Une fois mis en œuvre la solution DLP avec tout son écosystème, il est gênant de se retrouver avec une partie de vos collaborateurs qui ont toujours un moyen d’échanger avec l’extérieur en dehors de votre contrôle (je ne parle pas ici des systèmes de communication dans le cloud qui sont de plus en plus gérés nativement par SYMANTEC DLP). C’est notamment le cas lorsque ces collaborateurs ont, dans le cadre de leur activité, l’absolu nécessité d’utiliser des systèmes externes mutualisés entre plusieurs sociétés (Par exemple, dans le monde de la finance les équipes de trading se servent quotidiennement de système comme Bloomberg ou Reuters pouvant offrir des systèmes de mail et de messagerie instantanée).
Il est très difficile de contrôler ces systèmes au niveau réseau car le flux sont chiffrés et souvent sur des lignes réseau dédiés, de même au niveau agent car ces systèmes peuvent être accessibles depuis un terminal dédié ou de terminaux externes à l’entreprise. Ces organismes proposent souvent des systèmes de contrôle interne mais s’ils ne sont pas basés sur la même solution DLP que la vôtre il sera très dur d’obtenir le même niveau de couverture et de mettre en œuvre un processus identiques de qualification des incidents.
Pour cela des moyens annexes peuvent être mis en œuvre pour permettre de couvrir ces systèmes de communication. Il est possible d’utiliser une caractéristique du module « Network monitor » qui consiste à analyser les messages déposés dans le répertoire « drop » (ce mode est utilisé en général pour des besoins de test).
Il faut que ce système externe soit capable de vous fournir les traces d’audit des actions effectuées par vos collaborateurs. Les informations minimales nécessaires étant de savoir qui ? Où (vers quelle destination) ? Quoi (information et/ou documents transmis) ?
A partir de cet input, vous pourrez reconstruire un message (par exemple un email même si la source ne se présente pas sous forme de mail (Ex : pour un système de stockage vous mettrez le document comme une pièce jointe, l’envoyeur égale à celui qui a déposé le document, le destinataire égale au système de stockage et la date d’envoi égale à la date du dépôt)). Ce message sera déposé dans le répertoire « drop » de votre network monitor et analysé par celui-ci.
Cela permet de se retrouver avec des incidents contenant les mêmes informations que si cela provenait d’un système interne et les mêmes acteurs impliqués dans la qualification des incidents.
Coté performance, un « Network monitor » est capable de consommer énormément de message à la seconde (plusieurs centaines selon votre infrastructure) lorsqu’ils sont disponibles sous cette forme de fichier.
Evidemment ce type de solution doit être adaptée en fonction de votre DLP et ne dit pas comment arriver à effectuer la transformation des inputs en message. Elle montre cependant que cela est possible si l’on utilise la solution DLP avec toutes les capacités qu’elles possèdent.