Le tuning des politiques DLP est une tâche obligatoire qui rendra la protection de votre patrimoine informationnel plus fiable et simplifiera l’activité des personnes devant traiter les incidents DLP.

Le tuning des politiques DLP tient parfois plus à de la créativité artistique que de l’application de règles simples et prédéfinies. Au risque de décevoir les personnes ayant lu le titre de cet article, je ne vais pas vous proposer l’outil magique qui fera ce travail à votre place. Chaque expert DLP a les siens basés sur les exports csv ou xml disponible dans la solution et sur une bonne dose de courage, d’astuce et d’imagination.

Il est important de pouvoir donner accès à l’ensemble des faux positifs aux personnes en charge de la mise en œuvre de vos politiques DLP. Rien ne vaut la réalité des incidents remontés pour faire le travail nécessaire à ce tuning des politiques DLP.

Il existe cependant un certains nombres de règles simples qui peuvent faire un premier nettoyage dans votre amas de faux positif :

  • Analyser les faux positifs comme on analyse les documents ou informations à protéger dans l’idée de découvrir des patterns significatifs qui permettront de les reconnaitre en n’oubliant pas que seuls les éléments liés à la détection (donc pas les custom attributes) seront utilisables par la solution pour exclure définitivement ces événements perturbateurs (l’utilisation des autres pourrait faire l’objet d’un autre article). Les principales questions à se poser sont :
    • Est-ce ces incidents sont générés par le même utilisateur ?
    • Est-ce que ces incidents ont une destination commune ?
    • Est-ce que ces incidents ont été déclenchés par le même mot clé ?
    • Est-ce que ces incidents ont été déclenchés juste au-dessus du seuil de vos règles ?
    • Est-ce que ces incidents ont été générés par la même combinaison de champs de votre EDM ?
    • Est-ce les documents qui généré ces incident contient des éléments que je ne retrouve jamais dans ceux que je souhaite protéger ?
    • ….. (c’est là que l’imagination entre en action)
  • S’atteler à la tâche du dé-doublonnage. Dans SYMANTEC DLP, un même message peut lever plusieurs incidents. Selon le processus de qualification des incidents mis en place, cela peut représenter une charge double dans le traitement. Il est donc nécessaire d’analyser les messages ayant levé plus d’un incident et si cela se produit toujours pour les mêmes politiques cela signifie peut être qu’il existe un recouvrement entre ces deux politiques qui peut être réduit en ajoutant une exception à l’une ou l’autre des politiques. Pour effectuer cette tâche demandez-vous si :
    • Est-ce que ces incidents ont été générés par un seul et unique document de votre IDM ?
    • Est-ce que ces incidents ont été générés par les mêmes mots clés ?
    • Est-ce que ces incidents ont été générés par les mêmes éléments du message
    • ….. (c’est là que l’imagination entre en action)

Ces analyses devraient vous permettre de réduire énormément vos faux positifs, les derniers seront les plus récalcitrants (et les plus intéressants) et il faut aussi accepter que certains ne pourront être supprimé automatiquement.

politique DLP

 

Ensuite il faut traduire cela dans vos politiques DLP :

  • En ajoutant des exclusions qui porteront sur l’ensemble ou une sous-partie du message
  • En modifiant les critères de vos règles de détection pour retirer des éléments déclencheur de faux positifs et non fondamentaux aux besoins initiaux de votre politique (Ex : Dans votre liste de 200 mots clés, le perturbateur générant tous ces faux positifs est-il vraiment fondamental ?)
  • En utilisant un autre type de règle que celle sélectionnée initialement
  • En transformant une règle simple en règle composée
  • En modifiant le contenu de votre index initial
  • En ajoutant un champ de votre EDM dans vos critères de recherche
  • …… (c’est là que l’imagination entre en action)

Une grande partie de ces taches peuvent être effectuée avant la mise en production si vous possédez un environnement de test et un système pour simuler les flux réseaux ou les actions des utilisateurs sur leur poste de travail. Cet environnement vous permettra aussi de valider que vos politiques DLP sont capables de détecter les informations que vous souhaitez protéger.