DLP (Data Loss Prevention)

Ce que le DLP protège

Les entreprises perdent des données de trois façons : par attaque externe, par négligence interne, et par malveillance interne. Le DLP traite les trois.

Les données ne disparaissent pas — elles fuient

Une fuite de données n’est pas toujours spectaculaire. Ce n’est pas toujours un ransomware qui chiffre vos serveurs ou un attaquant qui pirate votre réseau. Dans la majorité des cas, la fuite est silencieuse :

• Un commercial qui quitte l’entreprise et s’envoie le fichier clients par email personnel avant son départ
• Un employé qui uploade un document confidentiel sur son Google Drive personnel pour “travailler de chez lui”
• Un comptable qui transfère un fichier de paie par erreur à un fournisseur au lieu d’un collègue
• Un compte Microsoft 365 compromis par phishing qui exfiltre des mois d’emails vers une adresse externe

Selon le Verizon DBIR 2023, 74 % des compromissions impliquent un facteur humain — erreur, négligence, ingénierie sociale ou abus de privilège. Le DLP est conçu pour intercepter ces fuites avant qu’elles ne se produisent.

Le coût d’une fuite pour une PME

Les chiffres sont documentés. Selon IBM Cost of a Data Breach 2024, le coût moyen d’une compromission de données en France atteint 4,3 millions d’euros. Pour une PME, le montant est inférieur mais les conséquences sont souvent plus graves proportionnellement :

Poste de coût	Fourchette PME
Notification CNIL + personnes concernées	5 000 - 20 000 €
Audit forensique	10 000 - 40 000 €
Sanctions RGPD (si données personnelles)	Jusqu’à 4 % du CA
Perte de clients (confiance rompue)	Difficilement chiffrable
Frais juridiques	5 000 - 50 000 €
Perte de propriété intellectuelle	Variable

La CNIL a prononcé des amendes contre des entreprises de toutes tailles pour insuffisance de protection des données personnelles. Le DLP est l’un des contrôles techniques que la CNIL attend dans le cadre des “mesures de sécurité appropriées” exigées par l’article 32 du RGPD.

Comment fonctionne le DLP

Le DLP surveille les données selon trois états, souvent appelés “les trois piliers” :

Données en transit (Data in Motion)

Le DLP surveille les canaux de communication par lesquels les données quittent l’entreprise :

• Email : analyse du contenu et des pièces jointes des emails sortants. Si un email contient des numéros de sécurité sociale, de carte bancaire, ou des fichiers classifiés “confidentiel”, le DLP peut bloquer l’envoi, chiffrer automatiquement le message, ou alerter l’administrateur.
• Web : surveillance des uploads vers des services cloud (Dropbox, WeTransfer, Google Drive personnel). Le DLP distingue le Google Drive d’entreprise (autorisé) du Google Drive personnel (bloqué pour les fichiers sensibles).
• Messagerie instantanée : surveillance des fichiers partagés via Teams, Slack ou d’autres outils de collaboration.

Données au repos (Data at Rest)

Le DLP scanne les dépôts de données pour identifier et classifier les informations sensibles qui y sont stockées :

• Serveurs de fichiers et partages réseau
• Boîtes email et archives
• Services cloud : SharePoint, OneDrive, Google Drive
• Bases de données

L’objectif : savoir où sont vos données sensibles. Beaucoup d’entreprises découvrent lors d’un audit DLP que des fichiers confidentiels (contrats, listes de paie, données médicales) sont stockés dans des emplacements accessibles à tous les employés.

Données en utilisation (Data in Use)

Le DLP surveille ce que les utilisateurs font avec les données sur leur poste de travail :

• Copier-coller de données sensibles vers une application non autorisée
• Capture d’écran de documents confidentiels
• Copie sur clé USB ou disque externe
• Impression de documents classifiés

Cette couche est la plus intrusive et la plus complexe à déployer. Elle nécessite un agent installé sur chaque poste.

Les techniques de détection

Pour identifier les données sensibles, le DLP utilise plusieurs méthodes combinées :

Expressions régulières et patterns : détection de formats reconnaissables — numéros de carte bancaire (16 chiffres suivant le format Luhn), numéros de sécurité sociale, IBAN, adresses email, numéros de téléphone.

Mots-clés et dictionnaires : recherche de termes associés à des données sensibles — “confidentiel”, “salaire”, “résultat financier”, “mot de passe”, noms de projets stratégiques.

Empreintes numériques (fingerprinting) : le DLP calcule une empreinte des documents sensibles existants et détecte les copies ou extraits, même modifiés. Efficace pour les documents structurés (contrats types, listes clients).

Classification manuelle et étiquettes : les utilisateurs ou les administrateurs appliquent des étiquettes de sensibilité aux documents (Public, Interne, Confidentiel, Très Confidentiel). Le DLP applique les règles correspondantes à chaque niveau.

Apprentissage automatique : les DLP modernes utilisent des modèles entraînés pour détecter des données sensibles que les patterns simples ne capturent pas — données médicales dans un texte libre, informations financières dans un tableau non structuré.

Types de DLP

DLP réseau (Network DLP)

Positionné à la sortie du réseau d’entreprise (passerelle email, proxy web), le DLP réseau inspecte le trafic sortant et bloque les transferts de données sensibles. C’est la couche la plus simple à déployer et la première à mettre en place.

Limite : le DLP réseau ne voit pas le trafic chiffré de bout en bout ni les données qui quittent l’entreprise via un poste non connecté au réseau (télétravail sur réseau domestique sans VPN).

DLP endpoint

Un agent installé sur chaque poste de travail surveille les actions locales : copie sur USB, upload vers le cloud, copier-coller, impression. Le DLP endpoint fonctionne même quand le poste n’est pas connecté au réseau d’entreprise — un avantage déterminant à l’ère du télétravail.

Limite : déploiement et maintenance de l’agent sur l’ensemble du parc, impact potentiel sur les performances des postes, et complexité de configuration pour éviter de bloquer les usages légitimes.

DLP cloud (CASB)

Le DLP cloud (souvent intégré à un CASB — Cloud Access Security Broker) surveille les données dans les services SaaS : Microsoft 365, Google Workspace, Salesforce, Slack. Il détecte les partages excessifs (fichier partagé avec “tout le monde”), les téléchargements massifs, et les transferts vers des comptes personnels.

Avantage : pas d’agent à installer. La surveillance se fait via les APIs des services cloud. C’est la couche la plus pertinente pour les PME dont l’essentiel des données est dans Microsoft 365 ou Google Workspace.

DLP email intégré

Microsoft Purview (anciennement Microsoft 365 DLP) et Google DLP pour Workspace offrent des capacités DLP directement intégrées aux suites de messagerie et de collaboration. Ces outils sont déjà inclus dans les licences business et constituent le point d’entrée le plus accessible pour les PME.

DLP et conformité RGPD

Le RGPD (Règlement Général sur la Protection des Données) impose aux entreprises de mettre en place des “mesures techniques et organisationnelles appropriées” pour protéger les données personnelles (article 32). Le DLP est l’une de ces mesures techniques.

Ce que le RGPD exige concrètement

Article 5(1)(f) — Principe d’intégrité et de confidentialité : les données personnelles doivent être traitées de façon à garantir leur sécurité, y compris la protection contre le traitement non autorisé ou illicite et contre la perte.

Article 32 — Sécurité du traitement : le responsable du traitement met en œuvre les mesures techniques appropriées pour garantir un niveau de sécurité adapté au risque, notamment la capacité de garantir la confidentialité des systèmes de traitement.

Article 33 — Notification de violation : en cas de violation de données personnelles, le responsable du traitement notifie la CNIL dans les 72 heures. Un DLP qui détecte une fuite en temps réel permet de respecter ce délai.

Comment le DLP répond à ces exigences

• Identification : le DLP scanne vos systèmes et identifie où sont stockées les données personnelles (emails, fichiers partagés, bases de données)
• Protection : le DLP empêche le transfert non autorisé de données personnelles vers des tiers, des services cloud non approuvés, ou des adresses email externes
• Détection : le DLP alerte en temps réel quand une tentative de transfert de données personnelles est détectée, permettant une réponse rapide
• Traçabilité : le DLP journalise les tentatives de transfert (bloquées ou autorisées), créant une piste d’audit exploitable en cas d’investigation CNIL

Exemples de règles DLP orientées RGPD

• Bloquer l’envoi par email de fichiers contenant plus de 50 numéros de sécurité sociale
• Alerter quand un employé télécharge plus de 100 fiches clients en une journée
• Empêcher le partage de dossiers médicaux vers des comptes externes à l’organisation
• Chiffrer automatiquement les emails sortants contenant des données bancaires

DLP et phishing : protéger les données après une compromission de compte

Le lien entre DLP et phishing est direct. Le phishing est le premier vecteur de compromission de comptes. Un compte compromis donne à l’attaquant un accès légitime aux données de l’entreprise — et les outils de sécurité périmétrique ne voient rien d’anormal, puisque l’accès provient d’un compte autorisé.

Le scénario type

1. Un employé reçoit un email de spear-phishing imitant une notification Microsoft 365
2. Il saisit ses identifiants sur un faux portail de connexion
3. L’attaquant se connecte au compte avec les identifiants volés
4. Depuis le compte compromis, l’attaquant :
   • Lit les emails à la recherche d’informations sensibles (contrats, coordonnées bancaires, accès à d’autres systèmes)
   • Télécharge les fichiers partagés sur OneDrive ou SharePoint
   • Crée une règle de transfert email pour recevoir une copie de tous les emails entrants
   • Envoie des emails de social engineering aux collègues et partenaires depuis le compte compromis

Sans DLP, l’attaquant exfiltre les données en toute discrétion. Le transfert d’emails et le téléchargement de fichiers sont des actions que l’employé effectue normalement au quotidien.

Ce que le DLP détecte

Même depuis un compte légitime, le DLP repère les anomalies :

• Volume anormal : téléchargement de 500 fichiers en 2 heures (l’employé en télécharge habituellement 10 par jour)
• Destination inhabituelle : transfert d’emails vers une adresse externe jamais utilisée auparavant
• Type de données : tentative d’exfiltration de fichiers classifiés “confidentiel” vers un service cloud personnel
• Horaire suspect : accès et téléchargement massif à 3 heures du matin depuis une localisation inhabituelle

Combiné à un EDR ou un XDR, le DLP fournit un signal supplémentaire qui permet de détecter plus rapidement une compromission de compte.

Mettre en place le DLP dans une PME : approche progressive

L’erreur la plus fréquente : acheter un outil DLP complet avant d’avoir fait le travail de classification. Le DLP ne peut protéger que ce qu’il sait identifier. Commencez par les fondations.

Étape 1 : classifier vos données (semaines 1-4)

Avant tout outil, répondez à ces questions :

• Quelles données sensibles possédez-vous ? Données personnelles (clients, employés), données financières (bilans, factures), propriété intellectuelle (code source, plans, brevets), données commerciales (contrats, tarifs, prospects)
• Où sont-elles stockées ? Email (Microsoft 365, Google Workspace), fichiers partagés (SharePoint, Google Drive, serveur de fichiers), applications métier (CRM, ERP, comptabilité)
• Qui y accède ? Quels employés ont accès à quelles données ? Les accès sont-ils justifiés ?

Définissez 3 à 4 niveaux de classification : Public, Interne, Confidentiel, Très confidentiel. Ne complexifiez pas davantage — un schéma trop détaillé ne sera pas appliqué.

Étape 2 : activer le DLP intégré à vos outils (semaines 4-8)

La bonne nouvelle pour les PME : vous avez probablement déjà du DLP sans le savoir.

Microsoft 365 (Microsoft Purview) : disponible avec les licences Microsoft 365 Business Premium, E3 et E5. Permet de créer des règles DLP sur Exchange (email), SharePoint, OneDrive et Teams. Des modèles prédéfinis existent pour les données personnelles françaises (numéros de sécurité sociale, IBAN).

Google Workspace (Google DLP) : disponible avec les licences Business Standard et supérieures. Couvre Gmail et Google Drive. Détection automatique des données sensibles (numéros de carte bancaire, données d’identité).

Commencez en mode alerte (pas de blocage). Laissez le DLP tourner pendant 2 à 4 semaines et analysez les alertes. Vous découvrirez :

• Combien de données sensibles transitent par email chaque jour
• Quels employés partagent des fichiers sensibles en dehors de l’organisation
• Quels processus métier légitimes seraient bloqués si vous activiez le blocage

Étape 3 : activer le blocage progressif (semaines 8-12)

Après la phase d’observation, activez le blocage sur les règles les plus critiques :

• Bloquer l’envoi externe de fichiers contenant des numéros de carte bancaire ou de sécurité sociale
• Bloquer le partage de fichiers classifiés “confidentiel” avec des comptes externes à l’organisation
• Alerter (sans bloquer) sur les téléchargements massifs et les transferts vers des services cloud personnels

Augmentez progressivement la couverture. Ne bloquez pas tout d’un coup — les faux positifs frustrent les employés et les incitent à contourner le système.

Étape 4 : étendre à l’endpoint (mois 3-6)

Une fois le DLP email et cloud stabilisé, étendez la protection aux postes de travail :

• Contrôle des clés USB : bloquer ou chiffrer automatiquement les copies de fichiers sensibles vers des supports amovibles
• Contrôle des uploads : empêcher l’upload de fichiers sensibles vers des services cloud non approuvés (Dropbox, WeTransfer, Google Drive personnel)
• Surveillance du copier-coller entre applications

Cette étape nécessite un agent endpoint et un effort de déploiement plus conséquent. Pour les PME utilisant Microsoft 365 E5, Microsoft Purview Endpoint DLP est intégré et utilise le même agent que Microsoft Defender for Endpoint.

Étape 5 : révision et amélioration continue

Le DLP n’est pas un projet ponctuel. Les données changent, les processus évoluent, les employés trouvent de nouvelles façons de travailler. Planifiez une revue trimestrielle :

• Analyse des alertes et incidents DLP du trimestre
• Ajustement des règles (réduction des faux positifs, ajout de nouvelles règles)
• Mise à jour de la classification des données
• Formation des nouveaux employés sur les politiques de gestion des données

DLP et approche Zero Trust

Le DLP s’intègre naturellement dans une stratégie Zero Trust. Le principe Zero Trust — “ne jamais faire confiance, toujours vérifier” — s’applique aussi aux données :

• Vérifier l’identité avant chaque accès aux données sensibles (MFA, accès conditionnel)
• Limiter les accès au strict nécessaire (principe du moindre privilège)
• Surveiller les transferts en temps réel (DLP)
• Chiffrer les données sensibles au repos et en transit

Le DLP est la composante “surveillance des données” du modèle Zero Trust. Sans DLP, vous contrôlez qui accède aux données mais pas ce qu’il en fait ensuite.

Passage à l’action

Avant d’investir dans un outil DLP dédié, commencez par les bases qui réduisent le risque de fuite :

• Activez le DLP intégré à Microsoft 365 ou Google Workspace — c’est gratuit avec vos licences business existantes, et vous l’avez déjà
• Configurez SPF, DKIM, DMARC en mode reject — empêchez les attaquants d’envoyer des emails de phishing en usurpant votre domaine
• Activez le MFA partout — même si un mot de passe fuit, le compte reste protégé
• Lancez des simulations de phishing régulières — le phishing est le premier vecteur de compromission de comptes qui mène à la fuite de données

Testez la sécurité email de votre domaine avec le vérificateur de sécurité email — résultat en 30 secondes, aucun compte requis.

Pour comprendre comment la détection et la réponse aux menaces complètent la prévention de la fuite de données, consultez nos pages sur l’EDR, le XDR et le MDR.