25 mars 2020

Démystifions le DLP

1.    Introduction

a.     Les fuites de données

La fuite de données est aujourd’hui l’un des risques majeurs contre lequel toute société devrait se prémunir. Le coût moyen d’une fuite de données peut s’élever à plusieurs millions d’euros (source IBM) quelle que soit la taille de l’organisation. Il n’est donc pas superflu de se prémunir contre ce type de menace, peu importe la taille de l’organisation. Ces fuites peuvent être d’ordre intentionnel (collaborateur en cours de licenciement) ou bien involontaire (erreur de configuration).

Le DLP soit Data Loss Protection/Prevention (prévention/protection contre la fuite de données) est une solution permettant de se prémunir contre la fuite de données. Ces fuites se déroulant le plus souvent lors du transit des données en dehors de l’organisation, il est donc nécessaire de surveiller ce type de flux.

b.    Que doit-on surveiller ?

Il est important de déterminer avec le métier les données sensibles pour votre organisation. Vous ne pourrez pas surveiller la totalité des données, car cela résulterait par un nombre trop important d’événements à traiter. Certains États peuvent limiter l’utilisation de tels outils :

  • Type de données captées (GDPR)
  • Durée de conservation (Roumanie, Norvège)
  • Lieu d’hébergement des données (Suisse, Luxembourg, Channel Islands)

Il est donc très important d’étudier la faisabilité de telle mesure dans votre contexte et d’obtenir les validations adéquates (RH, DSI ou RSSI) avant leur mise en place.

c.     Symantec DLP

La solution DLP leader sur le marché est celle proposée par Symantec (Broadcom). Elle est très fortement implantée dans le secteur bancaire ou financier français. Plusieurs de nos consultants ont eu l’occasion de travailler sur le maintien en condition opérationnelle de la plateforme groupe d’une Banque ainsi que sur plusieurs projets de déploiement et de montée de version. À l’époque, ce client a choisi Symantec, car ils étaient les seuls à proposer ce type de solution avec une certaine maturité. Cette solution est actuellement fortement challengée avec l’avènement des solutions de protection de la donnée proposées par Microsoft.

2.    Architecture

Afin de mieux appréhender le DLP, voici un schéma sur lequel nous allons nous baser :

a.     Serveur Enforce

Que ce soit fonctionnellement ou techniquement, l’architecture se découpe en deux parties dissociées que ce soit pour l’architecture ou pour le traitement des incidents. Une première (Network) en charge de capturer les flux réseau de différents protocoles et une seconde (Endpoint) qui capture les évènements du poste de travail. Les fonctions de création et déploiement des politiques diffèrent selon les deux mondes.

b.    Réseau

Généralement, l’analyse des flux passe par l’interception et la rupture de protocole, mais peut également être effectuée via une recopie des flux à l’aide d’équipements spécifiques. Ce client a choisi d’analyser les protocoles FTP, HTTP et SMTP en recopiant leurs flux sortant vers les sondes DLP Network monitor. Le choix des protocoles à analyser intervient lors de la configuration des serveurs de détection.

  • DLP Network monitor for web : ce type de serveur de détection analyse les protocoles FTP, HTTP ou HTTPS. Monitor signifie que le serveur ne sera pas en mesure de bloquer les requêtes qui lui seront envoyées, mais seulement de les détecter.
  • DLP Network monitor for mail : le client a choisi d’analyser les flux SMTP (courriel) sortants vers les domaines externes (non gérés par le client). Pour ce faire il a installé des équipements TAP pour recopier ce type de requêtes vers les sondes pour analyse.

c.     Serveur Endpoint

La solution DLP Endpoint se compose d’un agent à installer sur le terminal des utilisateurs. Il héberge les politiques que vous souhaitez déployer. Tous les agents doivent être configurés pour se connecter à un serveur DLP Endpoint primaire qui remontera les incidents au serveur Enforce ainsi qu’un serveur secondaire qui prendra le relais uniquement si le premier ne répond plus.

Le serveur Enforce doit être interconnecté aux annuaires de l’entité afin de viser uniquement certains collaborateurs positionnés dans des groupes ou Unités d’Organisation cibles.

L’agent Endpoint permet de contrôler entre autres, les éléments suivants :

  • USB
  • CD/DVD
  • SMTP
  • FTP
  • HTTP(S)
  • Impression
  • Messagerie instantanée
  • Répertoires partagés

Vous remarquerez que certains de ces protocoles se retrouvent aussi bien dans le paragraphe network que Endpoint. Privilégiez toujours la couverture des flux via le réseau plutôt que le poste de travail. En effet, les moyens de contournement sont beaucoup plus nombreux sur l’agent Endpoint, car il est accessible par un plus grand nombre de collaborateurs bien que celui-ci nécessite des droits d’administration.

3.    Politiques

Afin de définir les données que vous souhaitez protéger, Symantec met à votre disposition plusieurs fonctions qui vous permettront de les intercepter et de remonter des alertes.

a.     EDM

Les Exact Data Match (EDM) sont des indexes de documents CSV contenant des données souvent sensibles. Vous avez la possibilité de spécifier différents critères tels que le type de séparateurs employés, l’encodage et la manière dont vous souhaitez indexer les documents (manuellement ou automatiquement). Vous spécifierez ensuite dans la politique quel EDM vous souhaitez utiliser à partir de son nom. Il est également possible d’indexer des fichiers préalablement hashés à partir du profil d’un EDM permettant l’administrateur DLP d’indexer les éléments sans connaître leur contenu.

b.    IDM

Les Indexed Data Match (IDM) sont des données indexées dans des documents regroupés dans une archive pour lesquels vous souhaitez rechercher des correspondances dans les évènements. Un seuil minimum de correspondance doit être fixé pour la remontée d’évènements. Exemple : vous souhaitez vérifier que des documents avec un formalisme spécifique ne sont pas envoyés à l’extérieur.

c.     RegEx et Data Identifiers

Il est possible de capturer les chaînes de caractères respectant un format préétabli. Si ce format est propre à votre organisation, vous pouvez utiliser le module d’interprétation des Expressions Régulières. S’il s’agit d‘identifiants connus, vous pouvez utiliser le module des Data Identifiers. Très utiles pour toutes les données de type GDPR (N° de Sécurité Sociale, CNI, etc.) ou même des identifiants bancaires.

4.    Difficultés

a.     Politiques

Attention, à ne pas multiplier les politiques, un trop grand nombre vous obligera à augmenter le nombre de ressources travaillant sur leur maintien en conditions opérationnelles. Sans cela, vous vous retrouverez avec des incidents qui ne correspondent plus à vos besoins. De plus, certaines plateformes limitent le nombre d’incidents stocké en base de données (1 million pour Symantec).

b.     Incidents

Lorsqu’un incident a été généré, vous avez besoin de déterminer son auteur. La solution doit être couplée avec un référentiel (annuaire ou base de données des ressources humaines) afin de compléter les informations relatives à l’organisation et à l’utilisateur : Entité, pays, département, nom, prénom, courriel, etc.

Symantec propose un plug-in permettant de compléter ces informations automatiquement lors de la génération de l’incident. Malheureusement, il arrive fréquemment que ces plug-ins ne fonctionnent pas correctement à cause de caractères spécifiques au langage de l’utilisateur, au nombre de guillemets, la taille du message ou des pièces jointes.

c.     Bug et évolutions

La qualité de développement de ces solutions laisse parfois à désirer. Ne sous-estimez pas le temps nécessaire à la préqualification technique et fonctionnelle avant de procéder à la mise à niveau de votre plateforme.

Symantec rééquerrera souvent que vous montiez de version pour corriger les différents bogues ou embarquer les évolutions que vous leur remonterez.

d.    Relation commerciale

Attention, Symantec venant d’être racheté par Broadcom, leur réorganisation interne n’étant pas finalisée, il est possible que vous ayez des difficultés à obtenir des engagements de leur part sur les roadmaps de livraison des prochaines versions.

5.    Contraintes

a.     Légales (GDPR)

La législation française et plus largement européenne autorise les collaborateurs à utiliser les moyens de communication mis à leur disposition par l’organisation pour leur usage personnel. À ce titre, ils sont susceptibles d’envoyer des documents à l’extérieur via les canaux surveillés par la solution DLP. La législation n’interdit pas leur détection, mais seulement leur analyse (lecture). Vous devrez donc veiller à isoler ce genre de messages (dans le cadre de courriels) s’il est mentionné qu’il s’agit d’échanges « personnels ». Bien entendu, des exceptions seront possibles dans le cadre de réquisitions judiciaires ou avec l’accord du collaborateur si une forte suspicion motive cette analyse.

b.    Financières

La mise en place de ce type de solution a bien entendu un coût important. En plus du coût de l’infrastructure technique s’ajoute celui des ressources humaines pour le maintien en conditions opérationnelles, le traitement des alertes DLP et celles qui se chargeront des évolutions techniques et fonctionnelles. L’éditeur peut vous facturer les licences en fonction de votre architecture (en rupture ou en copie) du nombre de postes de travail et du nombre de boîtes mail surveillées auxquelles s’ajouteront un coût de maintenance par licence (entre 20 et 30% en moyenne).

6.    Avenir du DLP

L’un des enjeux en cours du DLP est de suivre la stratégie sécurité des organisations comme leur transformation et la migration des services dans le Cloud.

Comment intercepter des flux qui ne transitent plus à travers l’infrastructure de l’organisation ?

Exemple : si votre société a choisi d’externaliser son service de messagerie en choisissant Exchange online, vous savez sans doute que Microsoft refuse et ne supportera plus le service si vous choisissez d’intercepter les flux, de les déchiffrer et de les analyser avant de les renvoyer. Vous êtes donc dans l’obligation de souscrire à la solution DLP de votre fournisseur de service messagerie. C’est pour cela que notre client témoin a fait le choix de construire une architecture « hybride » où tous les flux repassent par l’infrastructure interne avant d’être renvoyés vers les serveurs d’Exchange Online.

2 Comments on “Démystifions le DLP

Avatar
AIT OUGHLAD Abdelkarim
26 mars 2020 chez 14 h 48 min

Bonjour,
Tout d’abord merci pour ces informations, ayant plus de 4 ans expérience avec ce produit je me permet de vous données quelques petites remarques:
– Sur la partie réseau vous n’avez pas parlé des serveurs “Prevent for Web et Prevent for Email” qui permet de bloquer et non pas seulement surveiller les données sur le réseau.
– Vous n’avez pas parlé aussi du Network Discovery
-Sut la partie Politique il manque la partie “VML” qui permet de créer des règles en mode apprentissage (Machine Learning)
-Vous pouvez ajouter aussi la partie Cloud .
Je vous remercie encore une fois et je vous souhaite une bonne continuation .
Crdlt

Répondre
Avatar
FERNANDES Mathieu
27 mars 2020 chez 10 h 53 min

Bonjour Abdelkarim,

merci pour votre commentaire.

Effectivement, cet article est basé sur un retour d’expérience de ce que j’ai pu mettre en “production” chez l’un de mes clients voilà pourquoi je n’évoque que les fonctions principales.
Je serais très intéressé d’avoir votre retour d’expérience la fonction VML que je n’ai pas eu l’occasion de tester contrairement aux fonctions prevent web et mail.

Merci d’avance.

Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *