Accueil > Comment mettre en place le déploiement de ses stratégies DLP ?
Romain DALLE
21 novembre 2023
Read this post in English

Comment mettre en place le déploiement de ses stratégies DLP ?

Comment mettre en place le déploiement de ses stratégies DLP ?

Déployer des mesures de protection de vos données d’entreprise comprend souvent, a minima, deux chantiers complémentaires : d’une part, l’étiquetage de confidentialité pour la protection au repos, et d’autre part ce que l’on appelle le “Data Loss Prevention“, ou Prévention contre la fuite des données, qui permettra de protéger les données “en mouvement”.

Cet article se concentre sur le DLP et vous présente l’arbre des possibles pour déployer de manière itérative et étagée vos stratégies de protection.

 

Qu’est-ce que le DLP ?

 

Le Data Loss Prevention, c’est tout simplement, et surtout, le fait de prendre les précautions adéquates pour automatiser le contrôle des données circulant d’un émetteur vers d’autres personnes, selon, généralement, la nature de l’information communiquée, et la nature des destinataires en question.

Par exemple, si un e-mail contient des données personnelles (au sens RGPD du terme) et que les destinataires sont identifiés comme utilisant des messageries non professionnelles, l’organisation ne risque-t-elle pas une divulgation non autorisée de données règlementaires ?

Il en est de même pour le partage de fichiers, ou encore la protection des informations au sein de conversations instantanées au travers de Teams ou Viva Engage.

 

“Est-ce que l’on peut bloquer les e-mails” ?

 

C’est une question qui vient assez rapidement lorsque l’on démarre les ateliers de conception générale, ou même de conception détaillée.

Derrière cette question assez légitime, notamment si elle est posée par un officier de sécurité ou RSSI, se cache tout un ensemble d’enjeux qu’il ne faut surtout pas oublier, au risque de se mettre à dos l’ensemble des directions métier (voire transverses !) de l’organisation, et en conséquence de voir tout l’effort de conception et de paramétrage réduit à néant, pour les motifs (réels ou imaginaires) d’interruption du travail, du “business”.

 

“Mais alors ? Il ne faut pas bloquer ?”

 

Bloquer un e-mail n’est pas l’alpha et l’oméga du DLP, même si (spoiler alert) ce mécanisme de protection restera in fine une des stratégies à envisager.

Est-il fréquent, aujourd’hui, de voir son e-mail, son partage de document, sa conversation, être bloqué ? Non, cela arrive très rarement, voire jamais.

Et donc, demain, si l’on bloque de manière unilatérale, voire empirique, ces mêmes partages de contenus, est-ce que cela va être compris, et donc accepté par les utilisateurs ?

 

“Monter en puissance, pour assurer la réussite du Run”

 

Une stratégie de protection DLP qui fonctionne en environnement de production, c’est une stratégie qui est :

  • Efficace
  • Adaptée et légitime
  • Comprise et acceptée.

L’efficacité de la stratégie DLP, sa performance même, viendra notamment du fait que le contenu intercepté est bien le contenu visé, avec la plus grande précision et probabilité possible. Dit autrement, qu’il y ait le moins de faux positifs déclenchant à tort une alerte DLP.

La légitimité de la stratégie DLP sera renforcée si les mesures de protection sont cohérentes avec le profil métier, et le niveau de responsabilité de l’utilisateur visé. Par exemple, un utilisateur participant à un processus RH sera, au moins sur le papier, plus légitime à manipuler de la donnée personnelle qu’un utilisateur interagissant plutôt sur des sujets “techniques”.

L’acceptation de la stratégie viendra non seulement des deux premiers points, mais aussi de la communication qui aura été faite auprès des collaborateurs, en amont et en aval du déploiement, mais aussi “en temps réel”.

Pour maximiser l’atteinte de ces trois objectifs, il est conseillé d’envisager 4 étapes minimales et progressives de déploiement, chaque étape étant caractérisée par une stratégie de protection additionnelle par rapport à l’étape précédente.

Ces 4 étapes viennent naturellement tirer profit de ce que Microsoft Purview DLP propose comme fonctionnalités et capacités, et peuvent être résumées comme suit :

  • Monitorer pour valider
  • Monitorer et informer
  • Bloquer et autoriser à déroger
  • Bloquer, sans pouvoir déroger

 

Les deux premières étapes n’auront aucun impact sur les actions que mènent les utilisateurs au quotidien, tandis que les deux suivantes seront pleinement interactives avec leurs actions.

 

Étape 1 : “Monitorer pour valider “

 

Cette étape intervient de manière silencieuse pour les utilisateurs. Elle consiste à activer des stratégies DLP qui logguent, pour les administrateurs et les officiers de sécurité, les évènements de partage d’informations qui (en théorie) ne devraient pas avoir lieu.

Côté utilisateurs finaux, tout se passe de manière transparente : rien ne change en termes d’expérience utilisateur.

Cette étape est-elle vraiment complètement silencieuse ? Non.

Il est plus que recommandé de mener en amont une communication auprès des instances règlementaires (CSE, Syndicat, DPO) pour informer et avertir des stratégies envisagées.

Cette communication abordera les thèmes suivants : quelles données seront monitorées, au travers de quelles actions, auprès de quelles populations, sur quelle période, etc.

Côté Purview, il faudra effectuer le paramétrage suivant au sein de la ou des règles DLP qui composent votre stratégie DLP :

  • Ne configurer aucune action de protection
  • Désactiver les notifications utilisateurs par e-mail et les “Policy tip”
  • Désactiver la création d’une alerte DLP si la règle DLP se déclenche

 

Configuration pour monitorer pour valider

Configuration pour monitorer pour valider 2

 

Une fois la stratégie DLP activée et déployée auprès des utilisateurs ciblés, vous pourrez :

  • Monitorer de manière quantitative les occurrences de déclenchement de votre stratégie DLP via le tableau de bord « Activity Explorer »
  • Évaluer l’efficacité du modèle de données sélectionné comme condition de déclenchement de la règle DLP. Pour cela, pas de miracle, il faudra réaliser des actions de vérification (par échantillonnage a minima) des évènements ayant déclenché la règle DLP, et cela ne doit pas être fait par n’importe qui, surtout selon la typologie métier de la donnée ciblée.

 

• Évaluer l'efficacité du modèle de données sélectionné comme condition de déclenchement

 

Étape 2 : “Monitorer et informer”

 

L’étape 1 aura permis d’appliquer quelques ajustements sur le modèle de données utilisé, mais aussi de comprendre(ou pas) les principaux contextes métier de déclenchement de votre stratégie DLP

L’étape 2, au travers de ces optimisations de configuration, vous permet d’activer l’affichage d’un message à l’écran de l’utilisateur lorsqu’il déclenche l’évènement ciblé par la règle DLP. Par exemple, le modèle de donnée a été reconnu au sein de l’e-mail (sujet, corps, pièce jointe) et éventuellement une autre condition.

Ce message aura pour but d’informer l’utilisateur que son action n’est pas autorisée (selon votre politique interne, une règlementation, etc.) mais qu’à ce stade, c’est encore toléré.

Cette étape aura pour avantage de :

  • Commencer à habituer l’utilisateur au fait que ses actions de partage d’informations sont monitorées, et susceptibles à terme d’être bloquées, car interdites ;
  • Commencer à monitorer les cas d’usages pour lesquels l’utilisateur décide d’envoyer un e-mail avec du contenu sensible : identifier les expéditeurs, les types de destinataires (internes, domaines externes connus ou moins connus).

 

Côté Purview, il faudra au moins effectuer la modification suivante au sein du paramétrage de la ou des règles DLP qui composent votre stratégie DLP :

Activer les policy tip et/ou les notifications utilisateurs par e-mail

Activer les policy tip

 

Incident Report

 

Étape 3 :  Bloquer, mais autoriser à déroger sur justification

 

L’étape 3 se réalise après une période suffisante d’exécution de l’étape 2, qui est nécessairement variable selon la taille de l’audience visée (de 2 semaines à plusieurs mois).

Dorénavant, la stratégie DLP va bloquer l’action visée, en informer l’utilisateur, mais aussi et surtout lui permettre de faire un choix qui le responsabilise :

  • Estime-t-il que la stratégie DLP, et le blocage qui s’est opéré, est légitime, et donc suivra-t-il les conseils qui lui auront été donnés par le message accompagnant le blocage ?

Ou plutôt,

  • Estime-t-il qu’il est autorisé à effectuer ce partage d’informations à qui de droit, et donc il aura à demander au système d’outrepasser la règle DLP en inscrivant une “justification métier” ?

 

Il pourra également indiquer que le contenu en question n’est pas celui que la règle DLP croit identifier, en déclarant l’évènement comme un faux positif. Cette déclaration sera également enregistrée.

L’évaluation de l’étape 3 permettra :

  • En théorie, de constater une baisse du volume de déclenchement d’alertes DLP, à périmètre d’utilisateurs constant, et à durée d’étape similaire avec l’étape précédente ;
  • D’évaluer, selon la revue des justifications métier communiquées par les utilisateurs ayant demandé d’outrepasser la règle DLP, de mieux identifier les contextes dans lesquels un blocage du partage n’est pas légitime, ou dans quelle mesure a minima.

 

Côté Purview, il faudra au minimum effectuer les modifications suivantes au sein du paramétrage de la ou des règles DLP qui composent votre stratégie DLP :

  • Ajouter une action de blocage de l’action de partage ;
  • Activer le mécanisme permettant à l’utilisateur de demander d’outrepasser la règle DLP pour une raison métier ;
  • Activer le mécanisme permettant à l’utilisateur de demander d’outrepasser la règle DLP pour une raison de faux positif.

Bloquer, mais autoriser à déroger sur justification

 

Étape 4 :  Bloquer, sans autoriser à déroger

 

Nous arrivons donc à l’étape (sacrosainte ?) de blocage de l’utilisateur.

Lorsque l’organisation déclenche cette étape, cela signifie que :

  • la stratégie de gestion du changement a été opérée au complet,
  • les résultats de cette gestion du changement ont été mesurés et pris en compte,
  • l’efficacité de la stratégie DLP obtient un score de performance jugé suffisant,
  • les populations légitimes à être bloquées ont été identifiées

 

Une exception toutefois : un certain cadre règlementaire pourrait, dans l’absolu, justifier d’activer cette mesure de blocage sans activer une à 2 étapes intermédiaires (la 2 ou la 3).

Côté Purview, il faudra au moins effectuer les modifications suivantes au sein du paramétrage de la ou des règles DLP qui composent votre stratégie DLP :

  • Désactiver le mécanisme permettant à l’utilisateur de demander d’outrepasser la règle DLP pour une raison métier ;
  • Désactiver le mécanisme permettant à l’utilisateur de demander d’outrepasser la règle DLP pour une raison de faux positif (à moins que l’organisation souhaite maintenir cette dérogation, au risque qu’elle soit utilisée à tort par les utilisateurs).

Bloquer, sans autoriser à déroger

 

Bloquer le partage de données : est-ce vraiment la finalité d’une stratégie DLP ?

 

L’étape 3 ou 4 activant le blocage est un exemple non exhaustif de protection du contenu destiné à être partagé.

Il est tout à fait possible, plutôt que de bloquer le contenu, d’envisager d’autres actions tout aussi légitimes (selon ce qu’impose la règlementation en vigueur).

Par exemple, pour une stratégie DLP dédiée aux e-mails, d’autres mécanismes de prévention contre la fuite sont possibles, tels que :

  • Chiffrer l’e-mail pour en restreindre la diffusion ultérieure ;
  • Demander l’approbation par le manager de l’expéditeur ;
  • Avertir un groupe d’autorité légitime à intervenir en de pareils cas…

Bloquer le partage de données : est-ce vraiment la finalité d’une stratégie DLP ?

Bloquer le partage de données : est-ce vraiment la finalité d’une stratégie DLP ? 2

 

 

Le BUILD est fait, et maintenant ?

 

Alors, place au Run ! Une fois les stratégies DLP en production, et quel que soit le niveau de protection déployé, il est important d’avoir également en place un dispositif (une équipe, un processus, des rôles) en charge de monitorer les évènements DLP.

Cela fait l’objet d’un sujet à part entière, néanmoins il peut être résumé ainsi :

  • Les objectifs: Reporting, Monitoring passif, investigation avancée
  • Les moyens: Audit Log, Activity Explorer, Alertes Purview, Alertes et incidents Defender, Alertes et incidents Sentinel, etc.
  • L’amélioration continue des modèles de données : identification des faux positifs, définition des ajustements à apporter au modèle, validation et intégration des ajustements.

 

Comprendre et maitriser le fonctionnement de Microsoft Purview : les formations et certifications associées

 

Comme indiqué en début d’article, le Data Loss Prevention n’est que l’une des nombreuses capacités de Microsoft Purview pour protéger vos données et maitriser la conformité de leur utilisation

Avant de vous lancer sur un chantier de paramétrage sur un tenant de production, il est plus que recommandé de passer le ou les examens vous permettant de valider votre apprentissage de Microsoft Purview.

Voici les examens et certifications associés qui abordent le paramétrage de Purview :

 

L’essentiel à retenir

 

Un plan de déploiement de vos stratégies DLP, pour qu’il soit réussi, doit tenir compte d’une part de la maturité de votre organisation pour intégrer ces changements dans la façon de travailler, et d’autre part du risque d’avoir des activités métier interrompues à tort.

Le fait de procéder à un déploiement progressif réduira drastiquement le volume de fausses alertes DLP qu’une équipe « Run » (SOC ou autre) devra monitorer, en plus de toutes les autres alertes provenant des diverses solutions de sécurité déployées.

Enfin, bien que Microsoft Purview et la solution Data Loss Prevention proposent de nombreuses capacités techniques, « limitez-vous » à celles qui correspondent à vos cas d’usages, vos obligations règlementaires, et/ou votre Politique de Sécurité des Systèmes d’informations (PSSI).

Il vous sera toujours possible par la suite d’améliorer vos règles DLP pour mieux couvrir les exceptions et les nouvelles règles de sécurité.

 

Nos autres articles
Commentaires
Laisser un commentaire

Restez au courant des dernières actualités !
Le meilleur de l’actualité sur le Cloud, le DevOps, l’IT directement dans votre boîte mail.