e-Xpert Solutions Lausanne
Auteur : Adrien O
Date de publication : 5 novembre 2019 - Dernière mise à jour : 5 novembre 2019
Lorsque que l’on aborde le DLP, il est courant de visualiser un projet de ce type comme le fait de poser une boite noire au milieu du réseau. En réalité, le sujet est un peu plus complexe. Les solutions DLP s'intègrent sur différents niveaux et rentrent en interaction avec de nombreux éléments.
Les deux mots les plus importants sont alors « l’intégration » et « l’interaction ». Ils vont nous guider tout au long du projet. C’est là que notre expertise va jouer le rôle d’intermédiaire entre le client et le produit. Ce que l’on recherche, c’est le bon fonctionnement du produit par rapport à sa raison d’être mais aussi par rapport aux interactions possibles avec son environnement.
Dans le monde du DLP cette d’intégration est très importante car elle va conditionner la qualité de la prévention des fuites de données. Plusieurs étapes clefs sont nécessaires pour réussir cette phase. Rentrons maintenant dans le vif du sujet !
La partie la plus importante d’une intégration DLP est le choix de la donnée à surveiller. A noter cette phase est trop souvent sous-estimée.
Les questions à se poser :
Cela permet principalement trois choses :
Notre expérience nous montre que le fait de ne pas identifier correctement la source de données provoque de nombres difficultés à faire prospérer le projet. On se retrouve confronté à un flux trop important d’alertes impossibles à trier et à quantifier.
Il existe plusieurs types de support selon les données à surveiller. On peut très bien choisir de Fingerprinter un plan d’usinage, un document Word ou bien une base de données. On peut aussi utiliser une REGEX ou bien des règles prédéfinis par la solution DLP.
Pour autant, dans certain cas, il arrive que l’on puisse réaliser un Fingerprinting de différentes manières. Il est donc nécessaire de réfléchir et de faire un choix entre différents types de support.
Prenons le cas d’une base de données : Nous allons privilégier les liens ODBC et éviter les fichier CSV.
Quel que soit le type de support, il est conseillé d’être au plus proche de celui-ci pour réaliser le Fingerprinting. On peut par exemple dédier un serveur / Crawler dans la zone réseau où réside la donnée.
Même si nous pensons savoir quelles données vérifier; sont-elles adéquates ?
La principale difficulté est d’arriver à Fingerprinter une donnée bien formatée pour permettre la détection la plus précise. Certains types de données sont à éviter afin de ne pas se retrouver confronté à des faux positifs ou à des cas de non-détection :
Le risque ?
Vouloir à tout prix Fingerprinter une donnée sans vérifier sa pertinence et sa qualité.
Certaine base de données ou certains fichiers CVS ne sont pas forcément contrôlés ou maintenus dans le temps. Ils possèdent souvent des entrées qui porteront préjudice aux modules de détection.
Dans des cas comme celui-ci, un filtre peut être (doit) être appliqué lors de la phase de Fingerprinting pour éviter ces faux positifs. Ces scripts de validation permettent de faire abstraction de certaines entrées dans une BDD pour ne sélectionner que les données à forte valeur ajoutée.
Après avoir correctement sélectionné les données à surveiller, il faut ensuite mettre en place les règles, les combinaisons et les seuils qui vont permettre d’identifier les échanges légitimes des vraies fuites de données.
Le but de cette étape est de trouver la bonne combinaison toxique qui permettra d’avoir la finesse d’analyse la plus précise qu’il soit.
La difficulté ?
Vouloir surveiller trop de conditions dans une même règle.
Il faut accepter, selon le contexte, d’avancer à tâtons et de régulièrement repenser ces combinaisons pour trouver le bon seuil de détection.
Il ne faut pas non plus hésiter à hiérarchiser les règles en fonction de la donnée à surveiller et des chemins de fuite éventuels. Cela permet une administration plus efficace et une meilleure gestion des ressources de la solution DLP.
Passons maintenant à l’étape de la greffe des composants Forcepoint:
Une bonne intégration DLP nécessite de connaitre et d’anticiper les chemins de fuite potentiels. Que dois-je couvrir ? Comment mettre en place ces outils sur mon réseau existant ?
Prenons l’exemple du chemin de transfère des mails qui est l’un des plus commun. Dans le cas d’un serveur de messagerie et d’un relais de mail, la manœuvre consiste à insérer entre les deux MTA le Protector Mail. La vérification et le scan du flux mail par ce Protector n’altère en rien le contenu ou bien la structure des mails y transitant. On peut aussi citer le protector Web qui vient s’intégrer en mode ICAP aux proxys existants. Ces installations sont faciles à mettre en oeuvre car elles ne modifient que très peu l’infrastructure en place.
Cependant, il faut rester vigilant à la manière d’utiliser certains composants DLP. Une des difficultés que l’on peut rencontrer est la sur-utilisation de l’Agent (EndPoint). Ce cas c’est déjà présenté pour éviter de mettre en place une surveillance au niveau réseau (Proxy). A vouloir trop surveiller les fuites au plus près de l’utilisateur, on engendre très souvent une dégradation des performances et un impact sur l’expérience du collaborateur.
A l’inverse, bien qu’il existe des situations où il est difficile pour le client de déployer un agent DLP, il ne faut pas non plus les bannir à tout prix des postes utilisateur. Ces agents couvrent des chemins de fuite spécifiques aux terminaux finaux :
Exemple :
Le cas des Upload de fichier depuis les navigateurs est très explicite. Certaines applications Cloud contournent très facilement les mécanismes classiques d’Upload/Download pour une meilleure efficacité de leurs services en évitant les systèmes de vérification DLP classique lors du transfert de fichier.
La difficulté consiste à trouver le bon équilibre entre ces différents points d’entrée et de sortie.
Une bonne intégration consiste aussi à permettre au produit de bien fonctionner avec son environnement.
Le suivi de version et de compatibilité est très important car on peut rapidement se retrouver confronté à de nouveaux chemins de fuite mais aussi des problèmes de performance.
Les agent Endpoint sont très symptomatiques de ces interactions.
Les cas les plus fréquemment rencontrés sont une mauvaise configuration avec l’antivirus ou d’autres agents de contrôle qui engendre des problèmes de performances.
La mise à jour des agents est aussi très importante pour prendre correctement en charge les nouvelles versions des systèmes d’exploitation et des navigateurs.
Et enfin, quand on parle d’interaction, il ne faut pas oublier les personnes qui vont côtoyer le produit. Rappelons que le DLP traite des données sensibles de l’entreprise. Les actions de remédiation et les décisions quant aux incidents rencontrés doivent être correctement diligentées.
Quelles que soient les nouveautés mises en place [Nouvelle source de donnée, nouvelle règle, nouveau seuil, mise à jour du produit] il est nécessaire de réaliser une série de test, d’audit.
Cela permet de vérifier la cohérence des données à filtrer, la bonne détection de celles-ci en fonction des seuils définies, et la bonne prise en charge des chemins de fuite.
Les tests servent aussi à vérifier les possibles impacts sur le réseau informatique et les utilisateurs.
Prenons en exemple de la mauvaise gestion des seuils. Si pour chaque action l’agent endPoint demande une confirmation, la patience et la confiance de l’utilisateur va décroître rapidement.
L’intégration d’un produit DLP est souvent vu comme étant complexe ou intrusive ; pourtant l’une des fonctions premières du produit est de venir s’adhérer à l’infrastructure existante en réalisant le moins de modifications possibles.
Une solution DLP interagit avec des données sensibles qui sont souvent capital au bon fonctionnement des processus clients. C’est là que réside la complexité de l’intégration ; dans le choix et la gestion des données à surveiller et non dans l’installation pure et simple de la solution. D’où l’importance d’impliquer les bonnes personnes dès le début du projet.
L’intégration d’une solution DLP n’est pas l’affaire d’une personne ou d’un seul environnement. Cette solution interagit avec plusieurs éléments et ceux-ci sont de plus en plus nombreux au fil du temps. Sans oublier le facteur humain. Car c'est bien autour de lui que les solutions DLP évoluent.
Events
Archives