Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Retour aux articles

Les éléments d’une intégration DLP réussie


Auteur : Adrien O

Date de publication : 5 novembre 2019 - Dernière mise à jour : 5 novembre 2019


Lorsque que l’on aborde le DLP, il est courant de visualiser un projet de ce type comme le fait de poser une boite noire au milieu du réseau. En réalité, le sujet est un peu plus complexe. Les solutions DLP s'intègrent sur différents niveaux et rentrent en interaction avec de nombreux éléments.

Les deux mots les plus importants sont alors « l’intégration » et « l’interaction ». Ils vont nous guider tout au long du projet. C’est là que notre expertise va jouer le rôle d’intermédiaire entre le client et le produit. Ce que l’on recherche, c’est le bon fonctionnement du produit par rapport à sa raison d’être mais aussi par rapport aux interactions possibles avec son environnement.

Dans le monde du DLP cette d’intégration est très importante car elle va conditionner la qualité de la prévention des fuites de données. Plusieurs étapes clefs sont nécessaires pour réussir cette phase. Rentrons maintenant dans le vif du sujet !

Le choix des données

La partie la plus importante d’une intégration DLP est le choix de la donnée à surveiller. A noter cette phase est trop souvent sous-estimée.

Les questions à se poser :

  • Que souhaite-t-on surveiller ?
  • Comment les données transitent-t-elles (Par mail, Web, clef usb, Cloud, Impression papier…)?
  • Comment les données vont-elles évoluer dans le temps ?

Cela permet principalement trois choses :

  • 1. D’éviter de tomber dans un schéma de surveillance totale sans savoir quoi chercher,
  • 2. De maîtriser les différents canaux de communication et donc les possibles chemins de fuite,
  • 3. De se préparer aux évolutions : Changement de support, Migration dans le Cloud, changement de législation, Ajout de nouvelles sources de donnée…

Notre expérience nous montre que le fait de ne pas identifier correctement la source de données provoque de nombres difficultés à faire prospérer le projet. On se retrouve confronté à un flux trop important d’alertes impossibles à trier et à quantifier.

Le choix du support

Il existe plusieurs types de support selon les données à surveiller. On peut très bien choisir de Fingerprinter un plan d’usinage, un document Word ou bien une base de données. On peut aussi utiliser une REGEX ou bien des règles prédéfinis par la solution DLP.

Pour autant, dans certain cas, il arrive que l’on puisse réaliser un Fingerprinting de différentes manières. Il est donc nécessaire de réfléchir et de faire un choix entre différents types de support.

Prenons le cas d’une base de données : Nous allons privilégier les liens ODBC et éviter les fichier CSV.

  • Un lien ODBC permet de régulièrement Fingerprinting une donnée structurée, d’être potentiellement au plus près de la source et d’appliquer des filtres s’il existe un besoin d’affiner les empruntes,
  • A l’inverse un fichier CSV va générer une extraction de la donnée avec des risques accrus de fuite (toute copie du fichier laisse une trace sur le disque) ; il faudra réitérer l’opération régulièrement pour prendre en compte les nouvelles entrées et le fichier doit respecter un format bien précis pour être pris en compte par la solution DLP.

Quel que soit le type de support, il est conseillé d’être au plus proche de celui-ci pour réaliser le Fingerprinting. On peut par exemple dédier un serveur / Crawler dans la zone réseau où réside la donnée.

Les différents types de données et leur pertinence

Même si nous pensons savoir quelles données vérifier; sont-elles adéquates ?
La principale difficulté est d’arriver à Fingerprinter une donnée bien formatée pour permettre la détection la plus précise. Certains types de données sont à éviter afin de ne pas se retrouver confronté à des faux positifs ou à des cas de non-détection :

  • Adresse
  • Numéro et/ou suite de caractère trop court [moins de 4 itérations]
  • Champ vide
  • Dates et Heures
  • Donnée à risque de répétition (ville, pays)
  • Champs commentaire
  • Donnée Nulle

Le risque ?
Vouloir à tout prix Fingerprinter une donnée sans vérifier sa pertinence et sa qualité.
Certaine base de données ou certains fichiers CVS ne sont pas forcément contrôlés ou maintenus dans le temps. Ils possèdent souvent des entrées qui porteront préjudice aux modules de détection.

Les éléments d’une intégration DLP réussie

Dans des cas comme celui-ci, un filtre peut être (doit) être appliqué lors de la phase de Fingerprinting pour éviter ces faux positifs. Ces scripts de validation permettent de faire abstraction de certaines entrées dans une BDD pour ne sélectionner que les données à forte valeur ajoutée.

Les règles et les combinaisons toxiques

Après avoir correctement sélectionné les données à surveiller, il faut ensuite mettre en place les règles, les combinaisons et les seuils qui vont permettre d’identifier les échanges légitimes des vraies fuites de données.
Le but de cette étape est de trouver la bonne combinaison toxique qui permettra d’avoir la finesse d’analyse la plus précise qu’il soit.

La difficulté ?
Vouloir surveiller trop de conditions dans une même règle.
Il faut accepter, selon le contexte, d’avancer à tâtons et de régulièrement repenser ces combinaisons pour trouver le bon seuil de détection.
Il ne faut pas non plus hésiter à hiérarchiser les règles en fonction de la donnée à surveiller et des chemins de fuite éventuels. Cela permet une administration plus efficace et une meilleure gestion des ressources de la solution DLP.

Les éléments d’une intégration DLP réussie

L’intégration sur les chemins de fuite possible

Passons maintenant à l’étape de la greffe des composants Forcepoint:

  • Proxy Web
  • Protector Web / Mail (icap)
  • Serveur DSS - OCR
  • Agent DLP

Une bonne intégration DLP nécessite de connaitre et d’anticiper les chemins de fuite potentiels. Que dois-je couvrir ? Comment mettre en place ces outils sur mon réseau existant ?

Prenons l’exemple du chemin de transfère des mails qui est l’un des plus commun. Dans le cas d’un serveur de messagerie et d’un relais de mail, la manœuvre consiste à insérer entre les deux MTA le Protector Mail. La vérification et le scan du flux mail par ce Protector n’altère en rien le contenu ou bien la structure des mails y transitant. On peut aussi citer le protector Web qui vient s’intégrer en mode ICAP aux proxys existants. Ces installations sont faciles à mettre en oeuvre car elles ne modifient que très peu l’infrastructure en place.

Cependant, il faut rester vigilant à la manière d’utiliser certains composants DLP. Une des difficultés que l’on peut rencontrer est la sur-utilisation de l’Agent (EndPoint). Ce cas c’est déjà présenté pour éviter de mettre en place une surveillance au niveau réseau (Proxy). A vouloir trop surveiller les fuites au plus près de l’utilisateur, on engendre très souvent une dégradation des performances et un impact sur l’expérience du collaborateur.

A l’inverse, bien qu’il existe des situations où il est difficile pour le client de déployer un agent DLP, il ne faut pas non plus les bannir à tout prix des postes utilisateur. Ces agents couvrent des chemins de fuite spécifiques aux terminaux finaux :

  • Surveillance des programmes et exécutables
  • Surveillance des Impressions de document
  • Action de Copy/Past
  • Surveillance de flux Web spécifique

Exemple :

Les éléments d’une intégration DLP réussie

Le cas des Upload de fichier depuis les navigateurs est très explicite. Certaines applications Cloud contournent très facilement les mécanismes classiques d’Upload/Download pour une meilleure efficacité de leurs services en évitant les systèmes de vérification DLP classique lors du transfert de fichier.

La difficulté consiste à trouver le bon équilibre entre ces différents points d’entrée et de sortie.

Les interactions possibles

Une bonne intégration consiste aussi à permettre au produit de bien fonctionner avec son environnement.
Le suivi de version et de compatibilité est très important car on peut rapidement se retrouver confronté à de nouveaux chemins de fuite mais aussi des problèmes de performance.

Les agent Endpoint sont très symptomatiques de ces interactions.
Les cas les plus fréquemment rencontrés sont une mauvaise configuration avec l’antivirus ou d’autres agents de contrôle qui engendre des problèmes de performances.

La mise à jour des agents est aussi très importante pour prendre correctement en charge les nouvelles versions des systèmes d’exploitation et des navigateurs.

Et enfin, quand on parle d’interaction, il ne faut pas oublier les personnes qui vont côtoyer le produit. Rappelons que le DLP traite des données sensibles de l’entreprise. Les actions de remédiation et les décisions quant aux incidents rencontrés doivent être correctement diligentées.

Des tests obligatoires

Quelles que soient les nouveautés mises en place [Nouvelle source de donnée, nouvelle règle, nouveau seuil, mise à jour du produit] il est nécessaire de réaliser une série de test, d’audit.

Cela permet de vérifier la cohérence des données à filtrer, la bonne détection de celles-ci en fonction des seuils définies, et la bonne prise en charge des chemins de fuite.

Les tests servent aussi à vérifier les possibles impacts sur le réseau informatique et les utilisateurs.

Prenons en exemple de la mauvaise gestion des seuils. Si pour chaque action l’agent endPoint demande une confirmation, la patience et la confiance de l’utilisateur va décroître rapidement.

Les éléments d’une intégration DLP réussie

Prise de recul

L’intégration d’un produit DLP est souvent vu comme étant complexe ou intrusive ; pourtant l’une des fonctions premières du produit est de venir s’adhérer à l’infrastructure existante en réalisant le moins de modifications possibles.

Une solution DLP interagit avec des données sensibles qui sont souvent capital au bon fonctionnement des processus clients. C’est là que réside la complexité de l’intégration ; dans le choix et la gestion des données à surveiller et non dans l’installation pure et simple de la solution. D’où l’importance d’impliquer les bonnes personnes dès le début du projet.

L’intégration d’une solution DLP n’est pas l’affaire d’une personne ou d’un seul environnement. Cette solution interagit avec plusieurs éléments et ceux-ci sont de plus en plus nombreux au fil du temps. Sans oublier le facteur humain. Car c'est bien autour de lui que les solutions DLP évoluent.