Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Complétez votre stratégie DSPM grâce à l’application automatisée des règles pour les données en mouvement

Complétez votre stratégie DSPM grâce à l’application automatisée des règles pour les données en mouvement

par Robert Dougherty updated décembre 4, 2025 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

Les organisations investissent massivement dans les solutions de Data Security Posture Management (DSPM) – et ce n’est pas un hasard. Savoir où résident vos données sensibles constitue la base de leur protection. Mais voici le problème qui empêche les responsables de la sécurité de dormir : le DSPM vous indique où se trouvent les données, mais pas ce qu’il advient lorsqu’elles quittent l’organisation.

Dans cet article, nous allons analyser l’écart critique entre la découverte des données et leur protection, pourquoi ce décalage représente un risque majeur, et comment l’application automatisée de politiques pour les données en mouvement transforme votre investissement DSPM d’un simple inventaire coûteux en une véritable stratégie de sécurité des données.

Résumé Exécutif

À retenir : Les solutions DSPM excellent dans la découverte et la classification des données sensibles au repos, mais elles ne proposent pas de mécanismes d’application lorsque ces données circulent hors de l’organisation. L’application automatisée de politiques pour les données en mouvement comble ce manque en veillant à ce que les classifications DSPM déclenchent une protection en temps réel dès que les données sensibles sont partagées à l’externe : via la messagerie électronique, le transfert sécurisé de fichiers, les API ou la collaboration avec des tiers.

Pourquoi c’est important : Selon Frost & Sullivan, 40 % des violations de données impliquent aujourd’hui des données réparties sur plusieurs environnements. Parallèlement, Secureframe révèle que 61 % des organisations ont subi une violation de données par un tiers au cours des 12 derniers mois. Votre solution DSPM peut classer un document comme « Confidentiel » toute la journée, mais cette classification devient inutile dès qu’un collaborateur l’envoie à un fournisseur sans mécanisme d’application. Votre investissement dans la découverte n’a de valeur que si vous pouvez agir sur ce que vous avez découvert.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Résumé des points clés

  1. Le DSPM offre de la visibilité, pas de protection. La découverte et la classification des données sont des étapes essentielles, mais les outils DSPM s’arrêtent à la frontière de votre réseau. Lorsque les données sensibles sortent, les classifications ne suivent pas sans couche d’application.
  2. Le partage avec des tiers est votre angle mort le plus risqué. Avec 61 % des organisations ayant subi une violation par un tiers l’an dernier et des attaques sur la supply chain nécessitant 267 jours pour être contenues, la collaboration externe représente la faille la plus dangereuse dans la plupart des stratégies de sécurité des données.
  3. Le Shadow AI accentue le manque d’application. IBM indique que 20 % des organisations ont subi des violations liées à l’utilisation non autorisée de l’IA, et 97 % n’avaient pas de contrôles d’accès adaptés. Sans application automatisée, les employés peuvent exposer involontairement des données classifiées à des outils d’IA.
  4. L’application automatisée rend les classifications DSPM opérationnelles. En intégrant les labels MIP et en appliquant des politiques dynamiques selon la sensibilité des données et le contexte du destinataire, l’application garantit que la protection suit les données partout où elles circulent.
  5. L’intégration ne nécessite pas de remplacer votre investissement DSPM. Les solutions d’application fonctionnent avec les plateformes DSPM existantes – Microsoft Purview, Cyera, Varonis, BigID, etc. – en augmentant leur valeur plutôt qu’en les remplaçant.

Où s’arrête la couverture DSPM : l’angle mort des données en mouvement

Le DSPM a trouvé sa place dans la pile de sécurité des entreprises. Ces solutions scannent les référentiels, identifient les données sensibles, appliquent des classifications et offrent aux équipes de sécurité une visibilité inédite. Le marché en témoigne : Frost & Sullivan indique que le marché du DSPM a atteint 415 millions de dollars en 2024, avec une croissance annuelle de 37,4 %.

Mais il existe une limite architecturale fondamentale que les éditeurs DSPM mentionnent rarement dans leurs argumentaires.

Le DSPM excelle pour les données au repos

Les outils DSPM répondent à des questions clés : Où résident les données sensibles ? Comment sont-elles classifiées ? Qui y a accès ? Sont-elles conformes aux exigences réglementaires ? Ils scannent les partages de fichiers, le stockage cloud, les bases de données et les applications SaaS pour dresser une cartographie précise de votre paysage de données.

Cette capacité est réellement précieuse. Impossible de protéger ce que l’on ne voit pas, et la plupart des organisations ont accumulé des données sensibles dans des dizaines de référentiels sans aucune visibilité centralisée.

Le problème de la frontière réseau

La difficulté apparaît lorsque les données doivent circuler. Les activités ne se déroulent pas en vase clos. Les organisations partagent des fichiers avec des fournisseurs, collaborent avec des partenaires, envoient des rapports à des auditeurs et échangent des informations avec des clients en permanence.

Que se passe-t-il lorsqu’un fichier classé « Confidentiel » par votre DSPM est joint à un e-mail ou téléchargé sur un portail partenaire ? Dans la plupart des environnements, rien. La classification existe en tant que métadonnée, mais aucun système n’impose de protection sur la base de cette classification une fois la donnée sortie du périmètre réseau.

Voilà l’angle mort des données en mouvement. Le DSPM surveille les données au repos. Personne ne surveille lorsqu’elles circulent.

À quoi ressemble réellement la donnée en mouvement

Les données quittent les organisations par de multiples canaux chaque jour :

  • Pièces jointes d’e-mails envoyées à des destinataires externes via la messagerie électronique ou des canaux non sécurisés
  • Partage sécurisé de fichiers avec des fournisseurs, partenaires et clients
  • Transfert sécurisé de fichiers vers des partenaires commerciaux
  • Intégrations API pour échanger des données avec des systèmes tiers
  • Formulaires web sécurisés pour collecter ou diffuser des informations
  • Plateformes de collaboration permettant de travailler avec des tiers

Chacun de ces canaux représente une faille potentielle où les classifications DSPM existent, mais sans application concrète.

Le risque lié à l’absence d’application

L’écart entre découverte et application n’est pas un problème théorique. Il se manifeste dans les statistiques de violations, les constats réglementaires et les délais de réponse aux incidents.

Exposition au risque tiers

La collaboration externe est devenue le talon d’Achille de la sécurité d’entreprise. Secureframe révèle que 61 % des entreprises ont subi une violation de données par un tiers au cours des 12 derniers mois – soit une hausse de 49 % par rapport à 2023. Plus frappant encore : 98 % des organisations comptent au moins un fournisseur dans leur supply chain ayant subi une violation.

Le rapport IBM 2025 Cost of a Data Breach apporte une autre dimension à ce risque. Les violations sur la supply chain représentent désormais 15 % de toutes les violations et nécessitent en moyenne 267 jours pour être contenues – le délai le plus long parmi tous les vecteurs d’attaque. Lorsque les données sensibles quittent votre organisation sans application, vous accordez une confiance sans vérification. Une gestion efficace du risque tiers suppose une protection qui accompagne les données au-delà de votre périmètre.

Complexité multi-environnement

Les entreprises modernes ne stockent pas leurs données à un seul endroit. Elles résident sur des systèmes sur site, chez plusieurs fournisseurs cloud, dans des applications SaaS et chez des partenaires. Frost & Sullivan a constaté que 40 % des violations impliquent des données réparties sur plusieurs environnements.

Le DSPM permet de découvrir et de classifier les données dans ces environnements. Mais lorsque les données circulent entre eux – ce qui est fréquent – les classifications ne se traduisent pas automatiquement par une protection. Un fichier marqué « Restreint » dans votre environnement Azure ne bénéficie pas de cette protection une fois transféré vers l’AWS d’un partenaire. Les organisations soumises à des exigences de souveraineté des données font face à une complexité accrue.

Le Shadow AI ouvre de nouveaux vecteurs d’exposition

L’adoption rapide des outils d’IA a créé une nouvelle catégorie de risques que beaucoup d’organisations tentent encore d’adresser. Selon IBM, 20 % des organisations ont déjà subi des violations liées à l’utilisation non autorisée de l’IA. Ces incidents ajoutent environ 670 000 $ au coût moyen d’une violation.

Le plus préoccupant : 97 % des organisations ayant subi une violation liée à l’IA n’avaient pas de contrôles d’accès adaptés. Les employés téléchargent des documents sensibles sur des outils d’IA pour les résumer, les analyser ou générer du contenu – souvent sans réaliser qu’ils exposent ainsi des données classifiées à des systèmes tiers. Une gouvernance efficace des données IA exige une application qui intercepte les données avant qu’elles n’atteignent des destinations non autorisées.

Sans application automatisée qui intercepte et applique des politiques aux données avant qu’elles n’atteignent ces outils, les classifications DSPM ne sont que des étiquettes sur des fichiers déjà partagés de façon inappropriée.

À quoi ressemble l’application automatisée des politiques dans la pratique

Pour combler l’écart d’application, il faut un système capable de consommer les classifications DSPM et d’appliquer une protection en temps réel lorsque les données sortent. Il ne s’agit pas de remplacer le DSPM : il s’agit de le rendre opérationnel.

Comment fonctionne l’application basée sur la classification

Le processus d’application relie la découverte DSPM à la protection en temps réel en plusieurs étapes :

Étape Ce qui se passe Exemple
Classification Le DSPM découvre et étiquette les données sensibles Document marqué « Confidentiel – PII/PHI »
Détection La couche d’application détecte la classification lors du partage L’utilisateur joint un fichier à un e-mail externe
Évaluation du contexte Le système évalue l’expéditeur, le destinataire et la sensibilité des données Un collaborateur envoie à un fournisseur connu ou à un destinataire inconnu
Application de la politique La protection appropriée est appliquée automatiquement Chiffrement requis, téléchargement restreint, filigrane appliqué
Journalisation d’audit Un enregistrement complet est créé pour la conformité Qui, quoi, quand, où, comment : tout est consigné dans les journaux d’audit

Application dynamique des politiques

Une application efficace ne se limite pas à bloquer ou autoriser. Les systèmes contextuels appliquent des protections graduées selon la situation :

  • Chiffrement de bout en bout pour les données sensibles envoyées à des destinataires externes autorisés
  • Accès en lecture seule pour les documents hautement confidentiels qui ne doivent pas être téléchargés
  • Filigranage pour décourager la redistribution non autorisée via la gestion des droits numériques
  • Édition sans possession pour collaborer sans téléchargement de fichiers
  • Blocage des tentatives de partage de données restreintes avec des personnes non autorisées

Cette approche nuancée maintient la productivité tout en garantissant la protection. Les utilisateurs peuvent toujours collaborer – mais pas d’une manière qui enfreint les règles de sécurité des données.

Intégration sans refonte

Les solutions d’application modernes s’intègrent aux plateformes DSPM via les labels Microsoft Information Protection (MIP) ou des connexions API directes. Cela permet aux organisations de :

  • Continuer à utiliser leur investissement DSPM existant
  • Tirer parti des classifications déjà appliquées aux données
  • Éviter de devoir reclassifier ou re-étiqueter le contenu existant
  • Maintenir des règles cohérentes entre découverte et application

Le DSPM gère la découverte et la classification. La couche d’application gère la protection. Chacun joue son rôle.

De la visibilité au contrôle : résultats et bénéfices

En comblant l’écart d’application, le DSPM passe d’un outil de reporting à un système de défense actif.

Conformité automatisée aux réglementations

Les classifications DSPM peuvent déclencher automatiquement des contrôles spécifiques à chaque réglementation :

  • Documents étiquetés CUI : protections CMMC appliquées
  • Fichiers classés PHI : mesures de conformité HIPAA déclenchées
  • Données personnelles : exigences RGPD appliquées automatiquement
  • Documents financiers : contrôles SOX et GLBA appliqués

Vous éliminez ainsi la nécessité de faire correspondre manuellement les classifications aux exigences de conformité. Le moteur de politique s’en charge automatiquement sur la base des labels déjà appliqués par le DSPM.

Améliorations mesurables de la sécurité

Les organisations qui mettent en place une application automatisée avec le DSPM constatent généralement :

  • 100 % d’application des politiques pour les données classifiées partagées à l’externe
  • Traçabilité complète de chaque interaction de données externe
  • Réduction du temps de réponse aux incidents grâce à l’automatisation des contrôles
  • Simplification du reporting de conformité grâce à une visibilité unifiée

Gains d’efficacité opérationnelle

Au-delà de la sécurité, l’automatisation de l’application réduit la charge opérationnelle :

  • Un seul système de classification pilote toutes les politiques de protection
  • Aucune formation utilisateur supplémentaire requise pour la conformité
  • Moins de tickets support liés au partage sécurisé de fichiers
  • Préparation des audits accélérée grâce à une journalisation complète

Selon IBM, les organisations qui utilisent l’automatisation de la sécurité dopée à l’IA économisent en moyenne 1,9 million de dollars par violation et détectent les menaces 80 jours plus tôt que celles qui n’automatisent pas.

Le Réseau de données privé Kiteworks comble l’écart critique d’application DSPM

L’écart entre la découverte DSPM et la protection des données exige une solution conçue pour sécuriser les données en mouvement. Le Réseau de données privé Kiteworks répond à ce besoin grâce à plusieurs fonctions clés.

Application automatisée des politiques via intégration MIP. Kiteworks ingère les classifications de toute solution DSPM via les labels Microsoft Information Protection, et applique automatiquement les politiques de protection lorsque des données classifiées sont partagées à l’externe. Aucune intervention manuelle requise.

Chiffrement des données en mouvement sur tous les canaux. Contrairement aux solutions ponctuelles qui ne protègent qu’un mode de partage, Kiteworks applique le chiffrement AES 256 sur la messagerie électronique, le partage sécurisé de fichiers, le transfert sécurisé de fichiers, les API et les formulaires web. Les données sensibles restent protégées quel que soit leur mode de sortie.

SafeEDIT : édition sans possession. Pour les documents hautement sensibles, SafeEDIT permet la collaboration externe sans téléchargement de fichiers. Les destinataires peuvent consulter et modifier les documents sans jamais prendre possession du fichier, éliminant ainsi le risque de copies incontrôlées.

Architecture Zero Trust pour le partage externe. Kiteworks applique les principes du Zero Trust au-delà du périmètre réseau, vérifie chaque demande d’accès et applique le principe du moindre privilège même pour les destinataires externes.

Journalisation d’audit complète. Chaque accès, partage, modification et transfert est consigné en détail, fournissant la traçabilité requise pour la conformité réglementaire et l’investigation des incidents.

Les organisations qui protègent des données sensibles dans le cadre de collaborations externes ne peuvent pas s’arrêter à la découverte. Kiteworks transforme les classifications DSPM en protection appliquée, et complète ainsi votre stratégie de sécurité des données.

Pour en savoir plus sur la manière de combler ce manque critique dans votre investissement DSPM, réservez votre démo sans attendre !

Foire aux questions

Le DSPM et la protection des données en mouvement couvrent différentes étapes du cycle de vie des données. Le DSPM se concentre sur la découverte, la classification et la surveillance des données sensibles au repos dans les référentiels et les environnements cloud. La protection des données en mouvement applique les politiques de sécurité lorsque ces données sont partagées à l’externe via la messagerie électronique, le transfert sécurisé de fichiers ou les outils de collaboration. Les organisations ont besoin des deux pour une couverture complète : le DSPM offre de la visibilité, tandis que la protection des données en mouvement garantit que les classifications se traduisent par une protection effective.

Les solutions d’application automatisée des politiques s’intègrent aux plateformes DSPM existantes sans obliger les organisations à remplacer leurs investissements actuels. L’intégration s’effectue généralement via les labels Microsoft Information Protection (MIP), qui servent de standard universel de classification. Lorsqu’une solution DSPM comme Purview, Varonis, Cyera ou BigID applique un label MIP, la couche d’application lit ce label et applique automatiquement les politiques de protection correspondantes.

L’application automatisée permet aux organisations de respecter les exigences de conformité CMMC 2.0 pour les informations non classifiées contrôlées (CUI) en veillant à ce que les documents classifiés CUI bénéficient automatiquement des protections requises lors d’un partage externe. Quand le DSPM étiquette un document comme CUI, la couche d’application applique les contrôles nécessaires : chiffrement, contrôles d’accès, journalisation d’audit – sans intervention manuelle. Cela garantit la protection documentée et cohérente attendue par les auditeurs CMMC.

Les organisations qui souhaitent collaborer à l’externe sans téléchargement de fichiers peuvent utiliser la technologie d’édition sans possession comme SafeEDIT. Cette approche permet aux destinataires externes de consulter et modifier des documents sensibles via une interface sécurisée, sans jamais télécharger le fichier réel. Le document ne quitte jamais l’environnement protégé, éliminant les risques de copies incontrôlées tout en maintenant la collaboration.

Les organisations gèrent les risques liés au Shadow AI grâce à l’application automatisée des politiques qui intercepte les tentatives de partage de données avant qu’elles n’atteignent des outils d’IA non autorisés. Lorsqu’un collaborateur tente de télécharger un document classifié vers un service d’IA, la couche d’application détecte la classification DSPM et applique les contrôles appropriés : blocage du transfert, demande d’approbation ou autorisation avec journalisation selon la politique. Cela évite les expositions involontaires sans que les employés aient à vérifier manuellement les classifications. Une stratégie robuste de gouvernance des données IA combine la visibilité DSPM et l’application pour combler cette faille.

Ressources complémentaires

  • Article de blog DSPM vs sécurité des données traditionnelle : combler les failles critiques de la protection des données
  • Article de blog DSPM pour les cabinets d’avocats : confidentialité client à l’ère du cloud
  • Article de blog DSPM pour la santé : sécuriser les informations médicales protégées (PHI) dans le cloud et les environnements hybrides
  • Article de blog DSPM pour l’industrie pharmaceutique : protéger les données d’essais cliniques et la propriété intellectuelle
  • Article de blog DSPM dans la banque : au-delà de la conformité réglementaire vers une protection maximale des données

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks