mardi 22 octobre 2013

Nouvelles fonctionnalités Symantec DLPv12


Fort de son rang de leader du marché DLP, Symantec ne pouvait décevoir ses utilisateurs avec sa nouvelle version. Bien qu'il y ait fallu l'attendre quelques mois de plus que prévu, la version 12 amène des  fonctionnalités intéressantes que nous vous résumons ci-après. Néanmoins, on peut remarquer Symantec reste très actif sur le produit et nous propose début octobre une mise à jour 12.0.1 qui corrige les quelques imperfections de jeunesse de cette version.

Plateforme de gestion

Yes, très utile ! Une gestion des incidents générés par utilisateurs. Jusqu'alors, et en standard, on pouvait analyser le nombre d'incidents générés par utilisateur pour chaque règle de sécurité concernée. Désormais, il est possible d'avoir une vision de l'ensemble des règles violées par un utilisateur. Intéressant à plus d'un titre, notamment afin d'identifier les collaborateurs en manque de sensibilisation, voire pire: les éventuels fraudeurs.

E-discovery

Au chapitre du scan des données statiques, trois nouvelles adaptations sont à relever. La première - et la plus utile à nos yeux - concerne le "Close Remediation Loop" qui permet de renseigner automatiquement un incident  résolu entre deux itérations de scan des données. Au vu du nombre d'incidents générés par ce type de détection, cela permet de clore de manière très efficiente de nombreux incidents résolus sans que la personne assignée ait quoique ce soit à mentionner dans la plateforme de gestion. Les deux autres fonctionnalités sont liées à l'énumération des cibles de scan  (Content Root Enumeration) et à l'intégration du module Insight - lequel permet de retrouver le véritable propriétaire des données -  avec MS-Sharepoint.

Détection

Le DLP et le chiffrement des données sont deux sujets aussi proches que parfois antagonistes. D'une part, si les données sont chiffrées au moyen d'une solution d'entreprise éprouvée, on peut partir du principe qu'elles sont protégées efficacement. D'autre part, et jusqu'à ce jour, le DLP était totalement aveugle en ce qui concerne les données chiffrées au vu  de son incapacité à les décrypter. Symantec propose désormais une fonctionnalité permettant de déchiffrer les données encryptées pour les informations qui (soit disant) ne devraient jamais quitter l'entreprise, chiffrées ou non. Certes, cela renforce l'intégration avec les outils PGP mais pose néanmoins la question du cas d'application pratique. Personnellement, je reste dubitatif sur le bien fondé de cette fonctionnalité:  Si des informations sont chiffrées par une personne ou un groupe légitimement autorisé à le faire - et de surcroît avec des moyens en phase avec la politique de sécurité de l'entreprise -  pourquoi vouloir les déchiffrer ? Il me semble plus sain de se contenter d'un contrôle sur les données sensibles sortantes non chiffrées ou alors au moyen d'une solution "non corporate" que de se hasarder à introduire une master key de déchiffrement dans l'outil DLP. 


Poste client

A relever une amélioration du reporting relatif à l'état de déploiement des agents sur les postes clients ainsi que des progrès réalisés au niveau du load balancing des fonctionnalités de scan des données statiques. 
Force est de constater que cette partie "endpoint" est un peu le parent pauvre de cette nouvelles version 12. Annoncée comme étant fondamentalement renouvelée sur ce point, les difficultés techniques auront eu raison des arguments purement marketing de ce qui pourrait se faire à ce jour en matière de protection du poste client. Toutefois, on saluera la sagesse de Symantec de sortir une version stable et à l'upgrade facile plutôt que de vouloir se lancer des défis techniques non encore maîtrisés. Ce d'autant plus que les fonctionnalités Endpoint de la solution Symantec restent très en avance sur la concurrence. 

Mobile

Symantec améliore l’arsenal DLP destiné à la surveillance des périphériques mobiles. Le tout dernier produit de la suite DLP : Mobile Email Monitor permet simplement de surveiller les emails synchronisés vers les périphériques sans leur imposer de configuration VPN particulière.  La surveillance peut être mise en œuvre à tout moment sans impacter les dispositifs nomades.Cette solution peut constituer une première étape peu exigeante qui permet d’évaluer concrètement les risques que représentent les périphériques mobiles.Mais, comme son nom l’indique,  Mobile Email Monitor est dédié à la surveillance uniquement des périphériques mobiles et ne permet pas le blocage des communications. Il est pour l’instant réservé aux utilisateurs iOS mais une version adaptée à Android est en cours d'évaluation. Il nécessite l’utilisation un Proxy Web compatible pour la publication du service de messagerie vers Internet (Reverse Proxy). Les serveurs de messagerie supportés sont Exchange 2007 et 2010 au travers du protocole ActiveSync.

En conclusion...

Nous retiendrons que Symantec aura su fournir une mise à jour et de nouvelles fonctionnalités stables qui méritent leur déploiement. Il faudra certainement attendre la version 12.x pour profiter d'améliorations réelles liées au poste client mais cette mise à jour offre aux clients la possibilité de faire évoluer leur environnement vers une version - pour l'avoir testée - très stable et offrant quelques nouvelles fonctionnalités fort intéressantes. A noter encore que cette mise à jour majeure marque la fin du support des versions 32 Bits des systèmes d’exploitation au profit du 64Bits. Ce changement améliore grandement la gestion de la mémoire dont certaines fonctionnalités sont assez gourmandes. Il faudra toutefois tenir compte de ce paramètre dans un projet de mise à niveau d’une ancienne versions 32bits vers la version 12.

Stephane Droxler & Elric Osmont

mardi 15 octobre 2013

De la fuite d'informations

Discussion de caféteria, de train, de cocktail ou de club house:

- Et vous faites quoi dans la vie ?
- Je suis responsable de la gestion des risques chez XYZ.
- Intéressant;  Un job varié j'imagine...
- Pour le moins... entre les risques marché, les risques de crédit, ceux liés aux clients, aux pays dans lesquels nous sommes actifs,  risques de change, de liquidités et je ne vous parle même pas des risques opérationnels.
- Justement si... ça m'intéresse.
- Ah bon pourquoi ? Vous faites quoi vous-même ?
- Je suis spécialisé dans la prévention de la fuite d'informations, typiquement un risque opérationnel.
- Un fléau vous voulez dire!
- Je sens une pointe de fatalisme dans la manière dont vous le dites. Je me trompe ?
- Pas vraiment... Entre l'explosion du volume des données informatiques, les utilisateurs qui veulent accéder à l'information depuis tout et n'importe quoi, n'importe quand...Cela devient impossible de gérer ce risque ! Le pire, c'est que les exigences en matière de gouvernance de l'information ne cessent d'augmenter.
- Et concrètement, vous faites quoi ?
- Moi, pas grand chose, les gars de la sécurité l'informatique s'en occupent. Enfin, je crois...
- Vous êtes-vous déjà posé la question de savoir comment les informations sensibles quittent l'entreprise ?
- Je vois où vous voulez en venir... Vous faites référence à ce qui s'est passé dans les banques avec le vol de données de clients dans le but de les revendre aux fiscs étrangers.
- C'est un exemple, mais là on touche déjà à la fraude; Ce qui heureusement concerne une proportion très marginale des collaborateurs. En fait, je pensais plutôt à toutes ces actions que nous faisons tous au quotidien sans même penser que nous mettons les données que nous traitons en danger. Copier des informations sensibles sur une clé USB, s'envoyer un document professionnel sur sa messagerie privée pour finir de le travailler en soirée, s'épancher un peu trop sur les réseaux sociaux, avoir tendance à oublier les règles de sécurité puisque tout le monde en fait de même...
- C'est bien ce que je disais... un fléau en matière de gestion de risques !
- Si je pouvais vous démontrer comment détecter ces fuites en temps réel, seriez-vous intéressé ?
- Je veux...mais je n'y crois pas. Cela reviendrait à espionner tout le monde et tout le temps. Impossible!
- Vous avez partiellement raison. Surveiller tout le temps oui...mais pas tout le monde. Seulement les données qui comptent vraiment pour votre entreprise. Il serait effectivement opérationnellement très pénible et financièrement non rentable de vouloir appliquer une sécurité forte sur toutes les données du système d'information. Par contre, cibler les données sensibles - telles que la propriété intellectuelle vitale à la mission de votre entreprise - ou les informations relatives à des tiers envers lesquels vous êtes garants de leur confidentialité, ça s'est possible.
- Cela ne me dit toujours pas comment vous entendez les protéger efficacement...
- Très simplement en fait...En fixant deux types de priorités: Pour les données vitales propres à l'organisation: contrôler leur circulation et réduire les possibilités d'abus grâce au chiffrement de l'information. Pour les données de tiers, réduire leur utilisation et empêcher leur sortie par des contrôles préventifs de type DLP (Data Loss Prevention) aux abords du périmètre du système d'information. Pour toutes les autres données, les moyens de protection traditionnels offerts par la sécurité de l'infrastructure informatique sont largement suffisants.
- Ok...ça donne du sens. D'un point de vue de la gestion des risques, cela me permet de différencier deux types de risques: ceux dont la survenance aurait un impact en termes de perte de revenus, comme la fuite de la propriété intellectuelle par exemple, et ceux liés à un défaut de conformité pour lesquels mon entreprise encourrait une amende, un impact commercial ou d'image. Mais cela va bien au delà de l'informatique ce type de démarche... Il faudrait impliquer le business si on voulait vraiment pouvoir différencier ce qui est important de ce qui l'est moins...
- Vous touchez là le point crucial. La sécurité de l'information orientée contenu est un changement culturel qui requière de la patience. Par contre, si l'on sait se fixer des priorités, on obtient très rapidement des succès. C'est l'accumulation de ces "quick-win" qui fait la réussite de ce type de projet et, au final, qui permet de réduire l'exposition au risque.
- Reste plus qu'à convaincre le big boss...
- Effectivement, essayez avec la citation de Douglas Adams: "Je refuse de répondre à cette question étant donné que je ne connais pas la réponse". Est-ce qu'il voudrait avoir à dire cela à son meilleur client ou à son Conseil d'administration s'il n'avait rien entrepris pour protéger l'information et qu'un cas soit survenu où il ne saurait ni ce qui a disparu, ni comment, ni combien, ni quand et encore moins qui l'a fait.

S. Droxler

La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?