Séminaire e-Xpert Solutions : DLP au coeur de la sécurité
Les risques et enjeux
Qu’entend-on par DLP ?
Son fonctionnement technique - demos
La technologie mise à part
Le marché – Acteurs principaux et challengers
DLP Mission impossible ?
2. LE DLP AU CŒUR DE LA SÉCURITÉ
Stephan Nardone
CTO – Security Architect
tel. +41 22 727 05 55
Stephan.nardone@e xpertsolutions.com
Stephan.nardone@e-xpertsolutions.com
www.e-xpertsolutions.com
3. LES RISQUES ET ENJEUX
1 Les risques et enjeux
2 Qu’entend-on par DLP ?
3 Son fonctionnement technique
4 La technologie mise à part
5 Le marché – Acteurs principaux et challengers
6 DLP Mission impossible ?
4. LES RISQUES ET ENJEUX
CONSTATS ET ENJEUX
http://securityblog.verizonbusiness.com
8. LES RISQUES ET ENJEUX
CONSTATS ET ENJEUX
Selon les données perdues / volées,
les impacts varient énormément.
Perte de crédibilité (image)
Perte de droits (brevets)
Perte massive de clientèle
massi e
Faillite
9. QU’ENTEND-ON PAR DLP ?
1 Les risques et enjeux - exemples
2 Qu’entend-on par DLP ?
3 Son fonctionnement technique
4 La technologie mise à part
5 Le marché – Acteurs principaux et challengers
6 DLP Mission impossible ?
10. QU’ENTEND-ON PAR DLP ?
DÉFINITION
DLP Data Leak Prevention
DLP Data Loss Prevention
Solution basée sur des règles centralisées qui identifie
identifie,
surveille et protège les données qu’elles soient
stockées, en cours d’utilisation ou en mouvement quel
qu’en soit l support.
le
11. QU’ENTEND-ON PAR DLP ?
DÉFINITION
DLP
C DLP
C-DLP E DLP
E-DLP
(Channel DLP) (Enterprise DLP)
Cette distinction est faite pour différencier les purs produits
de DLP des solutions qui ont des fonctionnalités de DLP.
12. QU’ENTEND-ON PAR DLP ?
DÉFINITION
C-DLP (Channel DLP)
( )
Produit qui a des fonctionnalités de DLP mais qui n’est pas dédié à cela.
Mécanismes de détections limités (mot clés et regex)
Pas de gestion centralisée
Exemples: Email, web, endpoint seul (Device Control, …), …
E-DLP (E t
E DLP (Enterprise DLP)
i
Solution dédiée
La même solution peut détecter des données sensibles utilisées à plusieurs points
de l’architecture (Network et Endpoint)
Solution capable de découvrir des données sensibles stockées sur les serveurs et
les PCs de l’entreprise
Fournit des mécanismes de détection sophistiqués
Possède une console de management centralisée
13. SON FONCTIONNEMENT TECHNIQUE
1 Les risques et enjeux
2 Qu’entend-on par DLP ?
3 Son fonctionnement technique
4 La technologie mise à part
5 Le marché – Acteurs principaux et challengers
6 DLP Mission impossible ?
14. SON FONCTIONNEMENT TECHNIQUE
LES TYPES DE DONNÉES
Data in Data in Data at Couverture
Use Motion Rest Complète
USB Web Laptops
Print FTP Desktopsp
CD/DVD Email Databases
Copy/Paste Network Print File Servers
Application
pp cat o Instant
sta t
Message
15. SON FONCTIONNEMENT TECHNIQUE
LES TYPES DE DONNÉES
DISCOVER Internal Data
External Threats
WHO
Classify WHAT
MO
CLASSIFY
ONITOR
ESSENTIAL
INFORMATION
Discover PROTECTION
WHERE HOW
Monitor
PROTECT
16. SON FONCTIONNEMENT TECHNIQUE
LES TYPES DE DONNÉES
Les différents moyens de « tagguer » les données sensibles sont :
Les mots clefs,
Les expressions régulières
régulières,
Les formats (Word, Excel, pdf, …),
Les templates de document,
p ,
L’emplacement des fichiers (Serveur, plan d’adressage, …), …
Selon les éditeurs, quelques lignes provenant d’un document de 1000
pages, seront détectées et ce même modifiées.
17. SON FONCTIONNEMENT TECHNIQUE
LES ACTIONS POSSIBLES
Lorsque une policy a été violée la solution DLP peut en général,
violée, peut, général
prendre les actions suivantes:
Alerter/rapporter
Informer
Mettre en quarantaine/notifier
Mettre en quarantaine/encrypter
Mettre en quarantaine/modifier les droits d’accès
Déplacer/effacer
18. SON FONCTIONNEMENT TECHNIQUE
LES ACTIONS POSSIBLES SUR LE ENDPOINT
De
D manière générale, les solutions E dP i sont capables de:
iè é é l l l i EndPoint bl d
Monitorer et verrouiller au sein du kernel (copy-paste)
py p
Interdire le stockage de certaines données sur les périphériques (CD, USB, …)
Interdire le copier/coller d’un texte sensible
Interdire les captures d’écran
p
Lister les applications capables d’interagir avec les données sensibles
Utiliser les DRMs
19. SON FONCTIONNEMENT TECHNIQUE
LES IMPLÉMENTATIONS
Les principaux points de contrôle par des solutions
de type E-DLP sont :
yp
Les flux de type web (webmail, réseaux sociaux, …)
Les flux mail (SMTP)
Tous les autres flux réseau (sniffing)
Les postes de travail (Impressions, copier-coller, stockages
(Impressions copier coller
amovibles, …)
20. SON FONCTIONNEMENT TECHNIQUE
LES IMPLÉMENTATIONS
Mail server
MTA
Internet
Endpoint
Proxy Database
Print Server File Server
Server
23. LES IMPLÉMENTATIONS
LE FIREWALL, EMPLACEMENT IDÉAL?
Mail server
MTA
Internet
Endpoint
Proxy Database
Print Server File Server
Server
24. LES IMPLÉMENTATIONS
LE FIREWALL, EMPLACEMENT IDÉAL?
o Approche alternative
oTrès grande base installée
o Mise en place rapide car effectuée sur le firewall déjà en place (ajout de blade)
o Analyse basée sur des mots clefs, des templates de document, regex, …
o Déjà dans le flux, pas de rupture de flux supplémentaire
o S’appuie sur les règles et objets déjà créés dans le firewall
o Coût
o Impossibilité de filtrer les flux chiffrés (https)
I ibilité d filt l fl hiff é (htt )
o Pas d’analyse de données stockées (Data at Rest)
o Pas de module Endpoint
25. LA TECHNOLOGIE MISE À PART
1 Les risques et enjeux
2 Qu’entend-on par DLP ?
3 Son fonctionnement technique
4 La technologie mise à part
5 Le marché – Acteurs principaux et challengers
6 DLP Mission impossible ?
26. LA TECHNOLOGIE MISE À PART
Sécurité physique Forte orientation
organisationnelle
Sécurité Informatique Facteur Humain
omniprésent
Plus PROCESS que PRODUIT
Plus ORGANISATIONNEL que TECHNIQUE
27. LA TECHNOLOGIE MISE À PART
Comment se Protéger ?
Savoir ce que
vous possédez
Evaluez vos données
Controlez les accès
Règles, règles, règles
l l l
Monitorer et répondre
Chercher à améliorer les
contrôles de manière continue
28. LA TECHNOLOGIE MISE À PART
LES LIMITATIONS
La fuite est toujours possible : copie manuscrite,
photo de l écran…. mémoire.
l’écran….
Il est TRES difficile de protéger des données que le système DLP ne connaît
pas.
La nature des données peut évoluer dans le temps (ex: rapport financier)
Ne pas oublier les risques de l’ingénierie sociale !
Ex : Dumpster diving
29. LE MARCHÉ : ACTEURS PRINCIPAUX ET CHALLENGERS
1 Les risques et enjeux
2 Qu’entend-on par DLP ?
3 Son fonctionnement technique
4 La technologie mise à part
5 Le marché – Acteurs principaux et challengers
6 DLP Mission impossible ?
30. LE MARCHÉ – ACTEURS PRINCIPAUX ET CHALLENGERS
ETAT DE L’OFFRE
31. LE MARCHÉ – ACTEURS PRINCIPAUX ET CHALLENGERS
ETAT DE L’OFFRE
32. DLP MISSION IMPOSSIBLE ?
1 Les risques et enjeux
2 Qu’entend-on par DLP ?
3 Son fonctionnement technique
4 La technologie mise à part
5 Le marché – Acteurs principaux et challengers
6 DLP Mission impossible ?
33. DLP MISSION IMPOSSIBLE ?
OBJECTIONS FRÉQUEMMENT RENCONTRÉES
Cela ne nous arrivera pas !
Le coût des ces pertes est exagéré !
La protection coûte plus cher que ces potentiels vols !
Nous nous en inquiéterons quand q q chose de g
q q quelque grave arrivera !
Nous n’avons pas à annoncer nos problèmes de vol/perte !
La sécurité est un élément bloquant à l’évolution du business !
La sécurité n’est pas une activité génératrice de revenu pour nous !
Nous avons déjà dépensé assez d’argent dans la sécurité et le respect
des régulations !
34. DLP MISSION IMPOSSIBLE ?
LES POINTS À PRENDRE EN COMPTE
Qui le porte ?
QUI
Pour quels utilisateurs ?
Qui va maintenir la solution ?
Ai je
Ai-je les ressources nécessaires ?
Pourquoi ce projet ?
QUOI
Quels sont les problèmes à solutionner ?
Pour quelles données ?
Quelles sont les valeurs de ces données ? Risque ?
Quel process dois-je sécuriser en priorité ?
COMMENT
C-DLP multi-solutions ou E-DLP ?
Dois-je d’abord procéder à la classification de mes données ?
j p
Légalement, qu’ai-je le droit de faire ?
35. DLP MISSION IMPOSSIBLE ?
LES POINTS FRÉQUEMMENT BLOQUANTS
Pas de définition claire de l’objectif (données, périmètre, stakeholders, …)
Projet amené par les gens techniques mais pas supporté par le top management
S’entêter faire de la l ifi i de données trop précise
S’ ê à f i d l classification d d é é i
Vouloir couvrir TOUT le périmètre en une fois
Omettre que l’humain est la clef de tout !