Déploiement de la stratégie DLP des terminaux

Après avoir créé une règle de données, l’étape cruciale suivante consiste à la déployer. Le déploiement d’une stratégie garantit que les règles de données sont appliquées sur les terminaux, offrant une protection en temps réel des informations sensibles sur l’ensemble de votre réseau.

1. Pour déployer une stratégie, accédez à Déploiement de stratégie -> Associer une stratégie.
2. Dans l’option Sélectionner un groupe personnalisé, sélectionnez les groupes d’ordinateurs à associer à la stratégie.

Découverte des données

Sélectionnez les règles de données pertinentes à partir de la classification des données configurée précédemment afin de les appliquer dans la stratégie.

Les fichiers protégés par mot de passe peuvent être classés comme sensibles, avec la prise en charge de formats tels que 7z, zip, tar, Bzip2, xz, Gzip, RAR, RAR4, RAR5, WIM, ISO, ARG et ISOUDF.

Prévention des fuites de données

Pour gérer les différents contrôles d’accès aux fichiers sensibles, accédez à Déploiement de stratégie -> Prévention de la perte de données.

Paramètres d’accès aux applications

Accès aux fichiers

La fonctionnalité d’accès aux fichiers permet aux administrateurs de spécifier quelles applications sont autorisées à accéder aux fichiers sensibles et à les ouvrir.

• Non configuré : Aucune restriction ni surveillance n’est appliquée. Toutes les applications peuvent accéder aux fichiers sensibles, et aucune activité d’accès aux fichiers ne sera auditée.
• Audit uniquement : Toutes les applications peuvent accéder aux données et les lire, mais toute l’activité est suivie et enregistrée, avec des informations détaillées disponibles pour examen.
• Autoriser dans les applications de confiance : Permet aux administrateurs de désigner une liste d’applications de confiance, garantissant que seules les applications approuvées peuvent accéder aux fichiers classés comme sensibles et les ouvrir.

• Pour renforcer la sécurité, le volet de prévisualisation dans l’Explorateur de fichiers Windows peut être désactivé.
   

  

Client de messagerie

La fonctionnalité Client de messagerie permet aux administrateurs de définir la manière dont Outlook gère les fichiers sensibles, afin d’assurer une gestion sécurisée des fichiers lors des communications par e-mail.

1. Non configuré : Le partage de fichiers est autorisé sans aucune restriction, et aucune activité de messagerie ne sera auditée.
2. Audit uniquement : Tous les fichiers peuvent être partagés, mais tout transfert de fichiers sensibles est suivi et audité
3. Autoriser dans les domaines de confiance : Limite le partage des fichiers sensibles aux seuls domaines de messagerie configurés. Toute tentative de transfert de fichiers sensibles en dehors de ces domaines est bloquée, garantissant la sécurité des fichiers tout en permettant une collaboration interne fluide.

4. Bloquer les e-mails contenant du contenu/pièces jointes sensibles : Empêche complètement le partage de fichiers sensibles via le client de messagerie, garantissant que les données sensibles ne peuvent pas être transmises par e-mail.
    

   

Paramètres de consentement

Accédez à Déploiement de stratégie -> Configurer les paramètres de consentement. 
En activant ce consentement, Endpoint DLP pourra surveiller le transfert d’e-mails sensibles via l’installation de compléments Outlook. Sans ce consentement, les compléments ne seront pas installés et les transferts d’e-mails sensibles ne seront pas surveillés.

Paramètres des périphériques

Périphériques de stockage amovibles

Les administrateurs peuvent contrôler la manière dont les fichiers sensibles sont gérés lors de l’utilisation de périphériques de stockage amovibles, afin de garantir une manipulation sécurisée et d’empêcher les transferts de données non autorisés.

1. Non configuré : Aucune restriction n’est appliquée. Les fichiers sensibles peuvent être transférés vers des périphériques de stockage amovibles sans aucune limitation, et aucune activité de transfert ne sera auditée.
2. Audit uniquement : Les fichiers contenant des données sensibles peuvent être transférés, mais tous ces transferts sont suivis et audités.
3. Autoriser sur les périphériques de confiance : Permet aux administrateurs de définir une liste de périphériques de confiance. Le transfert de fichiers sensibles n’est autorisé qu’entre ces périphériques approuvés, tandis que les transferts vers tous les autres périphériques sont bloqués.

4. Bloquer les transferts de fichiers sensibles : Restreint complètement le transfert de fichiers contenant des données sensibles vers des périphériques de stockage amovibles, garantissant que les données sensibles ne peuvent pas être déplacées ni copiées.
    

   

Imprimantes

Les administrateurs peuvent gérer le traitement des fichiers sensibles lors de l’impression, afin d’assurer un traitement sécurisé et d’empêcher tout accès ou toute distribution non autorisés.

1. Non configuré : Aucune restriction n’est appliquée. Les fichiers sensibles peuvent être imprimés sans aucune limitation, et aucune activité d’impression ne sera auditée.
2. Audit uniquement : L’impression de documents sensibles est autorisée, mais toutes les activités d’impression sont suivies et auditées.
3. Autoriser sur les périphériques de confiance : L’impression de fichiers sensibles est autorisée uniquement sur des imprimantes de confiance, tandis que l’impression sur tous les autres périphériques est bloquée afin d’assurer la sécurité.

4. Bloquer l’impression de fichiers sensibles : L’impression de fichiers sensibles est complètement restreinte, empêchant toute impression non autorisée.
    

   

• Des filigranes personnalisés peuvent être configurés pour être imprimés sur les documents provenant de sources de confiance (application comprenant l’accès aux fichiers et Outlook), ajoutant une couche supplémentaire d’identification et de sécurité.

• Une option est disponible pour permettre aux utilisateurs de contourner les restrictions avec des justifications professionnelles, autorisant l’impression de contenu sensible sur d’autres imprimantes.
   

  

Paramètres des applications Web

Téléversement de fichiers

Configurez les paramètres pour empêcher le téléversement de fichiers sensibles sur le Web, afin de garantir la sécurité des données critiques.

1. Non configuré : Aucune restriction n’est appliquée. Les fichiers sensibles peuvent être téléversés sans aucune limitation, et aucune activité de téléversement de fichiers ne sera auditée.
2. Audit uniquement : Il n’y a aucune restriction sur les téléversements de données. Cependant, lorsque des données sensibles sont téléversées vers des domaines non approuvés, l’activité est auditée.
3. Autoriser dans les domaines de confiance : Autorise le téléversement de données sensibles uniquement vers des domaines de confiance, tandis que les téléversements vers des domaines non approuvés sont restreints.

4. Bloquer le téléversement de fichiers sensibles : Restreint complètement le téléversement de fichiers sensibles vers tout domaine ou destination.
    

   

5. Choisissez les navigateurs Web à surveiller pour les téléversements de fichiers.

6. Ajoutez une liste de domaines de confiance pour lesquels les téléversements de fichiers sensibles ne doivent pas être suivis.
    

   

Paramètres de consentement

1. Accédez à Déploiement de stratégie -> Configurer les paramètres de consentement.

2. Le consentement permet d’installer le module complémentaire du navigateur, ce qui permet à Endpoint DLP de bloquer le téléversement de fichiers sensibles sur le Web. Sans consentement, le module ne sera pas installé et le téléversement de fichiers sensibles ne pourra pas être restreint.
    

   

Téléchargement de fichiers

Dans l’option des paramètres, vous pouvez activer la fonctionnalité permettant de marquer automatiquement comme sensibles par défaut les fichiers créés à partir d’applications d’entreprise ou téléchargés depuis des domaines Web d’entreprise ou des e-mails professionnels.

Paramètres du presse-papiers

Capture d’écran

La fonctionnalité de capture d’écran permet aux administrateurs d’autoriser ou de restreindre la capture d’écran.

1. L’option Autoriser permet à tous les utilisateurs de faire des captures d’écran de données sensibles sans restrictions.
2. Bloquer dans les applications de confiance restreint les captures d’écran de données sensibles dans toute application de confiance répertoriée dans les paramètres d’accès aux fichiers, garantissant une sécurité renforcée des données.

Restrictions du presse-papiers

L’option Restriction du presse-papiers empêche la copie d’informations depuis des applications de confiance vers des applications non approuvées, tout en autorisant la copie de fichiers au sein des applications de confiance répertoriées.

Faux positifs et dérogations

Faux positifs

La fonctionnalité Remplacer automatiquement en cas de faux positif permet aux utilisateurs de contourner un blocage s’ils pensent qu’un fichier non sensible a été incorrectement signalé comme sensible. Toutes les dérogations sont consignées dans l’audit pour examen. Cette option peut être activée temporairement jusqu’à ce que la stratégie DLP soit affinée, afin de garantir que la productivité des employés reste inchangée.

Configuration des alertes par e-mail

La fonctionnalité Configuration de la messagerie vous permet de configurer des notifications par e-mail envoyées aux administrateurs chaque fois qu’un utilisateur demande une dérogation professionnelle ou signale un faux positif. Cela garantit que les administrateurs sont alertés en temps réel et peuvent prendre des mesures immédiates pour examiner et traiter l’incident.

Paramètres de notification par e-mail

1. Accédez à Paramètres -> Configurer la notification par e-mail.

2. Ajoutez la liste des adresses e-mail à notifier lorsqu’une dérogation est signalée.