ainsi, une meilleure productivité passe par une plus grande mobilité, pour un flux continu
de l’activité et une meilleure réactivité. Le but ultime : pouvoir transporter son bureau partout.
C’est ce que s’est donné comme mission CBI.

Par ailleurs, CBI assure une couverture nationale au niveau de ces produits/services à travers
ses agences et son réseau dynamique de revendeurs. Elle offre un service après-vente
professionnel reconnu : CBI est le Centre de maintenance international agréé Toshiba pour
l’Afrique du Nord et de l’Ouest et le Centre de maintenance agréé IBM.

• Infrastructures et Solutions informatiques :

Les équipes CBI spécialisées en Infrastructure Informatique sont formées pour offrir le
meilleur service à travers tout le territoire:

• Consulting en infrastructure
• Déploiement et mise en œuvre
• Suivi étroit des projets
• Support et maintenance
• Informatique Mobile :

CBI propose les gammes étendues de solutions mobiles Toshiba aux administrations, aux
grandes entreprises et PME, aux professions libérales, aux particuliers ainsi qu’aux étudiants. En
effet, la généralisation de l’outil informatique dans les écoles prépare les générations futures à
-4-
Chapitre 1: Contexte général du projet

l’intégration naturelle des TI dans leur environnement de travail. CBI propose des produits
Toshiba compétitifs de:

• Ordinateurs portables
• Vidéo projecteurs
• Accessoires

1.2.2. LA BUREAUTIQUE:

En partenariat d’exclusivité avec Toshiba depuis 1970, CBI est un des précurseurs de la
commercialisation et de l'exploitation des systèmes de reproduction sur le marché marocain.
Avec la révolution numérique, CBI a anticipé les attentes des entreprises en leur proposant des
systèmes multifonctions évolutifs, à connexion en réseau.

Fortes de plus 39 ans d’expériences, les équipes Bureautique CBI sont continuellement
formées aux nouveautés technologiques des systèmes proposés. Elles sont en mesure d’offrir le
meilleur service, de l’évaluation des besoins jusqu’au service après-vente.

1.2.3. INTEGRATION SYSTEME:

Désormais les systèmes d’information représentent un levier incontournable dans la recherche

de la performance. Ces systèmes couvrent l’ensemble de la chaîne des valeurs de l’entreprise
tout en intégrant des spécificités liées à la globalisation des marchés, lesquelles imposent une
harmonisation internationale des normes de qualité et de traçabilité qui peuvent mieux régir les
échanges commerciaux dans le futur.

Face à ces enjeux, CBI anticipe en mettant à la disposition des entreprises des solutions
horizontales (sur toute la chaîne de valeurs) combinées à des solutions verticales (par secteur
d’activité). Cette approche permet ainsi à CBI de capitaliser sur son positionnement et ses atouts
sur le marché et d’offrir ainsi aux entreprises des solutions de gestion de leurs systèmes
d’information à forte valeur ajoutée.

Par sa maîtrise des métiers de ses clients et son savoir-faire en matière de gestion de projets,
CBI apporte la preuve de son expertise tout le long de son intervention chez le client.

-5-
Chapitre 1: Contexte général du projet

Aujourd’hui, CBI propose des outils de gestion performants aux entreprises et aux
administrations en termes de production, de prises de décision et de procédures :

• Décisionnel (Business Intelligence)

• Gestion de la performance (Business Performance Management)
• Gestion électronique de Documents et Processus (GED/Workflow)
• Progiciels de Gestion
• Gestion de la Relation Client

1.2.4. FORMATION :

Le transfert des compétences est l’un des facteurs de succès clé et incontournable d’une
intégration réussie de solutions technologiques.

Depuis 20 ans, CBI propose des formations professionnelles de haut niveau à ses clients.
Puis, répondant à une demande croissante, CBI a créé en 2002 son propre Centre de Formation
Professionnel, spécialisé en réseaux/télécommunications et en systèmes d’informations.

Le Centre de formation possède une équipe dédiée de conseillers et de formateurs internes

possédant tous une grande expérience terrain. Les types de formations offertes:

• Formations inter-entreprises
• Formations intra-entreprises
• Transferts de compétences sur mesure
• Formation en cours du soir

1.3. CBI àl’international:

CBI a tissé au fil des années un grand nombre de partenariats stratégiques avec des grandes
sociétés et des opérateurs de certains pays de l’Afrique sub-saharienne: Sénégal, Mali,
Mauritanie, Burkina Faso, Cameroun, Gabon Etc.

-6-
Chapitre 1: Contexte général du projet

L’expérience de CBI des marchés africains et la proximité géographique du Maroc

permettent d’offrir des solutions parfaitement adaptées aux besoins de ces sociétés et surtout une
réactivité importante.

Profitant de la synergie multi-compétences des différentes équipes de CBI, l’International

propose des solutions d’accompagnement intégrant le transfert du savoir-faire, des compétences
et de l’expertise CBI.

Les principaux domaines de compétences sont :

• Conseil / Audit
• Mise en place d’infrastructures
• Suivi de projets de développement et d’implémentation
• Transferts de compétences

2. Présentation du projet
2.1. Problématique :

Régulièrement, l'actualité nous informe de nouveaux vols de données confidentielles, et de

grandes entreprises font souvent les grands titres avec des histoires relatant la perte ou le vol
d'énormes quantités d'informations client confidentielles.

Que l’impact soit un désagrément mineur ou une perturbation de l’activité, la fuite de données
confidentielles est devenue un sujet préoccupant pour les clients de CBI. Selon le type de
données perdues, les dégâts d’une simple divulgation d’informations stratégiques par exemple le
cas d’une banque concernant les taux de crédits ou la politique monétaire peuvent ternir sa
réputation, et affecter l’activité des banques privées ainsi que les échanges dans la bourse des
valeurs, ce qui touche directement l’économie du pays.

Mais d’un côté les besoins métiers imposent de rendre l’information accessible de la façon la
plus simple et rapide. De l’autre, on doit protéger les données sensibles contre toute divulgation
qui pourrait nuire les intérêts de la société.

-7-
Chapitre 1: Contexte général du projet

Donc, Enfermer et cadenasser l’information est impossible; sa valeur ajoutée repose sur sa
facilité d’utilisation. De plus, une consigne de sécurité entravant un processus métier s’avèrera
sans doute aussi dommageable que la fuite de données elle-même. Ceci à fait naitre le besoin
pour des solutions qui peuvent à la fois protéger les données contre la fuite mais sans affecter la
fiabilité ou les performances du système d’information.

2.2. Objectif du projet :

La réalisation du projet décrite précédemment se traduit par les missions suivantes :

1) Présenter les concepts de DLP et le contextualiser dans le monde de la sécurité de

l’information.
2) Evaluation des solutions DLP existantes du marché sur la base des critères:
• Couverture fonctionnelle.
• Fonctionnalités de prévention de fuite de données.
• Qualité d’administration.
• Architecture: Facilité de déploiement, intégration dans SI existant.
• Gestion de la base des règles.
• Mode de licencing et certification de la solution.
3) Réalisation d’une étude détaillée de la solution Websense.
4) Réalisation d’une maquette de simulation pour la solution Websense.

Chacune de ces missions sera reprise en détail dans la suite du document.

2.3. Planification du projet :

La planification consiste à prévoir le déroulement du projet tout au long des phases

constituant la réalisation du projet. Les réunions tenues avec l’encadrant au sein de CBI ont
permis de déterminer les différentes étapes du projet ainsi que leur séquencement. Cela consiste
en quatre grandes phases clés :

• La documentation et l’étude de la solution Data LossPrevention.

• Le Benchmarking des solutions DLP du marché

-8-
Chapitre 1: Contexte général du projet

• L’étude détaillée de la solution retenue.

• Réalisation des tests de validation technique.

La planification du projet a accordé le temps estimé nécessaire à chaque étape, le diagramme

de Gantt suivant décrit le planning global du projet :

Figure 1: Planification du projet

Ce planning constitue un fil conducteur tout au long du projet. Il permet d’ajuster les dérives
et de maîtriser la gestion du temps alloué pour la réalisation du projet. Les livrables des
différentes phases de ce planning servent de documentation pour le projet.

3. Conclusion

Ce chapitre a présenté brièvement l’organisme d’accueil et les différentes activités qu’il

exerce. Cette présentation aide à comprendre le cadre du projet, ses enjeux et les objectifs
attendus. Il a présenté aussi la démarche que nous avons adoptée pour gérer le projet.
Maintenant, il est temps de détailler les concepts de la solution DLP, c’est ce que nous menons
dans les parties suivantes en commençant par l’analyse des risques de fuite de données et définir
le patrimoine informationnel.

-9-
 Etude générale
Chapitre de la technologie
2: DLP

L’objectif du présent chapitre est

de définir la technologie DLP,
détailler ses concepts, ses
objectives et analyser de près les
fuites des données.

- 10 -
Chapitre 1: Contexte général du projet

1 Définition

La fuite des données ou DLP (Data Leak Prevention) est une solution basée sur des règles
centralisées qui identifie, surveille et protège les données sensibles, à l’aide d’analyses de
contenu approfondies, qu’elles soient stockées, en cours d’utilisation ou en mouvement quel
qu’en soit le support, cette solution permet de mettre en œuvre les meilleures pratiques connues
en matière de protection de données sensibles, réduisant ainsi les risques associés à des
informations non contrôlées et les aidant à se conformer aux directives réglementaires et à leurs
politiques de confidentialité.

Cette définition résume les principaux modules d’une solution DLP : gestion centralisée,
identification et définition de l’information, contrôle de son utilisation et protection contre les
infractions. Une solution DLP peut gérer les emplacements de stockage, les réseaux et les
ordinateurs des employés grâce à des techniques d’analyses avancées.

DLP s’intéresse plus à la donnée en elle-même qu’à son contenant, par un système de suivi
des données, et d’alertes à l’administrateur en cas de fuite (envoi par e-mail, impression,
messagerie instantanée, capture d’écran, copie vers des périphériques externes etc.). Une
nouvelle conception de la sécurité informatique très pertinente, dans un contexte où les réseaux
d’entreprise multiplient les « portes de sortie » de l’information.

2 Généralités sur les fuites des données

2.1 Le patrimoine informationnel :

Le patrimoine informationnel peut être considéré comme l’ensemble des données et des
connaissances, protégées ou non, valorisables ou historiques d’une personne physique ou
morale. La notion de patrimoine informationnel recouvre divers types d’informations sur
l’entreprise : Les informations commerciales, financières, industrielles et technologiques (dont la
R&D)

• La clientèle
• Le personnel

- 11 -
Chapitre 1: Contexte général du projet

• Les partenaires commerciaux (sous-traitant, fournisseur, financeur…)

• Les savoir-faire de l’entreprise
• Les projets de l’entreprise (lancement d’un nouveau produit, innovation…)
• Les méthodes de distribution
• Les procédés de fabrication
• Les contentieux
• La situation de trésorerie et/ou fiscale
• Les archives
• L’état de santé des dirigeants…

2.2 Qu’est-ce qu’une donnée sensible (personnelle identifiable) :

Il y a encore peu de temps, l’un des moyens les plus courants pour protéger ses informations
privées était de placer son numéro de téléphone sur liste rouge. De nos jours, le nombre de
données personnelles à protéger s’est considérablement accru, les numéros de carte bancaires
constituant l’une des données les plus fréquentes. Il est vrai qu’il devient de plus en plus rapide
et facile d’effectuer des paiements en ligne, mais cela accroît par la même occasion les
problèmes de fuite / perte de données, et de ce fait, expose davantage les données personnelles
aux menaces.

TABLE 1: EXEMPLE DES DONNEES PERSONNELLES IDENTIFIABLE

Identification unique des données Associées à d’autres données

personnelles identifiables

Nom complet (si non courant) Prénom ou nom (si courant)

Numéros d’identification nationale Pays, département ou ville de
(carte d’identité, n° de sécurité résidence
sociale) Age, en particulier si dans une gamme
Adresse IP (dans certains cas) non spécifiée
Numéro de permis de conduire Genre
Empreintes digitales, visage, ou Nom de l’établissement scolaire ou du
écriture manuscrite lieu de travail
Numéros de cartes bancaires Fonction ou grade
Identité numérique Antécédents criminels

- 12 -
Chapitre 1: Contexte général du projet

Les données personnelles désignent toutes les informations qui permettent d’identifier, de
contacter, ou de localiser une personne physique. Toute entreprise possède des données
personnelles à protéger. Nous sommes de plus en plus prudents sur la communication de nos
informations personnelles. Cependant, une fois que celles-ci sont divulguées à une entreprise ou
organisation, il en va de la responsabilité du détenteur d’être vigilant sur leur utilisation et leur
accès.

Ainsi se dégagent plusieurs grands types d’informations sensibles :

Figure2: Types d’informations sensibles principales

2.3 Identification des risques de fuite de données :

Les fuites de données peuvent survenir de centaines de manières différentes dont beaucoup
restent un mystère pour de nombreuses organisations. Voici une liste non exhaustive :

• Erreurs d’inattention, souvent lors de la réalisation de tâches ordinaires et répétitive

• Envoi accidentel d’un e-mail à un groupe de personnes au lieu d’un seul individu
• Faute de frappe
• Employé (e) mécontent(e)
• Erreur lors de la sélection d’une pièce jointe

- 13 -
Chapitre 1: Contexte général du projet

• Manque d’attention dû à la précipitation pour respecter un délai

• Pression prématurée du bouton « Envoyer »
• Intention malveillante
• Espionnage d’entreprise
• Sous-traitants, partenaires commerciaux, contractants, etc. avec des pratiques de sécurité
médiocres
• Mauvais paramétrage du pare-feu
• Perte de clé USB, carte mémoire, DVD etc.
• Perte de Smartphones
• Perte de cassettes de sauvegarde
• Terminaux de stockage de données mal aseptisés
• Hameçonnage
• Logiciel malveillant
• Transmission non sécurisée de données personnellement identifiables ou secrètes

2.4 Les canaux de fuite des données :

Les quatre voies de fuite de données les plus dangereuses sont le canal du réseau et les trois
canaux locaux que sont les périphériques de stockage et les accessoires amovibles « plug-and-
play » ; les opérations de synchronisation de données avec des Smartphones et des PDA
connectés localement ; et le canal d´impression. Chaque canal est un agrégat multicouche de ses
interfaces physiques et logiques, des types de périphérique spécifiques auxquels il peut se
connecter, des applications ou des services qui y sont exécutés, des types de données utilisés par
ces applications, et enfin, du contenu transporté par ces données. Pour restreindre et limiter les
risques et leurs conséquences il faut maîtriser les circuits de l'information et les possibilités de
fuite / perte dans divers cas d’utilisation par exemple :

• Echanges sur Internet (messagerie professionnelle, personnelle, instantanée, blog,

réseaux sociaux)
• Echanges sur support (clés USB, x Card, Disque Externe, CD/DVD …)
• Stockage «mobile» (PC portable, Smartphone)

- 14 -
 Chapitre 1: Contexte général du projet

• Stockage dans le SI «SI : Système d’information »

• Services en mode ASP «ASP : application service provider»
• Imprimante

2.5 Les étapes d’une fuite de données :

Information....
Consistant en secrets
Contenant des détails Commercialement
D'importance stratégique commerciaux ou
personnels sensible
propriété intellectuelle

....Divulguée....
Traitée-En tant que partie Transmise- Oralement ou Copiée-D'un format vers Stockée- Notamment sur
d'un système Electroniquement un autre des appareils vulnérables

....A des tiers....

Internes non- Presse ou autre
Malveillants Concurrents Officiels
autorisés média

....Causant un impact négatif

Valeur de Perte d'actifs Responsabilités
Réputation Cout imprévus Fraude
l'action tengibles légales

2.6 Les fuites de données en chiffre :

- 15 -
Chapitre 1: Contexte général du projet

Beaucoup d’entreprises croient être à l’abri d’une fuite de données, pensant être sécurisé
derrière des Firewall, semblable à une ligne Maginot, les protégeant d’une attaque externe, tout
en ignorant les attaques internes. Faisant trop confiance à leur Politique de Sécurité, ainsi qu’à
leur Politique d’Accès aux données. Voici quelques chiffres permettant de mieux appréhender et
de quantifier ce que représentent les fuites de données :

En effet, en 2010, Verizon dans son rapport intitulé « Data Breach Investigations Report »,
révèle que 855 incidents et plus de 174 millions de données ont été compromises par des failles
de sécurité.

• 88% à 90% des incidents ne sont pas intentionnelles

• Aux USA, 1’identité est volée toute les 4 secondes (10 millions de victimes)
• 67% des entreprises françaises avouent avoir eu une effraction de données dans l’année
(2009-2010)
• 92% de ces attaques n’ont jamais été divulgué (2500 à 57700 infractions selon
l’importance de ce que l’on appelle une effraction)
• Infractions évalué à 1.9 millions € pour une grande entreprise française, variant de 256
000€ à 6.4 millions €
• 1 mail sur 400 contient des données confidentielles
• 1 fichier sur 50 est partagé à tort
• 1 ordinateur portable sur 10 est volé ou perdu
• 1 clef USB sur 2 contient des informations confidentielles
• Seul 28% des entreprises avaient déployé une solution de DLP (14 pays européens en
2010)

Selon l’étude de Janvier 2011 « Cost of a data breach » du Ponemon Institute, la fuite d’un
enregistrement serait actuellement évaluée à 194$. [1]

- 16 -