Les entreprises doivent impérativement protéger leur propriété intellectuelle, surtout dans les secteurs où l’innovation et un savoir-faire exclusif constituent un avantage concurrentiel. Pour une multinationale de produits chimiques qui se préparait à être scindée en trois entreprises indépendantes, prendre le contrôle de ses données sensibles est devenu une mission stratégique.
Cet article de blog s’intéresse à la façon dont cette entreprise a surmonté les défis liés à la sécurité des données Microsoft et a renforcé sa stratégie de protection des données avec Proofpoint.
Le défi : gérer les données dans un contexte de scission complexe
Pendant que cette entreprise du classement Fortune 500 préparait sa scission en trois entités cotées en bourse, le RSSI devait réduire urgemment les risques de fuites de données d’origine interne. Comme l’entreprise disposait déjà d’une licence Microsoft E5, elle utilisait initialement Microsoft Purview pour la prévention des fuites de données (DLP). Après tout, Purview était inclus avec sa licence sans frais supplémentaires — à quoi bon investir dans un autre outil DLP ?
Cependant, au cours des six premiers mois, l’équipe du RSSI a constaté que Purview présentait de nombreuses lacunes critiques, parmi lesquelles :
- Inefficacités opérationnelles. Pour analyser les données, Purview avait besoin de règles prédéfinies écrites — une rigidité qui mobilisait des ressources importantes.
- Alertes inadéquates. Les options d’alerte de Purview n’étaient pas flexibles, en particulier en ce qui concernait la détection des menaces internes. Pour que l’entreprise reçoive des alertes personnalisées, elle devait intégrer Purview à Microsoft Sentinel, ce qui impliquait des coûts opérationnels importants.
- Plates-formes fragmentées. Pour gérer les fuites de données d’origine interne, l’équipe devait jongler entre plusieurs consoles Microsoft, ce qui compliquait ses workflows et lui faisait perdre un temps précieux.
- Retour à des processus manuels. Frustrée par ces limites, l’équipe s’est résolue à développer un outil personnalisé pour extraire les données de Purview et à utiliser des feuilles de calcul Excel pour gérer les menaces internes — une solution loin d’être optimale.
Pour reprendre les mots de la responsable de la cybersécurité de l’entreprise : « Si j’utilise Microsoft comme plate-forme principale pour la protection des données, j’expose mon entreprise à des risques de fuites de données. »
Obtention de résultats immédiats avec Proofpoint
En choisissant Proofpoint Enterprise Data Loss Prevention (DLP), l’entreprise a obtenu des améliorations immédiates et tangibles. Pendant la validation de concept, Proofpoint a révélé des vulnérabilités critiques qui avaient échappé à Microsoft, notamment :
- Aucune protection de Microsoft SharePoint Online. Les documents étaient accessibles à toute personne disposant d’un lien.
- Partage non autorisé de données. Les collaborateurs partageaient des données sensibles via des comptes de messagerie personnels.
- Prises de contrôle de comptes non détectées. L’entreprise n’avait aucune visibilité sur les prises de contrôle de comptes.
Une fois Proofpoint entièrement déployé, les résultats ont été spectaculaires :
- Nette réduction des fuites de données. L’entreprise a réduit les fuites de données qui s’élevaient à 2 000 Go (ou 200 000 fichiers) par mois en bloquant 4 000 événements à haut risque chaque mois.
- Rationalisation des opérations. Notre console unifiée a considérablement amélioré l’efficacité opérationnelle. Non seulement Proofpoint facilite le tri des alertes au niveau du cloud, des endpoints et des systèmes de messagerie, mais notre console accélère également les investigations et les réponses.
- Gestion simplifiée des exclusions. L’écriture d’exclusions dans Purview prenait 30 minutes et leur déploiement pouvait prendre une journée. Avec Proofpoint, les exclusions ont été écrites en 10 minutes et déployées chez les utilisateurs dans les 20 minutes.
- Alertes et investigations précises. Proofpoint offrait un taux de faux positifs considérablement plus bas et des investigations transparentes, le tout au sein d’un tableau de bord unique.
Pourquoi choisir Proofpoint : efficacité, délai de rentabilisation et visibilité
Au final, l’entreprise a choisi de renforcer Purview avec Proofpoint au sein de son environnement. Trois facteurs ont motivé cette décision.
1. Efficacité opérationnelle
Notre approche centrée sur les personnes fournit des informations détaillées sur les intentions des utilisateurs et les comportements d’accès aux données. Nous proposons également des règles basées sur le contenu et le contexte, qui garantissent que les fuites de données sont détectées avec précision et que les faux positifs et les faux négatifs sont réduits au minimum. Par ailleurs, notre tableau de bord unifié simplifie les workflows. En conséquence, les investigations effectuées par l’équipe sont passées de 36-40 par mois à zéro.
2. Délai de rentabilisation
Après six mois de difficultés avec Purview, l’entreprise a rapidement obtenu des résultats positifs avec Proofpoint. Non seulement le déploiement de Proofpoint s’est avéré simple, mais nos alertes ont pu faire l’objet d’un suivi dès la mise en service.
Microsoft Information Risk Management (IRM) nécessite un agent distinct pour les enregistrements d’écran et les configurations complexes. Proofpoint Insider Threat Management (ITM), quant à lui, offre un agent à double fonction entièrement intégré à Proofpoint Endpoint DLP. Cette conception simplifie les processus et permet de gagner du temps.
3. Visibilité
Les fuites de données non détectées peuvent plomber n’importe quel programme DLP. Proofpoint unifie les données télémétriques au niveau de la messagerie, des applications cloud et des endpoints. Les analystes bénéficient donc de données contextuelles clés, qui leur permettent d’interpréter efficacement les événements liés aux données. Même si Purview fournissait un certain contexte, ses différents tableaux de bord et ses intégrations complexes permettaient à des incidents d’échapper à toute détection.
Rien n’est vraiment gratuit
Proofpoint a aidé l’entreprise à réduire des risques majeurs. Pendant la validation de concept, notre équipe a conçu un programme de gestion des menaces internes avec des cas d’utilisation spécifiques et a participé à la création de règles. Ce faisant, il est devenu évident que Purview ne pouvait pas répondre aux besoins de l’entreprise en matière de réduction des menaces internes. En outre, Microsoft était tout simplement incapable d’égaler notre niveau d’implication.
Au final, la responsable de la cybersécurité de l’entreprise a convaincu la direction d’investir dans Proofpoint en lui montrant comment nous les avons aidés à réduire leurs coûts et à améliorer leur efficacité opérationnelle.
« La gratuité n’est pas toujours une bonne chose », a-t-elle affirmé. « Proofpoint coûte de l’argent, mais il offre une valeur ajoutée et booste l’efficacité. »
En savoir plus
Pour connaître le point de vue des analystes sur Microsoft Purview, téléchargez le rapport gratuit de Gartner®, Demystifying Microsoft’s Data Security Capabilities and Licensing (Démystifier les licences et les fonctionnalités de sécurité des données de Microsoft).
