# Déploiement de la stratégie DLP des terminaux

## Table des matières

1. [Découverte des données](#découverte-des-données)
2. [Prévention des fuites de données](#prévention-des-fuites-de-données)
   - [Accès aux fichiers](#accès-aux-fichiers)
   - [Client de messagerie](#client-de-messagerie)
   - [Périphériques de stockage amovibles](#périphériques-de-stockage-amovibles)
   - [Imprimantes](#imprimantes)
   - [Téléversement de fichiers](#téléversement-de-fichiers)
   - [Capture d’écran](#capture-décran)
   - [Restrictions du presse-papiers](#restrictions-du-presse-papiers)
3. [Faux positifs et dérogations](#faux-positifs-et-dérogations)
4. [Configuration des alertes par e-mail](#configuration-des-alertes-par-e-mail)

<iframe src="https://www.youtube-nocookie.com/embed/videoseries?si=guWFfNHogOJ-58Ib&list=PLMka6paEpLpI4yIJ1K-WLfQpPlS6MSaZu"></iframe>

Après avoir créé une règle de données, l’étape cruciale suivante consiste à la déployer. Le déploiement d’une stratégie garantit que les règles de données sont appliquées sur les terminaux, offrant une protection en temps réel des informations sensibles sur l’ensemble de votre réseau.

1. Pour déployer une stratégie, accédez à **Déploiement de stratégie -> Associer une stratégie**.
2. Dans l’option Sélectionner un groupe personnalisé, sélectionnez les groupes d’ordinateurs à associer à la stratégie.

## Découverte des données

Sélectionnez les règles de données pertinentes à partir de la classification des données configurée précédemment afin de les appliquer dans la stratégie.

Les fichiers protégés par mot de passe peuvent être classés comme sensibles, avec la prise en charge de formats tels que 7z, zip, tar, Bzip2, xz, Gzip, RAR, RAR4, RAR5, WIM, ISO, ARG et ISOUDF.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd1.png)

## Prévention des fuites de données

Pour gérer les différents contrôles d’accès aux fichiers sensibles, accédez à **Déploiement de stratégie -> Prévention de la perte de données**.

## Paramètres d’accès aux applications

### Accès aux fichiers

La fonctionnalité d’accès aux fichiers permet aux administrateurs de spécifier quelles applications sont autorisées à accéder aux fichiers sensibles et à les ouvrir.

- **Non configuré :** Aucune restriction ni surveillance n’est appliquée. Toutes les applications peuvent accéder aux fichiers sensibles, et aucune activité d’accès aux fichiers ne sera auditée.
- **Audit uniquement :** Toutes les applications peuvent accéder aux données et les lire, mais toute l’activité est suivie et enregistrée, avec des informations détaillées disponibles pour examen.
- **Autoriser dans les applications de confiance :** Permet aux administrateurs de désigner une liste d’applications de confiance, garantissant que seules les applications approuvées peuvent accéder aux fichiers classés comme sensibles et les ouvrir.
- Pour renforcer la sécurité, le volet de prévisualisation dans l’Explorateur de fichiers Windows peut être désactivé.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd2.png)

### Client de messagerie

La fonctionnalité Client de messagerie permet aux administrateurs de définir la manière dont Outlook gère les fichiers sensibles, afin d’assurer une gestion sécurisée des fichiers lors des communications par e-mail.

1. **Non configuré :** Le partage de fichiers est autorisé sans aucune restriction, et aucune activité de messagerie ne sera auditée.
2. **Audit uniquement :** Tous les fichiers peuvent être partagés, mais tout transfert de fichiers sensibles est suivi et audité.
3. **Autoriser dans les domaines de confiance :** Limite le partage des fichiers sensibles aux seuls domaines de messagerie configurés. Toute tentative de transfert de fichiers sensibles en dehors de ces domaines est bloquée, garantissant la sécurité des fichiers tout en permettant une collaboration interne fluide.
4. **Bloquer les e-mails contenant du contenu/pièces jointes sensibles :** Empêche complètement le partage de fichiers sensibles via le client de messagerie, garantissant que les données sensibles ne peuvent pas être transmises par e-mail.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd4.png)

### Paramètres de consentement

Accédez à **Déploiement de stratégie -> Configurer les paramètres de consentement**.  
En activant ce consentement, Endpoint DLP pourra surveiller le transfert d’e-mails sensibles via l’installation de compléments Outlook. Sans ce consentement, les compléments ne seront pas installés et les transferts d’e-mails sensibles ne seront pas surveillés.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd16.png)

## Paramètres des périphériques

### Périphériques de stockage amovibles

Les administrateurs peuvent contrôler la manière dont les fichiers sensibles sont gérés lors de l’utilisation de périphériques de stockage amovibles, afin de garantir une manipulation sécurisée et d’empêcher les transferts de données non autorisés.

1. **Non configuré :** Aucune restriction n’est appliquée. Les fichiers sensibles peuvent être transférés vers des périphériques de stockage amovibles sans aucune limitation, et aucune activité de transfert ne sera auditée.
2. **Audit uniquement :** Les fichiers contenant des données sensibles peuvent être transférés, mais tous ces transferts sont suivis et audités.
3. **Autoriser sur les périphériques de confiance :** Permet aux administrateurs de définir une liste de périphériques de confiance. Le transfert de fichiers sensibles n’est autorisé qu’entre ces périphériques approuvés, tandis que les transferts vers tous les autres périphériques sont bloqués.
4. **Bloquer les transferts de fichiers sensibles :** Restreint complètement le transfert de fichiers contenant des données sensibles vers des périphériques de stockage amovibles, garantissant que les données sensibles ne peuvent pas être déplacées ni copiées.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd6.png)

### Imprimantes

Les administrateurs peuvent gérer le traitement des fichiers sensibles lors de l’impression, afin d’assurer un traitement sécurisé et d’empêcher tout accès ou toute distribution non autorisés.

1. **Non configuré :** Aucune restriction n’est appliquée. Les fichiers sensibles peuvent être imprimés sans aucune limitation, et aucune activité d’impression ne sera auditée.
2. **Audit uniquement :** L’impression de documents sensibles est autorisée, mais toutes les activités d’impression sont suivies et auditées.
3. **Autoriser sur les périphériques de confiance :** L’impression de fichiers sensibles est autorisée uniquement sur des imprimantes de confiance, tandis que l’impression sur tous les autres périphériques est bloquée afin d’assurer la sécurité.
4. **Bloquer l’impression de fichiers sensibles :** L’impression de fichiers sensibles est complètement restreinte, empêchant toute impression non autorisée.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd7.png)

**Remarque :** Les restrictions d’impression ne sont actuellement pas prises en charge pour les classifications basées sur le contexte, telles que la classification basée sur l’extension de fichier.

- Des filigranes personnalisés peuvent être configurés pour être imprimés sur les documents provenant de sources de confiance (application comprenant l’accès aux fichiers et Outlook), ajoutant une couche supplémentaire d’identification et de sécurité.
- Une option est disponible pour permettre aux utilisateurs de contourner les restrictions avec des justifications professionnelles, autorisant l’impression de contenu sensible sur d’autres imprimantes.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd8.png)

## Paramètres des applications Web

### Téléversement de fichiers

Configurez les paramètres pour empêcher le téléversement de fichiers sensibles sur le Web, afin de garantir la sécurité des données critiques.

1. **Non configuré :** Aucune restriction n’est appliquée. Les fichiers sensibles peuvent être téléversés sans aucune limitation, et aucune activité de téléversement de fichiers ne sera auditée.
2. **Audit uniquement :** Il n’y a aucune restriction sur les téléversements de données. Cependant, lorsque des données sensibles sont téléversées vers des domaines non approuvés, l’activité est auditée.
3. **Autoriser dans les domaines de confiance :** Autorise le téléversement de données sensibles uniquement vers des domaines de confiance, tandis que les téléversements vers des domaines non approuvés sont restreints.
4. **Bloquer le téléversement de fichiers sensibles :** Restreint complètement le téléversement de fichiers sensibles vers tout domaine ou destination.
5. Choisissez les navigateurs Web à surveiller pour les téléversements de fichiers.
6. Ajoutez une liste de domaines de confiance pour lesquels les téléversements de fichiers sensibles ne doivent pas être suivis.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd5.png)

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd9.png)

**Remarque :** Les téléversements de fichiers sont restreints à l’aide d’une extension de navigateur ; ainsi, la surveillance n’a pas lieu en navigation privée ou en mode invité. Il est recommandé de désactiver ces modes dans les navigateurs gérés afin de garantir un suivi complet des téléversements de fichiers.

### Paramètres de consentement

1. Accédez à **Déploiement de stratégie -> Configurer les paramètres de consentement**.
2. Le consentement permet d’installer le module complémentaire du navigateur, ce qui permet à Endpoint DLP de bloquer le téléversement de fichiers sensibles sur le Web. Sans consentement, le module ne sera pas installé et le téléversement de fichiers sensibles ne pourra pas être restreint.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd15.png)

### Téléchargement de fichiers

Dans l’option des paramètres, vous pouvez activer la fonctionnalité permettant de marquer automatiquement comme sensibles par défaut les fichiers créés à partir d’applications d’entreprise ou téléchargés depuis des domaines Web d’entreprise ou des e-mails professionnels.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd10.png)

## Paramètres du presse-papiers

### Capture d’écran

La fonctionnalité de capture d’écran permet aux administrateurs d’autoriser ou de restreindre la capture d’écran.

1. L’option **Autoriser** permet à tous les utilisateurs de faire des captures d’écran de données sensibles sans restrictions.
2. **Bloquer dans les applications de confiance** restreint les captures d’écran de données sensibles dans toute application de confiance répertoriée dans les paramètres d’accès aux fichiers, garantissant une sécurité renforcée des données.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd3.png)

**Remarque :** Les applications de confiance sont extraites de la liste des applications de l’[accès aux fichiers](#accès-aux-fichiers).

### Restrictions du presse-papiers

L’option Restriction du presse-papiers empêche la copie d’informations depuis des applications de confiance vers des applications non approuvées, tout en autorisant la copie de fichiers au sein des applications de confiance répertoriées.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd11.png)

**Scénario :** Lorsque du contenu copié depuis une application de confiance est collé dans un navigateur, le collage n’est autorisé que si la destination est un domaine de confiance. Le contenu provenant d’une application de confiance ne peut pas être collé dans des domaines non approuvés dans le navigateur.

## Faux positifs et dérogations

### Faux positifs

La fonctionnalité Remplacer automatiquement en cas de faux positif permet aux utilisateurs de contourner un blocage s’ils pensent qu’un fichier non sensible a été incorrectement signalé comme sensible. Toutes les dérogations sont consignées dans l’audit pour examen. Cette option peut être activée temporairement jusqu’à ce que la stratégie DLP soit affinée, afin de garantir que la productivité des employés reste inchangée.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd12.png)

## Configuration des alertes par e-mail

La fonctionnalité Configuration de la messagerie vous permet de configurer des notifications par e-mail envoyées aux administrateurs chaque fois qu’un utilisateur demande une dérogation professionnelle ou signale un faux positif. Cela garantit que les administrateurs sont alertés en temps réel et peuvent prendre des mesures immédiates pour examiner et traiter l’incident.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd13.png)

### Paramètres de notification par e-mail

1. Accédez à **Paramètres -> Configurer la notification par e-mail**.
2. Ajoutez la liste des adresses e-mail à notifier lorsqu’une dérogation est signalée.

![Déploiement de stratégie](https://www.manageengine.com/products/desktop-central/help/images/pd14.png)