e-Xpert Solutions Lausanne
Auteur : Adrien O
Date de publication : 3 avril 2019 - Dernière mise à jour : 3 avril 2019
La version 8.6 du DLP Forcepoint est arrivé en début d’année avec son lot d’amélioration en matière de protection contre les fuites de données. Celle-ci se concentre toujours plus vers le Cloud pour permettre une meilleure protection contre les nouveaux chemins de fuites.
Car à n’en pas douter, notre manière de travailler a beaucoup changé ces dernières années. De plus en plus tourné vers la dématérialisation, les entreprises adoptent rapidement et à grande échelle des services Cloud et Saas.
Par conséquent, le contrôle de ces fuites de donnée se doit aussi d’évoluer en conséquence pour couvrir ces nouveaux environnements de travail et d’échange de donnée.
Introduit il y a quelque temps déjà, la fonctionnalité DLP Cloud Application vient étendre le contrôle de fuites de donné au sein des applications et des plateformes externalisées.
Intégré à l’architecture On-Premise, ce module renforce les fonctionnalités DLP existantes pour les fichiers déposés et stockés au sein des services Cloud de l’entreprise. C’est le contrôle du « Data in motion ».
Combiné à la nouveauté DLP Cloud Data Discovery, la brique DLP englobe aussi le « Data at Rest » ce qui permet la découverte et la remédiation des données sensibles stockées dans le Cloud.
Les « Data Discovery Policy and Classifiers » peuvent être utilisées pour retrouver des données sensibles sur des Applications Cloud sélectionnées. Plusieurs actions de remédiation sont possibles allant de la suppression des droits de partage à la mise en quarantaine.
Les incidents et forensiques sont toujours stockés sur l’infrastructure et la console DLP existante dans le cas d’une installation On-Premise.
Les applications Cloud supportés sont les suivantes :
Que faire cependant pour les applications dites Cloud mais qui n’ont pas forcément de lien direct avec l’entreprise ?
Ces chemins privés sont d’autant de portes dérobées pour la fuite intentionnelle ou accidentelle de donnée. Ces applications Cloud contournent très facilement les mécanismes classiques d’Upload/Download de l’information pour une meilleurs efficacité de leurs services en évitant les extensions DLP des navigateurs Web lors de transfert de fichier.
Exemple : L’import d’une pièce jointe contenant des données sensibles dans Gmail n’est pas détecté dans le navigateur.
Pour corriger cela, les fonctionnalités Cloud des modules DLP permettent de gérer ce type de comportement au plus près de l’émetteur, c’est-à-dire l’utilisateur.
La détection de ces Upload de fichier a été modifiée et améliorée sur les agents Endpoint installés directement sur les Desktop/Laptop pour permettre de remédier à ce type d’incident.
Par défaut, seuls les liens suivants sont supportées pour le produit Forcepoint: mail.google.com, drive.google.com, *.dropbox.com, *.amazon.com/clouddrive, *.box.com, *.icloud.com, mail.yahoo.com.
Ces applications Cloud que nous utilisons depuis longtemps prospèrent aussi sur smartphone.
Quelle solution apporter pour sa messagerie Exchange d’entreprise ?
Que faire lorsqu’un utilisateur partage son agenda ?
Comment prévenir les risques de perte d’un Natel ?
Pour répondre à cela, le DLP s’intègre très facilement aux infrastructures existantes pour accroître la protection de ses données.
Lié directement au serveur de messagerie en appliquant les polices DLP à l’agent Active Sync, il est possible de restreindre les informations sensibles au niveau du contenu de courrier électronique synchronisé avec les périphériques mobiles des utilisateurs lorsqu’ils se connectent au réseau. Cela inclut le contenu dans les e-mails, les événements de calendrier et les tâches.
Le dispositif d'agent mobile se connecte au serveur de gestion et au serveur Microsoft Exchange. L'analyse DLP est effectuée sur l'appliance ou sur d'autres serveurs DLP.
Couvrir ces nouveaux lieux de stockage de données et les moyens d’y accéder n’est pas forcément suffisant. Faut-il encore connaître et utiliser correctement ces mêmes données sensibles au sein de son entreprise. Souvent mise en place mais pas toujours intégré aux fonctionnalités DLP, la classification des données est possible via plusieurs outils dédiés au labeling de l’information.
Ces solutions permettent la mise en place de politique d’accès aux données plus ciblée et plus efficace.
Ces produits que nous proposons peuvent être très facilement couplées à une solution de contrôle de fuites de donnée. Elles permettent en autre de découvrir des informations sensibles et souvent méconnues des utilisateurs qui nécessitent une attention particulière.
Le module DLP intègre plusieurs de ces solutions au sein de leur moteur « Threat defence » via un data labeling framework . Avec ce framework, il est possible d’importer et d’utiliser les labels de classification suivant :
Ce nouveau contenu est ajouté dans le File Labeling Classifier. Cela permet aux labels d’être détectés avec les polices DLP pour une meilleure précision lors de l’inspections des flux de donnée en transit ou bien lors des taches de découverte sur un répertoire de stockage de donnée.
Avec le Boldon James classifier, il est également possible d’appliquer automatiquement l’étiquetage via les « DLP Policy Actions Plans » pour les données sensibles stockées sur les postes (Data at REST) avec les agents Endpoint DLP.
Souvent mal apprécié, le facteur Humain est aussi au centre des incidents DLP.
Le comportement humain est l’un des points centraux de la mise en place d’une solution DLP de nos jours.
Pouvoir prédire certaines fuites de données en fonction du comportement d’une personne par rapport à son poste, son rôle et ses déplacements au sein de l’entreprise est devenu primordial.
Des outils spécifiquement dédiés à ces analyses sont disponibles et peuvent être rapidement intégrés au sein d’une solution DLP existante ou lors d’un nouveau projet.
Forcepoint propose pour cela ses composants Insider Threat et Analytics engine.
Cette approche donne une visibilité nécessaire pour reconnaître au plus tôt les signes précurseurs d’un utilisateur piraté, devenu nocif, ou commettant juste des erreurs d’inattention - avant que des données sensibles ne soient dérobées.
Pour les structure importante, Insider Threat est tout désigné pour permettre ces analyses approfondis.
La console centralisée du produit permet de "scorer" et de prioriser de manière automatique les alertes les plus risqués sans traiter tous les incidents DLP pour identifier les utilisateurs potentiellement à risque.
Pour les entreprises de plus petite taille ou nécessitant seulement une analyse de premier niveau, Forcepoint propose son module Analytics Engine.
Celui-ci permet de faire ressortir un Risk Score au niveau du Serveur FSM et dans les rapports Risk Ranking.
Pour conclure, que les fuites de donnée surviennent du Cloud ou bien d’une installation On-Premise, l’évolution du DLP se fera quoi qu’il arrive autour de l’humain. C’est grâce à l’analyse des incidents en fonction de certains facteurs humains, géographiques et décisionnels que le DLP arriva à améliorer son efficacité et à faire fasse aux nouveaux enjeux du monde digital.
Events
Archives