mardi 22 octobre 2013

Nouvelles fonctionnalités Symantec DLPv12


Fort de son rang de leader du marché DLP, Symantec ne pouvait décevoir ses utilisateurs avec sa nouvelle version. Bien qu'il y ait fallu l'attendre quelques mois de plus que prévu, la version 12 amène des  fonctionnalités intéressantes que nous vous résumons ci-après. Néanmoins, on peut remarquer Symantec reste très actif sur le produit et nous propose début octobre une mise à jour 12.0.1 qui corrige les quelques imperfections de jeunesse de cette version.

Plateforme de gestion

Yes, très utile ! Une gestion des incidents générés par utilisateurs. Jusqu'alors, et en standard, on pouvait analyser le nombre d'incidents générés par utilisateur pour chaque règle de sécurité concernée. Désormais, il est possible d'avoir une vision de l'ensemble des règles violées par un utilisateur. Intéressant à plus d'un titre, notamment afin d'identifier les collaborateurs en manque de sensibilisation, voire pire: les éventuels fraudeurs.

E-discovery

Au chapitre du scan des données statiques, trois nouvelles adaptations sont à relever. La première - et la plus utile à nos yeux - concerne le "Close Remediation Loop" qui permet de renseigner automatiquement un incident  résolu entre deux itérations de scan des données. Au vu du nombre d'incidents générés par ce type de détection, cela permet de clore de manière très efficiente de nombreux incidents résolus sans que la personne assignée ait quoique ce soit à mentionner dans la plateforme de gestion. Les deux autres fonctionnalités sont liées à l'énumération des cibles de scan  (Content Root Enumeration) et à l'intégration du module Insight - lequel permet de retrouver le véritable propriétaire des données -  avec MS-Sharepoint.

Détection

Le DLP et le chiffrement des données sont deux sujets aussi proches que parfois antagonistes. D'une part, si les données sont chiffrées au moyen d'une solution d'entreprise éprouvée, on peut partir du principe qu'elles sont protégées efficacement. D'autre part, et jusqu'à ce jour, le DLP était totalement aveugle en ce qui concerne les données chiffrées au vu  de son incapacité à les décrypter. Symantec propose désormais une fonctionnalité permettant de déchiffrer les données encryptées pour les informations qui (soit disant) ne devraient jamais quitter l'entreprise, chiffrées ou non. Certes, cela renforce l'intégration avec les outils PGP mais pose néanmoins la question du cas d'application pratique. Personnellement, je reste dubitatif sur le bien fondé de cette fonctionnalité:  Si des informations sont chiffrées par une personne ou un groupe légitimement autorisé à le faire - et de surcroît avec des moyens en phase avec la politique de sécurité de l'entreprise -  pourquoi vouloir les déchiffrer ? Il me semble plus sain de se contenter d'un contrôle sur les données sensibles sortantes non chiffrées ou alors au moyen d'une solution "non corporate" que de se hasarder à introduire une master key de déchiffrement dans l'outil DLP. 


Poste client

A relever une amélioration du reporting relatif à l'état de déploiement des agents sur les postes clients ainsi que des progrès réalisés au niveau du load balancing des fonctionnalités de scan des données statiques. 
Force est de constater que cette partie "endpoint" est un peu le parent pauvre de cette nouvelles version 12. Annoncée comme étant fondamentalement renouvelée sur ce point, les difficultés techniques auront eu raison des arguments purement marketing de ce qui pourrait se faire à ce jour en matière de protection du poste client. Toutefois, on saluera la sagesse de Symantec de sortir une version stable et à l'upgrade facile plutôt que de vouloir se lancer des défis techniques non encore maîtrisés. Ce d'autant plus que les fonctionnalités Endpoint de la solution Symantec restent très en avance sur la concurrence. 

Mobile

Symantec améliore l’arsenal DLP destiné à la surveillance des périphériques mobiles. Le tout dernier produit de la suite DLP : Mobile Email Monitor permet simplement de surveiller les emails synchronisés vers les périphériques sans leur imposer de configuration VPN particulière.  La surveillance peut être mise en œuvre à tout moment sans impacter les dispositifs nomades.Cette solution peut constituer une première étape peu exigeante qui permet d’évaluer concrètement les risques que représentent les périphériques mobiles.Mais, comme son nom l’indique,  Mobile Email Monitor est dédié à la surveillance uniquement des périphériques mobiles et ne permet pas le blocage des communications. Il est pour l’instant réservé aux utilisateurs iOS mais une version adaptée à Android est en cours d'évaluation. Il nécessite l’utilisation un Proxy Web compatible pour la publication du service de messagerie vers Internet (Reverse Proxy). Les serveurs de messagerie supportés sont Exchange 2007 et 2010 au travers du protocole ActiveSync.

En conclusion...

Nous retiendrons que Symantec aura su fournir une mise à jour et de nouvelles fonctionnalités stables qui méritent leur déploiement. Il faudra certainement attendre la version 12.x pour profiter d'améliorations réelles liées au poste client mais cette mise à jour offre aux clients la possibilité de faire évoluer leur environnement vers une version - pour l'avoir testée - très stable et offrant quelques nouvelles fonctionnalités fort intéressantes. A noter encore que cette mise à jour majeure marque la fin du support des versions 32 Bits des systèmes d’exploitation au profit du 64Bits. Ce changement améliore grandement la gestion de la mémoire dont certaines fonctionnalités sont assez gourmandes. Il faudra toutefois tenir compte de ce paramètre dans un projet de mise à niveau d’une ancienne versions 32bits vers la version 12.

Stephane Droxler & Elric Osmont

Aucun commentaire:

La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?