Friday, February 24, 2017

Exchange 2016 (10) : DLP ou "protection contre la perte des données"

English summary : I take a first look at Exchange (2016) DLP. I create a policy, add a rule with various conditions and actions and then attempt to send a message with confidential data inside (a routable IP address). DLP detects the data in question and prevents the message from being sent. However, DLP was not successful in all the scenarios that I tested. 

***

L'objectif de DLP ("Data Loss Prevention"), ou "protection contre la perte de données" en français, est d'empêcher la divulgation de données sensibles, que ce soit par mégarde ou par malveillance. Les numéros de carte de crédit ou de sécurité sociale ne sont que deux exemples de ces données sensibles.

Note : dans la version française d'Exchange, le terme DLP est traduit par "protection contre la perte de données" mais le sigle anglais est retenu partout dans l'interface.

DLP analyse le contenu des messages en déplacement ainsi que,  le cas échéant, les pièces jointes à ces messages. Par contre, il n'examine pas les messages "au repos" dans les boîtes aux lettres.

Exchange 2016 propose une quarantaine de modèles (templates) fondés sur des exemples de données jugées sensibles dans divers pays et la législation qui les protège éventuellement. Nous pouvons aussi créer nos propres modèles et même prendre "l'empreinte" de certains types de documents et détecter leur envoi au sein du système de messagerie.

***

Comme dans mes autres textes et pour d'autres sujets, je ne vise pas ici à réécrire la documentation officielle de Microsoft mais plutôt à mettre à l'essai certains aspects de DLP. Je vais créer une stratégie DLP, l'appliquer à mon organisation (fictive), envoyer un message avec une séquence numérique mimant des données sensibles et puis examiner les actions qui peuvent se déclencher à la détection de cette séquence numérique.

Note : les critères de détection tiennent souvent compte de certains mots aussi.

Dans un premier essai, j'ai envoyé des messages avec une séquence numérique comparable à celle d'une carte de crédit mais cela n'a pas déclenché d'alerte et le message est arrivé à destination. Il paraît que DLP fait un calcul pour déterminer s'il s'agit d'un numéro de carte de crédit valable. Sinon, il laisse passer le message. Je ne voulais pas trop insister là-dessus (obligé de mener plusieurs projets de front, certains plus pressants que d'autres) et je me suis rabattu sur les adresses IP. En effet, les responsables de la sécurité informatique d'une entreprise pourraient vouloir empêcher la divulgation de ces adresses.

Voici donc les étapes de fabrication d'une stratégie DLP et les résultats de sa mise en oeuvre...


***


Dans l'EAC, nous allons à "gestion de la conformité" et puis à "protection contre la perte de données" où nous cliquons sur le signe " + " et choisissons l'option "Nouvelle stratégie DLP personnalisée" :




Je donne un nom à la stratégie, je la laisse activée (elle l'est par défaut) et je choisis le mode "Appliquer" :


Note : nous pourrions tester la stratégie avec ou sans "conseils de stratégie" ou "policy tips" en version anglaise. Ce sont en substance des "mail tips" qui s'affichent afin d'avertir que le message (ou ses pièces-jointes) contient des données sensibles. Quant à moi, je vais aller droit au but et appliquer la stratégie d'entrée de jeu. 


Cependant, la stratégie n'accomplit encore rien si je ne crée pas une règle et configure des conditions et des actions pour cette règle. A cette fin, je clique sur le signe " + "...




Et dans le menu, je choisis "Bloquer les messages dont le contenu est sensible" :




Et voilà la "nouvelle règle" à configurer. Je lui donne un nom et je décide que la règle concerne les destinataires hors de l'organisation. Encore faut-il choisir le type d'informations sensibles que nous voulons cibler :




Comme j'ai expliqué plus haut, je choisis l'adresse IP comme "type d'informations sensibles" :




Cela réglé, il nous reste à choisir une action. Je veux "bloquer le message"...



Et fournir une explication à l'utilisateur :




Je spécifie la cause du rejet :




Et voilà la nouvelle règle, configurée cette fois-ci :




Nous cliquons sur "Enregistrer" (etc.) et nous passons à la machine d'un utilisateur, Karen Roberts par exemple.

Karen ouvre Outlook (2010) et tente d'envoyer un message contenant une adresse IP à un destinataire hors de l'organisation :



Mais DLP détecte cette séquence numérique caractéristique d'une adresse IP, empêche l'envoi, et avertit l'expéditeur :



Quelques remarques :

  • La règle ne semble pas bloquer les adresses IP non-routables (comme 10.x.x.x ou 192.168.x.x).
  • DLP ne semble pas détecter la présence d'adresses IP dans les pièces-jointes. J'en ai fait l'essai avec un fichier texte contenant l'adresse 8.8.8.8 et le message est parti avec la pièce-jointe. En outre, le destinataire a bel et bien reçu le message et la pièce-jointe.
 

***

Ce qui précède est ma première expérience avec DLP. Toutes les fonctions n'ont pas réussi au premier coup, notamment la détection des numéros de carte de crédit, sans doute parce que les numéros essayés n'étaient pas valables.

Pour les lecteurs qui souhaiteraient de plus amples renseignements, je fournis les deux liens ci-dessous :


La version française de l'article ne semble pas (encore) exister mais il en existe une pour Exchange 2013 (et les concepts sont les mêmes, sinon tous les détails) :





No comments:

Post a Comment