McAfee Data Loss Prevention Endpoint

Transcription

1 Guide produit Révision A McAfee Data Loss Prevention Endpoint Pour une utilisation avec McAfee epolicy Orchestrator

2 COPYRIGHT Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, , DROITS DE MARQUES Intel et le logo Intel sont des marques commerciales déposées d'intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee et le logo McAfee, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL 2 McAfee Data Loss Prevention Endpoint Guide produit

3 Sommaire Préface 7 Présentation de ce guide Public visé Conventions Accès à la documentation sur le produit Introduction à McAfee DLP Endpoint 9 Présentation de McAfee DLP Endpoint Classification Localisation Protection Surveillance Présentation des modules du produit et de leurs interactions Logiciel client McAfee DLP Endpoint Déploiement et installation 2 Options et scénarios de déploiement 23 Choix d'une option de produit client Installation recommandée Vérification de la configuration système requise Installation du logiciel McAfee DLP Endpoint 29 Installation et gestion de licences de l'extension McAfee DLP Archivage du package McAfee DLP Endpoint dans McAfee epo Conversion des stratégies et migration de données Déploiement du logiciel 33 Déploiement des clients McAfee DLP Endpoint Déploiement du client McAfee DLP Endpoint avec McAfee epo Vérification de l'installation Déploiement de stratégies avec McAfee epo Configuration et utilisation 5 Configuration des composants système 39 Catalogue de stratégies Modification des paramètres serveur de McAfee DLP Définition d'un serveur de gestion des droits Documentation d'événements avec des preuves Création de dossiers de preuves Configuration de dossiers de preuves Utilisateurs et ensembles d'autorisations Ensembles d'autorisations McAfee DLP McAfee Data Loss Prevention Endpoint Guide produit 3

4 Sommaire Création d'un ensemble d'autorisations McAfee DLP Scénario d'utilisation : autorisations d'administrateur DLP Scénario d'utilisation : limiter l'affichage du Gestionnaire d'incidents DLP avec des autorisations de rédaction Configuration de McAfee DLP dans le catalogue de stratégies Importer ou exporter la configuration McAfee DLP Endpoint Configuration client Protection des supports amovibles 53 Protection des équipements Classes d'équipement Définition d'une classe d'équipement Obtention d'un GUID Création d'une classe d'équipement Définitions d'équipement Utilisation des définitions d'équipements Propriétés d'équipements Règles de contrôle des équipements Règles pour équipements de stockage amovibles Règles d'équipement Plug-and-Play Règles d'accès aux fichiers de stockage amovibles Règles de disque dur fixe Règles d'équipements Citrix XenApp Règles d'équipement TrueCrypt Création de règles d'équipement Création d'une règle pour équipements de stockage amovibles Création d'une règle d'équipement Plug-and-Play Créer une règle de périphérique d'accès aux fichiers de stockage amovible Création d'une règle d'équipement de type disque dur fixe Création d'une règle d'équipement Citrix Création d'une règle d'équipement TrueCrypt Classification de contenu confidentiel 73 Module Classification Classification manuelle Scénario d'utilisation : classification manuelle Utilisation des classifications Extraction de texte Catégorisation des applications dans McAfee DLP Endpoint Définitions et critères de classification Définitions de dictionnaire Définitions de modèle avancé Classification du contenu en fonction des propriétés de document ou des informations de fichier Modèles d'application Création et configuration de classifications Création d'une classification Création de critères de classification Création de critères de marquage Affectation d'autorisations de classification manuelle Documents enregistrés Texte inclus dans la liste blanche Téléchargement de documents enregistrés Chargement des fichiers vers le texte inclus dans la liste blanche Création de définitions de classification Création ou importation d'une définition de dictionnaire McAfee Data Loss Prevention Endpoint Guide produit

5 Sommaire Création d'un modèle avancé Intégration du client Titus avec des marqueurs tiers Intégration de Boldon James Classifier avec des critères de classification Classification en fonction de l'emplacement des fichiers Définition de paramètres réseau Classification en fonction de la destination des fichiers Utilisation de la messagerie Utilisation des imprimantes Contrôle des informations téléchargées sur des sites web Utilisation de règles pour protéger le contenu confidentiel 97 Jeux de règles Création et configuration de règles et de jeux de règles Réactions disponibles pour les types de règle Règles Protection de l'accès aux fichiers d'application Scénario d'utilisation : éviter la gravure d'informations sensibles sur un disque Règles de protection de la messagerie Règles de protection des communications réseau Règles de protection du partage réseau Règles de protection de l'imprimante Règles de protection des périphériques de stockage amovibles Règles de protection contre les captures d'écran Règles de protection de la publication web Découverte de terminaux Protection des fichiers avec des règles de découverte Comment l'analyse de découverte fonctionne-t-elle? Recherche de contenu avec le robot de découverte de terminaux Protection des fichiers avec la gestion des droits Fonctionnement de McAfee DLP avec la gestion des droits Serveurs de gestion des droits pris en charge Utilisation des stratégies 121 Utilisation de plusieurs stratégies Fonctionnement des définitions Modification d'une stratégie DLP Surveillance et génération de rapports 10 Surveillance et rapports d'événements 127 Gestionnaire d'incidents DLP Fonctionnement du gestionnaire d'incidents Types d'incident et détails Affichage des incidents Tri et filtrage des incidents Configuration de l'affichage des colonnes Configuration de filtres d'incidents Affichage des détails relatifs à un incident Gestion des incidents Mise à jour d'un incident unique Mise à jour de plusieurs incidents Gérer les étiquettes Suppression des incidents Utilisation des cas Gérer les cas McAfee Data Loss Prevention Endpoint Guide produit 5

6 Sommaire 11 Collecte et gestion des données 141 Modification des tâches serveur Création d'une tâche Purge des événements Création d'une tâche Notification par automatique Création d'une nouvelle tâche de définition du réviseur Surveillance des résultats des tâches Création de rapports 147 Types de rapports Options de rapport Tableaux de bord prédéfinis Création d'une tâche serveur Données cumulées Index McAfee Data Loss Prevention Endpoint Guide produit

7 Préface Ce guide fournit les informations dont vous avez besoin pour utiliser votre produit McAfee. Sommaire Présentation de ce guide Accès à la documentation sur le produit Présentation de ce guide Cette section présente le public ciblé par ce guide, les conventions typographiques et les icônes utilisées ainsi que la structure du guide. Public visé La documentation McAfee a fait l'objet de recherches attentives et a été rédigée en fonction du public visé. Les informations présentées dans ce guide sont principalement destinées aux personnes suivantes : Administrateurs : personnes qui mettent en œuvre et appliquent le programme de sécurité de l'entreprise. Gestionnaires de la sécurité : personnes chargées d'identifier les données confidentielles et de définir une stratégie d'entreprise destinée à protéger la propriété intellectuelle de l'entreprise. Conventions Les conventions typographiques et icônes suivantes sont respectées dans le présent guide. Titre du manuel, terme, accentuation Gras Entrée utilisateur, code, message Texte d'interface Lien hypertexte bleu Titre d'un manuel, chapitre ou rubrique ; nouveau terme ; accentuation. Texte mis en évidence de manière particulière. Commandes et autre texte saisi par l'utilisateur ; exemple de code ; message affiché. Termes de l'interface du produit, par exemple les options, menus, boutons et boîtes de dialogue. Lien actif vers une rubrique ou un site web externe. Remarque : Informations complémentaires, par exemple un autre moyen d'accéder à une option. Conseil : Suggestions et recommandations. McAfee Data Loss Prevention Endpoint Guide produit 7

8 Préface Accès à la documentation sur le produit Important/Attention : Conseil important visant à protéger un système informatique, l'installation d'un logiciel, un réseau ou des données. Avertissement : Conseil crucial visant à empêcher les dommages corporels lors de l'utilisation du matériel informatique. Accès à la documentation sur le produit Dès qu'un produit est distribué, les informations le concernant sont intégrées dans le Centre de connaissances en ligne de McAfee. 1 Accédez à l'onglet Centre de connaissances du portail McAfee ServicePortal à l'adresse support.mcafee.com. 2 Dans le volet Base de connaissances, cliquez sur une source de contenu : Documentation produit pour rechercher une documentation utilisateur Articles techniques pour rechercher des articles de la base de connaissances 3 Sélectionnez Ne pas effacer mes filtres. 4 Entrez un produit, sélectionnez une version, puis cliquez sur Rechercher pour afficher une liste de documents. 8 McAfee Data Loss Prevention Endpoint Guide produit

9 1 1 Introduction à McAfee DLP Endpoint L'expression «fuite de données» implique la diffusion au-delà des frontières de l'entreprise d'informations de nature confidentielle ou privée, à la suite d'une communication non autorisée via divers canaux de transfert, notamment des applications, des équipements physiques ou des protocoles réseau. Le logiciel Data Loss Prevention met en œuvre des stratégies de sécurité des informations prédéfinies pour éviter de telles fuites. Les données à protéger peuvent être classées selon trois vecteurs : les données en cours d'utilisation, les données mobiles et les données stockées passivement. Tableau 1-1 Descriptions des vecteurs de données Vecteur de données Données en cours d'utilisation Données mobiles Description Les données en cours d'utilisation s'appliquent aux actions des utilisateurs sur les terminaux. Il peut s'agir par exemple de la copie de données et de fichiers sur un support amovible, de l'impression de fichiers sur une imprimante locale et de la prise de captures d'écran. Les données mobiles s'appliquent au trafic en temps réel sur votre réseau. Le trafic est analysé, classé et stocké dans la base de données McAfee Data Loss Prevention (McAfee DLP). Produits associés McAfee Data Loss Prevention Endpoint (McAfee DLP Endpoint) McAfee Data Loss Prevention Monitor (McAfee DLP Monitor) McAfee Data Loss Prevention Prevent (McAfee DLP Prevent) Données stockées passivement Les données stockées passivement s'appliquent aux données résidant dans des bases de données, des partages de fichiers et des référentiels. McAfee DLP peut exécuter des mesures correctives sur des données stockées passivement, ainsi que les analyser et les suivre. McAfee Data Loss Prevention Discover (McAfee DLP Discover) Découverte McAfee DLP Endpoint Sommaire Présentation de McAfee DLP Endpoint Présentation des modules du produit et de leurs interactions Logiciel client McAfee DLP Endpoint McAfee Data Loss Prevention Endpoint Guide produit 9

10 1 Introduction à McAfee DLP Endpoint Présentation de McAfee DLP Endpoint Présentation de McAfee DLP Endpoint McAfee DLP Endpoint est une solution basée sur du contenu qui a recours à des agents pour surveiller et contrôler les actions des utilisateurs de l'entreprise en rapport avec du contenu confidentiel, dans leur propre environnement de travail, à savoir leurs ordinateurs. McAfee DLP protège les informations confidentielles des entreprises en déployant des stratégies fondées sur un ensemble de définitions, de classifications, de jeux de règles et de configurations client au niveau des terminaux. Il surveille ensuite les stratégies et bloque certaines actions spécifiques portant sur du contenu confidentiel, selon vos besoins. Il peut également chiffrer le contenu confidentiel avant d'autoriser l'action à se poursuivre. Enfin, le logiciel McAfee DLP crée des rapports vous permettant de réviser et de contrôler le processus, et peut stocker du contenu confidentiel comme justification. Figure 1-1 Processus de protection de McAfee DLP Dans ce processus, les tâches de classification, de suivi et de protection sont affectées au client McAfee DLP Endpoint. L'extension McAfee DLP de McAfee epo permet d'assurer les tâches de configuration des conditions de classification, des critères de suivi et des règles de protection applicables aux données copiées, envoyées, imprimées ou transmises par le biais du terminal managé. Les tâches de surveillance s'effectuent quant à elles par le biais de l'extension McAfee DLP et de l'interface utilisateur de McAfee epo. Classification Afin de protéger le contenu confidentiel, l'administrateur McAfee DLP commence par définir et classer les éléments à protéger. Le contenu est classé sur la base de critères et de catégories de classification que vous définissez. Les critères de classification permettent de définir les conditions à utiliser pour classer les données en fonction de leur type de fichier vrai, de modèles avancés (expressions régulières associées à des algorithmes de validation), d'entrées de dictionnaires, de mots clés, de la proximité entre des modèles de texte et des mots clés, et de propriétés de fichier telles que l'auteur ou le titre. 10 McAfee Data Loss Prevention Endpoint Guide produit

11 Introduction à McAfee DLP Endpoint Présentation de McAfee DLP Endpoint 1 Emplacement source ou cible Définissez des emplacements source en fonction de l'application (modèle d'application) utilisée pour créer le contenu, ou en fonction du groupe d'utilisateurs finaux créant ou recevant le contenu. Définissez des emplacements en fonction de l'url ou du partage réseau. Les emplacements source, c'est-à-dire les règles de marquage basées sur l'emplacement, ne sont pas pris en charge dans McAfee Device Control. Définitions de données Type de contenu Termes spécifiques Modèles avancés Définissez le type de contenu en fonction de l'application qui a créé le fichier, des propriétés du document, des informations de fichier ou du type du fichier vrai. Les dictionnaires définissent des listes de mots confidentiels. Par exemple, pour protéger des informations médicales à caractère privé, le dictionnaire HIPAA répertorie les termes médicaux susceptibles de devoir être tenus confidentiels. Ils sont intégrés ou définis par l'utilisateur. Les modèles avancés (modèles de texte) peuvent être des chaînes, telles que Confidentiel, ou des expressions régulières permettant d'identifier des numéros de carte de crédit ou d'autres modèles habituels. Vous pouvez classer les s à l'aide de Boldon James Classifier. Vous pouvez classer les s ou d'autres fichiers à l'aide des clients de classification Titus : Titus Message Classification, Titus Classification for Desktop et Titus Classification Suite. Pour implémenter l'assistance Titus, le SDK Titus doit être installé sur les ordinateurs clients. Les logiciels de classification tiers ne sont pas pris en charge dans McAfee Device Control. Chaque règle indique au moins une classification à appliquer. Le contenu analysé est ainsi comparé aux définitions des critères de marquage ou de classification. McAfee Data Loss Prevention Endpoint Guide produit 11

12 1 Introduction à McAfee DLP Endpoint Présentation de McAfee DLP Endpoint Localisation McAfee DLP peut utiliser deux techniques pour classer du contenu en fonction de son origine : les documents enregistrés et les critères de marquage. Grâce à ces techniques, vous pouvez, par exemple, spécifier que tous les fichiers téléchargés à partir de votre site SharePoint d'ingénierie doivent être suivis et classés comme relevant de la catégorie Propriété intellectuelle. Documents enregistrés La technique des documents enregistrés consiste à pré-analyser l'ensemble des fichiers se trouvant dans des référentiels spécifiés (tels que le site SharePoint d'ingénierie) et à créer des signatures de fragments de chacun de ces fichiers dans ces référentiels. Ces signatures sont ensuite distribuées sur tous les terminaux managés. Le client McAfee DLP Endpoint est alors en mesure de localiser n'importe quel paragraphe copié à partir d'un de ces documents et de le classer en fonction de la classification associée à la signature du document enregistré. Cette fonctionnalité utilise une grande quantité de mémoire, ce qui peut réduire les performances du système. En effet, chaque document inspecté par le client McAfee DLP Endpoint est comparé à l'ensemble des signatures de documents enregistrés afin d'identifier son origine. Pour réduire le nombre de signatures et les répercussions de cette technique sur les performances du système, nous vous recommandons de ne l'utiliser que pour localiser les documents les plus confidentiels. Marquage Le marquage est une technique de localisation de contenu uniquement utilisée dans McAfee DLP Endpoint. L'administrateur crée un ensemble de critères de marquage permettant de définir l'emplacement du fichier et le marqueur de classification à placer sur les fichiers se trouvant dans cet emplacement. Le client McAfee DLP Endpoint localise tous les fichiers ouverts à partir des emplacements définis dans les critères de marquage et crée des signatures de ces fichiers en temps réel dès que des utilisateurs y accèdent. Il utilise ensuite ces signatures pour localiser les fichiers ou des fragments de ceux-ci. Vous pouvez définir les critères de marquage en fonction de l'emplacement des fichiers (chemin UNC ou URL) ou de l'application utilisée pour y accéder. Prise en charge des informations permanentes des marqueurs Les marqueurs sont stockés dans les attributs étendus (EA) du fichier ou dans d'autres flux de données (ADS, Alternate Data Stream). Chaque fois qu'un utilisateur accède à ces fichiers, le logiciel McAfee DLP Endpoint localise les transformations de données et applique de manière cohérente les règles de classification du contenu confidentiel, indépendamment du mode d'utilisation. Par exemple, si un utilisateur ouvre un document Word marqué, en copie quelques paragraphes dans un fichier texte et joint ce dernier à un , le message sortant possède le même marqueur que le document d'origine. Pour les systèmes de fichiers qui ne prennent pas en charge les attributs étendus (EA) de fichier ou les autres flux de données (ADS), le logiciel McAfee DLP Endpoint stocke les informations des marqueurs sous la forme d'un métafichier sur le disque. Les métafichiers sont stockés dans un dossier masqué nommé ODB$ qui est créé automatiquement par le logiciel client McAfee DLP Endpoint. Les marqueurs et les critères de marquage ne sont pas pris en charge dans McAfee Device Control. Protection La protection est définie dans Jeux de règles dans le Gestionnaire de stratégies DLP. Chaque jeu de règles peut contenir plusieurs règles de type Protection des données, Contrôle des équipements et Découverte. Plusieurs paramètres et les opérateurs booléens ET, OU et SAUF permettent de définir des exceptions aux règles et le filtrage. 12 McAfee Data Loss Prevention Endpoint Guide produit

13 Introduction à McAfee DLP Endpoint Présentation de McAfee DLP Endpoint 1 Il n'est pas nécessaire qu'un jeu de règles contienne les trois types de règle. Une règle d'un seul type suffit pour définir un jeu de règles. Règles de protection des données Les règles de protection des données permettent de bloquer la distribution non autorisée des données confidentielles. Lorsqu'un utilisateur tente de copier ou de joindre des données confidentielles, McAfee DLP Endpoint intercepte la tentative et utilise les règles de protection des données afin de déterminer les mesures à prendre. Les possibilités disponibles sont les suivantes : Aucune action (autoriser), Bloquer ou Demander une justification. Dans ce dernier cas, McAfee DLP Endpoint interrompt la tentative et affiche une boîte de dialogue à l'utilisateur final. Ce dernier doit alors indiquer la justification de la tentative et le traitement continue. Dans McAfee Device Control, seules les règles de protection des données pour équipements de stockage amovibles sont disponibles. Pour les ordinateurs clients OS X, aucune règle de protection des données n'est disponible dans cette version. Règles de contrôle des équipements Les règles de contrôle des équipements surveillent le système et l'empêchent éventuellement de charger des équipements physiques, notamment des équipements de stockage amovibles, Bluetooth, Wi-Fi et d'autres équipements Plug-and-Play. Les règles de contrôle des équipements représentent des définitions d'équipements et des spécifications de réactions. Elles peuvent être affectées à des groupes d'utilisateurs finaux spécifiques en filtrant la règle à l'aide de définitions de groupes d'utilisateurs finaux. Règles de découverte Endpoint Découverte Endpoint est un robot qui s'exécute sur des ordinateurs managés. Il analyse le système de fichiers Endpoint local, ainsi que la boîte de réception des s (en cache) et les fichiers PST locaux. Les règles de découverte du système de fichiers local et du stockage des s précisent si le contenu doit être mis en quarantaine, marqué ou chiffré. Elles permettent également d'indiquer si le fichier ou l' classé doit être signalé comme un événement dans le Gestionnaire d'incidents DLP et si le fichier ou l' doit être stocké comme preuve de l'événement. Les règles de découverte ne sont pas prises en charge dans McAfee Device Control. Les analyses du système de fichiers ne sont pas prises en charge sur les systèmes d'exploitation de serveur. Stratégies et déploiement de stratégies La protection est appliquée en affectant des jeux de règles à une stratégie DLP dans le catalogue de stratégies de McAfee epo. En plus des jeux de règles, les stratégies contiennent des définitions et des informations sur l'affectation de stratégie. Les stratégies sont déployées par le logiciel McAfee epo sur les ordinateurs managés de l'entreprise (ordinateurs sur lesquels McAfee Agent est installé). Surveillance Lorsque l'application d'une règle entraîne un blocage, une surveillance ou une autre action, un événement est généré, puis envoyé à l'analyseur d'événements McAfee epo et stocké dans une base de données. L'événement peut également contenir des preuves d'une violation de règle. De plus, des événements d'administration sont générés par des événements système tels que le déploiement de stratégies ou encore les analyses de découverte. Les événements générés par McAfee DLP Endpoint McAfee Data Loss Prevention Endpoint Guide produit 13

14 1 Introduction à McAfee DLP Endpoint Présentation des modules du produit et de leurs interactions sont surveillés dans le Gestionnaire d'incidents DLP et peuvent être utilisés pour créer des rapports et des graphiques pouvant être affichés dans les tableaux de bord McAfee epo. La fonctionnalité de surveillance de stratégies couvre les éléments suivants : Surveillance des incidents : la page Gestionnaire d'incidents DLP de McAfee epo permet aux administrateurs de consulter les preuves et les événements de l'agent dès leur réception. Surveillance des événements d'administration : la page Evénements opérationnels DLP de McAfee epo permet aux administrateurs de consulter les événements d'administration. Collecte de preuves : si des règles de protection sont définies pour collecter des preuves, une copie des données marquées est enregistrée et liée à l'événement spécifique. Ces informations permettent de déterminer la gravité ou l'exposition de l'événement. Les preuves sont chiffrées à l'aide de l'algorithme AES avant d'être enregistrées. Surlignage de correspondances : les preuves peuvent être enregistrées avec un surlignage du texte responsable de l'événement. Les preuves surlignées sont stockées dans un fichier HTML chiffré distinct. En outre, il est possible d'afficher les tendances en matière d'événements dans les tableaux de bord McAfee epo. Présentation des modules du produit et de leurs interactions McAfee DLP Endpoint comporte cinq modules. En outre, cela utilise les éléments suivants : Catalogue de stratégies McAfee epo, Tâches serveur, Paramètres serveur et Ensembles d'autorisation. Le workflow de la version 9.4 de McAfee DLP Endpoint a été réorganisé et dispose d'un contrôle plus fin. Classifications Le module Classification stocke les critères de classification, les critères de marquage et les définitions utilisées pour les configurer. Dans ce module, il est également possible de configurer des référentiels de documents enregistrés, l'autorisation utilisateur pour le marquage manuel et le texte inclus dans la liste blanche. Les classifications sont nécessaires pour configurer la protection des données et les règles de découverte Endpoint. Gestionnaire de stratégies DLP Le module Gestionnaire de stratégies DLP définit les jeux de règles, les affectations de stratégie et les définitions qui composent une stratégie DLP. Les jeux de règles DLP définissent les règles de protection des données, de contrôle des équipements et de découverte. Un jeu de règles peut inclure n'importe lequel des trois types de règle ou tous les types. Vous pouvez inclure plusieurs règles dans un jeu de règles et affecter plusieurs jeux de règles à une stratégie DLP. 14 McAfee Data Loss Prevention Endpoint Guide produit

15 Introduction à McAfee DLP Endpoint Présentation des modules du produit et de leurs interactions 1 Workflow Utilisez le workflow suivant pour créer des stratégies et de les déployer sur des ordinateurs clients. 1 Créez des critères de classification et de marquage, ainsi que les définitions correspondantes. (Vous pouvez créer des définitions pour les critères, le cas échéant.) 2 Créez des règles de découverte, d'équipement et de protection des données, ainsi que les définitions correspondantes. Les règles de découverte et de protection des données comprennent l'affectation d'une classification dans le cadre de la définition de la règle. 3 Affectez des jeux de règles aux stratégies DLP. Créez des définitions d'analyse de découverte dans les stratégies DLP. 4 Affectez et déployez les stratégies dans l'arborescence des systèmes. Figure 1-2 Workflow Gestionnaire d'incidents et événements opérationnels Le module Gestionnaire d'incidents DLP affiche les événements de sécurité générés par des violations de stratégie. Pour chaque entrée, une page Informations affiche les preuves indiquées dans la configuration client, ainsi que d'autres informations concernant les règles et les classifications appliquées. Le module Evénements opérationnels DLP affiche les événements administratifs comme les déploiements ou les mises à jour de stratégie. Gestion des cas Le module Gestion des cas permet aux administrateurs de collaborer à la résolution des incidents liés. McAfee Data Loss Prevention Endpoint Guide produit 15

16 1 Introduction à McAfee DLP Endpoint Présentation des modules du produit et de leurs interactions Dans de nombreuses situations, un seul incident n'est pas un événement isolé. Vous pouvez voir plusieurs incidents dans le Gestionnaire d'incidents DLP qui partagent des propriétés communes ou qui sont liés les uns aux autres. Vous pouvez affecter ces incidents liés à un cas. Plusieurs administrateurs peuvent surveiller et gérer un cas en fonction de leurs rôles dans l'organisation. Catalogue de stratégies Le catalogue de stratégies McAfee epo stocke les stratégies qui sont déployées sur les ordinateurs clients. Pour afficher ou modifier les stratégies McAfee DLP, sélectionnez Catalogue de stratégies Produit Data Loss Prevention 9.4. Les stratégies McAfee DLP Endpoint comportent trois composants : Stratégie DLP : contient des jeux de règles, des analyses de découverte Endpoint, ainsi que des paramètres pour les utilisateurs avec privilèges, la stratégie d'application et les remplacements de classe d'équipement. Configuration client : contient des informations pour l'ordinateur de l'utilisateur final. Tableau 1-2 Configuration client Paramètre Configuration avancée Protection de l'accès aux fichiers d'application Protection du Presse-papiers Suivi du contenu Connectivité d'entreprise Débogage et journalisation Découverte (Endpoint) Protection de la messagerie Service de copie de preuve Mode de fonctionnement et modules Protection contre l'impression Quarantaine Protection des périphériques de stockage amovibles Protection contre les captures d'écran Composants de l'interface utilisateur Remarques Paramètres de protection de l'accès et Endpoint Permet d'ajouter des processus inclus dans la liste blanche Permet d'activer le Presse-papiers de Microsoft Office et d'ajouter des processus inclus dans la liste blanche Paramètres d'extracteur de texte Permet de configurer des serveurs VPN pour les options de protection des données Permet de configurer la journalisation et les vidages automatiques de la mémoire à des fins de dépannage Permet de définir des paramètres de performance d'analyse et des préfixes pour les s mis en quarantaine Paramètres des règles de protection de la messagerie et de l'intégration de logiciels tiers Paramètres du partage du stockage de preuves, de taille du fichier et de l'âge de preuves Définit le mode de fonctionnement de Device Control ou McAfee DLP Endpoint ; active les compléments et les gestionnaires Permet d'ajouter des processus inclus dans la liste blanche Paramètres du dossier de quarantaine Permet de définir le mode de suppression des équipements de stockage amovibles Permet d'ajouter la prise en charge de l'application de capture d'écran Permet de définir l'interface utilisateur des terminaux Protection de la publication web Permet de définir le comportement des demandes HTTP GET, la prise en charge de la version de Google Chrome, la stratégie de délai d'expiration et les URL incluses dans la liste blanche 16 McAfee Data Loss Prevention Endpoint Guide produit

17 Introduction à McAfee DLP Endpoint Logiciel client McAfee DLP Endpoint 1 Logiciel client McAfee DLP Endpoint Le logiciel client McAfee DLP Endpoint est déployé sous forme de plug-in McAfee Agent et applique les stratégies définies dans la stratégie McAfee DLP. Le logiciel client McAfee DLP Endpoint contrôle les activités utilisateur ; il effectue des opérations de surveillance et de vérification, et empêche les utilisateurs non autorisés de copier ou transférer des données confidentielles. Il génère ensuite des événements enregistrés par l'analyseur d'événements McAfee epo. McAfee DLP Endpoint sur la plate-forme OS X Le client McAfee Device Control pour OS X empêche l'utilisation non autorisée de périphériques de stockage amovibles, lesquels constituent la source de fuite de données la plus fréquente et la plus onéreuse dans bon nombre d'entreprises aujourd'hui, sur les ordinateurs Macintosh. McAfee DLP Endpoint sur la plate-forme Microsoft Windows Les ordinateurs Windows peuvent être protégés avec McAfee Device Control ou McAfee DLP Endpoint. Le logiciel client McAfee DLP Endpoint utilise une technologie de découverte avancée, la reconnaissance de modèles de texte et des dictionnaires prédéfinis. Il identifie le contenu confidentiel, et intègre la gestion et le chiffrement des équipements pour garantir des niveaux de contrôle supplémentaires. Le logiciel IRM (Information Rights Management) protège les fichiers confidentiels à l'aide du chiffrement et de la gestion des autorisations d'accès. McAfee DLP Endpoint prend en charge Microsoft Rights Management Service (RMS) et Seclore FileSecure en tant que méthodes supplémentaires de protection des données. Généralement, ces méthodes permettent d'empêcher la copie de fichiers non protégés par le logiciel IRM. Le logiciel de classification vérifie que les s et autres fichiers sont systématiquement classés et que leur étiquetage est sécurisé. McAfee DLP Endpoint s'intègre avec Titus Message Classification et Boldon James Classifier pour Microsoft Outlook afin de créer des règles de protection de la messagerie en fonction des classifications appliquées. Il s'intègre avec d'autres clients de classification Titus grâce au SDK Titus pour créer d'autres règles de protection en fonction des classifications Titus appliquées. Prise en charge des lecteurs d'écran Job Access With Sound (JAWS), un logiciel de lecture d'écran pour malvoyants très répandu, est pris en charge sur les ordinateurs clients. Les fonctionnalités de McAfee DLP Endpoint suivantes sont prises en charge : Fenêtre pop-up de notification de l'utilisateur final : si la boîte de dialogue contextuelle est configurée pour être fermée manuellement (dans le Gestionnaire de stratégies DLP), le texte qu'elle contient est lu à haute voix afin de permettre aux malvoyants de naviguer entre les boutons et les liens. Boîte de dialogue de justification de l'utilisateur final : la boîte combinée est accessible par la touche de tabulation, et la justification peut être sélectionnée avec les touches fléchées. Onglet Historique des notifications de la console de l'utilisateur final : lorsque cet onglet est sélectionné, JAWS lit «Notification history tab selected» (Onglet Historique des notifications sélectionné). Aucune action liée au contenu n'est disponible. Toutes les informations du volet droit sont lues à voix haute. Onglet Découverte de la console de l'utilisateur final : lorsque cet onglet est sélectionné, JAWS lit «Discovery tab selected» (Onglet Découverte sélectionné). Aucune action liée au contenu n'est disponible. Toutes les informations du volet droit sont lues à voix haute. McAfee Data Loss Prevention Endpoint Guide produit 17

18 1 Introduction à McAfee DLP Endpoint Logiciel client McAfee DLP Endpoint Onglet Tâches de la console de l'utilisateur final : lorsque cet onglet est sélectionné, JAWS lit «Tasks tab selected» (Onglet Tâches sélectionné). Toutes les étapes sont accessibles par la touche de tabulation et les instructions correspondantes sont lues à voix haute. Onglet A propos de la console de l'utilisateur final : lorsque cet onglet est sélectionné, JAWS lit «About tab selected» (Onglet A propos sélectionné). Aucune action liée au contenu n'est disponible. Toutes les informations du volet droit sont lues à voix haute. Opération en ligne/hors ligne Vous pouvez appliquer différentes règles d'équipement et de protection, selon que l'ordinateur géré est en ligne (connecté au réseau de l'entreprise) ou hors ligne (déconnecté du réseau). Quelques règles permettent également de différencier les ordinateurs situés à l'intérieur du réseau de ceux connectés au réseau par VPN. Sessions utilisateur multiples Le logiciel client McAfee DLP Endpoint prend en charge le changement rapide d'utilisateur avec des sessions utilisateur multiples sur les versions du système d'exploitation Windows qui prennent en charge cette fonctionnalité. La prise en charge du bureau virtuel peut aussi conduire à des sessions utilisateur multiples sur un seul ordinateur hôte. Analyseur d'événements Les événements générés par le logiciel client McAfee DLP Endpoint sont envoyés à l'analyseur d'événements McAfee epo et enregistrés dans des tables de la base de données McAfee epo. Ils sont stockés dans la base de données en vue d'analyses complémentaires et utilisés par d'autres composants du système. Console client La console client permet de partager des informations avec l'utilisateur et de faciliter l'autocorrection des problèmes. Pour la configurer, accédez à l'onglet Configuration client Service d'interface utilisateur. Pour activer la console sur les ordinateurs Windows, cliquez sur l'icône dans la barre d'état système et sélectionnez Gérer les fonctions Console DLP Endpoint. Lorsqu'elle est entièrement configurée, elle comporte quatre onglets : Historique des notifications : permet d'afficher les événements, y compris les détails des événements agrégés. Découverte : permet d'afficher les détails des analyses de découverte. Tâches : permet de générer des codes d'identification et d'entrer des codes d'autorisation pour le contournement de l'agent et la quarantaine. A propos : affiche des informations sur l'état de l'agent, la stratégie active, la configuration et le groupe d'affectation d'ordinateurs, y compris les numéros d'id de révision. 18 McAfee Data Loss Prevention Endpoint Guide produit

19 Introduction à McAfee DLP Endpoint Logiciel client McAfee DLP Endpoint 1 Sur les terminaux OS X, la console est activée à partir du menu McAfee de la barre d'état. Le tableau de bord est intégré à d'autres logiciels McAfee installés, tels que McAfee VirusScan for Mac, et affiche un aperçu de l'état de tous les logiciels McAfee installés. La page Historique affiche les événements récents relatifs aux logiciels McAfee. Cliquez sur une entrée pour en afficher les détails. Figure 1-3 Affichage sur un terminal OS X Pour activer l'écran de contournement de l'agent, sélectionnez Préférences dans le menu. McAfee Data Loss Prevention Endpoint Guide produit 19

20 1 Introduction à McAfee DLP Endpoint Logiciel client McAfee DLP Endpoint 20 McAfee Data Loss Prevention Endpoint Guide produit

21 Déploiement et installation Déterminez l'option de déploiement qui convient le mieux à votre environnement, puis installez le logiciel et déployez les clients McAfee DLP Endpoint sur les ordinateurs d'entreprise. Chapitre 2 Chapitre 3 Chapitre 4 Options et scénarios de déploiement Installation du logiciel McAfee DLP Endpoint Déploiement du logiciel McAfee Data Loss Prevention Endpoint Guide produit 21

22 Déploiement et installation 22 McAfee Data Loss Prevention Endpoint Guide produit

23 2 Options 2 et scénarios de déploiement La classification des informations d'entreprise en différentes catégories de prévention de fuite de données constitue une étape primordiale dans le déploiement et l'administration de McAfee Data Loss Prevention Endpoint. Même s'il existe des principes généraux et des meilleures pratiques, le schéma idéal dépend des objectifs et des besoins spécifiques de votre entreprise ; il est donc unique pour chaque installation. La première étape pour déterminer comment répondre à ces besoins consiste à choisir entre les deux options DLP : McAfee Device Control et version complète de McAfee DLP Endpoint. Étant donné qu'il peut être difficile de déterminer à l'avance vos besoins uniques avec précision, nous vous recommandons le déploiement initial pour un groupe échantillon de 15 à 20 utilisateurs, pendant une période d'évaluation d'environ un mois. Au cours de cette évaluation, aucune donnée n'est classée et une stratégie est créée pour surveiller les transactions sans pour autant les bloquer. Les données de surveillance recueillies doivent permettre aux responsables de la sécurité de prendre les bonnes décisions quant à la classification des données de l'entreprise et à leur stockage. Les stratégies créées à l'aide de ces informations doivent ensuite être évaluées sur un groupe de test plus important (ou, dans le cas d'entreprises de très grande taille, sur une série de groupes de plus en plus grands), avant d'être déployées dans toute l'entreprise. Le logiciel de surveillance et de conception de stratégie McAfee DLP Endpoint est installé dans McAfee epo. Dans une installation simple, un seul serveur McAfee epo avec Microsoft SQL Server est utilisé, mais pour les entreprises plus grandes, des environnements de cluster ou des installations sur plusieurs serveurs sont possibles. Le logiciel client McAfee DLP Endpoint peut être déployé vers des ordinateurs portables, des postes de travail et des serveurs Microsoft Windows en version Device Control ou McAfee DLP Endpoint complète. Actuellement, une version de Device Control est disponible pour les ordinateurs OS X. Sommaire Choix d'une option de produit client Installation recommandée Vérification de la configuration système requise Choix d'une option de produit client Plusieurs options de McAfee Data Loss Prevention reposent sur McAfee epo. Les produits correspondent au même logiciel. C'est le type de licence qui les différencie. Présentation des options McAfee DLP Le logiciel McAfee DLP est disponible avec deux configurations Device Control, la version complète de McAfee DLP Endpoint et McAfee Data Loss Prevention Discover (McAfee DLP Discover). McAfee Data Loss Prevention Endpoint Guide produit 23

24 2 Options et scénarios de déploiement Choix d'une option de produit client McAfee Device Control pour les petites et moyennes entreprises : fournit uniquement Device Control. McAfee Device Control pour les entreprises : fournit des règles de protection des périphériques de stockage amovibles (règles en fonction du contenu) en plus de Device Control. Protection des données et équipements : version complète de McAfee DLP Endpoint, y compris la découverte Endpoint. McAfee DLP Discover : fournit l'analyse de la découverte réseau et peut être installé seul ou avec Device Control ou McAfee DLP Endpoint. La version actuelle prend uniquement en charge OS X avec les options Device Control. Qu'est-ce que McAfee Device Control? Le logiciel Device Control empêche l'utilisation non autorisée des équipements de stockage amovibles, qui constituent la source de fuite de données la plus fréquente et la plus onéreuse dans bon nombre d'entreprises aujourd'hui. Le logiciel Device Control fournit les protections suivantes : Protection permanente des données pour les équipements : permet de déterminer les données qui peuvent être copiées vers des équipements amovibles, en filtrant par utilisateur, extension ou nom de fichier ; permet de contrôler les équipements eux-mêmes en les bloquant complètement ou en les définissant en lecture seule. Permet de bloquer l'exécution d'applications à partir de lecteurs amovibles. Protection «nomade» : pour les lecteurs USB, les ipods, les équipements Bluetooth, les CD, les DVD et d'autres supports amovibles, ainsi que pour les disques durs qui ne sont pas dédiés au système. Device Control pour OS X dans la version actuelle est limité à des règles pour équipements de stockage amovibles. Qu'est-ce que McAfee Device Control avec règles en fonction du contenu? Device Control avec règles en fonction du contenu fournit les protections suivantes : Protection permanente des données selon le contenu pour les équipements : permet de contrôler le contenu des données copiées vers des équipements à l'aide de modèles avancés, de dictionnaires, de propriétés de document ou d'informations sur le fichier. Qu'est-ce que la version complète de McAfee DLP Endpoint? Le logiciel McAfee DLP Endpoint fournit les protections suivantes : Protection universelle : assure une protection contre les fuites de données par le contrôle du plus large éventail de canaux de transmission d'informations : équipements amovibles, disques durs qui ne sont pas dédiés au système, s ou pièces jointes, publications web, Presse-papiers et capture d'écran, impression, système de fichiers, et bien plus encore. Protection permanente des données selon le contenu : protège contre les fuites de données, quel que soit le format dans lequel les données sont enregistrées ou manipulées. Met en œuvre des stratégies contre les fuites de données sans pour autant perturber les activités légitimes de l'utilisateur. Protection nomade : bloque la transmission des données confidentielles depuis les bureaux et les ordinateurs portables, qu'ils soient connectés au réseau de l'entreprise ou utilisés à l'extérieur du réseau. 24 McAfee Data Loss Prevention Endpoint Guide produit

25 Options et scénarios de déploiement Installation recommandée 2 Installation recommandée Pour une simple implémentation de McAfee DLP Endpoint, il est recommandé de l'installer sur un serveur McAfee epo unique. Pour obtenir des recommandations sur l'utilisation d'un serveur distinct pour la base de données McAfee epo dans des installations plus complexes, reportez-vous au Hardware Sizing and Bandwidth Usage Guide (Guide de dimensionnement du matériel et d'utilisation de la bande passante) de McAfee epolicy Orchestrator. Figure 2-1 Composants McAfee DLP Endpoint et relations L'architecture recommandée contient : Serveur McAfee epo : héberge les consoles intégrées McAfee DLP Endpoint, Gestionnaire d'incidents et Evénements opérationnels, et communique avec le logiciel McAfee Agent sur les ordinateurs clients Analyseur d'événements McAfee epo : communique avec McAfee Agent et stocke les informations relatives aux événements dans une base de données. Analyseur d'événements DLP : collecte les événements McAfee DLP Endpoint à partir de l'analyseur d'événements McAfee epo et les stocke dans des tables DLP, dans la base de données SQL. Base de données epo : communique avec le distributeur de stratégies McAfee epo afin de distribuer des stratégies, ainsi qu'avec l'analyseur d'événements DLP afin de collecter des événements et des preuves. Poste de travail de l'administrateur : accède à McAfee epo et à la console de stratégies McAfee DLP Endpoint dans un navigateur. McAfee Data Loss Prevention Endpoint Guide produit 25

26 2 Options et scénarios de déploiement Vérification de la configuration système requise Poste de travail managé : applique les stratégies de sécurité à l'aide des logiciels suivants : Client McAfee DLP Endpoint : plug-in McAfee Agent qui fournit les processus et les stratégies McAfee DLP Endpoint. McAfee Agent : permet la communication entre le serveur McAfee epo et le logiciel client McAfee DLP Endpoint. Vérification de la configuration système requise Le matériel suivant est recommandé pour l'exécution du logiciel McAfee DLP Endpoint sous Windows et Mac. Tableau 2-1 Configuration matérielle requise Type de matériel Serveurs Spécifications Mémoire RAM : 1 Go minimum (recommandation : 2 Go) Disque dur : 80 Go minimum Ordinateurs clients Mémoire RAM :1 Go au minimum (recommandation : 2 Go) Disque dur : 300 Mo minimum d'espace disponible (recommandation : 500 Mo) Réseau Réseau LAN de 100 Mbits desservant tous les postes de travail et le serveur McAfee epo Les systèmes d'exploitation suivants sont pris en charge. 26 McAfee Data Loss Prevention Endpoint Guide produit

27 Options et scénarios de déploiement Vérification de la configuration système requise 2 Tableau 2-2 Systèmes d'exploitation pris en charge Type d'ordinateur Logiciels Ordinateurs clients Systèmes d'exploitation Microsoft Windows Windows 7 SP1 (32 ou 64 bits) Windows 8 ou 8.1 (32 ou 64 bits) Windows 10 (32 ou 64 bits) Windows Server 2008 SP2 (32 ou 64 bits) Windows Server 2008 R2 SP1 (64 bits) Windows Server 2012 (64 bits) Windows Server 2012 R2 (64 bits) Les règles de protection des communications réseau et les règles de découverte du système de fichiers ne sont pas prises en charge sur les serveurs. Systèmes d'exploitation Apple OS X (Device Control uniquement) OS X Mountain Lion ou versions ultérieures OS X Mavericks ou versions ultérieures OS X Yosemite ou versions ultérieures OS X Yosemite nécessite McAfee Agent 4.8 Patch 2 ou version ultérieure, ou McAfee Agent 5.0 ou version ultérieure. OS X El Capitan OS X El Capitan nécessite McAfee Agent (Patch 3) uniquement. Voir les notes de publication de McAfee Data Loss Prevention Endpoint pour obtenir des informations importantes sur l'installation. L'utilisateur qui installe le logiciel McAfee DLP Endpoint sur les serveurs doit être membre du groupe des administrateurs locaux. Les systèmes d'exploitation virtuels suivants sont pris en charge. Tableau 2-3 Systèmes d'exploitation virtuels pris en charge Type de système Logiciels Systèmes VDI Citrix XenDesktop 5.5, 5.6, 7.0 et 7.5 VMware View 5.3, 6.0 et 6.2 Bureaux à distance Citrix XenApp 6.0, 6.5 Feature Pack 2 et 7.6 Bureau à distance Microsoft Le logiciel suivant est nécessaire sur le serveur exécutant la console de stratégies McAfee DLP Endpoint. McAfee Data Loss Prevention Endpoint Guide produit 27

28 2 Options et scénarios de déploiement Vérification de la configuration système requise Tableau 2-4 Configuration logicielle du serveur Logiciels McAfee epo Versions prises en charge ou versions ultérieures ou version ultérieure 5.3 Lors de l'exécution de McAfee epo dans Microsoft Internet Explorer, utilisez la version 10.0 ou ultérieure. McAfee Agent ou versions ultérieures 5.0 ou versions ultérieures McAfee Agent pour Mac 4.6 Patch 3 ou versions ultérieures 4.8 Patch 2 ou versions ultérieures 5.0 ou versions ultérieures OS X Yosemite nécessite McAfee Agent 4.8 Patch 2 ou version ultérieure, ou McAfee Agent 5.0 ou version ultérieure ; OS X El Capitan nécessite McAfee Agent (Patch 3) uniquement. Le package McAfee DLP Endpoint, DLP_Mgmt_9.4_Package.zip, inclut les extensions installées via McAfee epo. Le client McAfee DLP Endpoint (plug-in McAfee Agent) inclut les fichiers pour la distribution du logiciel client sur les ordinateurs clients à partir du référentiel McAfee epo : HDLP_Agent_9_4_0_x.zip pour Microsoft Windows et DLPAgentInstaller.zip pour Mac OS X. 28 McAfee Data Loss Prevention Endpoint Guide produit

29 3 Installation 3 du logiciel McAfee DLP Endpoint La console McAfee DLP Endpoint est entièrement intégrée dans McAfee epo. Les clients McAfee DLP Endpoint sont déployés par McAfee epo vers les ordinateurs d'entreprise. Sommaire Installation et gestion de licences de l'extension McAfee DLP Archivage du package McAfee DLP Endpoint dans McAfee epo Conversion des stratégies et migration de données Installation et gestion de licences de l'extension McAfee DLP L'extension fournit l'interface utilisateur permettant de configurer McAfee DLP dans McAfee epo. Avant de commencer Téléchargez l'extension McAfee DLP depuis le site de téléchargement McAfee. Vous pouvez également accéder à Menu Logiciel Gestionnaire de logiciels dans McAfee epo pour afficher, télécharger et installer le logiciel. Vérifiez dans les paramètres de sécurité d'internet Explorer que le nom du serveur McAfee epo figure dans la liste des sites de confiance. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Logiciel Extensions, puis cliquez sur Installer une extension. 2 Recherchez le fichier.zip de l'extension, puis cliquez sur OK. La boîte de dialogue d'installation affiche les paramètres du fichier afin que vous puissiez vérifier s'il s'agit bien de l'extension appropriée. 3 Cliquez sur OK. L'extension est installée. 4 Installez des licences et des composants pour personnaliser l'installation. L'installation de la licence active les composants McAfee epo et les stratégies du catalogue de stratégies McAfee epo connexes. Les options de licence sont les suivantes : McAfee Device Control McAfee DLP Endpoint (inclut McAfee Device Control) McAfee Data Loss Prevention Endpoint Guide produit 29

30 3 Installation du logiciel McAfee DLP Endpoint Archivage du package McAfee DLP Endpoint dans McAfee epo McAfee DLP Discover McAfee Device Control plus McAfee DLP Discover McAfee DLP Endpoint plus McAfee DLP Discover a b Sélectionnez Menu Protection des données. Sélectionnez Gestionnaire de stratégies DLP ou McAfee DLP Discover et cliquez sur Oui lorsque vous êtes invité à entrer la licence. La page Paramètres serveur Data Loss Prevention s'ouvre. c d Dans le champ Clé, entrez la licence, puis cliquez sur Ajouter. Si nécessaire, ajoutez une autre licence. 5 Dans le champ Stockage de preuves par défaut, entrez le chemin d'accès. Ce doit être un chemin réseau, c'est-à-dire de type \\[serveur]\[cheminlocal]. Cette étape est nécessaire pour enregistrer les paramètres et activer le logiciel. 6 Cliquez sur Enregistrer. Les modules McAfee DLP apparaissent dans Menu Protection des données en fonction de la licence. Voir aussi Création de dossiers de preuves, page 43 Modification des paramètres serveur de McAfee DLP, page 39 Configuration de dossiers de preuves, page 43 Archivage du package McAfee DLP Endpoint dans McAfee epo McAfee Agent doit être installé sur tous les ordinateurs d'entreprise contenant des données protégées par le logiciel McAfee. Ces ordinateurs sont alors considérés comme managés. Pour ajouter la protection contre la fuite de données, vous devez également déployer le plug-in McAfee DLP Endpoint pour McAfee Agent. L'installation peut être effectuée à l'aide de l'infrastructure McAfee epo. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Logiciels Référentiel maître. 2 Dans le référentiel maître, sélectionnez Archiver un package. 3 Sélectionnez le type de package suivant : Produit ou mise à jour (.ZIP). Cliquez sur Parcourir. Pour le client Microsoft Windows, accédez à...\hdlp_agent_9_4_0_xxx.zip Pour le client Mac OS X, accédez à...\dlpagentinstaller 4 Cliquez sur Suivant. 5 Contrôlez les informations affichées sur la page Archiver un package, puis cliquez sur Enregistrer. Le package est ajouté au référentiel maître. 30 McAfee Data Loss Prevention Endpoint Guide produit

31 Installation du logiciel McAfee DLP Endpoint Conversion des stratégies et migration de données 3 Conversion des stratégies et migration de données McAfee DLP Endpoint version 9.4 utilise de nouveaux schémas qui sont incompatibles avec les stratégies et les formats d'événements McAfee DLP Endpoint version 9.3. Utilisez les tâches serveur McAfee epo pour migrer des stratégies et des données vers le nouveau schéma. Avant de commencer Mettez à jour McAfee DLP Endpoint 9.3 Patch 5 ( ) ou version ultérieure avant de convertir les stratégies ou de migrer des données vers McAfee DLP Endpoint La tâche de conversion de stratégie ne convertit que les règles qui sont activées et appliquées à la base de données. Passez en revue votre stratégie McAfee DLP 9.3 avant la conversion pour vérifier l'état des règles que vous voulez convertir. Exécutez la tâche de conversion de stratégie DLP après l'installation de l'extension McAfee DLP dans McAfee epo. Nous vous recommandons de planifier les tâches de migration pendant le week-end ou en dehors des heures de travail en raison de la charge appliquée au processeur. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Automatisation Tâches serveur. 2 Sélectionnez Conversion de stratégie DLP, puis cliquez sur Actions Exécuter. La page Journal des tâches serveur s'ouvre, ce qui vous permet de vérifier que la tâche est en cours d'exécution. La tâche échoue si elle a été précédemment exécutée. Si vous apportez des modifications à la stratégie McAfee DLP 9.3 et que vous voulez réexécuter la conversion, modifiez la tâche serveur en désactivant l'option Ne pas exécuter la conversion de stratégies si le jeu de règles '[9.3] Jeu de règles de conversion de stratégies' existe sur la page Actions. Le jeu de règles précédent est supprimé et remplacé. 3 Retournez à la page Tâches serveur, sélectionnez Migrer des incidents DLP, puis cliquez sur Actions Modifier. La tâche Migrer des événements opérationnels DLP peut être effectuée de la même manière. 4 Sélectionnez Etat de planification Activé, puis cliquez deux fois sur Suivant. La migration est préprogrammée, de sorte que vous pouvez sauter la page Actions. 5 Sélectionnez un type de planification et la fréquence. Nous vous recommandons de choisir Type de planification Toutes les heures. Définissez la date de début et la date de fin pour définir une période en dehors des heures de travail ou en périodes creuses, et planifiez la tâche pour toutes les heures. Les incidents sont migrés par segments de Planifiez la répétition de la tâche en fonction de la taille de la base de données d'incidents que vous devez migrer. 6 Cliquez sur Suivant pour passer en revue les paramètres, puis cliquez sur Enregistrer. Voir aussi Modification des tâches serveur, page 141 McAfee Data Loss Prevention Endpoint Guide produit 31

32 3 Installation du logiciel McAfee DLP Endpoint Conversion des stratégies et migration de données 32 McAfee Data Loss Prevention Endpoint Guide produit

33 4 Déploiement 4 du logiciel Afin d'appliquer les stratégies et d'effectuer les analyses, vous devez d'abord déployer le logiciel sur les ordinateurs clients et les serveurs. Nous vous recommandons d'utiliser McAfee epo pour le déploiement, même si le déploiement manuel est possible lorsque le déploiement McAfee epo n'est pas réalisable pour une raison quelconque. Déploiement des clients McAfee DLP Endpoint Les stratégies McAfee DLP Endpoint sont mises en œuvre par McAfee Agent sur les ordinateurs clients. La première étape consiste à déployer le logiciel client McAfee DLP Endpoint, un plug-in McAfee Agent, sur les terminaux. Déploiement du client McAfee DLP Endpoint avec McAfee epo Avant de pouvoir appliquer des stratégies, McAfee epo doit déployer le client McAfee DLP Endpoint sur les ordinateurs clients. Avant de commencer Une version actuelle de McAfee Agent doit être installée dans McAfee epo et déployée sur les ordinateurs cibles avant de déployer McAfee DLP Endpoint : Pour les ordinateurs clients Microsoft Windows, installez McAfee Agent 4.8 Patch 3 ou Pour les ordinateurs clients Mac OS X, installez McAfee Agent for Mac 4.6 Patch 3 ou version ultérieure. Pour OS X 10.10, McAfee Agent 4.8 Patch 2 ou version ultérieure est requis, ou 5.0. Pour OS X 10.11, installez McAfee Agent Patch 3. Reportez-vous à la documentation McAfee epo pour savoir comment vérifier la version et pour l'installer le cas échéant. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Arborescence des systèmes. 2 Dans l'arborescence des systèmes, sélectionnez le niveau de déploiement de McAfee DLP Endpoint. Si vous conservez le niveau Mon organisation, le déploiement s'effectue sur tous les postes de travail managés par McAfee epo. Si vous sélectionnez un niveau inférieur à Mon organisation, le volet droit affiche les postes de travail disponibles. Vous pouvez également déployer McAfee DLP Endpoint sur des postes de travail individuels. McAfee Data Loss Prevention Endpoint Guide produit 33

34 4 Déploiement du logiciel Déploiement des clients McAfee DLP Endpoint 3 Ouvrez l'assistant Générateur de tâches client, puis cliquez sur l'onglet Tâches client affectées. Sélectionnez Actions Nouvelle affectation de tâche client. L'assistant Générateur de tâches client s'ouvre. 4 Remplissez les champs du générateur de tâches : Dans le champ Produit, sélectionnez McAfee Agent. Dans le champ Type de tâche, sélectionnez Déploiement de produit. 5 Cliquez sur Créer une tâche. 6 Dans le champ Produits et composants, sélectionnez Data Loss Prevention 9.4. Le champ Action se réinitialise automatiquement sur Installer. Cliquez sur Enregistrer. 7 Définissez le type de planification sur Exécuter immédiatement. Cliquez sur Suivant. 8 Vérifiez le récapitulatif de la tâche. Dès que vous êtes satisfait, cliquez sur Enregistrer. La tâche est planifiée et s'exécutera lors de la prochaine mise à jour de la stratégie par McAfee Agent. Pour lancer immédiatement l'installation, envoyez un appel de réactivation de l'agent. 9 Une fois McAfee DLP Endpoint déployé, redémarrez les ordinateurs managés. Vérification de l'installation Après avoir installé le logiciel McAfee DLP Endpoint, vérifiez l'installation dans la console Evénements opérationnels DLP. 1 Dans McAfee epo, sélectionnez Menu Protection des données Evénements opérationnels DLP. Cliquez sur un événement pour en afficher les détails. Figure 4-1 Volet de détails des événements opérationnels DLP 2 Vérifiez l'installation du logiciel client McAfee DLP Endpoint grâce à l'icône de la barre d'état système McAfee Agent sur l'ordinateur client en sélectionnant A propos de. Parcourez les informations pour McAfee DLP Endpoint. Déploiement de stratégies avec McAfee epo Les stratégies McAfee DLP Endpoint contiennent des jeux de règles, des classifications, des définitions, ainsi que des configurations client et du serveur. McAfee DLP Endpoint fonctionne avec les stratégies suivantes : 34 McAfee Data Loss Prevention Endpoint Guide produit

35 Déploiement du logiciel Déploiement des clients McAfee DLP Endpoint 4 Stratégie DLP Configuration client Le numéro de révision 1 est affecté à chacune de ces stratégies lors de leur création et le numéro est incrémenté à chaque modification de la stratégie. Le numéro de révision est important pour la prise en charge des processus de dépannage. Il permet d'assurer que les modifications de stratégie sont appliquées à chaque ordinateur client. Il est également utile lors de la demande d'un contournement de client ou d'une clé de désinstallation. La console DLP Endpoint de l'ordinateur client affiche les numéros de révision de la stratégie en cours. Avant d'appliquer une stratégie, vérifiez les points suivants : Tous les paramètres sont correctement configurés. Toutes les règles sont activées. Des groupes d'utilisateurs finaux (le cas échéant) sont affectés à chaque règle. s Affectation d'une stratégie ou d'une configuration client, page 35 Les stratégies appliquées à McAfee epo doivent être affectées et déployées sur les ordinateurs managés afin de pouvoir être utilisées. Actualisation de la stratégie, page 36 Le déploiement de la stratégie système s'appuie sur le serveur McAfee epo et l'actualisation de la stratégie sur l'ordinateur managé est effectuée conformément aux paramètres de McAfee Agent. Cependant, vous pouvez actualiser une stratégie dans McAfee epo sans attendre l'actualisation planifiée. Affectation d'une stratégie ou d'une configuration client Les stratégies appliquées à McAfee epo doivent être affectées et déployées sur les ordinateurs managés afin de pouvoir être utilisées. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Arborescence des systèmes. 2 Accédez au répertoire contenant les ordinateurs auxquels la stratégie doit être affectée, puis sélectionnez ces ordinateurs. 3 Sélectionnez Actions Agent Réactiver les agents. 4 Sélectionnez Appel de réactivation de l'agent, puis définissez le champ Exécution aléatoire sur 0 minute. Cliquez sur OK. 5 Dès que l'appel de réactivation de l'agent est terminé, l'arborescence des systèmes s'affiche de nouveau. Sélectionnez à nouveau les ordinateurs auxquels une stratégie sera affectée, puis cliquez sur Actions Agent Définir la stratégie et l'héritage. 6 Sur la page Affecter une stratégie, sélectionnez Data Loss Prevention 9.4. dans la liste déroulante Produit. La colonne Catégorie affiche deux stratégies : Stratégie DLP et Configuration client. 7 Pour chaque stratégie que vous voulez affecter : a Cliquez sur Modifier l'affectation dans la colonne Actions pour l'une des catégories. b Cliquez sur l'option Bloquer l'héritage..., puis sélectionnez la stratégie à affecter dans la liste déroulante. Cliquez sur Enregistrer. McAfee Data Loss Prevention Endpoint Guide produit 35

36 4 Déploiement du logiciel Déploiement des clients McAfee DLP Endpoint Actualisation de la stratégie Le déploiement de la stratégie système s'appuie sur le serveur McAfee epo et l'actualisation de la stratégie sur l'ordinateur managé est effectuée conformément aux paramètres de McAfee Agent. Cependant, vous pouvez actualiser une stratégie dans McAfee epo sans attendre l'actualisation planifiée. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Arborescence des systèmes, puis sélectionnez au moins un ordinateur à actualiser. 2 Cliquez sur Autres actions Réactiver les agents. 3 Sélectionnez le type d'appel de réactivation, puis définissez le champ Exécution aléatoire sur 0 minute. Cliquez sur OK. Les stratégies sont mises à jour de façon planifiée par le serveur McAfee epo. Les utilisateurs d'ordinateurs managés ne doivent pas actualiser les stratégies manuellement, à moins d'avoir reçu une instruction spécifique en ce sens. 36 McAfee Data Loss Prevention Endpoint Guide produit

37 Configuration et utilisation Configurez le logiciel pour bénéficier d'une utilisation optimisée dans l'environnement d'entreprise en fonction des décisions de gestion concernant les contenus à protéger et la meilleure façon de les protéger. Chapitre 5 Chapitre 6 Chapitre 7 Chapitre 8 Chapitre 9 Configuration des composants système Protection des supports amovibles Classification de contenu confidentiel Utilisation de règles pour protéger le contenu confidentiel Utilisation des stratégies McAfee Data Loss Prevention Endpoint Guide produit 37

38 Configuration et utilisation 38 McAfee Data Loss Prevention Endpoint Guide produit

39 5 Configuration 5 des composants système Les composants système peuvent être personnalisés de manière à répondre parfaitement aux besoins de votre entreprise. La configuration des options de l'agent et du système permet d'optimiser la protection des informations confidentielles de l'entreprise. Outre les paramètres des modules McAfee DLP, les paramètres de configuration concernant l'administration de McAfee DLP se trouvent dans McAfee epo Paramètres serveur, Serveurs enregistrés et Tâches serveur. Sommaire Catalogue de stratégies Modification des paramètres serveur de McAfee DLP Définition d'un serveur de gestion des droits Documentation d'événements avec des preuves Utilisateurs et ensembles d'autorisations Configuration de McAfee DLP dans le catalogue de stratégies Catalogue de stratégies Le catalogue de stratégies de McAfee epo présente les configurations de stratégie McAfee DLP suivantes : Configuration client : contient les paramètres de configuration pour les clients McAfee DLP Endpoint. Les paramètres déterminent la façon dont les clients appliquent des stratégies McAfee DLP sur les ordinateurs clients. Stratégie DLP : contient les jeux de règles affectés à la stratégie, les analyses de découverte Endpoint planifiées, ainsi que les paramètres pour la stratégie d'application, les remplacements de classe d'équipement et les utilisateurs avec privilèges. McAfee DLP Endpoint 9.4 prend en charge plusieurs stratégies et plusieurs configurations clients. Pour créer des politiques et des configurations clients, accédez au Catalogue de stratégies en dupliquant les éléments existants et en les modifiant. Attribuez des jeux de règles aux stratégies et appliquez-les à la base de données McAfee epo sur l'onglet Affectation de stratégie du Gestionnaire de stratégies DLP. Pour attribuer des stratégies et des configurations clients en vue de leur déploiement sur les ordinateurs clients, accédez à l'arborescence des systèmes McAfee epo. Modification des paramètres serveur de McAfee DLP McAfee DLP Endpoint insère les paramètres de configuration par défaut dans les paramètres serveur de McAfee epo. Ces paramètres peuvent être modifiés en fonction des besoins. McAfee Data Loss Prevention Endpoint Guide produit 39

40 5 Configuration des composants système Définition d'un serveur de gestion des droits Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Configuration Paramètres serveur Data Loss Prevention. 2 Cliquez sur Modifier. 3 Vous pouvez modifier les paramètres suivants : Option Clé de licence Stockage de preuves par défaut Mot de passe partagé Longueur de clé de demande d'authentification/réponse Mettre en œuvre les autorisations de l'arborescence des systèmes Gestion des cas Dernière sauvegarde Dernière restauration Définition Permet de déterminer la version installée : McAfee Device Control ou la version complète de McAfee DLP Endpoint. Vous pouvez également ajouter une licence McAfee DLP Discover à l'une ou l'autre version. Chemin UNC du partage de stockage. Ce doit être un chemin de partage réseau, c'est-à-dire qu'il doit inclure le nom du serveur. Mot de passe de contrôle prioritaire pour la désinstallation du logiciel, la suppression des fichiers de la quarantaine, le chiffrement de preuves et le contournement du client temporaire. Utilisé par Help Desk pour libérer des fichiers en quarantaine ou définir le mode de contournement du client. Les autorisations de l'arborescence des systèmes peuvent être utilisées pour filtrer des incidents dans les consoles Gestionnaire d'incidents DLP et Evénements opérationnels DLP. Utilisez ce paramètre pour utiliser ou ignorer les autorisations de l'arborescence des systèmes. Sélectionnez les options de notification par envoyer le cas au propriétaire, envoyez le cas à l'expéditeur, ou les deux. Affiche la dernière sauvegarde et permet d'enregistrer les paramètres actuels dans un fichier. Affiche la dernière version restaurée et permet de restaurer les paramètres enregistrés à partir d'un fichier. Définition d'un serveur de gestion des droits McAfee DLP Endpoint prend en charge deux systèmes de gestion des droits : Microsoft Windows Rights Management Services (RMS) et Seclore FileSecure. Pour utiliser ces systèmes, configurez le serveur fournissant les stratégies de gestion des droits dans McAfee epo. Avant de commencer Configurez les serveurs de gestion des droits et créez des stratégies et des utilisateurs. Obtenez l'url et le mot de passe de tous les serveurs : modèle de stratégie, certification et licence. Pour Seclore, vous devez disposer de l'id de fichier CAB Hot Folder et de la phrase secrète, ainsi que des informations sur les éventuelles licences avancées. Vérifiez que vous disposez des autorisations nécessaires pour afficher, créer et modifier des serveurs Microsoft RMS et Seclore. Dans McAfee epo, sélectionnez Menu Gestion des utilisateurs Ensembles d'autorisations, et vérifiez que vous appartenez à un groupe disposant des autorisations requises dans Serveurs enregistrés. 40 McAfee Data Loss Prevention Endpoint Guide produit

41 Configuration des composants système Documentation d'événements avec des preuves 5 Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Serveurs enregistrés. 2 Cliquez sur Nouveau serveur. La page de description Serveurs enregistrés s'ouvre. 3 Dans la liste déroulante Type de serveur, sélectionnez le type de serveur à configurer : Serveur Microsoft RMS ou Serveur Seclore. 4 Attribuez un nom à la configuration du serveur, puis cliquez sur Suivant. 5 Saisissez les détails requis. Une fois que vous avez renseigné les champs requis, cliquez sur Tester la connectivité pour vérifier les données saisies. Les paramètres RMS comprennent aussi une section Paramètres de mise en œuvre DLP. Le champ Chemin d'accès local vers le modèle RMS est facultatif, mais les champs d'url pour la certification et les licences sont obligatoires, sauf si vous choisissez l'option de découverte de service automatique AD. Pour Seclore, les informations du fichier CAB Hot Folder sont obligatoires, mais les autres informations de licence sont facultatives. 6 Cliquez sur Enregistrer lorsque vous avez terminé la configuration. Documentation d'événements avec des preuves Une preuve est une copie du fichier ou de l' ayant provoqué la publication d'un événement de sécurité dans le Gestionnaire d'incidents DLP. Certaines règles permettent de stocker des preuves. Lorsque cette option est sélectionnée, une copie chiffrée du contenu bloqué ou surveillé est stockée dans le dossier de preuves prédéfini sur l'ordinateur client. Lorsque McAfee DLP Endpoint transmet les informations au serveur, ce dossier est vidé et les preuves sont stockées dans le dossier de preuves du serveur. Les paramètres dans Catalogue de stratégies Configuration client Service de copie de preuve Service de copie de preuve permettent de contrôler la taille et l'âge maximaux du stockage de preuves local lorsque l'ordinateur est hors ligne. Prérequis relatifs au stockage des preuves L'activation du stockage de preuves est la condition par défaut pour McAfee DLP Endpoint. Si vous ne souhaitez pas enregistrer de preuves, vous pouvez améliorer les performances en désactivant le service de preuve. Les éléments suivants sont requis ou définis comme valeurs par défaut lors de la configuration du logiciel. Dossier de stockage de preuves : pour appliquer une stratégie à McAfee epo, vous devez créer un dossier de stockage de preuves et indiquer le chemin UNC vers le dossier. Voir Création et configuration de dossiers de référentiel dans ce guide pour obtenir des détails sur la configuration du dossier (également appelé Preuve de partage réseau) et la configuration des autorisations d'accès. Indiquez le chemin dans le Catalogue de stratégies à la page Service de copie de preuve de la stratégie de configuration client. Service de copie de preuve : le service de copie de preuve est activé à la page Mode de fonctionnement et modules de la stratégie de configuration client. Il s'agit d'une sous-entrée du Service de génération de rapports, qui doit également être activée pour la collecte des preuves. McAfee Data Loss Prevention Endpoint Guide produit 41

42 5 Configuration des composants système Documentation d'événements avec des preuves Stockage de preuves et mémoire Le nombre de fichiers de preuve stockés pour chaque événement a des répercussions sur le volume de stockage, les performances de l'analyseur d'événements et l'affichage à l'écran (et donc sur l'expérience utilisateur) des pages Gestionnaire d'incidents DLP et Evénements opérationnels DLP. Pour gérer les différentes exigences en matière de preuve, le logiciel McAfee DLP Endpoint fonctionne comme suit : Le nombre maximal de fichiers de preuve à stocker par événement est défini sur la page Service de copie de preuve de la stratégie de configuration client. La valeur par défaut est Si un grand nombre de fichiers de preuve est lié à un événement unique, seuls les 100 premiers noms de fichiers sont enregistrés dans la base de données et affichés dans la page des détails du Gestionnaire d'incidents DLP. Les fichiers de preuves restants (jusqu'à la valeur maximale définie) sont stockés dans le partage de stockage de preuves, mais ils ne sont pas associés à l'événement. Les rapports et les requêtes qui filtrent les preuves par nom de fichier n'ont accès qu'à ces 100 premiers noms de fichiers. Dans Gestionnaire d'incidents DLP, le champ Nombre total de correspondances affiche le nombre total de preuves. Surlignage de correspondances L'option de surlignage de correspondances aide les administrateurs à identifier le contenu confidentiel à l'origine d'un événement. Lorsqu'elle est sélectionnée, elle enregistre un fichier HTML chiffré contenant du texte extrait. Dans le cas des marqueurs et des catégories de contenu, le texte est constitué d'une expression ou d'un mot surligné, de 100 caractères situés avant et après (correspondant au contexte) organisés selon le marqueur ou la catégorie de contenu ayant déclenché l'événement, ainsi que d'un décompte du nombre d'événements par marqueur/catégorie de contenu. Dans le cas de modèles textuels et de dictionnaires sécurisés, le texte exact est extrait. Les expressions régulières et les mots clés de correspondance exacte affichent 100 correspondances au maximum par expression ; les dictionnaires affichent un maximum de 250 correspondances par entrée de dictionnaire. Les options d'affichage sont définies sur la page Service de copie de preuve de la stratégie de configuration client dans le champ La classification correspond au fichier : Créer des résultats abrégés (par défaut) : caractères (5 à 7 correspondances) par section. Créer toutes les correspondances : affiche toutes les occurrences dans les limites décrites ci-dessus. Désactivé : désactive la fonctionnalité de surlignage de correspondances. Règles permettant le stockage de preuves Ces règles comportent une option de stockage de preuves : Tableau 5-1 Preuves enregistrées par des règles Règle Règle de protection de l'accès aux fichiers d'application Règle de protection du Presse-papiers Règle de protection du cloud Règle de protection de la messagerie Règles de protection du partage réseau Règle de protection contre l'impression Règle de protection des périphériques de stockage amovibles Règle de protection contre les captures d'écran Données enregistrées Copie du fichier Copie du Presse-papiers Copie du fichier Copie de l' Copie du fichier Copie du fichier Copie du fichier JPEG de l'écran 42 McAfee Data Loss Prevention Endpoint Guide produit

43 Configuration des composants système Documentation d'événements avec des preuves 5 Tableau 5-1 Preuves enregistrées par des règles (suite) Règle Règle de protection de la publication web Règle de découverte du système de fichiers Règle de découverte du stockage des s Données enregistrées Copie de la publication web Copie du fichier Copie du fichier.msg Création de dossiers de preuves Les dossiers de preuves contiennent des informations utilisées par le logiciel McAfee DLP pour créer des stratégies et générer des rapports. En fonction de votre installation McAfee DLP, vous devez créer des dossiers et des partages réseau, puis configurer les propriétés et les paramètres de sécurité correspondants. Il est généralement préférable (mais non obligatoire) de placer les dossiers sur le même ordinateur que le serveur de base de données McAfee DLP. Dossier de preuves : certaines règles permettent de stocker des preuves. Vous devez donc désigner à l'avance un emplacement où les stocker. Si, par exemple, un fichier est bloqué, une copie de celui-ci est placée dans le dossier de preuves. Nous vous suggérons d'utiliser les chemins d'accès aux dossiers, les noms de dossiers et les noms de partages suivants. Vous pouvez toutefois en créer d'autres, selon les besoins de votre environnement. c:\dlp_resources\ c:\dlp_resources\evidence Le chemin de stockage de preuves doit être un chemin de partage réseau, c'est-à-dire qu'il doit inclure le nom du serveur McAfee epo. Configuration de dossiers de preuves La configuration des dossiers de preuves requiert des paramètres de sécurité spécifiques. Avant de commencer Créez le dossier de preuves. 1 Dans l'explorateur Windows, cliquez avec le bouton droit de la souris sur le dossier de preuves et sélectionnez Propriétés. 2 Cliquez sur l'onglet Partage, puis cliquez sur Partage avancé. Sélectionnez l'option Partager ce dossier. a Remplacez Nom du partage par evidence$. Cliquez sur OK. Le symbole $ permet de s'assurer que le partage est masqué. b Cliquez sur Autorisations et sélectionnez Contrôle total pour tous les utilisateurs. Cliquez deux fois sur OK. 3 Cliquez sur l'onglet Sécurité, puis sur Paramètres avancés. a Dans l'onglet Autorisations, cliquez sur Modifier les autorisations, puis désélectionnez l'option Inclure les autorisations transmissibles par hérédité à partir du processus parent de l'objet. Un message de confirmation explique l'effet de cette modification sur le dossier. McAfee Data Loss Prevention Endpoint Guide produit 43

44 5 Configuration des composants système Utilisateurs et ensembles d'autorisations b Cliquez sur Supprimer. L'onglet Autorisations dans la fenêtre Paramètres de sécurité avancés affiche toutes les autorisations éliminées. c d Cliquez sur Ajouter pour sélectionner un type d'objet. Dans le champ Entrer le nom de l'objet à sélectionner, saisissez Ordinateurs du domaine, puis cliquez sur OK. La boîte de dialogue Entrée d'autorisation s'affiche. e Dans la colonne Autoriser, sélectionnez Créer des fichiers/ecrire des données et Créer des dossiers/ajouter des données. Vérifiez que la valeur sélectionnée pour Appliquer à est effectivement Ce dossier, les sous-dossiers et les fichiers, puis cliquez sur OK. La fenêtre Paramètres de sécurité avancés contient à présent Ordinateurs du domaine. f g Cliquez à nouveau sur Ajouter pour sélectionner un type d'objet. Dans le champ Entrer le nom de l'objet à sélectionner, saisissez Administrateurs, puis cliquez sur OK pour afficher la boîte de dialogue Entrée d'autorisation. Définissez les autorisations requises. L'ajout d'administrateurs est facultatif, mais peut servir de mesure de sécurité. Vous pouvez sinon ajouter des autorisations uniquement pour les administrateurs déployant des stratégies. 4 Cliquez deux fois sur OK pour fermer la boîte de dialogue. Utilisateurs et ensembles d'autorisations McAfee DLP utilise les options Utilisateurs et Ensembles d'autorisations McAfee epo. Elles vous permettent d'affecter différentes parties de l'administration McAfee DLP à différents utilisateurs ou groupes. Il est recommandé de créer des utilisateurs ou des groupes McAfee DLP spécifiques, ainsi que des autorisations d'administrateur et de réviseur dans McAfee epo. Vous pouvez créer différents rôles en affectant des autorisations distinctes aux utilisateurs pour McAfee DLP Endpoint et le Gestionnaire d'incidents DLP. Prise en charge des autorisations de filtrage de l'arborescence des systèmes McAfee DLP Endpoint prend en charge les autorisations de filtrage de l'arborescence des systèmes de McAfee epo dans les consoles Gestionnaire d'incidents DLP et Evénements opérationnels DLP. Lorsque le filtrage de l'arborescence des systèmes est activé, les opérateurs McAfee epo peuvent uniquement voir les incidents des ordinateurs figurant dans la partie de l'arborescence des systèmes pour laquelle ils disposent d'autorisations. Par défaut, les administrateurs de groupes ne disposent d'aucune autorisation dans l'arborescence des systèmes de McAfee epo. Quelles que soient les autorisations affectées dans l'ensemble d'autorisations Data Loss Prevention, ils ne peuvent voir aucun incident dans les consoles Gestionnaire d'incidents DLP ou Evénements opérationnels DLP. Le filtrage de l'arborescence des systèmes est désactivé par défaut, mais vous pouvez l'activer dans Menu Paramètres serveur Data Loss Prevention. Il est recommandé aux clients qui utilisent les administrateurs de groupes dans les ensembles d'autorisations Data Loss Prevention d'affecter l'autorisation Afficher l'onglet Arborescence des systèmes aux administrateurs de groupes (sous Systèmes) et les autorisations Accès à l'arborescence des systèmes au niveau approprié. 44 McAfee Data Loss Prevention Endpoint Guide produit

45 Configuration des composants système Utilisateurs et ensembles d'autorisations 5 Rédaction de données confidentielles et ensembles d'autorisations de McAfee epo Pour répondre à l'exigence légale de protection en toutes circonstances des données confidentielles, en vigueur sur certains marchés, le logiciel McAfee DLP Endpoint propose une fonctionnalité de rédaction de données. Les champs dans les consoles Gestionnaire d'incidents DLP et Evénements opérationnels DLP contenant des informations confidentielles peuvent être rédigés de manière à empêcher toute consultation non autorisée et les liens vers les preuves confidentielles sont masqués. La fonctionnalité est conçue avec une libération «double clé». Ainsi, pour l'utiliser, vous devez créer deux ensembles d'autorisations : un pour afficher les incidents et les événements, et un autre pour afficher les champs rédigés (autorisation du superviseur). Les deux rôles peuvent être affectés au même utilisateur. Ensembles d'autorisations McAfee DLP Les ensembles d'autorisations McAfee DLP affectent les autorisations de consultation et de sauvegarde des stratégies et les autorisations d'affichage des champs rédigés. Ils servent aussi à affecter le contrôle d'accès basé sur les rôles (RBAC). Lors de l'installation du logiciel serveur McAfee DLP, l'ensemble d'autorisations McAfee epo est ajouté (Data Loss Prevention 9.4). Si une version antérieure de McAfee DLP est installée sur le même serveur McAfee epo, l'ensemble d'autorisations Data Loss Prevention apparaît également. Les autorisations de l'ensemble d'autorisations Data Loss Prevention 9.4 couvrent l'intégralité des sections de la console de gestion, pas seulement le gestionnaire d'incidents. Il existe trois niveaux d'autorisation : Utilisation : l'utilisateur peut uniquement consulter les noms des objets (définitions, classifications, etc.), mais pas les détails. Pour les stratégies, l'autorisation minimale est aucune autorisation. Affichage et utilisation : l'utilisateur peut consulter les détails des objets, mais ne peut pas les modifier. Autorisations complètes : l'utilisateur peut créer et modifier des objets. Vous pouvez définir des autorisations pour différentes sections de la console de gestion et octroyer des autorisations différentes aux administrateurs et aux réviseurs selon les besoins. Les sections sont regroupées par hiérarchie logique ; par exemple, si vous sélectionnez Classifications, l'option Définitions est automatiquement sélectionnée car des définitions doivent être utilisées lors de la configuration de critères de classification. Les groupes d'autorisation sont les suivants : Catalogue de stratégies Gestionnaire de stratégies DLP Classifications Définitions Gestionnaire de stratégies DLP Classifications Définitions Classifications Définitions Gestion des incidents, Evénements opérationnels et Gestion des cas peuvent être sélectionnés séparément. Les autorisations pour Actions Data Loss Prevention ont été déplacées vers l'ensemble d'autorisations Actions Help Desk. Ces autorisations permettent aux administrateurs de générer des clés de désinstallation et de contournement du client, des clés de libération de quarantaine et des clés maîtres. En plus de l'autorisation par défaut pour la section, vous pouvez définir un contrôle prioritaire pour chaque objet. Le contrôle prioritaire peut augmenter ou diminuer le niveau d'autorisation. Par exemple, dans les autorisations Gestionnaire de stratégies DLP, tous les jeux de règles existants lors McAfee Data Loss Prevention Endpoint Guide produit 45

46 5 Configuration des composants système Utilisateurs et ensembles d'autorisations de la création de l'ensemble d'autorisations sont répertoriés. Vous pouvez définir un contrôle prioritaire différent pour chacune. Lorsque des jeux de règles sont créés, le niveau d'autorisation par défaut leur est affecté. Création d'un ensemble d'autorisations McAfee DLP Les ensembles d'autorisations permettent de définir plusieurs rôles de réviseur et d'administration dans le logiciel McAfee DLP. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Ensembles d'autorisations. 2 Sélectionnez un ensemble d'autorisations prédéfini ou cliquez sur Nouveau pour créer un ensemble d'autorisations. a Entrez un nom pour l'ensemble et sélectionnez les utilisateurs. b Cliquez sur Enregistrer. 3 Sélectionnez un ensemble d'autorisations, puis cliquez sur Modifier dans la section Data Loss Prevention 9.4. a Dans le volet gauche, sélectionnez un module de protection des données. Gestion des incidents, Evénements opérationnels et Gestion des cas peuvent être sélectionnés séparément. D'autres options permettent de créer automatiquement des groupes prédéfinis. b c Modifiez les options et les autorisations de remplacement le cas échéant. Le catalogue de stratégies n'a pas d'options à modifier. Si vous affectez Catalogue de stratégies à un ensemble d'autorisations, vous pouvez modifier les sous-modules dans le groupe Catalogue de stratégies. Cliquez sur Enregistrer. Scénario d'utilisation : autorisations d'administrateur DLP Vous pouvez séparer les tâches d'administrateur selon les besoins, par exemple, pour créer un administrateur de stratégie sans responsabilités par rapport à la révision d'événements. 46 McAfee Data Loss Prevention Endpoint Guide produit

47 Configuration des composants système Utilisateurs et ensembles d'autorisations 5 Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Ensembles d'autorisations. 2 Cliquez sur Nouveau pour créer un ensemble d'autorisations. a Entrez un nom pour l'ensemble et sélectionnez les utilisateurs. Pour modifier une stratégie, l'utilisateur doit être le propriétaire de la stratégie ou membre de l'ensemble d'autorisations d'administrateur global. b Cliquez sur Enregistrer. 3 Dans l'ensemble d'autorisations Data Loss Prevention 9.4, sélectionnez Catalogue de stratégies. Les options Gestionnaire de stratégies DLP, Classifications et Définitions sont sélectionnées automatiquement. 4 Dans chacun des trois sous-modules, vérifiez que l'utilisateur dispose des autorisations complètes et de l'accès complet. Les autorisations complètes sont le paramètre par défaut. L'administrateur peut maintenant créer et modifier des stratégies, des règles, des classifications et des définitions. Scénario d'utilisation : limiter l'affichage du Gestionnaire d'incidents DLP avec des autorisations de rédaction Pour protéger les informations confidentielles, et pour répondre aux exigences juridiques sur certains marchés, McAfee DLP Endpoint propose une fonctionnalité de rédaction des données. Lorsque cette fonction est utilisée, certains champs des affichages Gestionnaire des incidents DLP et Evénements opérationnels DLP contenant des informations confidentielles sont chiffrés afin d'empêcher un affichage non autorisé, et les liens vers les preuves sont masqués. Les champs Nom de l'ordinateur et Nom utilisateur sont prédéfinis comme privés. Cet exemple montre comment configurer les autorisations Gestionnaire d'incidents DLP pour un réviseur de rédaction, un administrateur unique qui ne peut pas afficher les incidents réels, mais qui peut révéler les champs cryptés si nécessaire pour qu'un autre réviseur visualise l'incident. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Gestion des utilisateurs Ensembles d'autorisations 2 Créez des ensembles d'autorisations pour les réviseurs normaux et pour le réviseur de rédaction. a Cliquez sur Nouveau (ou Actions Nouveau). b Saisissez un nom du groupe, par exemple Réviseur d'incidents DLPE ou Réviseur de rédaction. Vous pouvez affecter différents types d'incidents à différents groupes de réviseurs. Vous devez créer les groupes dans Ensembles d'autorisations avant de pouvoir leur affecter les incidents. c Affectez des utilisateurs au groupe, depuis les utilisateurs McAfee epo disponibles ou en mappant les utilisateurs ou les groupes Active Directory avec l'ensemble d'autorisations. Cliquez sur Enregistrer. McAfee Data Loss Prevention Endpoint Guide produit 47

48 5 Configuration des composants système Configuration de McAfee DLP dans le catalogue de stratégies Le groupe s'affiche dans la liste Ensembles d'autorisations du panneau de gauche. 3 Sélectionnez un ensemble d'autorisations de réviseur standard, puis cliquez sur Modifier dans la section Data Loss Prevention 9.4. a Dans le volet gauche, sélectionnez Gestion des incidents. b c d e Dans la section Réviseur d'incidents, sélectionnez L'utilisateur peut consulter les incidents affectés aux ensembles d'autorisations suivants, cliquez sur l'icône choisie et sélectionnez le ou les ensembles d'autorisations pertinents. Dans la section Rédaction des données relatives aux incidents, désélectionnez Autorisation du superviseur par défaut, et sélectionnez l'option Masquer des données d'incidents sensibles. La sélection de cette option active la fonction de rédaction. Si cette option est désélectionnée, tous les champs de données s'affichent en texte clair. Dans la section Tâches relatives aux incidents, sélectionnez ou désélectionnez les tâches si nécessaire. Cliquez sur Enregistrer. 4 Sélectionnez l'ensemble d'autorisations du réviseur de rédaction, puis cliquez sur Modifier dans la section Data Loss Prevention 9.4. a Dans le volet gauche, sélectionnez Gestion des incidents. b Dans la section Réviseur d'incidents, sélectionnez L'utilisateur peut consulter tous les incidents. Dans cet exemple, nous supposons un seul réviseur de rédaction pour tous les incidents. Vous pouvez également affecter différents réviseurs de rédaction pour différents ensembles d'incidents. c d Dans la section Rédaction des données relatives aux incidents, sélectionnez les options Autorisation du superviseur et Masquer des données d'incidents sensibles. Dans la section Tâches relatives aux incidents, désélectionnez toutes les tâches. Les réviseurs de rédaction ne disposent normalement pas d'autres tâches de réviseur. Cependant, ceci est facultatif selon vos besoins spécifiques. e Cliquez sur Enregistrer. Configuration de McAfee DLP dans le catalogue de stratégies McAfee DLP utilise le catalogue de stratégies McAfee epo pour stocker les stratégies et les configurations client. McAfee DLP crée des stratégies dans le catalogue de stratégies McAfee epo : Configuration client Stratégie DLP La stratégie de configuration client contient des paramètres qui déterminent le fonctionnement des ordinateurs clients avec les stratégies. La stratégie DLP se compose de jeux de règles, de la configuration de la découverte Endpoint et de paramètres. 48 McAfee Data Loss Prevention Endpoint Guide produit

49 Configuration des composants système Configuration de McAfee DLP dans le catalogue de stratégies 5 Importer ou exporter la configuration McAfee DLP Endpoint Les configurations de stratégie peuvent être enregistrées au format HTML pour la sauvegarde ou pour le transfert de stratégies vers d'autres serveurs McAfee epo. L'importation et l'exportation des stratégies sont effectuées dans le catalogue de stratégies McAfee epo. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Catalogue de stratégies Produit Data Loss Prevention Effectuez l'une des actions suivantes : Pour exporter, cliquez sur Exporter. Dans la fenêtre Exporter, cliquez avec le bouton droit de la souris sur le lien du fichier et sélectionnez Enregistrer le lien sous pour enregistrer la stratégie en tant que fichier XML. Le bouton Exporter permet d'exporter toutes les stratégies. Vous pouvez exporter une stratégie individuelle en sélectionnant Exporter dans la colonne Actions de la ligne du nom de la stratégie. Pour importer une stratégie enregistrée, cliquez sur Importer. Dans la fenêtre Importer des stratégies, accédez à une stratégie enregistrée, cliquez sur Ouvrir, puis sur OK. La fenêtre d'importation s'ouvre, indiquant les stratégies que vous êtes sur le point d'importer et la présence de conflit de noms, le cas échéant. Vous pouvez désélectionner toutes les stratégies en conflit et ne pas les importer. Si vous choisissez d'importer une stratégie qui présente un conflit de noms, elle remplace la stratégie actuelle et prend ses affectations. Configuration client Le logiciel client McAfee DLP Endpoint pour McAfee Agent réside sur des ordinateurs d'entreprise et exécute la stratégie définie. Le logiciel surveille également les activités utilisateur impliquant du contenu confidentiel. La configuration client est stockée dans la stratégie, qui est elle-même déployée sur les ordinateurs managés. Le catalogue de stratégies comprend les stratégies par défaut de McAfee pour la configuration des terminaux, et la stratégie des terminaux. Cliquez sur Dupliquer (dans la colonne Actions) pour créer une copie modifiable qui servira de base pour votre stratégie. La configuration cliente est stockée dans la stratégie, qui est elle-même déployée sur les ordinateurs managés par McAfee epo. Si la configuration est mise à jour, vous devez redéployer la stratégie. Surveillance du service client Pour maintenir un fonctionnement normal du logiciel McAfee DLP Endpoint même en cas d'interférence malveillante, McAfee DLP Endpoint exécute un service de protection appelé Surveillance du service client. Ce service surveille le logiciel McAfee DLP Endpoint et le redémarre s'il est arrêté pour une raison quelconque. Le service est activé par défaut. Pour vérifier que le service est en cours d'exécution, recherchez le service fcagswd.exe parmi les processus du Gestionnaire des tâches Microsoft Windows. McAfee Data Loss Prevention Endpoint Guide produit 49

50 5 Configuration des composants système Configuration de McAfee DLP dans le catalogue de stratégies Prise en charge des paramètres de configuration du client pour OS X Les paramètres de configuration du client peuvent s'appliquer aux ordinateurs clients Microsoft Windows et OS X. Sous OS X, le logiciel client McAfee DLP Endpoint ignore les paramètres qui ne sont pas spécifiquement pris en charge par ce système d'exploitation. Tableau 5-2 Page Débogage et journalisation Paramètre Evénements d'administration signalés par les clients Prise en charge du système d'exploitation Les paramètres de filtre qui s'appliquent à la fois à OS X et à Microsoft Windows sont les suivants : Le client passe en mode de contournement Le client quitte le mode de contournement Client installé Modification de stratégie Code d'autorisation verrouillé Tous les autres paramètres s'appliquent uniquement aux terminaux Microsoft Windows. Journalisation Prise en charge sur Microsoft Windows et sur OS X. Tableau 5-3 Page Composants de l'interface utilisateur Section Paramètre Prise en charge du système d'exploitation Interface utilisateur du client Afficher la console DLP (toutes les options) Activer la fenêtre pop-up de notification de l'utilisateur final Afficher la boîte de dialogue Justification de la demande Microsoft Windows uniquement OS X et Microsoft Windows Microsoft Windows uniquement Demande d'authentification et réponse Toutes les options OS X et Microsoft Windows Stratégie de déverrouillage du code d'autorisation Toutes les options OS X et Microsoft Windows Image de la bannière du client Toutes les options Microsoft Windows uniquement Paramètres de configuration client Les paramètres de configuration client déterminent le mode de fonctionnement du logiciel Endpoint. Nous recommandons de vérifier les paramètres de configuration client lorsque vous configurez le logiciel, afin de vous assurer qu'ils répondent à vos besoins. La plupart des paramètres comportent des valeurs par défaut raisonnables qui peuvent être utilisées pour le test et la configuration initiale sans modification. Le tableau suivant répertorie les paramètres les plus importants à vérifier. 50 McAfee Data Loss Prevention Endpoint Guide produit

51 Configuration des composants système Configuration de McAfee DLP dans le catalogue de stratégies 5 Tableau 5-4 Configuration Endpoint Paramètre Détails Description Configuration avancée Suivi du contenu Exécuter le client DLP en mode sans échec Utiliser la page de code ANSI de la fonction de secours suivante Option désactivée par défaut. Lorsque cette option est activée, McAfee DLP Endpoint est pleinement opérationnel si l'ordinateur est démarré en mode sans échec. Un mécanisme de récupération se déclenche si le client McAfee DLP Endpoint provoque une panne au démarrage. Si aucun langage n'est défini, la fonction de secours utilisée est le langage par défaut de l'ordinateur client. Connectivité d'entreprise Adresse du serveur Vous pouvez appliquer différentes mesures préventives aux ordinateurs clients se trouvant dans un réseau d'entreprise, en dehors du réseau, ou connectés par VPN. Pour utiliser l'option VPN, définissez l'adresse IP du serveur. Service de copie de preuve Mode de fonctionnement et modules Protection de la publication web Chemin UNC du partage Stockage de preuves Version de Chrome prise en charge Remplacez l'exemple de texte par le partage du stockage de preuves. Pour améliorer les performances, nous recommandons de désélectionner les modules que vous n'utilisez pas. Si vous utilisez Google Chrome, cliquez sur Parcourir pour ajouter la liste actuelle des versions prises en charge. La liste est un fichier XML que vous téléchargez à partir du support technique McAfee. McAfee Data Loss Prevention Endpoint Guide produit 51

52 5 Configuration des composants système Configuration de McAfee DLP dans le catalogue de stratégies 52 McAfee Data Loss Prevention Endpoint Guide produit

53 6 Protection des supports amovibles McAfee Device Control protège les entreprises contre les risques associés au transfert non autorisé de contenu confidentiel lors de l'utilisation d'équipements de stockage. Device Control peut surveiller ou bloquer les périphériques associés à des ordinateurs gérés par des entreprises, ce qui vous permet de surveiller et de contrôler leur utilisation lors de la diffusion d'informations sensibles. Les périphériques comme les smartphones, les périphériques de stockage amovibles, les périphériques Bluetooth, les lecteurs MP3 ou les périphériques Plug-and-Play peuvent tous être contrôlés. McAfee Device Control est un composant de McAfee DLP Endpoint vendu séparément. Bien que le terme Device Control soit utilisé dans toute cette section, l'ensemble des fonctionnalités et des descriptions s'appliquent également à McAfee DLP Endpoint. Tableau 6-1 Terminologie Device Control Terme Classe de périphériques Définition de périphériques Propriété de périphérique Règle de périphérique Applicable aux systèmes d'exploitation : Windows Windows, Mac Windows, Mac Windows, Mac Définition Ensemble d'équipements partageant des caractéristiques similaires et dont la gestion peut être identique. Les classes de périphériques affichent l'état Géré, Non géré ou Liste blanche. Liste des propriétés des périphériques utilisés pour identifier ou grouper les périphériques. Propriété comme le type de bus, l'id du fournisseur ou l'id du produit qui peut être utilisée pour définir un périphérique. Définit l'action prise lorsqu'un utilisateur tente d'utiliser un périphérique qui possède une définition correspondante dans la stratégie. La règle s'applique au matériel, soit au niveau du pilote de périphérique, soit au niveau du système de fichiers. Les règles de périphériques peuvent être affectées à des utilisateurs finaux spécifiques. Périphérique géré Windows Etat de classe de périphériques indiquant que les périphériques de cette classe sont gérés par Device Control. Règle pour équipements de stockage amovibles Règle de protection des périphériques de stockage amovibles Windows, Mac Windows Utilisé pour bloquer ou surveiller un périphérique, ou le définir en lecture seule. Voir Règle de périphériques. Définit l'action prise lorsqu'un utilisateur tente de copier le contenu étiqueté comme sensible vers un périphérique géré. McAfee Data Loss Prevention Endpoint Guide produit 53

54 6 Protection des supports amovibles Protection des équipements Tableau 6-1 Terminologie Device Control (suite) Terme Périphérique non géré Périphérique inclus dans la liste blanche Applicable aux systèmes d'exploitation : Windows Windows Définition Etat de classe de périphériques indiquant que les périphériques de cette classe ne sont pas gérés par Device Control. Etat de classe de périphériques indiquant que les périphériques de cette classe ne peuvent pas être gérés par Device Control parce que leurs tentatives de gestion peuvent affecter l'ordinateur géré, l'intégrité du système ou son efficacité. Sommaire Protection des équipements Classes d'équipement Définitions d'équipement Règles de contrôle des équipements Création de règles d'équipement Protection des équipements Les clés USB constituent le moyen le moins encombrant, le plus facile, le moins cher et le moins détectable de télécharger de grandes quantités de données. Elles sont souvent considérées comme «l'arme de choix» pour le transfert non autorisé de données. Le logiciel Device Control surveille et contrôle les lecteurs USB et d'autres périphériques externes, tels que les smartphones, les périphériques Bluetooth, les périphériques Plug-and-Play, les lecteurs audio et les disques durs qui ne sont pas dédiés au système. Device Control fonctionne sur la plupart des systèmes d'exploitation Windows et OS X, y compris les serveurs. Voir la page relative à la configuration système requise de ce guide pour plus de détails. La protection McAfee Device Control repose sur trois couches : Classes d'équipement : ensembles d'équipements partageant des caractéristiques similaires et dont la gestion peut être identique. Les classes d'équipement s'appliquent uniquement aux définitions d'équipements Plug-and-Play, et ne sont pas applicables aux systèmes d'exploitation OS X. Définitions d'équipement : permettent d'identifier et de regrouper les équipements en fonction de leurs propriétés communes. Règles des équipements : permettent de contrôler le comportement des équipements. Une règle d'équipement comprend la liste des définitions d'équipements incluses ou exclues de la règle, et les mesures prises lorsque l'utilisation de l'équipement déclenche la règle. Elle peut aussi indiquer des utilisateurs finaux inclus ou exclus de la règle. Elles peuvent éventuellement contenir une définition d'applications pour filtrer la règle en fonction de la source du contenu confidentiel. Règles de protection des périphériques de stockage amovibles En plus des règles des équipements, Device Control comprend un type de règle de protection des données. Les règles de protection des périphériques de stockage amovibles comprennent une ou plusieurs classifications permettant de définir le contenu confidentiel qui déclenche la règle. Elles peuvent éventuellement inclure une définition d'applications ou une URL de navigateur web, et peuvent inclure ou exclure des utilisateurs finaux. 54 McAfee Data Loss Prevention Endpoint Guide produit

55 Protection des supports amovibles Classes d'équipement 6 Classes d'équipement Une classe d'équipement est un ensemble d'équipements qui partagent des caractéristiques similaires et dont la gestion peut être identique. Les classes de périphériques permettent de nommer et d'identifier les périphériques utilisés par le système. Chaque définition de classe d'équipement inclut un nom et un ou plusieurs identificateurs globaux uniques (GUID). Par exemple, les périphériques Intel PRO/1000 PL Network Connection et Dell wireless 1490 Dual Band WLAN Mini-Card appartiennent à la classe de périphériques Adaptateur de réseau. Les classes d'équipement ne sont pas applicables aux équipements OS X. Organisation des classes de périphériques Le Gestionnaire de stratégies DLP répertorie les classes de périphériques prédéfinies (intégrées) dans l'onglet Définitions du Contrôle des périphériques. Les classes de périphériques sont classées en fonction de leur statut : Les équipements managés sont des équipements Plug-and-Play ou de stockage amovible spécifiques qui sont managés par McAfee DLP Endpoint. Les périphériques Non gérés ne sont pas gérés par Device Control dans la configuration par défaut. Les périphériques Inclus dans la liste blanche sont des périphériques que Device Control n'essaie pas de contrôler, comme les périphériques batteries ou les processeurs. Pour éviter d'éventuels dysfonctionnements du système ou du système d'exploitation, les classes de périphériques ne peuvent pas être modifiées, mais elles peuvent être dupliquées et modifiées pour ajouter des classes définies par l'utilisateur à la liste. Nous ne recommandons pas l'ajout d'une classe de périphériques à la liste sans tester d'abord les conséquences. La stratégie DLP du catalogue de stratégies dispose d'une page Classes de périphériques dans l'onglet Paramètres pour ignorer temporairement le statut de classe de périphériques et les paramètres de type de filtre. Les remplacements peuvent être utilisés pour tester les modifications définies par l'utilisateur avant de créer une classe permanente, ainsi que pour résoudre les problèmes de contrôle des périphériques. Device Control utilise des définitions de périphérique et des règles de contrôle des périphériques Plug-and-Play pour contrôler le comportement des classes de périphériques gérés et des périphériques spécifiques appartenant à une classe de périphériques gérés. D'un autre côté, les règles des périphériques de stockage amovibles ne nécessitent pas de classe de périphériques gérés. La raison est liée à la différence d'utilisation des classes de périphériques par les deux types de règles de périphériques : Les règles pour périphériques Plug-and-Play sont déclenchées lorsque le périphérique matériel est connecté à l'ordinateur. Comme la réaction concerne un pilote de périphérique, la classe de périphérique doit être managée pour que le périphérique soit reconnu. Les règles pour périphériques de stockage amovibles sont déclenchées lors du montage d'un nouveau système de fichiers. Lorsque cela se produit, le client Device Control associe la lettre du disque au périphérique matériel spécifique et vérifie les propriétés de périphérique. Etant donné que la réaction concerne une opération de système de fichiers (lorsque le système de fichiers est monté), il n'est pas nécessaire de gérer la classe de périphériques. Voir aussi Création d'une classe d'équipement, page 56 McAfee Data Loss Prevention Endpoint Guide produit 55

56 6 Protection des supports amovibles Classes d'équipement Définition d'une classe d'équipement Si aucune classe d'équipement appropriée ne figure dans la liste prédéfinie ou n'est créée automatiquement lors de l'installation de nouveau matériel, vous pouvez créer une nouvelle classe d'équipement dans la console Gestionnaire de stratégies McAfee DLP Endpoint. Obtention d'un GUID Les définitions de classe d'équipement nécessitent un nom et un ou plusieurs identificateurs globaux uniques (GUID). Certains équipements matériels installent leur propre classe d'équipement. Pour contrôler le comportement des équipements Plug-and-Play qui définissent leur propre classe de d'équipement, vous devez commencer par ajouter une nouvelle classe d'équipement à l'état Managé dans la liste Classes d'équipement. Une classe d'équipement est définie par deux propriétés : un nom et un GUID. Le nom d'un nouvel équipement s'affiche dans le gestionnaire des équipements, mais le GUID apparaît uniquement dans le Registre Windows et il n'est pas facile de l'obtenir. Pour simplifier l'obtention du nom et du GUID des nouveaux équipements, le client Device Control envoie un événement Nouvelle classe d'équipement détectée au Gestionnaire d'incidents DLP lorsqu'un équipement n'appartenant à aucune classe reconnue est connecté à l'ordinateur hôte. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire d'incidents DLP Liste des incidents. 2 Cliquez sur Modifier en regard de la liste déroulante Filtre pour modifier les critères du filtre. 3 Dans la liste Propriétés disponibles (volet gauche), sélectionnez Type d'incident. 4 Vérifiez que la valeur de la liste déroulante Comparaison est Est égal à. 5 Dans la liste déroulante Valeurs, sélectionnez Nouvelle classe d'équipement détectée. 6 Cliquez sur Mettre à jour le filtre. La liste des incidents affiche les nouvelles classes d'équipement détectées sur l'ensemble des ordinateurs clients. 7 Pour voir le nom et le GUID d'un équipement spécifique, double-cliquez sur un élément de la liste pour afficher les détails de l'incident. Création d'une classe d'équipement Créez une classe d'équipement si une classe d'équipement appropriée ne figure pas dans la liste prédéfinie ou n'est pas créée automatiquement lors de l'installation de nouveau matériel. Avant de commencer Obtenez le GUID d'équipement avant de commencer cette tâche. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Définitions. 2 Dans le volet gauche, sélectionnez Contrôle des périphériques Classe des périphériques. 56 McAfee Data Loss Prevention Endpoint Guide produit

57 Protection des supports amovibles Définitions d'équipement 6 3 Effectuez l'une des actions suivantes : Sélectionnez Actions Nouveau. Localisez une classe de périphériques similaire dans la liste des classes de périphériques intégrée, puis cliquez sur Dupliquer dans la colonne Actions. Cliquez sur Modifier pour la classe de périphériques dupliquée. 4 Saisissez un nom unique et éventuellement une description. 5 Vérifiez l'état et le type de filtre requis. 6 Saisissez le GUID, puis cliquez sur Ajouter. Le format du GUID doit être correct. S'il est incorrect, vous êtes invité à le saisir à nouveau. 7 Cliquez sur Enregistrer. Voir aussi Classes d'équipement, page 55 Définitions d'équipement, page 57 Définitions d'équipement Une définition de périphériques est une liste de propriétés de périphériques comme le type de bus, la classe de périphériques, l'id du fournisseur et l'id du produit. Le rôle des définitions de périphériques est d'identifier et de grouper les périphériques en fonction de leurs propriétés communes. Certaines propriétés de périphérique peuvent être appliquées à toute définition de périphérique, d'autres ne concernent qu'un ou des types de périphériques spécifiques. Les types de définitions d'équipement disponibles sont les suivants : Les équipements de type Disque dur fixe sont attachés à l'ordinateur et ne sont pas considérés par le système d'exploitation comme un système de stockage amovible. Device Control permet de contrôler les disques durs fixes autres que le support d'amorçage. Les équipements Plug-and-Play peuvent être ajoutés à l'ordinateur managé, sans nécessiter aucune configuration ou installation manuelle de DLL et de pilotes. La plupart des équipements Microsoft Windows sont de type Plug-and-Play. Les équipements de stockage amovibles sont des équipements externes contenant un système de fichiers qui s'affichent en tant que lecteurs sur l'ordinateur managé. Les définitions d'équipement de stockage amovible prennent en charge les systèmes d'exploitation Windows ou OS X. Les équipements Plug-and-Play inclus dans la liste blanche n'interagissent pas correctement avec la gestion des équipements et peuvent provoquer un blocage du système ou d'autres problèmes sérieux. Les définitions de périphériques Plug-and-Play inclus dans la liste blanche sont ajoutées automatiquement à la liste d'exclusion de chaque règle de contrôle des périphériques Plug-and-Play. Ces équipements ne sont jamais managés, même si leur classe parente l'est. Les définitions d'équipement de stockage amovible sont plus flexibles et comportent des propriétés supplémentaires. McAfee recommande d'utiliser les définitions et règles de périphériques de stockage amovibles pour contrôler des périphériques tels qu'un périphérique de stockage de masse USB, qui peut être classé dans les deux catégories. Voir aussi Création d'une classe d'équipement, page 56 McAfee Data Loss Prevention Endpoint Guide produit 57

58 6 Protection des supports amovibles Définitions d'équipement Utilisation des définitions d'équipements Lorsque plusieurs paramètres sont ajoutés à des définitions d'équipements, ils sont liés par l'opérateur logique OU (par défaut) ou ET. Lorsque plusieurs types de paramètres sont ajoutés, ils sont toujours liés par l'opérateur logique AND. Par exemple, la sélection de paramètres ci-dessous : Crée la définition suivante : Le type de bus est Firewire (IEEE 1394) OR USB ET la classe d'équipement doit être Périphériques mémoire OU Périphériques portables Windows. s Création d'une définition d'équipements, page 58 Les définitions d'équipements permettent de spécifier les propriétés d'un équipement qui déclencheront la règle. Création d'une définition d'équipements Plug-and-Play inclus dans la liste blanche, page 59 L'ajout d'équipements Plug-and-Play à la liste blanche permet de prendre en charge les équipements dont la gestion pose des difficultés ou qui peuvent entraîner des blocages du système ou d'autres problèmes graves. Il est recommandé d'ajouter ces équipements à la liste blanche afin d'éviter tout problème de compatibilité. Création d'une définition d'équipements de stockage amovibles, page 60 Un équipement de stockage amovible est un équipement externe contenant un système de fichiers qui apparaît en tant que lecteur sur l'ordinateur managé. Les définitions d'équipements de stockage amovibles sont plus flexibles que celles des équipements Plug-and-Play et comportent des propriétés supplémentaires liées aux équipements. Création d'une définition d'équipements Les définitions d'équipements permettent de spécifier les propriétés d'un équipement qui déclencheront la règle. Créez des définitions d'équipements Plug-and-Play inclus dans la liste blanche pour les équipements dont la gestion ne s'effectue pas correctement, ce qui peut entraîner le blocage du système ou d'autres problèmes graves. Aucune action ne sera appliquée à ces équipements, même en cas de déclenchement d'une règle. 58 McAfee Data Loss Prevention Endpoint Guide produit

59 Protection des supports amovibles Définitions d'équipement 6 Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Définitions. 2 Dans le volet gauche, sélectionnez Contrôle des équipements Définitions d'équipements. 3 Sélectionnez Actions Nouveau, puis sélectionnez le type de définition. 4 Saisissez un nom unique et éventuellement une description. 5 Sélectionnez les propriétés de l'équipement. La liste des propriétés disponibles varie en fonction du type d'équipement. Pour ajouter une propriété, cliquez sur >. Pour supprimer une propriété, cliquez sur <. Pour ajouter d'autres valeurs de propriété, cliquez sur +. Les valeurs sont ajoutées avec l'opérateur logique OU par défaut. Cliquez sur le bouton et/ou et choisissez ET. Pour supprimer des propriétés, cliquez sur -. 6 Cliquez sur Enregistrer. Création d'une définition d'équipements Plug-and-Play inclus dans la liste blanche L'ajout d'équipements Plug-and-Play à la liste blanche permet de prendre en charge les équipements dont la gestion pose des difficultés ou qui peuvent entraîner des blocages du système ou d'autres problèmes graves. Il est recommandé d'ajouter ces équipements à la liste blanche afin d'éviter tout problème de compatibilité. Les équipements Plug-and-Play inclus dans la liste blanche sont ajoutés automatiquement à la liste d'exclusion de toutes les règles d'équipement Plug-and-Play lorsque la stratégie est appliquée. Ces équipements ne sont jamais managés, même si leur classe d'équipement parent l'est. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Définitions. 2 Dans le volet gauche, sélectionnez Contrôle des équipements Définitions d'équipement, puis sélectionnez Actions Nouveau Définition d'équipements Plug-and-Play inclus dans la liste blanche. 3 Saisissez un nom unique et éventuellement une description. 4 Sélectionnez les propriétés de l'équipement. Pour ajouter une propriété, cliquez sur >. Pour supprimer une propriété, cliquez sur <. McAfee Data Loss Prevention Endpoint Guide produit 59

60 6 Protection des supports amovibles Définitions d'équipement Pour ajouter d'autres valeurs de propriété, cliquez sur +. Les valeurs sont ajoutées avec l'opérateur logique OU par défaut. Cliquez sur le bouton et/ou et choisissez ET. Pour supprimer des propriétés, cliquez sur -. 5 Cliquez sur Enregistrer. Création d'une définition d'équipements de stockage amovibles Un équipement de stockage amovible est un équipement externe contenant un système de fichiers qui apparaît en tant que lecteur sur l'ordinateur managé. Les définitions d'équipements de stockage amovibles sont plus flexibles que celles des équipements Plug-and-Play et comportent des propriétés supplémentaires liées aux équipements. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Définitions. 2 Dans le volet gauche, sélectionnez Contrôle des équipements Définitions d'équipements, puis Actions Nouveau Définition d'équipements de stockage amovibles. 3 Saisissez un nom unique et éventuellement une description. 4 Sélectionnez l'option S'applique à pour les équipements Microsoft Windows ou OS X. La liste Propriétés disponibles est modifiée et indique les propriétés du système d'exploitation sélectionné. 5 Sélectionnez les propriétés de l'équipement. Pour ajouter une propriété, cliquez sur >. Pour supprimer une propriété, cliquez sur <. Pour ajouter d'autres valeurs de propriété, cliquez sur +. Les valeurs sont ajoutées avec l'opérateur logique OU par défaut. Cliquez sur le bouton et/ou et choisissez ET. Pour supprimer des propriétés, cliquez sur -. 6 Cliquez sur Enregistrer. Propriétés d'équipements Les propriétés d'équipements spécifient les caractéristiques d'équipements telles que leur nom, leur type de bus ou leur type de système de fichiers. Le tableau indique les définitions des propriétés d'équipements, les types de définition qui utilisent chaque propriété et le système d'exploitation auxquels elles s'appliquent. 60 McAfee Data Loss Prevention Endpoint Guide produit

61 Protection des supports amovibles Définitions d'équipement 6 Tableau 6-2 Types de propriétés d'équipements Nom de la propriété Définition d'équipements Applicable aux systèmes d'exploitation : Type de bus Tout Windows : Bluetooth, Firewire (IEEE1394), IDE/SATA, PCI, PCMIA, SCSI, USB Mac OS X : Firewire (IEEE1394), IDE/SATA, SD, Thunderbolt, USB Description Permet de choisir le type de bus des équipements dans la liste proposée. Lecteurs CD/DVD Stockage amovible Windows Mac OS X Sélectionnez un lecteur de CD ou de DVD. Contenu chiffré par Endpoint Encryption Stockage amovible Windows Equipements protégés par Endpoint Encryption. Classe d'équipement Plug-and-Play Windows Permet de choisir la classe d'équipement dans la liste des équipements managés proposée. ID d'équipement compatible ID d'instance de l'équipement (Microsoft Windows XP) Chemin d'instance de l'équipement (Windows Vista et systèmes d'exploitation Microsoft Windows ultérieures, y compris les serveurs) Tout Windows Liste des descriptions d'équipements physiques. Cette option est particulièrement utile avec les types d'équipements autres qu'usb et PCI, qui sont plus facilement identifiables à l'aide de l'id fournisseur/id d'équipement PCI ou de l'id fournisseur/id de produit USB. Tout Windows Chaîne générée par Windows qui identifie de façon unique l'équipement dans le système. Exemple : USB \VID_0930&PID_6533\5&26450FC&0&6. Nom de l'équipement Tout Windows Mac OS X Nom lié à l'équipement matériel, représentant son adresse physique. McAfee Data Loss Prevention Endpoint Guide produit 61

62 6 Protection des supports amovibles Définitions d'équipement Tableau 6-2 Types de propriétés d'équipements (suite) Nom de la propriété Type de système de fichiers Définition d'équipements Disque dur fixe Stockage amovible Applicable aux systèmes d'exploitation : Windows : CDFS, exfat, FAT16, FAT32, NTFS, UDFS Mac OS X : CDFS, exfat, FAT16, FAT32, HFS/HFS+, NTFS, UDFS Mac OS X prend uniquement en charge FAT sur les disques autres que le disque de démarrage. Mac OS X prend en charge NTFS en lecture seule. Description Type de système de fichiers. Pour les disques durs, sélectionnez l'un des systèmes exfat, FAT16, FAT32 ou NTFS. Pour les équipements de stockage amovibles, sélectionnez l'un des systèmes précédents ainsi que CDFS ou UDFS. Accès au système de fichiers Stockage amovible Windows Mac OS X Type d'accès au système de fichiers : lecture seule ou lecture-écriture. Etiquette de volume du système de fichiers Disque dur fixe Stockage amovible Windows Mac OS X Etiquette de volume définie par l'utilisateur, consultable dans l'explorateur Windows. Les correspondances partielles sont autorisées. Numéro de série du volume du système de fichiers ID fournisseur/id de périphérique PCI Disque dur fixe Stockage amovible Windows Numéro 32 bits généré automatiquement lorsqu'un système de fichiers est créé sur le périphérique. Il est consultable en exécutant la ligne de commande dir x:, où x: désigne la lettre du lecteur. Tout Windows L'ID fournisseur et l'id de périphérique PCI sont incorporés dans l'équipement PCI. Il est possible d'obtenir ces paramètres à partir de la chaîne d'id matériel des équipements physiques. Exemple : PCI \VEN_8086&DEV_2580&SUBSYS_ &REV_04 Equipements TrueCrypt Stockage amovible Windows Sélectionnez cette option pour spécifier un équipement TrueCrypt. Code de classe USB Plug-and-Play Windows Identifie un équipement USB physique par sa fonction générale. Sélectionnez le code de classe dans la liste proposée. 62 McAfee Data Loss Prevention Endpoint Guide produit

63 Protection des supports amovibles Règles de contrôle des équipements 6 Tableau 6-2 Types de propriétés d'équipements (suite) Nom de la propriété Numéro de série de l'équipement USB Définition d'équipements Plug-and-Play Stockage amovible Applicable aux systèmes d'exploitation : Windows Mac OS X Description Chaîne alphanumérique unique affectée par le fabricant de l'équipement USB, généralement pour les équipements de stockage amovibles. Le numéro de série est la dernière partie de l'id de l'instance. Exemple : USB \VID_3538&PID_0042\ CD8 Un numéro de série valide doit comporter au moins 5 caractères alphanumériques et aucun & (et commercial). Si la dernière partie de l'id de l'instance ne respecte pas cette condition, il ne s'agit pas d'un numéro de série. ID fournisseur/id de produit de l'équipement USB Plug-and-Play Stockage amovible Windows Mac OS X L'ID fournisseur et l'id de l'équipement USB sont incorporés dans l'équipement USB. Il est possible d'obtenir ces paramètres à partir de la chaîne d'id matériel des équipements physiques. Exemple : USB\Vid_3538&Pid_0042 Règles de contrôle des équipements Les règles de contrôle des périphériques définissent les actions à entreprendre lors de l'utilisation de périphériques particuliers. Parmi les six types de règles de contrôle des périphériques, seules les règles de périphériques de stockage amovibles sont prises en charge dans OS X dans cette version. Règle de périphériques de stockage amovibles (Microsoft Windows, OS X) : permet de bloquer ou de surveiller des périphériques de stockage amovibles ou de les définir en lecture seule. L'utilisateur peut être informé de l'action effectuée. Règle de périphériques Plug-and-Play (Microsoft Windows uniquement) : permet de bloquer ou de surveiller les périphériques Plug-and-Play. L'utilisateur peut être informé de l'action effectuée. Règle d'accès aux fichiers de stockage amovibles (Microsoft Windows uniquement) : permet de bloquer l'exécution des fichiers exécutables sur les périphériques de plug-in. Règle du disque dur fixe (Microsoft Windows uniquement) : permet de bloquer ou de surveiller des disques durs fixes ou de les définir en lecture seule. L'utilisateur peut être informé de l'action effectuée. Les règles de périphériques de disque dur fixe ne protègent pas la partition système ou de démarrage. McAfee Data Loss Prevention Endpoint Guide produit 63

64 6 Protection des supports amovibles Règles de contrôle des équipements Règle de périphériques Citrix XenApp (Microsoft Windows uniquement) : permet de bloquer les périphériques Citrix mappés à des sessions ouvertes partagées. Règle de périphériques TrueCrypt (Microsoft Windows uniquement) : permet de protéger les périphériques TrueCrypt. Permet de bloquer, de surveiller ou de définir en lecture seule. L'utilisateur peut être informé de l'action effectuée. Règles pour équipements de stockage amovibles Les règles pour équipements de stockage amovibles permettent de bloquer ou de surveiller les équipements de stockage amovibles ou de les configurer en lecture seule. Vous pouvez avertir l'utilisateur de la mesure prise. Les règles pour équipements de stockage amovibles sont prises en charge à la fois sur les ordinateurs Microsoft Windows et OS X. Elles ne nécessitent pas de classe de périphériques managés, en raison de la différence d'utilisation des classes de périphériques par les deux types de règles pour équipements. Les règles pour équipements Plug-and-Play sont déclenchées lorsque l'équipement matériel est connecté à l'ordinateur. Comme la réaction concerne un pilote de périphérique, la classe de périphérique doit être managée pour que le périphérique soit reconnu. Les règles pour périphériques de stockage amovibles sont déclenchées lors du montage d'un nouveau système de fichiers. A ce moment, le logiciel McAfee DLP Endpoint associe la lettre du lecteur à l'équipement matériel spécifique et vérifie les propriétés de ce dernier. Etant donné que la réaction concerne une opération de système de fichiers et non un pilote de périphériques, il n'est pas nécessaire que la classe de périphériques soit managée. Scénario d'utilisation : règle pour équipements de stockage amovibles avec processus inclus dans la liste blanche Vous pouvez inclure sur liste blanche un processus en tant qu'exception à une règle de blocage de stockage amovible. Les règles pour équipements de stockage amovibles sont utilisées pour empêcher des applications d'effectuer des actions sur l'équipement. Toutefois, la règle autorise un processus inclus dans la liste blanche. Dans cet exemple, nous bloquons les équipements de stockage amovibles Sandisk, mais nous autorisons un logiciel antivirus à scanner l'équipement pour supprimer les fichiers infectés. Cette fonctionnalité est uniquement prise en charge pour les ordinateurs Windows. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP. 2 Sous l'onglet Définitions, localisez la définition de dispositif des équipements intégrée pour les équipements amovibles Sandisk (Windows) et cliquez sur Dupliquer. Nous recommandons de dupliquer les définitions intégrées pour les personnaliser. Elles peuvent, toutefois, être utilisées telles quelles dans les exemples simples. La définition utilise l'id du fournisseur Sandisk Vous pouvez ajouter un autre ID de fournisseur pour ajouter d'autres marques d'équipements amovibles à la définition. 3 Sous l'onglet Jeux de règles, sélectionnez ou créez un jeu de règles. 4 Sous l'onglet Contrôle des équipements, sélectionnez Actions Nouvelle règle Règle pour équipements de stockage amovibles. 5 Entrez le nom de la règle et sélectionnez Etat Activé. Dans la section Conditions, dans le champ Stockage amovible, sélectionnez la définition d'équipements que vous avez créée à l'étape McAfee Data Loss Prevention Endpoint Guide produit

65 Protection des supports amovibles Règles de contrôle des équipements 6 6 Dans le champ Nom du processus, ajoutez la définition McAfee AV intégrée. Comme avec la définition d'équipements de stockage amovibles, vous pouvez dupliquer cette définition et la personnaliser. 7 Sous l'onglet Réaction, sélectionnez Mesure préventive Bloquer. Vous pouvez éventuellement ajouter une notification utilisateur et sélectionner l'option signaler l'incident. 8 Cliquez sur Enregistrer, puis sur Fermer. Scénario d'utilisation : configurer un équipement amovible en lecture seule Les équipements de stockage amovibles, contrairement aux règles pour équipements Plug-and-Play, ont une option de lecture seule. En configurant des équipements amovibles en lecture seule, vous pouvez autoriser des utilisateurs à utiliser leurs appareils personnels en tant que lecteurs MP3, tout en empêchant leur utilisation en tant qu'équipements de stockage. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP. 2 Sous l'onglet Définitions, sur la page Définitions d'équipements, créez une définition d'équipements de stockage amovibles. Les définitions d'équipements de stockage amovibles doivent être classées comme des définitions Windows ou Mac. Vous pouvez commencer en dupliquant une des définitions intégrées pour Windows ou Mac, et en la personnalisant. Le type de bus peut inclure USB, Bluetooth et tout autre type de bus qui, selon vous, pourrait être utilisé. Vous pouvez identifier les équipements avec leur ID de fournisseur ou leur nom d'équipement. 3 Sous l'onglet Jeux de règles, sélectionnez ou créez un jeu de règles. 4 Sous l'onglet Contrôle des équipements, sélectionnez Actions Nouvelle règle Règle pour équipements de stockage amovibles. 5 Entrez le nom de la règle et sélectionnez Etat Activé. Dans la section Conditions, dans le champ Stockage amovible, sélectionnez la définition d'équipements que vous avez créée à l'étape 2. 6 Sous l'onglet Réaction, sélectionnez Mesure préventive Lecture seule. Vous pouvez éventuellement ajouter une notification utilisateur et sélectionner l'option signaler l'incident. 7 Cliquez sur Enregistrer, puis sur Fermer. Règles d'équipement Plug-and-Play Les règles d'équipement Plug-and-Play permettent de bloquer ou de surveiller les équipements Plug-and-Play. L'utilisateur peut être informé de l'action effectuée. Un équipement Plug-and-Play est un équipement pouvant être ajouté à l'ordinateur managé, sans nécessiter aucune configuration ou installation manuelle de DLL ni de pilotes. Les règles d'équipement Plug-and-Play sont prises en charge sur les ordinateurs Windows uniquement. Pour que les règles d'équipement Plug-and-Play puissent contrôler les équipements matériels, les classes d'équipements spécifiées dans les définitions d'équipements utilisées par la règle doivent être définies sur le statut Managé. McAfee Data Loss Prevention Endpoint Guide produit 65

66 6 Protection des supports amovibles Règles de contrôle des équipements Scénario d'utilisation : bloquer et charger un iphone avec une règle d'équipement Plug-and-Play Il est possible de bloquer l'utilisation des iphones d'apple en tant qu'équipements de stockage tout en permettant leur chargement à partir de l'ordinateur. Ce cas d'utilisation crée une règle qui empêche un utilisateur d'utiliser l'iphone comme équipement de stockage de masse. Une règle de protection des équipements de stockage Plug-and-Play est utilisée, car elle autorise le chargement des iphones quelle que soit la façon dont elle est spécifiée. Cette fonctionnalité n'est pas prise en charge pour les autres smartphones, ou les autres équipements mobiles d'apple. Elle n'empêche pas les iphones de se charger à partir de l'ordinateur. Pour définir une règle d'équipement Plug-and-Play pour des équipements spécifiques, vous devez créer une définition d'équipements avec les codes ID du fournisseur (VID) et du produit (PID). Vous trouverez ces informations dans le gestionnaire de périphériques Windows une fois l'appareil branché. Cet exemple ne nécessitant qu'un VID, vous pouvez utiliser la définition d'équipements intégrée All Apple devices plutôt que de rechercher les informations. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP. 2 Sous l'onglet Jeux de règles, sélectionnez un jeu de règles (ou créez-en un). Cliquez sur l'onglet Contrôle des équipements et créez une règle d'équipement Plug-and-Play. Utilisez la définition d'équipements intégrée All Apple devices comme la définition (fait partie de (OU)) incluse. 3 Sous l'onglet Réaction, définissez la mesure préventive sur Bloquer. 4 Cliquez sur Enregistrer, puis sur Fermer. Règles d'accès aux fichiers de stockage amovibles Les règles d'accès aux fichiers de stockage amovibles permettent de bloquer l'exécution des fichiers exécutables sur les équipements de type plug-in. Les règles d'accès aux fichiers de stockage amovibles sont prises en charge sur les ordinateurs Windows uniquement. Les règles d'accès aux fichiers de stockage amovibles empêchent les périphériques de stockage amovibles d'exécuter des applications. Vous pouvez spécifier les équipements inclus et exclus dans la règle. Etant donné que certains fichiers exécutables, tels que les applications de chiffrement sur les équipements chiffrés, doivent être autorisés à s'exécuter, la règle configure le paramétrage Nom du fichier n'est aucun des pour que la règle de blocage ne soit pas appliquée aux fichiers nommés. Les règles d'accès aux fichiers utilisent le type de fichier vrai et l'extension pour déterminer les fichiers à bloquer. Le type de fichier vrai identifie le fichier par son type de données enregistré en interne, en fournissant une identification précise, même si l'extension a été changée. Par défaut, la règle bloque les fichiers compressés (.zip,.gz,.jar,.rar et.cab) et les fichiers exécutables (.bat,.bin,.cgi,.com,.cmd,.dll,.exe,.class,.sys et.msi). Vous pouvez personnaliser les définitions d'extension de fichier pour ajouter d'autres types de fichier requis. Les règles d'accès aux fichiers empêchent également les fichiers exécutables d'être copiés sur des périphériques de stockage amovibles car le pilote de filtre de fichiers ne peut pas différencier une ouverture et une création d'exécutable. 66 McAfee Data Loss Prevention Endpoint Guide produit

67 Protection des supports amovibles Création de règles d'équipement 6 Règles de disque dur fixe Les règles de disque dur fixe permettent de bloquer ou de surveiller des disques durs fixes ou de les définir en lecture seule. L'utilisateur peut être informé de l'action effectuée. Les règles de périphériques de disque dur fixe ne protègent pas la partition système ou de démarrage. Les règles de disque dur fixe sont prises en charge sur les ordinateurs Windows uniquement. Les règles de disque dur fixe comprennent une définition de disque avec une action de blocage ou de configuration en lecture seule, une définition d'utilisateur final et une notification utilisateur en option. Règles d'équipements Citrix XenApp Les règles d'équipements Citrix permettent de bloquer les équipements Citrix mappés à des sessions ouvertes partagées. Les règles d'équipements Citrix XenApp sont prises en charge sur les ordinateurs Windows uniquement. Le logiciel McAfee DLP Endpoint peut bloquer les équipements Citrix mappés à des sessions ouvertes partagées. Les disquettes, les lecteurs réseau, CD, amovibles et fixes peuvent tous être bloqués, ainsi que la redirection du Presse-papiers et des imprimantes. Vous pouvez affecter la règle à des utilisateurs spécifiques. Règles d'équipement TrueCrypt Les règles d'équipement TrueCrypt permettent de bloquer, de surveiller ou de définir les équipements TrueCrypt en lecture seule. Vous pouvez avertir l'utilisateur de la mesure prise. Les règles d'équipement TrueCrypt sont prises en charge sur les ordinateurs Windows uniquement. Les règles TrueCrypt sont des sous-ensembles des règles pour périphériques de stockage amovibles. TrueCrypt pour OS X n'est pas pris en charge pour le moment. Vous pouvez protéger les équipements virtuels chiffrés TrueCrypt à l'aide des règles d'équipement TrueCrypt ou des règles de protection des périphériques de stockage amovibles. Une règle de périphériques vous permet de bloquer ou de surveiller un volume TrueCrypt ou de le faire passer en lecture seule. Pour protéger le contenu de volumes TrueCrypt, utilisez une règle de protection. Le logiciel client McAfee DLP Endpoint traite l'ensemble des montages TrueCrypt en tant qu'équipements de stockage amovibles, même lorsque l'application TrueCrypt écrit sur le disque local. Voir aussi Réactions disponibles pour les types de règle, page 103 Création de règles d'équipement Créez des règles d'équipement pour contrôler l'utilisation des équipements dans votre entreprise. Toutes les règles d'équipement sont prises en charge sur Windows. Seules les règles pour équipements de stockage amovibles sont actuellement prises en charge sur OS X. Création d'une règle pour équipements de stockage amovibles Les équipements de stockage amovibles apparaissent comme des lecteurs sur l'ordinateur managé. Les règles pour équipements de stockage amovibles permettent de bloquer l'utilisation des équipements amovibles ou de les définir en lecture seule. McAfee Data Loss Prevention Endpoint Guide produit 67

68 6 Protection des supports amovibles Création de règles d'équipement Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Jeux de règles. 2 Sélectionnez Actions Nouveau jeu de règles ou modifiez un jeu de règles existant. 3 Cliquez sur le nom du jeu de règles à modifier pour l'ouvrir. Cliquez sur l'onglet Contrôle des équipements. 4 Sélectionnez Actions Nouvelle règle Règle pour équipements de stockage amovibles. 5 Entrez un nom de règle unique. Facultatif : modifiez l'état et choisissez un niveau de gravité. 6 Dans le volet Condition, sélectionnez une ou plusieurs définitions d'équipements de stockage amovibles. Facultatif : affectez des groupes d'utilisateurs finaux et un nom de processus à la règle. Les définitions d'équipements peuvent définir les équipements qui sont inclus (fait partie de) ou exclus (n'est aucun des). Vous devez ajouter au moins une définition. 7 Dans le volet Réaction, sélectionnez une mesure préventive. Facultatif : ajoutez une notification utilisateur et activez l'option Signaler l'incident. Si vous ne sélectionnez pas Signaler l'incident, le Gestionnaire d'incidents DLP ne conservera aucun enregistrement de l'incident. 8 Facultatif : sélectionnez une autre mesure préventive lorsque l'utilisateur final travaille en dehors du réseau de l'entreprise. 9 Cliquez sur Enregistrer. Création d'une règle d'équipement Plug-and-Play Les équipements Plug-and-Play peuvent être ajoutés à l'ordinateur managé sans nécessiter aucune configuration ou installation manuelle de DLL et de pilotes. Les règles d'équipement Plug-and-Play permettent d'empêcher l'ordinateur client de charger ces équipements. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Jeux de règles. 2 Sélectionnez Actions Nouveau jeu de règles ou modifiez un jeu de règles existant. 3 Cliquez sur le nom du jeu de règles à modifier pour l'ouvrir. Cliquez sur l'onglet Contrôle des équipements. 4 Sélectionnez Actions Nouvelle règle Règle pour équipements Plug-and-Play. 5 Entrez un nom de règle unique. Facultatif : modifiez l'état et choisissez un niveau de gravité. 6 Dans le volet Condition, sélectionnez une ou plusieurs définitions d'équipements Plug-and-Play. Facultatif : affectez des groupes d'utilisateurs finaux à la règle. Les définitions d'équipements peuvent définir les équipements qui sont inclus (fait partie de) ou exclus (n'est aucun des). Vous devez ajouter au moins une définition. 7 Dans le volet Réaction, sélectionnez une mesure préventive. Facultatif : ajoutez une notification utilisateur et activez l'option Signaler l'incident. Si vous ne sélectionnez pas Signaler l'incident, le Gestionnaire d'incidents DLP ne conservera aucun enregistrement de l'incident. 68 McAfee Data Loss Prevention Endpoint Guide produit

69 Protection des supports amovibles Création de règles d'équipement 6 8 Facultatif : sélectionnez une autre mesure préventive lorsque l'utilisateur final travaille en dehors du réseau de l'entreprise ou qu'il est connecté par VPN. 9 Cliquez sur Enregistrer. Créer une règle de périphérique d'accès aux fichiers de stockage amovible Les règles d'accès aux fichiers de stockage amovibles permettent de bloquer l'exécution des fichiers exécutables sur les équipements de type plug-in. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Jeux de règles. 2 Sélectionnez Actions Nouveau jeu de règles ou modifiez un jeu de règles existant. 3 Cliquez sur le nom du jeu de règles à modifier pour l'ouvrir. Cliquez sur l'onglet Contrôle des équipements. 4 Sélectionnez Actions Nouvelle règle Règle d'accès aux fichiers de stockage amovible. 5 Entrez un nom de règle unique. Facultatif : modifiez l'état et choisissez un niveau de gravité. 6 Dans le volet Condition, sélectionnez une ou plusieurs définitions d'équipement de stockage amovible. Facultatif : affectez des groupes d'utilisateurs finaux à la règle. Les définitions d'équipement peuvent définir les équipements qui sont inclus (fait partie de) ou exclus (n'est aucun des). Vous devez ajouter au moins une définition. 7 En option : modifiez le type de fichier vrai par défaut ou les définitions d'extension de fichier conformément à vos exigences. 8 Facultatif : saisissez un nom de fichier à exclure de la règle. Par défaut, les fichiers exécutables sont inclus dans la règle avec l'option Extension de fichier. Vous pouvez modifier cette option selon vos besoins. L'exclusion par nom de fichier est nécessaire pour les applications dont l'exécution doit être autorisée. Par exemple, les applications de chiffrement sur les lecteurs chiffrés. 9 Dans le volet Réaction, sélectionnez une Mesure préventive. Facultatif : ajoutez une notification utilisateur et activez l'option Signaler l'incident. Si vous ne sélectionnez pas Signaler l'incident, le Gestionnaire d'incidents DLP ne conservera aucune trace de l'incident. 10 Facultatif : sélectionnez une autre mesure préventive lorsque l'utilisateur final travaille en dehors du réseau de l'entreprise. 11 Cliquez sur Enregistrer. Création d'une règle d'équipement de type disque dur fixe Les règles d'équipements de type disque dur fixe permettent de contrôler les disques durs associés à l'ordinateur et qui ne sont pas considérés par le système d'exploitation comme un système de stockage amovible. McAfee Data Loss Prevention Endpoint Guide produit 69

70 6 Protection des supports amovibles Création de règles d'équipement Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Jeux de règles. 2 Sélectionnez Actions Nouveau jeu de règles ou modifiez un jeu de règles existant. 3 Cliquez sur le nom du jeu de règles à modifier pour l'ouvrir. Cliquez sur l'onglet Contrôle des équipements. 4 Sélectionnez Actions Nouvelle règle Règle du disque dur fixe. 5 Entrez un nom de règle unique. Facultatif : modifiez l'état et choisissez un niveau de gravité. 6 Dans le volet Condition, sélectionnez une ou plusieurs définitions d'équipements de type disque dur fixe. Facultatif : affectez des groupes d'utilisateurs finaux à la règle. Les définitions d'équipements peuvent définir les équipements qui sont inclus (fait partie de) ou exclus (n'est aucun des). Vous devez ajouter au moins une définition. 7 Dans le volet Réaction, sélectionnez une mesure préventive. Facultatif : ajoutez une notification utilisateur et activez l'option Signaler l'incident. Si vous ne sélectionnez pas Signaler l'incident, le Gestionnaire d'incidents DLP ne conservera aucun enregistrement de l'incident. 8 Facultatif : sélectionnez une autre mesure préventive lorsque l'utilisateur final travaille en dehors du réseau de l'entreprise. 9 Cliquez sur Enregistrer. Création d'une règle d'équipement Citrix Les règles d'équipement Citrix permettent de bloquer les équipements Citrix mappés avec les sessions ouvertes partagées. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Jeux de règles. 2 Sélectionnez Actions Nouveau jeu de règles ou modifiez un jeu de règles existant. 3 Cliquez sur le nom du jeu de règles à modifier pour l'ouvrir. Cliquez sur l'onglet Contrôle des équipements. 4 Sélectionnez Actions Nouvelle règle Règle d'équipement Citrix XenApp. 5 Entrez un nom de règle unique. Facultatif : modifiez l'état et choisissez un niveau de gravité. 6 Dans le volet Condition, sélectionnez une ou plusieurs ressources. Facultatif : affectez des groupes d'utilisateurs finaux à la règle. 7 Cliquez sur Enregistrer. Les ressources sélectionnées sont bloquées. La seule mesure préventive pour les règles Citrix est Bloquer. Vous n'avez pas besoin de la définir dans le volet Réaction. 70 McAfee Data Loss Prevention Endpoint Guide produit

71 Protection des supports amovibles Création de règles d'équipement 6 Création d'une règle d'équipement TrueCrypt Les règles d'équipement TrueCrypt permettent de bloquer ou de surveiller les équipements de chiffrement virtuel TrueCrypt ou de les définir en lecture seule. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Jeux de règles. 2 Sélectionnez Actions Nouveau jeu de règles ou modifiez un jeu de règles existant. 3 Cliquez sur le nom du jeu de règles à modifier pour l'ouvrir. Cliquez sur l'onglet Contrôle des équipements. 4 Sélectionnez Actions Nouvelle règle Règle d'équipement TrueCrypt. 5 Entrez un nom de règle unique. Facultatif : modifiez l'état et choisissez un niveau de gravité. 6 Facultatif : dans le volet Condition, affectez des groupes d'utilisateurs finaux à la règle. 7 Dans le volet Réaction, sélectionnez une Mesure préventive. Facultatif : ajoutez une notification utilisateur et activez l'option Signaler l'incident. Si vous ne sélectionnez pas Signaler l'incident, le Gestionnaire d'incidents DLP ne conservera aucun enregistrement de l'incident. 8 Facultatif : sélectionnez une autre mesure préventive lorsque l'utilisateur final travaille en dehors du réseau de l'entreprise. 9 Cliquez sur Enregistrer. McAfee Data Loss Prevention Endpoint Guide produit 71

72 6 Protection des supports amovibles Création de règles d'équipement 72 McAfee Data Loss Prevention Endpoint Guide produit

73 7 7 Classification de contenu confidentiel Les classifications permettent d'identifier et de contrôler le contenu et les fichiers confidentiels. Sommaire Module Classification Classification manuelle Utilisation des classifications Définitions et critères de classification Création et configuration de classifications Documents enregistrés Texte inclus dans la liste blanche Téléchargement de documents enregistrés Chargement des fichiers vers le texte inclus dans la liste blanche Création de définitions de classification Classification en fonction de l'emplacement des fichiers Classification en fonction de la destination des fichiers Module Classification Le module Classification dans McAfee epo stocke les critères de classification, les critères de marquage et les définitions utilisées pour les configurer. Dans ce module, il est également possible de configurer des référentiels de documents enregistrés, l'autorisation utilisateur pour le marquage manuel et le texte inclus dans la liste blanche. Le module fournit les fonctionnalités suivantes : Classification manuelle : permet de configurer les groupes d'utilisateurs finaux autorisés à classer ou à marquer manuellement du contenu Définitions : permet de définir le contenu, les propriétés et l'emplacement des fichiers pour la classification Classification : permet de créer des classifications et de définir des critères de classification et de marquage McAfee Data Loss Prevention Endpoint Guide produit 73

74 7 Classification de contenu confidentiel Classification manuelle Enregistrer des documents : permet de charger les fichiers contenant du contenu confidentiel connu Texte inclus dans la liste blanche : permet de télécharger les fichiers contenant du texte à inclure dans la liste blanche Classification manuelle Les utilisateurs finaux peuvent appliquer manuellement une classification ou des critères de marquage à des fichiers ou les en supprimer. La méthode la plus simple pour classer des fichiers ou du contenu est la classification manuelle. Par défaut, les utilisateurs finaux ne sont pas autorisés à afficher, ajouter ou supprimer des classifications. Vous pouvez en revanche affecter des classifications définies à des groupes d'utilisateurs spécifiques. Ces utilisateurs peuvent ensuite appliquer ces classifications à des fichiers dans le cadre de leur travail. La classification manuelle peut aussi vous permettre de maintenir la stratégie de classification de votre organisation, même dans des cas spéciaux d'informations confidentielles ou uniques que le système ne marque pas automatiquement. Scénario d'utilisation : classification manuelle Les travailleurs dont les tâches exigent la création de routine de fichiers contenant des données sensibles peuvent se voir affecter une autorisation de classification manuelle. Ils peuvent classer les fichiers lors de leur création dans le cadre de leur flux de travail normal. Dans cet exemple, un fournisseur de soins de santé sait que tous les dossiers des patients doivent être considérés comme confidentiels au regard des règles HIPAA. Les travailleurs qui créent ou modifient les dossiers des patients se voient octroyer des autorisations de classification manuelle. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Créez un groupe d'utilisateurs ou des groupes pour les travailleurs qui créent ou modifient les dossiers des patients. a Dans McAfee epo, ouvrez le module Classification (Menu Protection des données Classification). b c d Dans l'onglet Définitions, sélectionnez Source/Destination Groupe d'utilisateurs finaux. Sélectionnez Actions Nouveau, remplacez le nom par défaut par un nom pertinent comme Groupe d'utilisateurs d'informations médicales privées et ajoutez des utilisateurs ou des groupes à la définition. Cliquez sur Enregistrer. 2 Créez une classification des informations médicales privées. a Dans le module Classification, sous l'onglet Classification, sélectionnez [Sample] PHI [intégré] dans le panneau de gauche, puis sélectionnez Actions Dupliquer la classification. Une copie modifiable de la classification d'échantillon s'affiche. b c d Modifiez les champs Nom, Description et Critères de classification le cas échéant. Dans le champ Classification manuelle, cliquez sur Modifier. Sélectionnez Actions Sélectionner les groupes d'utilisateurs finaux. 74 McAfee Data Loss Prevention Endpoint Guide produit

75 Classification de contenu confidentiel Utilisation des classifications 7 e f Dans la fenêtre Choisir parmi les valeurs existantes, sélectionnez le ou les groupes créés précédemment, puis cliquez sur OK. Revenez à l'onglet Classification et sélectionnez Actions Enregistrer la classification. Les travailleurs qui sont membres des groupes affectés peuvent désormais classer les dossiers des patients lors de leur création en cliquant avec le bouton droit sur le fichier, en choisissant Marquage manuel et en sélectionnant le marqueur approprié. Utilisation des classifications Les classifications permettent d'identifier et de localiser le contenu confidentiel en appliquant des marqueurs ou des critères de classification aux fichiers et à leur contenu. McAfee DLP Endpoint identifie et localise le contenu confidentiel à l'aide de classifications définies par l'utilisateur. Deux types de base sont pris en charge : les marqueurs et les critères de classification. Les marqueurs apposent une étiquette aux informations confidentielles. Cette étiquette reste associée au contenu, même si celui-ci est copié dans un autre document ou s'il est enregistré sous un autre format. Critères de classification Les critères de classification permettent de détecter des modèles de texte confidentiel, des entrées de dictionnaire, des mots clés ou des combinaisons de ces éléments. Ces combinaisons peuvent simplement consister en un ensemble de plusieurs propriétés nommées, ou en des propriétés liées par une relation définie, appelée proximité. Elles permettent également de définir des conditions relatives au fichier, telles que le type de fichier, les propriétés du document, le fait que le fichier soit chiffré ou non, ou l'emplacement du contenu dans le fichier (en-tête/corps/pied de page). Critères de marquage Les critères de marquage sont appliqués en fonction du fichier ou de son contenu. Il existe trois options : McAfee Data Loss Prevention Endpoint Guide produit 75

76 7 Classification de contenu confidentiel Utilisation des classifications Selon l'application : application avec laquelle le fichier a été créé ou modifié Selon l'emplacement : partage réseau ou définition de l'équipement de stockage amovible où le fichier est stocké Sur le web : adresses web auxquelles les fichiers ont été ouverts ou téléchargés Toutes les données et les conditions de fichiers disponibles pour les critères de classification le sont également pour les critères de marquage. Les marqueurs peuvent ainsi combiner les fonctionnalités des deux types de critère. Les critères de marquage d'un fichier sont stockés dans ses attributs étendus (EA) ou dans d'autres flux de données (ADS), et sont appliqués au fichier lorsque celui-ci est enregistré. Si un utilisateur copie ou déplace du contenu marqué dans un autre fichier, les critères de marquage sont appliqués à ce fichier. Si le contenu marqué est supprimé du fichier, les critères de marquage sont également supprimés. McAfee DLP Endpoint applique des critères de marquage aux fichiers sitôt qu'une stratégie est appliquée, que la classification soit utilisée dans une règle de protection ou pas. Application des critères Les critères sont appliqués aux fichiers comme suit : McAfee DLP Endpoint applique des critères dans les cas suivants : Le fichier correspond à une classification configurée. Le fichier ou du contenu confidentiel est déplacé ou copié dans un nouvel emplacement. Une analyse de découverte détecte une correspondance pour un fichier. Un utilisateur autorisé ajoute manuellement des critères à un fichier. Voir aussi Création de critères de classification, page 83 Création de critères de marquage, page 83 Affectation d'autorisations de classification manuelle, page 85 Extraction de texte L'extracteur de texte analyse le contenu des fichiers que vous ouvrez ou copiez et le compare aux modèles textuels et définitions de dictionnaire figurant dans les règles de classification. Lorsqu'une correspondance est détectée, les critères sont appliqués au contenu. L'extracteur de texte peut exécuter plusieurs processus, selon le nombre de cœurs du processeur. Un processeur à simple cœur exécute un seul processus. Un processeur à double cœur exécute jusqu'à deux processus. Un processeur multicœurs exécute jusqu'à trois processus simultanément. Si plusieurs utilisateurs sont connectés, chacun a son propre ensemble de processus. Ainsi, le nombre d'extracteurs de texte dépend du nombre de cœurs et de sessions utilisateur. Vous pouvez visualiser les différents processus dans le Gestionnaire des tâches de Windows. L'utilisation maximale de la mémoire pour l'extracteur de texte est configurable. La valeur par défaut est de 75 Mo. Le logiciel McAfee DLP Endpoint prend en charge les caractères accentués. Lorsqu'un fichier texte ASCII contient un mélange de caractères accentués (par ex. français et espagnols) ainsi que des caractères latins standard, l'extracteur de texte risque de ne pas identifier correctement le jeu de caractères. Ce problème se produit dans tous les programmes d'extraction de texte. Il n'existe aucune méthode ou technique connue permettant d'identifier la page de code ANSI dans ce type de cas. 76 McAfee Data Loss Prevention Endpoint Guide produit

77 Classification de contenu confidentiel Utilisation des classifications 7 Lorsque l'extracteur de texte ne peut pas identifier la page de code, les modèles de texte et les signatures de marquage ne sont pas reconnus. Le document ne peut pas être correctement classé et l'action de blocage ou de surveillance appropriée ne peut pas être appliquée. Pour contourner ce problème, le logiciel client McAfee DLP Endpoint utilise une page de code de secours. Celle-ci désigne soit la langue par défaut de l'ordinateur soit une langue différente définie par l'administrateur. Catégorisation des applications dans McAfee DLP Endpoint Avant de créer des classifications ou des jeux de règles fondés sur des applications, vous devez comprendre la façon selon laquelle elles sont catégorisées dans McAfee DLP Endpoint et l'effet que cela a sur les performances du système. Le logiciel McAfee DLP Endpoint répartit les applications en quatre catégories appelées stratégies. Ces catégories définissent le mode de fonctionnement du logiciel vis-à-vis des différentes applications. Vous pouvez modifier la stratégie afin d'obtenir le meilleur compromis entre sécurité et performances de l'ordinateur. Voici les stratégies, classées par ordre de sécurité décroissante : Editeur : toute application capable de modifier le contenu de fichiers. Cette catégorie inclut les éditeurs «classiques» comme Microsoft Word et Microsoft Excel, ainsi que les navigateurs, les logiciels graphiques, les logiciels de comptabilité, etc. La plupart des applications sont des éditeurs. Explorateur : application qui copie ou déplace les fichiers sans les modifier, par exemple l'explorateur Microsoft Windows ou certaines applications shell. Approuvée : application nécessitant un accès sans restriction aux fichiers à des fins d'analyse. On trouvera par exemple McAfee VirusScan Enterprise, les logiciels de sauvegarde et les logiciels de recherche sur les postes de travail comme Google Desktop. Archiveur : application capable de traiter les fichiers à nouveau. A titre d'exemple, citons les logiciels de compression tels que WinZip et les applications de chiffrement telles que le logiciel McAfee Endpoint Encryption ou PGP. Utilisation des stratégies DLP Le cas échéant, vous pouvez modifier la stratégie pour optimiser les performances. Ainsi, le haut niveau d'observation dont bénéficie une application de type éditeur n'est pas adapté au processus d'indexation constante d'une application de recherche sur les postes de travail. L'impact sur les performances est très élevé, alors que le risque d'une fuite de données émanant d'une telle application est faible. Il est par conséquent préférable d'utiliser la stratégie approuvée avec ces applications. Vous pouvez remplacer la stratégie par défaut en accédant à la page Stratégie DLP Paramètres Stratégie d'application. Vous pouvez créer et supprimer autant de remplacements que nécessaire pour tester et affiner la stratégie. Vous pouvez également créer plusieurs modèles pour une même application et lui affecter plusieurs stratégies. Utilisez ces différents modèles dans plusieurs classifications et règles de sorte à obtenir des résultats différents selon le contexte. Vous devez cependant être vigilant lors de l'affectation de ces modèles dans des jeux de règles, afin d'éviter les conflits. McAfee DLP Endpoint résout les conflits potentiels en appliquant la hiérarchie suivante : archiveur > stratégie approuvée > explorateur > éditeur. Les applications de type éditeur sont donc celles qui ont le rang le plus bas. Si une application possède le type éditeur dans un modèle et un autre type dans un autre modèle du même jeu de règles, McAfee DLP Endpoint ne considérera pas l'application comme un éditeur. McAfee Data Loss Prevention Endpoint Guide produit 77

78 7 Classification de contenu confidentiel Définitions et critères de classification Définitions et critères de classification Les définitions et critères de classification contiennent une ou plusieurs conditions décrivant les propriétés du contenu ou des fichiers. Tableau 7-1 Conditions disponibles Propriété S'applique à : Définition Modèle avancé Dictionnaire Définitions, critères Définitions, critères Mot clé Critères Valeur de chaîne. Expressions régulières ou expressions utilisées pour détecter des données telles que des dates ou des numéros de cartes de crédit. Ensembles de mots clés et expressions connexes, tels que du contenu obscène ou de la terminologie médicale. Vous pouvez ajouter plusieurs mots clés à une définition de marqueur. La valeur booléenne par défaut pour plusieurs mots clés est OU, mais vous pouvez aussi utiliser ET. Proximité Critères Définit une liaison entre deux propriétés en fonction de leur emplacement relatif l'une par rapport à l'autre. Vous pouvez utiliser des modèles avancés, des dictionnaires ou des mots clés pour l'une ou l'autre des propriétés. Le paramètre Proximité est défini comme «inférieur à x caractères», la valeur par défaut étant de 1. Vous pouvez également spécifier le paramètre Nombre de correspondances pour déterminer le nombre minimal de correspondances nécessaire pour générer une occurrence. Propriétés de documents Chiffrement des fichiers Définitions, critères Contient les options suivantes : Toute propriété Auteur Catégorie Commentaires Société Mots clés (marqueurs) Dernier enregistrement par Nom du gestionnaire Sécurité Objet Modèle Titre Toute propriété est une propriété définie par l'utilisateur. Critères Contient les options suivantes : Non chiffré Auto-extracteur chiffré McAfee McAfee Endpoint Encryption Chiffrement Microsoft Rights Management Chiffrement Seclore Rights Management Types de chiffrement non pris en charge ou fichier protégé par mot de passe 78 McAfee Data Loss Prevention Endpoint Guide produit

79 Classification de contenu confidentiel Définitions et critères de classification 7 Tableau 7-1 Conditions disponibles (suite) Propriété S'applique à : Définition Informations sur le fichier Définitions, critères Contient les options suivantes : Date d'accès Date de création Date de modification Extension de fichier Nom du fichier Propriétaire du fichier Taille du fichier Emplacement dans le fichier Critères Section du fichier dans laquelle se trouvent les données. Documents Microsoft Word : le moteur de classification peut identifier les valeurs de type En-tête, Corps et Pied de page. Documents PowerPoint : WordArt est considéré comme une valeur de type En-tête, tout le reste est identifié comme étant de type Corps. Autres documents : les valeurs de type En-tête et Pied de page ne sont pas disponibles. Ces critères de classification ne bloquent pas le document lorsqu'ils sont sélectionnés. Marqueurs tiers Critères Cette propriété est utilisée pour spécifier les noms et les valeurs de champ Titus. Type de fichier vrai Définitions, critères Groupes de types de fichier. Par exemple, le groupe intégré Microsoft Excel comprend les fichiers Excel XLS, XLSX et XML, ainsi que les fichiers Lotus WK1 et FM3, les fichiers CSV et DIF, les fichiers iwork d'apple, et bien d'autres. Modèle d'application Définitions Application ou fichier exécutable qui accède au fichier. Groupe d'utilisateurs finaux Définitions Permet de définir des autorisations de classification manuelles. Partage réseau Définitions Partage réseau dans lequel le fichier est stocké. Liste d'url Définitions URL d'accès au fichier. Voir aussi Création de définitions de classification, page 88 Définitions de dictionnaire Un dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'un dictionnaire se voit affecter un score. Les critères de classification et de marquage utilisent des dictionnaires spécifiés pour classer un document lorsqu'un seuil prédéfini (le score total) a été dépassé, c'est-à-dire si suffisamment de mots du dictionnaire apparaissent dans le document. Le score affecté constitue la différence entre un dictionnaire et une chaîne dans la définition d'un mot clé. Une classification de mot clé marque toujours le document si l'expression est présente. Une classification de dictionnaire vous apporte plus de flexibilité. En effet, vous pouvez définir un seuil, ce qui rend la classification relative. Les scores affectés peuvent être négatifs ou positifs ; vous pouvez ainsi rechercher des mots ou des expressions si d'autres mots ou expressions sont présents. McAfee Data Loss Prevention Endpoint Guide produit 79

80 7 Classification de contenu confidentiel Définitions et critères de classification Le logiciel McAfee DLP comporte plusieurs dictionnaires intégrés, lesquels contiennent des termes couramment utilisés dans les secteurs de la santé, bancaire, financier et autres. En outre, vous pouvez créer vos propres dictionnaires. Les dictionnaires peuvent être créés (et modifiés) manuellement ou par copier/coller à partir d'autres documents. Limitations L'utilisation des dictionnaires comporte certaines limites. Les dictionnaires sont enregistrés au format Unicode (UTF-8) et peuvent donc être rédigés dans toutes les langues. Les descriptions suivantes s'appliquent aux dictionnaires rédigés en anglais. De manière générale, elles s'appliquent également aux autres langues, mais des problèmes imprévus peuvent survenir pour certaines d'entre elles. La recherche de correspondances dans le dictionnaire présente les caractéristiques suivantes : Elle n'est sensible à la casse que lorsque vous créez des entrées de dictionnaire qui le sont elles-mêmes. Les dictionnaires intégrés, qui ont été créés avant l'ajout de cette fonctionnalité, ne sont pas sensibles à la casse. Il est possible que des correspondances soient éventuellement trouvées pour des sous-chaînes ou des expressions complètes. Elle recherche les expressions correspondantes, espaces compris. Si la recherche de sous-chaînes est définie, faites bien attention lorsque vous saisissez des mots courts, qui risquent de renvoyer des faux positifs. Par exemple, une entrée de dictionnaire comme «chat» signalerait les mots «rachat» et «chatterton». Pour éviter ces faux positifs, utilisez l'option de recherche de correspondances par expressions complètes ou employez des expressions improbables d'un point de vue statistique (SIP, Statistically Improbable Phrases) pour obtenir les meilleurs résultats. Les entrées similaires constituent une autre source de faux positifs. Par exemple, dans une liste de maladies HIPAA, «cœliaque» et «maladie cœliaque» apparaissent comme des entrées séparées. Si la seconde expression apparaît dans un document et que la recherche de sous-chaînes correspondantes est spécifiée, la recherche génère deux occurrences (une pour chaque entrée), ce qui fausse le score total. Voir aussi Création ou importation d'une définition de dictionnaire, page 88 Définitions de modèle avancé Les modèles avancés utilisent des expressions régulières qui permettent de mettre en correspondance des modèles complexes, comme dans des numéros de sécurité sociale ou des numéros de cartes de crédit. Les définitions utilisent la syntaxe d'expression régulière Google RE2. Les modèles avancés permettent également de définir des modèles de mot complexes, comme dans les exemples de journal d'appels des opérateurs cellulaires ou de rapport financier des modèles intégrés. Par défaut, les expressions régulières associées aux modèles de mot commencent et finissent par \b, qui est la notation standard pour la séparation de mots dans les expressions régulières. Ainsi, par défaut, la mise en correspondance de modèles de texte pour les expressions porte sur des mots entiers, afin de réduire le nombre de faux positifs. Les définitions de modèle avancé comportent un score (obligatoire), comme les définitions de dictionnaire. Elles peuvent également contenir une expression facultative pour les faux positifs (mot clé ou expression régulière), ainsi qu'un programme de validation, c'est-à-dire un algorithme permettant de tester des expressions régulières. L'utilisation du programme de validation adapté peut également réduire de façon significative les risques de faux positifs. Vous pouvez importer plusieurs mots clés à la fois pour les faux positifs. 80 McAfee Data Loss Prevention Endpoint Guide produit

81 Classification de contenu confidentiel Définitions et critères de classification 7 Les modèles avancés signalent le texte confidentiel. Les modèles de texte confidentiel sont mis en évidence par le biais du surlignage de correspondances. Si un modèle inclus et un modèle exclu sont spécifiés, le modèle exclu est prioritaire. Vous pouvez ainsi spécifier une règle générale et y ajouter des exceptions sans devoir la réécrire. Voir aussi Création d'un modèle avancé, page 89 Classification du contenu en fonction des propriétés de document ou des informations de fichier Les définitions de propriétés de document permettent de classer le contenu selon des valeurs de métadonnées prédéfinies. Les définitions d'informations sur le fichier classent le contenu par métadonnées de fichier. Propriétés de documents Les propriétés de document peuvent être récupérées pour n'importe quel document Microsoft Office ou PDF et utilisées dans les définitions de classification. Vous pouvez rechercher des correspondances partielles en utilisant la comparaison Contient. Il existe trois types de propriétés de document : Propriétés prédéfinies : propriétés standard telles que l'auteur et le titre. Propriétés personnalisées : propriétés personnalisées ajoutées aux métadonnées du document, autorisées par certaines applications telles que Microsoft Word. Une propriété personnalisée peut également faire référence à une propriété de document standard qui ne se trouve pas sur la liste des propriétés prédéfinies. En revanche, elle ne peut pas être un double d'une propriété qui se trouve sur la liste. Toute propriété : définit une propriété seulement par sa valeur. Cette fonctionnalité est utile dans l'éventualité où le mot clé a été saisi dans le mauvais paramètre de propriété ou lorsque le nom de propriété n'est pas connu. Par exemple, l'ajout de la valeur Secret au paramètre Toute propriété classe tous les documents ayant le mot Secret dans au moins une propriété. Informations sur le fichier Les définitions d'informations sur le fichier sont utilisées dans les règles de protection des données et de découverte, ainsi que dans les classifications pour augmenter la granularité. Ces informations sont la date de création, la date de modification, le propriétaire et la taille du fichier. Les propriétés de date peuvent être définies de manière exacte (avant, après, entre) ou relative (au cours des X derniers jours, des X dernières semaines, des X dernières années). Type de fichier (extensions uniquement) est une liste extensible prédéfinie d'extensions de fichier. Modèles d'application Un modèle d'application permet de contrôler des applications spécifiques à l'aide de propriétés telles que le nom du produit ou du fournisseur, le nom du fichier exécutable ou le titre de la fenêtre. Un modèle d'application peut être défini pour une seule application ou un groupe d'applications similaires. Il existe des modèles intégrés (prédéfinis) pour un certain nombre d'applications courantes telles que l'explorateur Windows, les navigateurs Web, les applications de chiffrement et les clients de messagerie. Les modèles d'application peuvent utiliser l'un des paramètres suivants : McAfee Data Loss Prevention Endpoint Guide produit 81

82 7 Classification de contenu confidentiel Création et configuration de classifications Ligne de commande : permet d'utiliser des arguments de ligne de commande, par exemple : java-jar, en mesure de contrôler des applications qui ne pouvaient pas l'être auparavant. Répertoire de fichiers exécutables : répertoire où se trouve le fichier exécutable. Ce paramètre permet notamment de contrôler les applications U3. Hachage de fichier exécutable : nom d'affichage de l'application, avec un hachage d'identification SHA2. Nom de fichier exécutable : en règle générale, il s'agit du même nom que le nom d'affichage (moins le hachage SHA2), mais il peut être différent si le fichier est renommé. Nom du fichier exécutable d'origine : identique au nom de fichier exécutable, sauf si le fichier a été renommé. Nom de produit : nom générique du produit, par exemple Microsoft Office 2012, s'il figure dans les propriétés du fichier exécutable. Nom du fournisseur : nom de la société, s'il figure dans les propriétés du fichier exécutable. Titre de fenêtre : valeur dynamique qui change au moment de l'exécution pour inclure le nom de fichier actif. A l'exception du répertoire de fichiers exécutables et du nom de l'application SHA2, tous les paramètres acceptent des correspondances de sous-chaînes. Création et configuration de classifications Créez des classifications et des critères, et téléchargez des fichiers à enregistrer ou à inclure dans la liste blanche. s Création d'une classification, page 82 Des définitions de classification sont requises dans la configuration des règles de découverte et de protection des données. Création de critères de classification, page 83 Appliquez des critères de classification à des fichiers en fonction de leur contenu et de leurs propriétés. Création de critères de marquage, page 83 Appliquez des critères de marquage à des fichiers en fonction de l'emplacement du fichier ou de l'application. Affectation d'autorisations de classification manuelle, page 85 Définissez les utilisateurs autorisés à classer manuellement les fichiers. Création d'une classification Des définitions de classification sont requises dans la configuration des règles de découverte et de protection des données. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Classification. 2 Cliquez sur Nouvelle classification. 3 Indiquez un nom et éventuellement une description. 82 McAfee Data Loss Prevention Endpoint Guide produit

83 Classification de contenu confidentiel Création et configuration de classifications 7 4 Cliquez sur OK. 5 Ajoutez des groupes d'utilisateurs finaux à la classification manuelle, ou encore des documents enregistrés à la classification, en cliquant sur Modifier pour le composant respectif. 6 Ajoutez des critères de classification ou des critères de marquage à l'aide du contrôle Actions. Création de critères de classification Appliquez des critères de classification à des fichiers en fonction de leur contenu et de leurs propriétés. Les critères de classification sont créés à partir des définitions de fichiers et de données. Si une définition requise n'existe pas, vous pouvez la créer lors de la définition des critères. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Classification. 2 Sélectionnez la classification à laquelle les critères doivent être ajoutés, puis sélectionnez Actions Nouveaux critères de classification. 3 Entrez le nom. 4 Sélectionnez une ou plusieurs propriétés et configurez les entrées de comparaison et de valeur. Pour supprimer une propriété, cliquez sur <. Pour certaines propriétés, vous pouvez cliquer sur... pour sélectionner une propriété existante ou en créer une. Pour ajouter des valeurs à une propriété, cliquez sur +. Pour supprimer des valeurs, cliquez sur. 5 Cliquez sur Enregistrer. Voir aussi Utilisation des classifications, page 75 Création de critères de marquage Appliquez des critères de marquage à des fichiers en fonction de l'emplacement du fichier ou de l'application. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Classification. 2 Sélectionnez la classification à laquelle les critères doivent être ajoutés. 3 Sélectionnez Actions Nouveaux critères de marquage puis sélectionnez le type de critère de marquage. McAfee Data Loss Prevention Endpoint Guide produit 83

84 7 Classification de contenu confidentiel Création et configuration de classifications 4 Entrez le nom et indiquez des informations supplémentaires en fonction du type de critère de marquage. Application : cliquez sur... pour sélectionner une ou plusieurs applications. Emplacement : cliquez sur... pour sélectionner un ou plusieurs partages réseau. Si nécessaire, indiquez le type de support amovible. Application web : cliquez sur... pour sélectionner une ou plusieurs listes d'url. 5 (Facultatif) Sélectionnez une ou plusieurs propriétés et configurez les entrées de comparaison et de valeur. Pour supprimer une propriété, cliquez sur <. Pour certaines propriétés, vous pouvez cliquer sur... pour sélectionner une propriété existante ou en créer une. Pour ajouter des valeurs à une propriété, cliquez sur +. Pour supprimer des valeurs, cliquez sur. 6 Cliquez sur Enregistrer. s Scénario : marquage basé sur l'application, page 84 Vous pouvez classer un contenu comme sensible selon l'application qui l'a produit. Voir aussi Utilisation des classifications, page 75 Scénario : marquage basé sur l'application Vous pouvez classer un contenu comme sensible selon l'application qui l'a produit. Dans certains cas, le contenu peut être classé comme sensible par l'application qui le produit. Les cartes militaires top-secret en sont un exemple. Ce sont des fichiers JPEG, généralement produits par une application SIG spécifique de l'us Air Force. En sélectionnant cette application dans la définition des critères de marquage, tous les fichiers JPEG produits par l'application sont marqués comme sensibles. Les fichiers JPEG produits par d'autres applications ne sont pas marqués. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Classification. 2 Dans l'onglet Définitions, sélectionnez Modèle d'application, puis Actions Nouveau. 3 Entrez un nom, par exemple Application SIG, et éventuellement une description. En utilisant une ou plusieurs propriétés de la liste Propriétés disponibles, définissez l'application SIG. Cliquez sur Enregistrer. 4 Sous l'onglet Classification, cliquez sur Nouvelle classification et entrez un nom, par exemple, Application SIG et éventuellement une définition. Cliquez sur OK. 5 Sélectionnez Actions Nouveaux critères de marquage Application La page des critères de marquage s'ouvre. 6 Dans le champ Nom, attribuez un nom au marqueur, par exemple Marqueur SIG. 7 Dans le champ Applications, sélectionnez l'application SIG créée à l'étape McAfee Data Loss Prevention Endpoint Guide produit

85 Classification de contenu confidentiel Documents enregistrés 7 8 Dans la liste Propriétés disponibles Conditions du fichier, sélectionnez Type de fichier vrai. Dans le champ Valeur, sélectionnez Graphic files [intégré]. La définition intégrée comprend JPEG, ainsi que d'autres types de fichier graphique. En sélectionnant une application ainsi qu'un type de fichier, seuls les fichiers JPEG produits par l'application sont inclus dans la classification. 9 Cliquez sur Enregistrer, puis sélectionnez Actions Enregistrer la classification. La classification est prête à être utilisée dans les règles de protection. Affectation d'autorisations de classification manuelle Définissez les utilisateurs autorisés à classer manuellement les fichiers. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Classification. 2 Cliquez sur l'onglet Classification manuelle. 3 Dans la liste déroulante Grouper par sélectionnez Classifications ou Groupes d'utilisateurs. Vous pouvez affecter des classifications à des groupes d'utilisateurs ou des groupes d'utilisateurs à des classifications, selon ce qui est le plus pratique pour vous. La liste Grouper par permet de gérer l'affichage. 4 Si vous effectuez un groupement par classification : a Sélectionnez une classification dans la liste affichée. b c Sélectionnez Actions Sélectionner les groupes d'utilisateurs finaux. Dans la fenêtre Choisir parmi les valeurs existantes, sélectionnez des groupes d'utilisateurs ou cliquez sur Nouvel élément pour créer un groupe. Cliquez sur OK. 5 Si vous effectuez un groupement par groupes d'utilisateurs : a Sélectionnez un groupe d'utilisateurs dans la liste affichée. b c Sélectionnez Actions Sélectionner les classifications. Dans la fenêtre Choisir parmi les valeurs existantes, sélectionnez des classifications. Cliquez sur OK. Documents enregistrés La fonction des documents enregistrés est une extension du marquage selon l'emplacement. Elle fournit aux administrateurs un autre moyen de définir les informations confidentielles et d'empêcher qu'elles soient diffusées de manière non autorisée. Les documents enregistrés sont prédéfinis comme confidentiels. C'est par exemple le cas des feuilles de calcul d'estimation des ventes pour le trimestre à venir. Le logiciel McAfee DLP Endpoint catégorise le contenu de ces fichiers et en génère une empreinte. Les signatures créées sont linguistiquement neutres, ce qui signifie que le processus fonctionne pour toutes les langues. Lorsque vous créez un package, les signatures sont chargées dans la base de données McAfee epo pour être distribuées sur tous les postes de travail au niveau du terminal. Le client McAfee DLP Endpoint installé sur les ordinateurs managés contrôle la distribution de documents contenant des fragments de contenu enregistrés. McAfee Data Loss Prevention Endpoint Guide produit 85

86 7 Classification de contenu confidentiel Texte inclus dans la liste blanche Pour utiliser les documents enregistrés, vous devez télécharger des fichiers sur l'onglet Enregistrer des documents du module de classification, ce qui les affecte à une classification à mesure que vous les téléchargez. Le client installé au niveau du terminal ignore les classifications qui ne sont pas applicables. Par exemple, les packages de documents enregistrés qui ont été classés sur la base de propriétés de fichier sont ignorés si une analyse des s est en cours afin de détecter du contenu confidentiel. Il existe deux options de visualisation : Statistiques et Classifications. La vue Statistiques affiche le nombre de fichiers, leur taille, le nombre de signatures, etc. en indiquant les valeurs totales dans le volet de gauche et les statistiques par fichier dans le volet de droite. Vous pouvez utiliser ces données pour supprimer des packages de moindre importance si le nombre limite de signatures est presque atteint. La vue Classifications affiche les fichiers téléchargés par classification. Des informations sur la dernière création de package et les modifications apportées à la liste des fichiers sont affichées dans le coin supérieur droit. Lorsque vous créez un package, le logiciel traite tous les fichiers de la liste et charge les empreintes dans la base de données McAfee epo pour les distribuer. Lorsque vous ajoutez ou supprimez des documents, vous devez créer un package. Le logiciel ne fait aucune tentative pour calculer si des empreintes ont déjà été créées pour certains fichiers. Il traite toujours l'ensemble de la liste. La commande Créer un package s'applique simultanément à la liste des documents enregistrés et à celle des documents inclus dans la liste blanche afin de créer un seul paquet. Le nombre maximal de signatures par package est de 1 million chacun pour les documents enregistrés et les documents inclus dans la liste blanche. Voir aussi Téléchargement de documents enregistrés, page 86 Texte inclus dans la liste blanche McAfee DLP Endpoint ignore le texte inclus dans la liste blanche lors du traitement du contenu des fichiers. Vous pouvez charger des fichiers contenant du texte dans McAfee epo pour les inclure dans la liste blanche. Le texte inclus dans la liste blanche n'entraînera ni la classification ni le marquage du contenu, même si certaines de ses parties correspondent à des critères de classification ou de marquage. Utilisez la liste blanche pour le texte qui apparaît fréquemment dans des fichiers, tel que les éléments réutilisables, les mentions légales et les informations de copyright. Les fichiers à inclure dans la liste blanche doivent contenir au moins 400 caractères. Si un fichier contient à la fois des données marquées ou classifiées et des données incluses dans la liste blanche, il n'est pas ignoré par le système. Tous les critères de marquage ou de classification associés au contenu restent en vigueur. Voir aussi Chargement des fichiers vers le texte inclus dans la liste blanche, page 87 Téléchargement de documents enregistrés Sélectionnez et classez les documents à distribuer sur les ordinateurs clients. 86 McAfee Data Loss Prevention Endpoint Guide produit

87 Classification de contenu confidentiel Chargement des fichiers vers le texte inclus dans la liste blanche 7 Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Classification. 2 Cliquez sur l'onglet Enregistrer des documents. 3 Cliquez sur Chargement du fichier. 4 Accédez au fichier et, si un fichier du même nom existe déjà, indiquez si l'ancien fichier doit être remplacé par le nouveau. Sélectionnez ensuite une classification. L'option Chargement du fichier traite un seul fichier. Pour charger plusieurs documents, créez un fichier.zip. 5 Cliquez sur OK. Le fichier est téléchargé et traité, et des statistiques sont affichées sur la page. Une fois la liste des fichiers complète, cliquez sur Créer un package. Un package de signatures contenant l'ensemble des documents enregistrés et des documents inclus dans la liste blanche est chargé dans la base de données McAfee epo pour être distribué sur les ordinateurs clients. Vous pouvez créer un package ne contenant que les documents enregistrés ou inclus dans la liste blanche en laissant une liste vide. Lorsque les fichiers sont effacés, supprimez-les de la liste et créez un package pour appliquer les modifications. Voir aussi Documents enregistrés, page 85 Chargement des fichiers vers le texte inclus dans la liste blanche Chargez des fichiers contenant du texte couramment utilisé pour l'inclure dans la liste blanche. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Classification. 2 Cliquez sur l'onglet Texte inclus dans la liste blanche. 3 Cliquez sur Chargement du fichier. 4 Accédez au fichier et, si un fichier du même nom existe déjà, indiquez si l'ancien fichier doit être remplacé par le nouveau. 5 Cliquez sur OK. Voir aussi Texte inclus dans la liste blanche, page 86 McAfee Data Loss Prevention Endpoint Guide produit 87

88 7 Classification de contenu confidentiel Création de définitions de classification Création de définitions de classification Les définitions de classification prédéfinies ne peuvent pas être modifiées ou supprimées. Créez des définitions selon vos besoins. s Création ou importation d'une définition de dictionnaire, page 88 Un dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'un dictionnaire se voit affecter un score. Les scores permettent d'affiner les définitions de règles. Création d'un modèle avancé, page 89 Les modèles avancés permettent de définir les classifications. Une définition de modèle avancé peut consister en une expression unique ou en une combinaison d'expressions et de définitions de faux positif. Intégration du client Titus avec des marqueurs tiers, page 90 Les critères de classification ou de marquage peuvent inclure plusieurs paires nom de valeur/marqueur de valeur Titus. Intégration de Boldon James Classifier avec des critères de classification, page 91 Créez des critères de classification pour intégrer Boldon James Classifier. Voir aussi Définitions et critères de classification, page 78 Création ou importation d'une définition de dictionnaire Un dictionnaire est un ensemble de mots ou d'expressions clés. Chaque entrée d'un dictionnaire se voit affecter un score. Les scores permettent d'affiner les définitions de règles. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Classification. 2 Cliquez sur l'onglet Définitions. 3 Dans le volet gauche, cliquez sur Dictionnaire. 4 Sélectionnez Actions Nouveau. 5 Indiquez un nom et éventuellement une description. 6 Ajoutez des entrées au dictionnaire. Pour importer des entrées, procédez comme suit : a Cliquez sur Importer des entrées. b Entrez des mots ou des expressions, ou effectuez un couper-coller à partir d'un autre document. La fenêtre textuelle est limitée à lignes de 50 caractères par ligne. c Cliquez sur OK. Toutes les entrées se voient affecter un score par défaut de McAfee Data Loss Prevention Endpoint Guide produit

89 Classification de contenu confidentiel Création de définitions de classification 7 d e Si nécessaire, mettez à jour ce score par défaut en cliquant sur le bouton Modifier correspondant à l'entrée. Sélectionnez les colonnes Débute par, Se termine par et Sensible à la casse selon vos besoins. Les colonnes Débute par et Se termine par permettent d'entrer des correspondances de sous-chaînes. Pour créer manuellement des entrées, procédez comme suit : a Entrez la phrase et le score. b c Sélectionnez les colonnes Débute par, Se termine par et Sensible à la casse selon vos besoins. Cliquez sur Ajouter. 7 Cliquez sur Enregistrer. Création d'un modèle avancé Les modèles avancés permettent de définir les classifications. Une définition de modèle avancé peut consister en une expression unique ou en une combinaison d'expressions et de définitions de faux positif. Les modèles avancés sont définis à l'aide d'expressions régulières. Ce document ne traite pas des expressions régulières. Vous trouverez sur Internet un certain nombre de didacticiels sur les expressions régulières qui vous permettront d'obtenir plus d'informations à ce sujet. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Classification. 2 Sélectionnez l'onglet Définitions, puis Modèle avancé dans le volet de gauche. Les modèles disponibles s'affichent dans le volet de droite. Pour afficher uniquement les modèles avancés définis par l'utilisateur, désélectionnez la case Inclure des éléments intégrés. Les modèles définis par l'utilisateur sont les seuls qui peuvent être modifiés. 3 Sélectionnez Actions Nouveau. La page de définition Nouveau modèle avancé s'affiche. 4 Indiquez un nom et éventuellement une description. 5 Sous Expressions en correspondance, procédez comme suit : a Saisissez une expression dans la zone de texte. Ajoutez une description facultative. b c d Sélectionnez un programme de validation dans la liste déroulante. Si possible, McAfee recommande d'utiliser un programme de validation pour réduire le nombre de faux positifs, mais cela n'est pas obligatoire. Si vous ne voulez pas indiquer de programme de validation, ou si la validation n'est pas appropriée pour l'expression, sélectionnez Aucune validation. Entrez un chiffre dans le champ Score. Cette valeur indique la pondération de l'expression dans le calcul du seuil. Ce champ est obligatoire. Cliquez sur Ajouter. McAfee Data Loss Prevention Endpoint Guide produit 89

90 7 Classification de contenu confidentiel Création de définitions de classification 6 Sous Faux positif, procédez comme suit : a Saisissez une expression dans la zone de texte. Si des modèles textuels sont stockés dans un document externe, vous pouvez les copier-coller dans la définition en utilisant Importer des entrées. b c Dans le champ Type, sélectionnez Expression régulière dans la liste déroulante si la chaîne est une expression régulière, ou Mot clé s'il s'agit de texte. Cliquez sur Ajouter. 7 Cliquez sur Enregistrer. Intégration du client Titus avec des marqueurs tiers Les critères de classification ou de marquage peuvent inclure plusieurs paires nom de valeur/marqueur de valeur Titus. Avant de commencer 1 Dans le catalogue de stratégies, ouvrez la configuration cliente actuelle. Sélectionnez Paramètres Mode de fonctionnement et modules. Vérifiez que l'option Modules complémentaires pour Outlook Activer l'intégration du complément tierce partie est sélectionnée. 2 Dans Paramètres Protection de la messagerie, dans la section Intégration du complément Outlook de tierce partie, sélectionnez Titus dans la liste déroulante Nom du fournisseur. McAfee DLP Endpoint appelle l'api Titus pour identifier les fichiers marqués et déterminer les marqueurs. Les classifications créées avec des marqueurs tiers peuvent être appliquées à toutes les règles de protection et de découverte qui inspectent les fichiers. Pour implémenter cette fonctionnalité, le SDK Titus doit être installé sur les ordinateurs clients. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Classification. 2 Cliquez sur Nouvelle classification. 3 Saisissez un nom unique et éventuellement une description. 4 Cliquez sur Actions, puis sélectionnez soit Nouveaux critères de classification, soit Nouveaux critères de marquage. 5 Sélectionnez la propriété Marqueurs tiers. 6 Entrez le nom de champ Titus et une valeur. Sélectionnez la définition de valeur dans la liste déroulante. La chaîne de valeur entrée peut être définie comme : est égale à l'un des est égale à tous les contient l'un des contient tous les 90 McAfee Data Loss Prevention Endpoint Guide produit

91 Classification de contenu confidentiel Création de définitions de classification 7 7 (Facultatif) Cliquez sur + et ajoutez une autre paire nom/valeur. 8 Cliquez sur Enregistrer. Intégration de Boldon James Classifier avec des critères de classification Créez des critères de classification pour intégrer Boldon James Classifier. Boldon James Classifier est une solution de messagerie qui étiquette et classifie les s. Le logiciel McAfee DLP Endpoint peut intégrer Classifier et bloquer des s en fonction des classifications affectées. Vous pouvez choisir la chaîne envoyée par Classifier à McAfee DLP Endpoint lorsque vous configurez le logiciel Classifier. Utilisez cette chaîne pour définir les critères de classification. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Configurez la compatibilité avec Boldon James dans McAfee DLP Endpoint : a Grâce à la console Administration du classificateur Boldon James, ouvrez Paramètres de l'application Classifier Paramètres Outlook. Définissez Analyse DLP McAfee Host sur Activée et définissez Marquage DLP McAfee Host pour vous référer à un format de marquage contenant la valeur de classification, ainsi que le texte statique unique pour le marquage DLP. Une chaîne basée sur ce format de marquage sera passée à McAfee DLP Endpoint avec les critères de classification. b Dans le catalogue de stratégies, ouvrez la configuration cliente actuelle. Sélectionnez Paramètres Mode de fonctionnement et modules. Vérifiez que l'option Modules complémentaires pour Outlook Activer l'intégration du complément tierce partie est sélectionnée. c Dans Paramètres Protection de la messagerie, dans la section Intégration du complément Outlook de tierce partie, sélectionnez Boldon James dans la liste déroulante Nom du fournisseur. 2 Créez une classification Boldon James. Pour chaque classification requise, effectuez les opérations suivantes : a Dans McAfee epo, sélectionnez Menu Protection des données Classification. b c d e Cliquez sur l'onglet Classification, puis cliquez sur Nouvelle classification. Saisissez un nom unique et éventuellement une description. Cliquez sur Actions Nouveaux critères de classification. Sélectionnez la propriété Mot clé. Dans le champ Valeur, saisissez la chaîne créée à partir du format de marquage que vous avez sélectionné dans la configuration Administration du classificateur à envoyer à McAfee DLP Endpoint. [Classification Boldon James] est la chaîne que vous avez sélectionnée dans la configuration Classifier pour l'envoyer à McAfee DLP Endpoint. 3 Dans McAfee epo, sélectionnez Menu Protection des données Jeux de règles DLP. 4 Sous l'onglet Jeux de règles, effectuez l'une des opérations suivantes. Sélectionnez Actions Nouveau jeu de règles. Sélectionnez un jeu de règles existant. 5 Sélectionnez Actions Nouvelle règle Protection de la messagerie. Un formulaire de définition de protection de la messagerie apparaît. McAfee Data Loss Prevention Endpoint Guide produit 91

92 7 Classification de contenu confidentiel Classification en fonction de l'emplacement des fichiers 6 Entrez un nom de règle unique. 7 Sous l'onglet Condition, sélectionnez Corps dans la liste déroulante, puis sélectionnez la classification Boldon James appropriée. Sélectionnez les options Utilisateur final, Enveloppe d' et Destinataires appropriées. Le client McAfee DLP Endpoint considère la classification Boldon James comme faisant partie du corps de l' . Le fait de limiter la définition à l'analyse du corps permet de rendre la règle plus efficace. 8 Sous l'onglet Réaction, sélectionnez les paramètres Mesure préventive, Notification utilisateur, Signaler l'incident et Gravité appropriés. Définissez l'état sur Activé, puis cliquez sur Enregistrer. Classification en fonction de l'emplacement des fichiers Le contenu confidentiel peut être défini en fonction de son emplacement (lieu de stockage) ou de son usage (extension de fichier ou application). McAfee DLP Endpoint fait appel à plusieurs méthodes permettant de localiser et de classifier du contenu confidentiel. Données stockées passivement est le terme utilisé pour décrire les emplacements des fichiers. Il classifie des contenus en posant des questions comme «Où se trouve-t-il dans le réseau?» ou «Dans quel dossier se trouve-t-il?». Données en cours d'utilisation est le terme utilisé pour définir un contenu en fonction de son mode d'utilisation ou de son emplacement. Il classifie des contenus en posant des questions comme «Quelle application l'appelle?» ou «Quelle est l'extension du fichier?». Les règles de découverte de McAfee DLP Endpoint détectent vos données stockées passivement. Elles peuvent rechercher du contenu dans des fichiers d'ordinateurs clients ou dans des fichiers de stockage des s (PST, PST mappé et OST). Selon les propriétés, les applications ou les emplacements dans la classification de la règle, la règle peut rechercher des emplacements de stockage spécifiés et appliquer des stratégies de chiffrement, de mise en quarantaine ou de gestion des droits Sinon, les fichiers peuvent être marqués ou classés afin de contrôler la façon dont ils sont utilisés. Définition de paramètres réseau Les définitions de réseau servent de critères de filtre dans les règles de protection du réseau. L'option Adresses réseau permet de surveiller les connexions réseau entre une source externe et un ordinateur managé. La définition peut être une adresse unique, un intervalle ou un sous-réseau. Vous pouvez inclure et exclure des adresses réseau définies dans des règles de protection des communications réseau. Les définitions de ports réseau dans les règles de protection des communications réseau vous permettent d'exclure des services spécifiques définis par leurs ports réseau. La liste des services courants et des ports correspondants est intégrée. Vous pouvez modifier les éléments de la liste ou créer vos propres définitions. Les définitions de partages réseau permettent de spécifier des dossiers réseau partagés dans les règles de protection de partage réseau. Vous pouvez inclure ou exclure des partages définis. Création d'un intervalle d'adresses réseau Les intervalles d'adresses réseau servent de critères de filtrage dans les règles de protection des communications réseau. 92 McAfee Data Loss Prevention Endpoint Guide produit

93 Classification de contenu confidentiel Classification en fonction de la destination des fichiers 7 Pour chaque définition requise, effectuez les étapes 1 à 4 : Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Définitions. 2 Dans le volet gauche, sélectionnez Adresse réseau (adresse IP), puis cliquez sur Actions Nouveau. 3 Entrez un nom unique pour la définition et éventuellement une description. 4 Entrez une adresse, un intervalle d'adresses ou un sous-réseau dans la zone de texte. Cliquez sur Ajouter. Des exemples correctement formatés apparaissent sur la page. 5 Lorsque vous avez entré toutes les définitions requises, cliquez sur Enregistrer. Création d'un intervalle de ports réseau Les intervalles de ports réseau servent de critères de filtrage dans les règles de protection des communications réseau. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Définitions. 2 Dans le volet gauche, sélectionnez Port réseau, puis cliquez sur Actions Nouveau. Vous pouvez également modifier les définitions intégrées. 3 Saisissez un nom unique et éventuellement une description. 4 Entrez les numéros de port, en les séparant par des virgules, et ajoutez éventuellement une description. Cliquez sur Ajouter. 5 Lorsque vous avez ajouté tous les ports requis, cliquez sur Enregistrer. Classification en fonction de la destination des fichiers En plus de classer le contenu en fonction de son emplacement d'origine, vous pouvez classer et contrôler sa destination d'envoi. Dans le domaine de la prévention des fuites de données, cette fonction est appelée données mobiles. Les règles de protection des fichiers qui contrôlent les destinations sont les suivantes : Règles Protection du cloud Règles Protection de la messagerie Règles Protection des communications réseau (sortantes) Règles Protection contre l'impression Règles Protection des périphériques de stockage amovibles Règles Protection de la publication web McAfee Data Loss Prevention Endpoint Guide produit 93

94 7 Classification de contenu confidentiel Classification en fonction de la destination des fichiers Utilisation de la messagerie McAfee DLP Endpoint protège les données confidentielles dans l'en-tête, le corps ou les pièces jointes des s envoyés. La fonction de découverte du stockage des s détecte les s contenant des données confidentielles dans les fichiers OST ou PST, puis les marque ou les met en quarantaine. McAfee DLP Endpoint protège le contenu confidentiel des s. Pour ce faire, il classe et marque ce contenu, et bloque l'envoi des s contenant des données confidentielles. La stratégie de protection de la messagerie permet de définir plusieurs règles pour différents utilisateurs et destinations d' s, ou pour des s protégés par un chiffrement ou la gestion des droits. Configuration client Définissez des contrôles afin de gérer le comportement des fonctionnalités de la messagerie dans McAfee epo Catalogue de stratégies Data Loss Prevention 9.4 Configuration client Protection de la messagerie. Les paramètres de cette page sont les suivants : Mise en cache des s : permet de stocker les signatures de marqueurs des s sur le disque pour éviter de les soumettre à plusieurs analyses syntaxiques. API de gestion d' les messages sortants sont pris en charge par OOM (Outlook Object Model) ou MAPI (Messaging Application Programming Interface). OOM est l'api par défaut, mais certaines configurations nécessitent MAPI. Intégration du complément Outlook de tierce partie : deux applications de classification tierces sont prises en charge : Titus et Boldon James. Stratégie de délai d'expiration d' définit le délai maximal pour l'analyse d'un et la mesure à prendre en cas de dépassement du délai. Création de destinations d' s Les définitions de destination d'un sont des domaines de messagerie prédéfinis ou des adresses spécifiques qui peuvent être indiqués dans les règles de protection de la messagerie. Pour bénéficier d'une meilleure granularité dans les règles de protection de la messagerie, vous pouvez inclure des adresses et en exclure d'autres. Assurez-vous de créer les deux types de définitions. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Définitions. 2 Dans le volet gauche, sélectionnez Adresse puis Actions Nouveau. 3 Indiquez un nom et éventuellement une description. 4 Dans la liste déroulante, sélectionnez un opérateur. Les opérateurs sont les suivants : Le nom de domaine est L'adresse est Le nom d'affichage est Le nom d'affichage contient 5 Saisissez une valeur, puis cliquez sur Ajouter. 6 Cliquez sur Enregistrer lorsque vous avez terminé d'ajouter des adresses McAfee Data Loss Prevention Endpoint Guide produit

95 Classification de contenu confidentiel Classification en fonction de la destination des fichiers 7 Utilisation des imprimantes Les règles de protection contre l'impression sont utilisées pour gérer à la fois les imprimantes locales et réseau et bloquer ou surveiller l'impression de documents confidentiels. Les règles de protection contre l'impression dans McAfee DLP Endpoint 9.4 prennent en charge le mode avancé et les imprimantes V4. Les utilisateurs finaux et les imprimantes définis peuvent être inclus dans une règle ou en être exclus. Les imprimantes image et PDF peuvent être incluses dans la règle. Les règles de protection contre l'impression peuvent inclure des définitions d'applications. Vous pouvez définir des processus inclus dans la liste blanche, qui seront exemptés des règles de protection contre l'impression, à l'aide du paramètre Catalogue de stratégies Data Loss Prevention 9.4 Configuration client Protection contre l'impression. Création d'une définition d'imprimante réseau Les définitions d'imprimante réseau permettent d'affiner les règles de protection contre l'impression. Les imprimantes définies peuvent être incluses dans les règles ou en être exclues. Avant de commencer Obtenez le chemin d'accès UNC de l'imprimante sur le réseau. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Définitions. 2 Dans le volet gauche, sélectionnez Imprimante réseau, puis sélectionnez Actions Nouveau. 3 Saisissez un nom unique et éventuellement une description. 4 Entrez le chemin d'accès UNC. Tous les autres champs sont facultatifs. 5 Cliquez sur Enregistrer. Contrôle des informations téléchargées sur des sites web Les adresses web sont utilisées dans les règles de protection de la publication web Vous pouvez utiliser les définitions d'adresses web pour bloquer la publication de données marquées vers des destinations web définies (sites web ou pages spécifiques d'un site web) ou pour empêcher des données marquées d'être publiées sur des sites web non définis. En général, les définitions d'adresses web définissent tous les sites web, aussi bien internes qu'externes, sur lesquels la publication de données marquées est autorisée. Création d'une définition de liste d'url Les définitions de liste d'url permettent de définir des règles de protection de la publication web. Elles s'ajoutent aux règles en tant que conditions d'adresse web (URL). McAfee Data Loss Prevention Endpoint Guide produit 95

96 7 Classification de contenu confidentiel Classification en fonction de la destination des fichiers Pour chaque URL requise, effectuez les étapes 1 à 4 : Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP Définitions. 2 Dans le volet gauche, sélectionnez la liste d'url, puis sélectionnez Actions Nouveau. 3 Indiquez un nom unique et éventuellement une définition. 4 Effectuez l'une des actions suivantes : Entrez les informations de protocole, d'hôte, de port et de chemin d'accès dans les zones de texte correspondantes, puis cliquez sur Ajouter. Collez une URL dans la zone de texte Coller l'url, puis cliquez sur Effectuer une analyse syntaxique et sur Ajouter. Les champs d'url sont remplis par le logiciel. 5 Lorsque toutes les URL requises ont été ajoutées à la définition, cliquez sur Enregistrer. 96 McAfee Data Loss Prevention Endpoint Guide produit

97 8 Utilisation 8 de règles pour protéger le contenu confidentiel McAfee DLP Endpoint protège le contenu confidentiel au moyen d'une combinaison de règles de protection des données, de règles de contrôle des équipements et de règles de découverte. Ces règles sont rassemblées dans des jeux de règles et appliquées à des stratégies McAfee DLP. McAfee epo déploie les stratégies McAfee DLP sur les ordinateurs client. Le logiciel client McAfee DLP Endpoint applique ensuite les stratégies pour protéger le contenu confidentiel. Sommaire Jeux de règles Réactions disponibles pour les types de règle Règles Protection de l'accès aux fichiers d'application Règles de protection de la messagerie Règles de protection des communications réseau Règles de protection du partage réseau Règles de protection de l'imprimante Règles de protection des périphériques de stockage amovibles Règles de protection contre les captures d'écran Règles de protection de la publication web Découverte de terminaux Protection des fichiers avec la gestion des droits Jeux de règles Les jeux de règles définissent les stratégies McAfee DLP Endpoint. Les jeux de règles peuvent contenir une combinaison de règles de protection des données, de contrôle des équipements et de découverte. La page Jeux de règles affiche la liste des jeux de règles définis et l'état de chacun d'entre eux. Les données affichées comprennent le nombre d'incidents journalisés pour chaque jeu de règles, le nombre de règles qui ont été définies et le nombre de règles qui ont été activées. Des icônes de couleur indiquent les types de règles activés. Lorsque vous passez la souris sur les icônes, une info-bulle indiquant le type de la règle et le nombre de règles activées apparaît. Figure 8-1 Page de jeux de règles indiquant les informations d'info-bulles McAfee Data Loss Prevention Endpoint Guide produit 97

98 8 Utilisation de règles pour protéger le contenu confidentiel Jeux de règles Dans le jeu de règles 1, six règles de protection des données, deux règles de découverte et une règle de contrôle des périphériques ont été définies. Seules trois des règles de protection des données sont activées. L'info-bulle montre que deux d'entre elles sont des règles relatives au Presse-papiers. La troisième, représentée par l'icône bleue sur le côté droit de la colonne, est une règle de protection de l'accès aux fichiers d'application. Pour afficher les règles qui sont définies mais désactivées, ouvrez la règle à des fins de modification. Voir aussi Protection des fichiers avec des règles de découverte, page 112 Création d'une règle, page 98 Création et configuration de règles et de jeux de règles Créez et configurez des règles pour vos stratégies McAfee DLP Endpoint, Device Control et McAfee DLP Discover. s Création d'un jeu de règles, page 98 Les jeux de règles combinent la protection multi-équipements, la protection des données et les règles d'analyse de découverte. Création d'une règle, page 98 Le processus de création d'une règle est identique pour tous les types de règles. Affectation de jeux de règles à des stratégies, page 99 Avant d'être affectés à des ordinateurs clients, les jeux de règles sont affectés à des stratégies et les stratégies sont appliquées à la base de données McAfee epo. Activation, désactivation ou suppression de règles, page 100 Vous pouvez supprimer ou modifier l'état de plusieurs règles simultanément. Configuration de colonnes de règles ou de jeux de règles, page 100 Vous pouvez déplacer, ajouter ou supprimer des colonnes de règles ou de jeux de règles. Création d'une définition de justification, page 101 Les définitions de justification métier définissent les paramètres des actions préventives relatives aux justifications dans les règles. Création d'une définition de notification, page 102 Les notifications utilisateur apparaissent dans des fenêtres pop-up ou sur la console des utilisateurs finaux lorsque leurs actions enfreignent des stratégies. Création d'un jeu de règles Les jeux de règles combinent la protection multi-équipements, la protection des données et les règles d'analyse de découverte. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP. 2 Cliquez sur l'onglet Jeux de règles. 3 Sélectionnez Actions Nouveau jeu de règles 4 Entrez le nom et éventuellement une remarque, puis cliquez sur OK. Création d'une règle Le processus de création d'une règle est identique pour tous les types de règles. 98 McAfee Data Loss Prevention Endpoint Guide produit

99 Utilisation de règles pour protéger le contenu confidentiel Jeux de règles 8 Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP. 2 Cliquez sur l'onglet Jeux de règles. 3 Cliquez sur le nom d'un jeu de règles et si nécessaire, sélectionnez l'onglet approprié pour la règle de protection des données, de contrôle des équipements ou de découverte. 4 Sélectionnez Actions Nouvelle règle, puis sélectionnez le type de règle. 5 Dans l'onglet Condition, saisissez les informations. Pour certaines conditions, telles que les classifications ou les définitions d'équipement, cliquez sur... pour sélectionner un élément existant ou créer un élément. Pour ajouter des critères, cliquez sur +. Pour supprimer des critères, cliquez sur. 6 Sous l'onglet Réaction, configurez la réaction. 7 Cliquez sur Enregistrer. Voir aussi Jeux de règles, page 97 Affectation de jeux de règles à des stratégies Avant d'être affectés à des ordinateurs clients, les jeux de règles sont affectés à des stratégies et les stratégies sont appliquées à la base de données McAfee epo. Avant de commencer Sur la page Gestionnaire de stratégies DLP Jeux de règles, créez un ou plusieurs jeux de règles et ajoutez-leur les règles requises. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Sur la page Gestionnaire de stratégies DLP Affectation de stratégie, effectuez l'une des actions suivantes : Sélectionnez Actions Affecter un jeu de règles à des stratégies. Dans la fenêtre d'affectation, sélectionnez un jeu de règles dans la liste déroulante et sélectionnez les stratégies à lui affecter. Cliquez sur OK. Sélectionnez Actions Affecter des jeux de règles à une stratégie. Dans la fenêtre d'affectation, sélectionnez une stratégie dans la liste déroulante, puis choisissez les jeux de règles à lui affecter. Cliquez sur OK. Si vous désélectionnez un jeu de règles ou une stratégie précédemment sélectionné, le jeu de règles est supprimé de la stratégie. 2 Sélectionnez Actions Appliquer les stratégies sélectionnées. Dans la fenêtre d'affectation, sélectionnez les stratégies à appliquer à la base de données McAfee epo. Cliquez sur OK. Seules les stratégies n'ayant pas encore été appliquées à la base de données apparaissent dans la fenêtre de sélection. Si vous modifiez une affectation de jeu de règles ou une règle dans un jeu de règles affecté, la stratégie apparaît et la stratégie révisée est appliquée à la place de la stratégie précédente. McAfee Data Loss Prevention Endpoint Guide produit 99

100 8 Utilisation de règles pour protéger le contenu confidentiel Jeux de règles Activation, désactivation ou suppression de règles Vous pouvez supprimer ou modifier l'état de plusieurs règles simultanément. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP. 2 Cliquez sur l'onglet Jeux de règles. 3 Cliquez sur le nom d'un jeu de règles et si nécessaire, cliquez sur l'onglet approprié pour la règle de protection des données, de contrôle des équipements ou de découverte. 4 Sélectionnez une ou plusieurs règles. 5 Mettez à jour ou supprimez les règles sélectionnées. Pour activer les règles, sélectionnez Actions Changer l'état Activer. Pour désactiver les règles, sélectionnez Actions Changer l'état Désactiver. Pour supprimer les règles, sélectionnez Actions Supprimer. Configuration de colonnes de règles ou de jeux de règles Vous pouvez déplacer, ajouter ou supprimer des colonnes de règles ou de jeux de règles. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP. 2 Cliquez sur l'onglet Jeux de règles. 3 Accédez à la page Sélectionner les colonnes à afficher. Jeux de règles : sélectionnez Actions Choisir les colonnes. Règles : sélectionnez un jeu de règles, puis sélectionnez Actions Choisir les colonnes. 4 Modifiez les colonnes. Dans le volet Colonnes disponibles, cliquez sur les articles pour ajouter des colonnes. Dans le volet Colonnes sélectionnées, cliquez sur les flèches ou sur x pour déplacer ou supprimer des colonnes. Cliquez sur Utiliser les valeurs par défaut pour restaurer la configuration par défaut des colonnes. 5 Cliquez sur Enregistrer. Personnalisation des messages aux utilisateurs finaux Deux types de messages sont utilisés pour communiquer avec les utilisateurs finaux : les notifications et les messages de justification de l'utilisateur. Les définitions de justification et de notification permettent de spécifier des paramètres régionaux (langues) et d'ajouter des espaces réservés qui seront remplacés par leur valeur réelle. Lorsque des paramètres régionaux sont définis, les messages et les boutons d'option (pour les justifications métier) apparaissent dans la langue par défaut de l'ordinateur client. 100 McAfee Data Loss Prevention Endpoint Guide produit

101 Utilisation de règles pour protéger le contenu confidentiel Jeux de règles 8 Notification utilisateur Les notifications utilisateur sont des messages pop-up qui informent l'utilisateur d'une violation de stratégie. Lorsque plusieurs événements sont déclenchés par une règle, le message pop-up indique De nouveaux événements DLP se trouvent dans la console DLP au lieu d'afficher plusieurs messages. Les messages de notification utilisateur sont définis dans Gestionnaire de stratégies DLP Définitions Notifications. Justification métier Une justification métier est une forme de contournement de stratégie. Lorsque l'option Demander une justification est définie comme mesure préventive dans une règle, l'utilisateur peut entrer la justification pour continuer sans être bloqué. Les messages de justification métier sont définis dans Gestionnaire de stratégies DLP Définitions Justification. Espaces réservés Les espaces réservés permettent d'intégrer un texte variable dans des messages, en fonction de l'événement ayant déclenché l'envoi du message à l'utilisateur final. Les espaces réservés disponibles sont les suivants : %c pour les classifications %r pour le nom du jeu de règles %v pour le vecteur (protection de la messagerie, protection Web, etc.) %a pour l'action %s pour la valeur de chaîne (nom du fichier, nom de l'équipement, etc.) Création d'une définition de justification Les définitions de justification métier définissent les paramètres des actions préventives relatives aux justifications dans les règles. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP. 2 Cliquez sur l'onglet Définitions, puis sélectionnez Notification Justification. 3 Sélectionnez Actions Nouveau. 4 Saisissez un nom unique et éventuellement une description. 5 Pour créer des définitions de justification dans plusieurs langues, sélectionnez Actions des paramètres régionaux Nouveaux paramètres régionaux. Sélectionnez tous les paramètres régionaux requis dans la liste déroulante. Les paramètres régionaux sélectionnés sont ajoutés à la liste. McAfee Data Loss Prevention Endpoint Guide produit 101

102 8 Utilisation de règles pour protéger le contenu confidentiel Jeux de règles 6 Pour chacun des paramètres régionaux, procédez comme suit : a Dans le volet gauche, sélectionnez les paramètres régionaux à modifier. Saisissez du texte dans les zones de texte et cochez les cases selon vos besoins. L'option Afficher les chaînes correspondantes fournit un lien dans la fenêtre pop-up afin d'afficher le contenu avec le surlignage de correspondances. L'option Plus d'infos fournit un lien vers un document ou une page intranet contenant des informations complémentaires. Lorsque vous entrez une définition de paramètres régionaux, les cases à cocher et les actions ne sont pas disponibles. Vous pouvez uniquement définir les intitulés des boutons, une présentation et un titre. Dans la section Options de justification, vous pouvez remplacer les définitions par défaut par la version correspondant aux paramètres régionaux en utilisant la fonctionnalité Modifier dans la colonne Actions. b c d Entrez une présentation de la justification et éventuellement le titre de la boîte de dialogue. La présentation est une instruction générale pour l'utilisateur, par exemple : Cette action nécessite une justification métier. Le nombre maximal de caractères autorisé est de 500. Saisissez du texte pour les intitulés de bouton et sélectionnez les actions associées. Cochez la case Masquer le bouton pour créer une définition à deux boutons. Les actions des boutons doivent correspondre aux actions préventives disponibles pour le type de règle qui utilise la définition. Par exemple, les règles de protection du partage réseau ne disposent que des mesures préventives Aucune action, Chiffrer ou Demander une justification. Si vous attribuez l'action Bloquer à l'un des boutons et que vous essayez d'utiliser la définition avec une règle de protection du partage réseau, un message d'erreur apparaît. Saisissez du texte dans la zone de texte et cliquez sur Ajouter pour l'ajouter à la liste des options de justification. Cochez la case Afficher les options de justification pour permettre à l'utilisateur final de consulter la liste. Vous pouvez utiliser des espaces réservés pour personnaliser le texte, en indiquant ce qui a déclenché l'ouverture de la fenêtre pop-up. 7 Lorsque tous les paramètres régionaux sont définis, cliquez sur Enregistrer. Voir aussi Personnalisation des messages aux utilisateurs finaux, page 100 Création d'une définition de notification Les notifications utilisateur apparaissent dans des fenêtres pop-up ou sur la console des utilisateurs finaux lorsque leurs actions enfreignent des stratégies. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP. 2 Cliquez sur l'onglet Définitions, puis sélectionnez Notification Notification utilisateur. 3 Sélectionnez Actions Nouveau. 4 Saisissez un nom unique et éventuellement une description. 5 Pour créer des définitions de notification utilisateur dans plusieurs langues, sélectionnez Actions des paramètres régionaux Nouveaux paramètres régionaux. Sélectionnez tous les paramètres régionaux requis dans la liste déroulante. Les paramètres régionaux sélectionnés sont ajoutés à la liste. 102 McAfee Data Loss Prevention Endpoint Guide produit

103 Utilisation de règles pour protéger le contenu confidentiel Réactions disponibles pour les types de règle 8 6 Pour chacun des paramètres régionaux, procédez comme suit : a Dans le volet gauche, sélectionnez les paramètres régionaux à modifier. Vous pouvez définir n'importe quel paramètre régional comme valeur par défaut en cochant la case Paramètres régionaux par défaut. b c Saisissez un message dans la zone de texte. Vous pouvez utiliser des espaces réservés pour personnaliser le texte, en indiquant ce qui a déclenché l'ouverture de la fenêtre pop-up. Facultatif : cochez la case Afficher le lien pour plus d'informations et entrez une URL pour fournir des informations plus détaillées. Disponible uniquement avec les paramètres régionaux par défaut. 7 Lorsque tous les paramètres régionaux sont définis, cliquez sur Enregistrer. Voir aussi Personnalisation des messages aux utilisateurs finaux, page 100 Réactions disponibles pour les types de règle Les réactions disponibles pour une règle varient selon le type de règle. Les règles de protection des données sont disponibles pour McAfee DLP Endpoint. Les règles de contrôle des équipements sont disponibles pour McAfee DLP Endpoint et Device Control. Les règles de découverte sont disponibles pour la découverte McAfee DLP Endpoint. Tableau 8-1 Réactions disponibles Réaction Règles concernées : Résultat Aucune action Tout Autorise l'action. Bloquer Protection des données Contrôle des équipements Bloque l'action. Copier Découverte Copie le fichier à l'emplacement UNC spécifié. Chiffrer Protection des données Découverte Chiffre le fichier. Les options de chiffrement sont FRP ou un logiciel de chiffrement StormShield Data Security. Déplacer Découverte Déplace le fichier à l'emplacement UNC spécifié. Permet la création d'un fichier d'espaces réservés (facultatif) pour avertir l'utilisateur que le fichier a été déplacé. Lecture seule Contrôle des équipements Force l'accès en lecture seule. Demander une justification Protection des données Ouvre une fenêtre pop-up sur l'ordinateur de l'utilisateur final. L'utilisateur sélectionne une justification (et saisit éventuellement des informations) ou une action facultative. McAfee Data Loss Prevention Endpoint Guide produit 103

104 8 Utilisation de règles pour protéger le contenu confidentiel Réactions disponibles pour les types de règle Tableau 8-1 Réactions disponibles (suite) Réaction Règles concernées : Résultat Appliquer une stratégie de gestion des droits Protection des données Découverte Applique une stratégie de gestion des droits au fichier. Mettre en quarantaine Découverte Met le fichier en quarantaine. Marqueur Découverte Marque le fichier. Afficher le fichier dans la console DLP Endpoint Notification utilisateur Découverte Protection des données Découverte Affiche les éléments Nom de fichier et Chemin d'accès dans la console Endpoint. Nom de fichier est un lien permettant d'ouvrir le fichier, sauf s'il est mis en quarantaine. Chemin d'accès permet d'ouvrir le dossier contenant le fichier. Envoie un message à l'ordinateur client pour informer l'utilisateur de la violation de stratégie. Lorsque l'option Notification utilisateur est sélectionnée et que plusieurs événements sont déclenchés, le message pop-up indique «De nouveaux événements DLP se trouvent dans la console DLP», au lieu d'afficher plusieurs messages. Signaler l'incident Tout Génère une entrée d'incident pour la violation dans le Gestionnaire d'incidents DLP. Stocker le fichier original Protection des données Découverte Enregistre le fichier pour l'afficher dans le gestionnaire d'incidents. Requiert un dossier de preuves défini et l'activation du service de copie de preuve. Tableau 8-2 Réactions des règles de protection des données Type de règle Protection de l'accès aux fichiers d'application Protection du Presse-papiers Protection du cloud Protection de la messagerie Protection des communications réseau Protection du partage réseau Protection contre l'impression Réactions Aucune action Bloquer Chiffrer Demander une justification Appliquer une stratégie de gestion des droits Notification utilisateur Signaler l'incident X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X Stocker le fichier original 104 McAfee Data Loss Prevention Endpoint Guide produit

105 Utilisation de règles pour protéger le contenu confidentiel Réactions disponibles pour les types de règle 8 Tableau 8-2 Réactions des règles de protection des données (suite) Type de règle Protection des périphériques de stockage amovibles Protection contre les captures d'écran Protection de la publication Web Réactions Aucune action Bloquer Chiffrer Demander une justification Appliquer une stratégie de gestion des droits Notification utilisateur Signaler l'incident X X X X X X X X X X X X X X X X X X Stocker le fichier original Tableau 8-3 Réactions des règles de contrôle des équipements Règles Equipement Citrix XenApp Réactions Aucune action Bloquer Lecture seule Notification utilisateur X Disque dur fixe X X X X X Equipement Plug-and-Play X X X X Equipement de stockage amovible Accès aux fichiers des équipements de stockage amovibles X X X X X X X X X Equipement TrueCrypt X X X X X Tableau 8-4 Réactions des règles de découverte Signaler l'incident Règles Système de fichiers Endpoint Protection du stockage des s Endpoint Réactions Aucune action Copier Déplacer Chiffrer Appliquer une stratégie de gestion des droits Mettre en quarantaine Marqueur Afficher le fichier dans la console McAfee DLP Endpoint Signaler l'incident X X X X X X X X X X X X X X Stocker le fichier original McAfee Data Loss Prevention Endpoint Guide produit 105

106 8 Utilisation de règles pour protéger le contenu confidentiel Règles Protection de l'accès aux fichiers d'application Règles Protection de l'accès aux fichiers d'application Les règles de protection de l'accès aux fichiers surveillent les fichiers en fonction de l'application ou des applications qui les ont créés. Sélectionnez une définition d'application ou d'url pour limiter la règle à des applications spécifiques. Les règles de protection de l'accès aux fichiers d'application communiquent avec McAfee Data Exchange Layer (DXL) dans McAfee Threat Intelligence Exchange (TIE). Vous pouvez utiliser les informations issues de TIE pour définir la règle en fonction de la réputation TIE. Lors de la sélection d'une application, la liste déroulante permet de choisir une réputation TIE au lieu d'une URL de navigateur ou d'application. Pour utiliser la réputation TIE dans les règles, le client DXL doit être installé sur l'ordinateur client Utilisez des définitions de classification pour limiter la règle à des marqueurs spécifiques ou des critères de classification. Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupes d'utilisateurs spécifiés. Actions Les actions disponibles sont Bloquer, Notification utilisateur, Signaler l'incident et Stocker le fichier original. Le stockage de preuves est facultatif lors du signalement d'un incident. La sélection de Notification utilisateur active la fenêtre pop-up de notification utilisateur sur l'ordinateur client. Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté du réseau de l'entreprise. Lorsque le champ Classification est défini sur est n'importe quelle donnée (TOUS), l'action Bloquer n'est pas autorisée. La tentative d'enregistrement de la règle avec ces conditions génère un avertissement. Configuration client Les processus inclus dans la liste blanche et des extensions spécifiques peuvent être ajoutés à la configuration du client sur la page Protection de l'accès aux fichiers d'application. Scénario d'utilisation : éviter la gravure d'informations sensibles sur un disque Les règles de protection de l'accès aux fichiers d'application peuvent être utilisées pour bloquer l'utilisation de graveurs de CD et de DVD pour la copie d'informations confidentielles. Avant de commencer Créez une classification pour identifier le contenu confidentiel. Utilisez des paramètres pertinents pour votre environnement : mots clés, modèles de texte, information sur le fichier, et ainsi de suite. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP. 2 Sous l'onglet Jeux de règles, sélectionnez un jeu de règle actuel ou sélectionnez Actions Nouveau jeu de règles et définissez un jeu de règles. 3 Sous l'onglet Protection des données, sélectionnez Actions Nouvelle règle Protection de l'accès aux fichiers d'application. 106 McAfee Data Loss Prevention Endpoint Guide produit

107 Utilisation de règles pour protéger le contenu confidentiel Règles de protection de la messagerie 8 4 (Facultatif) Entrez un nom dans le champ Nom de la règle (obligatoire). Sélectionnez les options pour les champs Etat et Gravité. 5 Sous l'onglet Condition, dans le champ Classification, sélectionnez la classification que vous avez créée pour votre contenu confidentiel. 6 Dans le champ Utilisateur final, sélectionnez les groupes d'utilisateurs (facultatif). L'ajout d'utilisateurs ou de groupes à la règle limite la règle à des utilisateurs spécifiques. 7 Dans le champ Applications, sélectionnez Media Burner Application [intégré] dans la liste des définitions d'applications disponibles. Vous pouvez créer votre propre définition de graveur multimédia en modifiant la définition intégrée. La modification d'une définition intégrée crée automatiquement une copie de la définition originale. 8 (Facultatif) Sous l'onglet Exceptions, créez des exceptions à la règle. Les définitions d'exceptions peuvent inclure n'importe quel champ qui se trouve dans une définition de condition. Vous pouvez définir plusieurs exceptions à utiliser dans différentes situations. Par exemple, vous pouvez définir des «utilisateurs privilégiés» auxquels la règle ne s'appliquera pas. 9 Sous l'onglet Réaction, définissez Mesure préventive sur Bloquer. Sélectionnez une notification utilisateur (facultatif). Cliquez sur Enregistrer, puis sur Fermer. D'autres options permettent de modifier les rapports d'incident et la mesure préventive par défaut lorsque l'ordinateur est déconnecté du réseau. 10 Sous l'onglet Affectation de stratégie, affectez le jeu de règles une ou plusieurs stratégies : a Sélectionnez Actions Affecter un jeu de règles à des stratégies. b c Sélectionnez le jeu de règles de votre choix dans la liste déroulante. Sélectionnez la ou les stratégies auxquelles l'affecter. 11 Sélectionnez Actions Appliquer les stratégies sélectionnées. Sélectionnez les stratégies à appliquer à la base de données McAfee epo, puis cliquez sur OK. Règles de protection de la messagerie Les règles de protection des s surveillent ou bloquent les messages envoyés à des adresses ou à des utilisateurs spécifiques. Les règles de protection de la messagerie peuvent bloquer les s envoyés à des destinataires spécifiés. Le champ Enveloppe d' peut spécifier que l' est protégé par des autorisations RMS. Cette option est généralement utilisée pour définir des exceptions. Utilisez des définitions de classification pour limiter la règle à des marqueurs spécifiques ou des critères de classification. Les classifications peuvent définir l'ensemble de l' , ou uniquement l'objet, le corps ou les pièces jointes. Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupes d'utilisateurs spécifiés. Actions Les actions disponibles sont Bloquer, Demander une justification, Notification utilisateur, Signaler l'incident et Stocker le fichier original. Le stockage de preuves est facultatif lors du signalement d'un incident. La sélection de Notification utilisateur active la fenêtre pop-up de notification utilisateur sur l'ordinateur client. Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté du réseau de l'entreprise. McAfee Data Loss Prevention Endpoint Guide produit 107

108 8 Utilisation de règles pour protéger le contenu confidentiel Règles de protection des communications réseau Configuration client Si vous utilisez Lotus Notes, activez le plug-in Lotus Notes sur la page Mode de fonctionnement et modules. Si vous utilisez Microsoft Outlook, activez les compléments nécessaires. Pour améliorer les performances, nous recommandons de désactiver les gestionnaires inutilisés. Sur les systèmes où Microsoft Exchange et Lotus Notes sont disponibles, les règles de protection des s ne pourront pas fonctionner si le nom du serveur de messagerie sortant (SMTP) n'est pas configuré pour les deux. Pour utiliser les compléments tiers Microsoft Outlook (Boldon James ou Titus), sélectionnez le complément sur la page Protection de la messagerie. Le complément Outlook McAfee DLP se définit lui-même en mode de contournement si le complément tiers suivant est installé et actif. Les autres paramètres de la page Protection de la messagerie contrôlent la stratégie de délai d'expiration, la mise en cache, l'api et la notification utilisateur. Règles de protection des communications réseau Les règles de protection des communications réseau surveillent ou bloquent les données entrantes ou sortantes sur votre réseau. Les règles de protection des communications réseau contrôlent le trafic réseau en fonction des ports (facultatifs) et des adresses réseau (obligatoires) spécifiés. Vous pouvez également spécifier les connexions entrantes ou sortantes, ou les deux. Vous pouvez ajouter une définition d'adresse réseau et une définition de port, mais les définitions peuvent contenir plusieurs adresses ou ports. Utilisez des définitions de classification pour limiter la règle à des marqueurs spécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupes d'utilisateurs spécifiés. Les règles de protection des communications réseau ne vérifient pas les critères de classification. Utilisez des critères de marquage lors de la définition des classifications utilisées avec les règles de protection des communications réseau. Actions Voici des actions de la règle de protection des communications réseau : Bloquer, Signaler l'incident et Avertir l'utilisateur. La sélection de Notification utilisateur active la fenêtre pop-up de notification utilisateur sur l'ordinateur client. Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté du réseau de l'entreprise, ou lorsque l'ordinateur est connecté au réseau de l'entreprise par VPN. Configuration client Le pilote de communication réseau est activé (par défaut) sur la page Mode de fonctionnement et modules. Règles de protection du partage réseau Les règles de protection du partage réseau contrôlent le contenu confidentiel stocké sur des partages réseau. Les règles de protection du partage réseau peuvent s'appliquer à tous les partages réseau ou à des partages spécifiés. Une définition du partage peut être incluse dans la règle, et la définition peut contenir plusieurs partages. Une classification incluse (obligatoire) définit le contenu confidentiel protégé. 108 McAfee Data Loss Prevention Endpoint Guide produit

109 Utilisation de règles pour protéger le contenu confidentiel Règles de protection de l'imprimante 8 Utilisez des définitions de classification pour limiter la règle à des marqueurs spécifiques ou des critères de classification. Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupes d'utilisateurs spécifiés. Actions Voici des actions de la règle de protection du partage réseau : Chiffrer, Demander une justification, Signaler l'incident, Stocker le fichier original et Avertir l'utilisateur. Le stockage de preuves est facultatif lors du signalement d'un incident. La sélection de Notification utilisateur active la fenêtre pop-up de notification utilisateur sur l'ordinateur client. Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté du réseau de l'entreprise. Les options de chiffrement sont McAfee File and Removable Media Protection (FRP) et le logiciel de chiffrement StormShield Data Security. Règles de protection de l'imprimante Les règles de protection contre l'impression surveillent ou bloquent l'impression des fichiers. Utilisez des définitions de classification pour limiter la règle à des marqueurs spécifiques ou des critères de classification. Vous pouvez également limiter la règle en spécifiant des utilisateurs, des imprimantes ou des applications. La définition de l'imprimante peut spécifier des imprimantes locales, des imprimantes réseau, des imprimantes réseau nommées ou des imprimantes image. Les imprimantes image, qui avaient une règle distincte dans les versions antérieures, sont maintenant incluses dans la règle d'imprimante générale. Actions Voici des actions de la règle de protection contre l'impression : Bloquer, Demander une justification, Avertir l'utilisateur, Signaler l'incident et Stocker le fichier original. Le stockage de preuves est facultatif lors du signalement d'un incident. La sélection de Notification utilisateur active la fenêtre pop-up de notification utilisateur sur l'ordinateur client. Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté du réseau de l'entreprise, ou lorsque l'ordinateur est connecté au réseau de l'entreprise par VPN. Configuration client Les applications incluses dans la liste blanche sont répertoriées sur la page Protection contre l'impression. Les règles de protection contre l'impression ignorent les fichiers imprimés à partir d'applications incluses dans la liste blanche. Les compléments d'application d'imprimante, sélectionnés dans la page Mode de fonctionnement et modules, peuvent améliorer les performances des imprimantes lors de l'utilisation de certaines applications courantes. Ces compléments sont installés uniquement dans le cas où une règle de protection contre l'impression est activée sur l'ordinateur managé. Règles de protection des périphériques de stockage amovibles Les règles de protection des périphériques de stockage amovibles surveillent ou bloquent l'écriture de données sur des périphériques de stockage amovibles. Les règles de protection des périphériques de stockage amovibles peuvent contrôler les équipements CD et DVD, les équipements de stockage amovibles, ou les deux. Limitez la règle avec des marqueurs ou des critères de classification dans les classifications (obligatoire). Vous pouvez également définir la règle avec des utilisateurs, des applications ou des URL web spécifiés. McAfee Data Loss Prevention Endpoint Guide produit 109

110 8 Utilisation de règles pour protéger le contenu confidentiel Règles de protection des périphériques de stockage amovibles Actions Voici des actions de la règle de protection des périphériques de stockage amovibles : Bloquer, Demander une justification, Chiffrer, Avertir l'utilisateur, Signaler l'incident et Stocker le fichier original. Le stockage de preuves est facultatif lors du signalement d'un incident. La sélection de Notification utilisateur active la fenêtre pop-up de notification utilisateur sur l'ordinateur client. Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté du réseau de l'entreprise. Configuration client Définissez le mode de suppression sur la page Protection des périphériques de stockage amovibles. Le mode normal supprime le fichier. Le mode agressif fait en sorte que le fichier supprimé soit irrécupérable. Sur la page Mode de fonctionnement et modules, activez les options avancées. Les options sont les suivantes : Protéger les supports de disques TrueCrypt Gestionnaire d'équipements portables Protection de copie de fichiers avancée Gestionnaire d'équipements portables Le protocole MTP (Media Transfer Protocol) est utilisé pour transférer des fichiers et les métadonnées associées à partir d'ordinateurs vers des équipements mobiles, tels que des smartphones. Les équipements MTP ne sont pas des équipements amovibles traditionnels, car l'équipement met en œuvre le système de fichiers, pas l'ordinateur auquel il est connecté. Lorsque le client est configuré pour les équipements MTP, la règle de protection des périphériques de stockage amovibles lui permet d'intercepter les transferts MTP et d'appliquer des stratégies de sécurité. Seules les connexions USB sont actuellement prises en charge. Le gestionnaire fonctionne avec tous les transferts de données effectués par l'explorateur Windows. Il ne fonctionne pas avec les équipements ios, qui utilisent itunes pour gérer les transferts de données. Pour les équipements ios, vous pouvez utiliser une règle pour équipements de stockage amovibles pour configurer les équipements en lecture seule. Protection des équipements TrueCrypt avec des règles de protection des périphériques de stockage amovibles Vous pouvez protéger les périphériques virtuels chiffrés TrueCrypt à l'aide des règles pour périphériques TrueCrypt ou des règles de protection des périphériques de stockage amovibles. Une règle de périphériques vous permet de bloquer ou de surveiller un volume TrueCrypt ou de le faire passer en lecture seule. Pour protéger le contenu de volumes TrueCrypt, utilisez une règle de protection. Les marqueurs sont perdus lorsque du contenu marqué est copié vers des volumes TrueCrypt, car les volumes TrueCrypt ne prennent pas en charge les attributs de fichiers étendus. Pour identifier le contenu, utilisez des définitions de propriétés de document, de chiffrement de fichiers ou de groupes de types de fichier dans la définition de classification. Protection contre la copie de fichiers avancée 110 McAfee Data Loss Prevention Endpoint Guide produit

111 Utilisation de règles pour protéger le contenu confidentiel Règles de protection contre les captures d'écran 8 La protection contre la copie de fichiers avancée intercepte les opérations de copie de Windows Explorer et permet au client McAfee DLP Endpoint d'inspecter le fichier à la source avant de le copier sur l'équipement amovible. Elle est activée par défaut, et ne doit être désactivée que pour résoudre les problèmes. Dans certains scénarios d'utilisation, la protection contre la copie de fichiers avancée ne convient pas. Par exemple, si un fichier est ouvert par une application et est enregistré sur un équipement amovible avec la fonction Enregistrer sous, la protection contre la copie normale s'applique. Le fichier est copié sur l'équipement, puis inspecté. Si du contenu confidentiel est trouvé, le fichier est immédiatement supprimé. Règles de protection contre les captures d'écran Les règles de protection contre les captures d'écran contrôlent les données copiées et collées depuis un écran. Utilisez des définitions de classification pour limiter la règle à des marqueurs spécifiques. Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupes d'utilisateurs spécifiés. Les règles de protection des communications réseau ne vérifient pas les critères de classification. Utilisez des critères de marquage lors de la définition des classifications utilisées avec les règles de capture d'écran. Actions Voici des actions de la règle de protection contre les captures d'écran : Bloquer, Avertir l'utilisateur, Signaler l'incident et Stocker le fichier original. Le stockage de preuves est facultatif lors du signalement d'un incident. La sélection de Notification utilisateur active la fenêtre pop-up de notification utilisateur sur l'ordinateur client. Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté du réseau de l'entreprise. Configuration client Les applications protégées par les règles de protection contre les captures d'écran sont répertoriées sur la page Protection contre les captures d'écran. La liste est pré-remplie avec les applications de capture d'écran courantes, et vous pouvez ajouter, modifier ou supprimer des applications. Pour activer le service de capture d'écran, accédez à la page Mode de fonctionnement et modules. Vous pouvez activer le gestionnaire d'applications et le gestionnaire de la touche Impression écran séparément. Par défaut, les deux sont activés. La désactivation du gestionnaire d'applications ou du service de capture d'écran désactive toutes les applications figurant sur la page Protection contre les captures d'écran. Règles de protection de la publication web Les règles de protection de la publication web surveillent ou bloquent la publication des données sur des sites web, y compris les sites de messagerie. Pour définir les règles de protection de la publication web, ajoutez des adresses web à la règle. Utilisez des définitions de classification pour limiter la règle à des marqueurs spécifiques ou des critères de classification. Vous pouvez également limiter la règle aux utilisateurs locaux ou à des groupes d'utilisateurs spécifiés. McAfee Data Loss Prevention Endpoint Guide produit 111

112 8 Utilisation de règles pour protéger le contenu confidentiel Découverte de terminaux Actions Voici des actions de la règle de protection contre l'impression : Bloquer, Demander une justification, Avertir l'utilisateur, Signaler l'incident et Stocker le fichier original. Le stockage de preuves est facultatif lors du signalement d'un incident. La sélection de Notification utilisateur active la fenêtre pop-up de notification utilisateur sur l'ordinateur client. Différentes actions peuvent être appliquées lorsque l'ordinateur est déconnecté du réseau de l'entreprise. Configuration client Activez les navigateurs pour la protection web sur la page Mode de fonctionnement et modules. Microsoft Internet Explorer, Microsoft Edge, Mozilla Firefox et Google Chrome sont pris en charge. Page Protection de la publication web La page Protection de la publication web contient une liste d'url incluses dans la liste blanche qui sont exclues des règles de protection de la publication web. Elle propose également un paramètre pour autoriser le traitement des demandes HTTP GET. Les demandes GET sont désactivées par défaut, car elles consomment beaucoup de ressources. Utilisez cette option avec prudence. La Stratégie de délai d'expiration web définit un délai minimal pour l'analyse des publications web et l'action à prendre si le délai est écoulé. Les options sont Bloquer ou Autoriser. Vous pouvez également sélectionner Notification utilisateur. La page contient également une liste des versions prises en charge de Google Chrome. La liste est nécessaire en raison de la fréquence des mises à jour de Chrome. Pour remplir la liste, il faut télécharger une liste à jour à partir du support technique McAfee et utiliser Parcourir pour installer le fichier XML. Découverte de terminaux La fonction de découverte est un robot qui s'exécute sur les ordinateurs client. Il effectue des recherches dans les fichiers du stockage des s et du système de fichiers local, et applique des règles pour protéger le contenu confidentiel. Sommaire Protection des fichiers avec des règles de découverte Comment l'analyse de découverte fonctionne-t-elle? Recherche de contenu avec le robot de découverte de terminaux Protection des fichiers avec des règles de découverte Les règles de découverte définissent le contenu que McAfee DLP recherche lors de l'analyse des référentiels et déterminent les mesures à prendre lorsque du contenu correspondant est détecté. Selon le type de règle, les fichiers correspondant à une analyse peuvent être copiés, déplacés, chiffrés, mis en quarantaine, marqués ou faire l'objet d'une stratégie de gestion des droits. Toutes les conditions de règle de découverte comportent une classification. Lorsque vous utilisez des règles de découverte du stockage des s avec l'action de prévention Mettre en quarantaine, vérifiez que le complément pour Outlook est activé (Catalogue de stratégies Data Loss Prevention 9.4 Configuration client Mode de fonctionnement et modules). Vous ne pouvez pas libérer d' s de la quarantaine lorsque le complément pour Outlook est désactivé. 112 McAfee Data Loss Prevention Endpoint Guide produit

113 Utilisation de règles pour protéger le contenu confidentiel Découverte de terminaux 8 Tableau 8-5 Règles de découverte disponibles Type de règle Produit Contrôle les fichiers découverts par... Système de fichiers local McAfee DLP Endpoint Les analyses du système de fichiers local. local (OST, PST) McAfee DLP Endpoint Les analyses des systèmes de stockage des s. Comment l'analyse de découverte fonctionne-t-elle? Les analyses de découverte Endpoint permettent de localiser le système de fichiers local ou les fichiers de stockage des s contenant des données confidentielles, et de les marquer ou de les mettre en quarantaine. La fonction de découverte de McAfee DLP Endpoint est un robot qui s'exécute sur les ordinateurs clients. Lorsqu'il détecte du contenu prédéfini, il peut surveiller, mettre en quarantaine, marquer ou chiffrer les fichiers comportant ce contenu, ou encore leur appliquer une stratégie de gestion des droits. La découverte Endpoint peut analyser les fichiers d'ordinateur ou les fichiers de stockage des s (PST, PST mappé et OST). Les fichiers de stockage des s sont mis en cache pour chaque utilisateur. Pour utiliser la découverte Endpoint, vous devez activer les modules de découverte sur la page Catalogue de stratégies Configuration client Mode de fonctionnement et modules. A la fin de chaque analyse de découverte, le client McAfee DLP Endpoint envoie un événement de synthèse de découverte à la console Gestionnaire d'incidents DLP dans McAfee epo pour consigner les détails de l'analyse. L'événement comporte un fichier de preuve qui répertorie les fichiers qui n'ont pas pu être analysés. La raison pour laquelle ils n'ont pas pu être analysés est indiquée pour chaque fichier. Il existe aussi un fichier de preuve indiquant les fichiers correspondant à la classification et à l'action effectuée. Dans McAfee DLP Endpoint 9.4.0, l'événement de synthèse était un événement opérationnel. Pour mettre à jour les anciens événements de synthèse dans le Gestionnaire d'incidents DLP, utilisez la tâche serveur McAfee epo Migrer des événements d'incident DLP de 9.4 vers Quand effectuer les recherches? Pour planifier des analyses de découverte, accédez à la page Catalogue de stratégies Stratégie DLP Découverte Endpoint. Vous pouvez lancer une analyse à une heure précise chaque jour ou uniquement les jours de la semaine ou du mois que vous aurez spécifiés. Vous pouvez préciser les dates de départ et d'arrêt, ou exécuter une analyse lorsque la configuration McAfee DLP Endpoint est mise en œuvre. Vous pouvez suspendre une analyse lorsque le processeur ou la mémoire RAM de l'ordinateur dépassent une limite définie. Si vous modifiez la stratégie de découverte lorsqu'une analyse Endpoint est en cours, les règles et les paramètres de planification seront modifiés immédiatement. Les modifications liées à l'activation ou à la désactivation de paramètres seront appliquées au cours de la prochaine analyse. Si vous redémarrez l'ordinateur lorsqu'une analyse est en cours, l'analyse reprend à l'endroit où elle a été interrompue. Quel type de contenu peut être détecté? Vous définissez des règles de découverte avec une classification. Les propriétés de fichier ou conditions de données pouvant être ajoutées aux critères de classification peuvent être utilisées pour découvrir du contenu. McAfee Data Loss Prevention Endpoint Guide produit 113

114 8 Utilisation de règles pour protéger le contenu confidentiel Découverte de terminaux Qu'advient-il des fichiers détectés qui présentent du contenu confidentiel? Vous pouvez mettre des fichiers d' s en quarantaine ou les marquer. Vous pouvez chiffrer, mettre en quarantaine et marquer des fichiers du système de fichiers local, ou encore leur appliquer une stratégie de gestion des droits. Vous pouvez stocker des preuves pour les deux types de fichier. Recherche de contenu avec le robot de découverte de terminaux Quatre étapes sont nécessaires à l'exécution du robot de découverte. 1 Créez et définissez des classifications pour identifier le contenu confidentiel. 2 Créez et définissez une règle de découverte. La classification est comprise dans la définition de la règle de découverte. 3 Créez une définition de planification. 4 Configurez les paramètres d'analyse. La définition d'analyse inclut la planification parmi ses paramètres. s Création et définition d'une règle de découverte, page 114 Les règles de découverte définissent le contenu recherché par le robot et déterminent les actions à effectuer lorsque ce contenu a été trouvé. Création d'une définition de planificateur, page 115 Le planificateur permet de déterminer la période et la fréquence d'exécution d'une analyse de découverte. Configuration d'une analyse, page 115 Les analyses de découverte analysent le système de fichiers local ou les boîtes aux lettres, à la recherche de contenu confidentiel. Scénario d'utilisation : restauration des fichiers ou des s mis en quarantaine, page 116 Lorsque la découverte McAfee DLP Endpoint trouve du contenu confidentiel, elle déplace les fichiers ou les s concernés dans un dossier de quarantaine et les remplace par un espace réservé qui indique aux utilisateurs que leurs fichiers ou s ont été mis en quarantaine. Les fichiers et les s mis en quarantaine sont également chiffrés afin d'empêcher toute utilisation non autorisée. Création et définition d'une règle de découverte Les règles de découverte définissent le contenu recherché par le robot et déterminent les actions à effectuer lorsque ce contenu a été trouvé. Les modifications affectant une règle de découverte sont appliquées lorsque la stratégie est déployée. Une nouvelle règle prend effet immédiatement, même lorsqu'une analyse est en cours. Pour les analyses de stockage des s (PST, PST mappé et OST), le robot analyse les s (corps et pièces jointes), les éléments du calendrier et les tâches. Il n'analyse pas les dossiers publics ou les notes récurrentes. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP. 2 Sur la page Jeux de règles, sélectionnez Actions Nouveau jeu de règles. Entrez un nom, puis cliquez sur OK. Vous pouvez également ajouter des règles de découverte à un jeu de règles existant. 114 McAfee Data Loss Prevention Endpoint Guide produit

115 Utilisation de règles pour protéger le contenu confidentiel Découverte de terminaux 8 3 Sous l'onglet Découverte, sélectionnez Actions Nouvelle règle de découverte Endpoint puis sélectionnez local ou Système de fichiers local. La page correspondante s'affiche. 4 Saisissez le nom de la règle et sélectionnez une classification. 5 Cliquez sur Réaction. Sélectionnez une mesure préventive dans la liste déroulante. 6 Facultatif : sélectionnez les options Signaler l'incident, définissez la valeur Etat sur Activé et choisissez une désignation dans la liste déroulante Gravité. 7 Cliquez sur Enregistrer. Création d'une définition de planificateur Le planificateur permet de déterminer la période et la fréquence d'exécution d'une analyse de découverte. Cinq types de planification sont fournis : Exécuter immédiatement Hebdomadaire Une fois Mensuelle Tous les jours Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire de stratégies DLP. 2 Cliquez sur l'onglet Définitions. 3 Dans le volet gauche, cliquez sur Planificateur. Si McAfee DLP Discover et McAfee DLP Endpoint sont installés, la liste des calendriers existants comprend les calendriers des deux logiciels. 4 Sélectionnez Actions Nouveau. La page Nouveau planificateur s'affiche. 5 Entrez un nom unique et sélectionnez le type de planification dans la liste déroulante. Lorsque vous sélectionnez le type de planification, l'affichage change et fournit les champs nécessaires pour ce type particulier. 6 Définissez les options requises, puis cliquez sur Enregistrer. Configuration d'une analyse Les analyses de découverte analysent le système de fichiers local ou les boîtes aux lettres, à la recherche de contenu confidentiel. Avant de commencer Vérifiez que les jeux de règles à appliquer aux analyses ont été appliqués à la stratégie DLP. Ces informations s'affichent dans l'onglet Stratégie DLP Jeux de règles. Les modifications apportées aux paramètres de découverte prennent effet lors de l'analyse suivante. Elles ne s'appliquent pas aux analyses en cours. McAfee Data Loss Prevention Endpoint Guide produit 115

116 8 Utilisation de règles pour protéger le contenu confidentiel Découverte de terminaux Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, cliquez sur Menu Stratégie Catalogue de stratégies. 2 Sélectionnez Produit Data Loss Prevention 9.4, puis sélectionnez la stratégie DLP active. 3 Sous l'onglet Découverte Endpoint, sélectionnez Actions Nouvelle analyse Endpoint, puis sélectionnez local ou Système de fichiers local. 4 Attribuez un nom à l'analyse, puis sélectionnez une planification dans la liste déroulante. 5 Facultatif : modifiez les valeurs par défaut pour Gestion des incidents et Traitement des erreurs. Définissez la valeur Etat sur Activé. Le traitement des erreurs est effectué lorsque le texte ne peut pas être extrait. 6 Dans l'onglet Dossiers, effectuez l'une des actions suivantes : Pour analyser un système de fichiers, sélectionnez Actions Sélectionner les dossiers. Sélectionnez une définition de dossier existante ou cliquez sur Nouvel élément pour en créer une. Définissez l'option Inclure ou Exclure pour le dossier. Pour analyser les s, sélectionnez les types de fichier (OST, PST) et les boîtes aux lettres à analyser. 7 Facultatif : sous l'onglet Filtres (analyses de système de fichiers uniquement), sélectionnez Actions Sélectionner les filtres. Sélectionnez une définition d'informations de fichier ou cliquez sur Nouvel élément pour en créer une. Définissez l'option Inclure ou Exclure pour le filtre. Cliquez sur OK. La valeur par défaut est Tous les fichiers. Le fait de définir un filtre rend l'analyse plus efficace. 8 Sous l'onglet Règles, vérifiez les règles qui s'appliquent. Toutes les règles de découverte issues des jeux de règles appliqués à la stratégie sont exécutées. Scénario d'utilisation : restauration des fichiers ou des s mis en quarantaine Lorsque la découverte McAfee DLP Endpoint trouve du contenu confidentiel, elle déplace les fichiers ou les s concernés dans un dossier de quarantaine et les remplace par un espace réservé qui indique aux utilisateurs que leurs fichiers ou s ont été mis en quarantaine. Les fichiers et les s mis en quarantaine sont également chiffrés afin d'empêcher toute utilisation non autorisée. Avant de commencer Pour afficher l'icône McAfee DLP dans Microsoft Outlook, l'option Afficher les commandes de libération de la quarantaine dans Outlook doit être activée dans Catalogue de stratégies Stratégie client Mode de fonctionnement et modules. Lorsqu'elle est désactivée, l'icône et l'option de menu contextuel permettant d'afficher les s mis en quarantaine sont bloquées, et vous ne pouvez pas libérer d' s de la quarantaine. Lorsque vous définissez une règle de découverte du système de fichiers sur Quarantaine et que le robot découvre un contenu confidentiel, il déplace les fichiers concernés dans un dossier de quarantaine et les remplace par un espace réservé, qui indique aux utilisateurs que ces fichiers ont été mis en quarantaine. Les fichiers mis en quarantaine sont chiffrés afin d'empêcher toute utilisation non autorisée. 116 McAfee Data Loss Prevention Endpoint Guide produit

117 Utilisation de règles pour protéger le contenu confidentiel Découverte de terminaux 8 Concernant les s mis en quarantaine, McAfee DLP Endpoint ajoute un préfixe à l'objet dans Outlook pour indiquer aux utilisateurs que leurs s ont été mis en quarantaine. Le corps de l' et les pièces jointes sont mis en quarantaine. Le mécanisme a été modifié depuis les versions précédentes de McAfee DLP Endpoint, qui pouvait chiffrer le corps ou les pièces jointes, pour empêcher la corruption de la signature lors de l'utilisation du système de signature d' . Les tâches et les éléments du calendrier Microsoft Outlook peuvent également être mis en quarantaine. Figure 8-2 Exemple d' mis en quarantaine 1 Pour restaurer des fichiers mis en quarantaine, procédez comme suit : a Dans la barre d'état système de l'ordinateur managé, cliquez sur l'icône McAfee Agent et sélectionnez Gérer les fonctions Console DLP Endpoint. La console DLP Endpoint s'ouvre. b Sous l'onglet Tâches, sélectionnez Ouvrir le dossier de quarantaine. Le dossier de quarantaine s'ouvre. c Sélectionnez les fichiers à restaurer. Cliquez avec le bouton droit de la souris et sélectionnez Libérer de la quarantaine. L'option Libérer de la quarantaine du menu contextuel s'affiche uniquement lorsque vous sélectionnez des fichiers de type *.dlpenc (fichiers chiffrés par DLP). La fenêtre pop-up Code d'autorisation s'affiche. 2 Pour restaurer les s mis en quarantaine : cliquez sur l'icône McAfee DLP ou cliquez avec le bouton droit de la souris et sélectionnez Libérer de la quarantaine. a Dans Microsoft Outlook, sélectionnez les s (ou autres éléments) à restaurer. b Cliquez sur l'icône McAfee DLP. La fenêtre pop-up Code d'autorisation s'affiche. 3 Copiez le code ID d'authentification indiqué dans la fenêtre pop-up et envoyez-le à l'administrateur DLP. McAfee Data Loss Prevention Endpoint Guide produit 117

118 8 Utilisation de règles pour protéger le contenu confidentiel Protection des fichiers avec la gestion des droits 4 L'administrateur génère un code de réponse et l'envoie à l'utilisateur. (Un événement correspondant est également envoyé à Evénements opérationnels DLP, qui enregistre ces informations.) 5 L'utilisateur saisit le code d'autorisation dans la fenêtre pop-up Code d'autorisation et clique sur OK. Les fichiers déchiffrés sont restaurés à leur emplacement d'origine. Si la stratégie de déverrouillage du code d'autorisation a été activée (sous l'onglet Configuration des agents Service de notification) et que vous saisissez un code incorrect à trois reprises, la fenêtre pop-up est bloquée pendant 30 minutes (paramètre par défaut). Pour les fichiers, si le chemin d'accès a été modifié ou supprimé, le chemin d'origine est restauré. Si l'emplacement indiqué contient un fichier portant le même nom, le fichier est restauré sous le nom xxx-copie.abc. Protection des fichiers avec la gestion des droits McAfee DLP Endpoint peut s'intégrer à des serveurs de gestion des droits, afin de protéger les fichiers qui correspondent à des classifications de règles. Vous pouvez appliquer une réaction de stratégie de gestion des droits aux règles de protection des données et de découverte suivantes : Protection du cloud Système de fichiers Endpoint Les stratégies de gestion des droits ne peuvent pas être utilisées avec des règles de contrôle des équipements. McAfee DLP Endpoint peut reconnaître les fichiers protégés par la gestion des droits si vous ajoutez une propriété de chiffrement des fichiers aux critères de classification ou de marquage. Ces fichiers peuvent être inclus dans la classification ou en être exclus. Voir aussi Définition d'un serveur de gestion des droits, page 40 Fonctionnement de McAfee DLP avec la gestion des droits McAfee DLP suit un workflow particulier pour appliquer des stratégies de gestion des droits aux fichiers. Workflow de gestion des droits 1 Créez et appliquez une règle de protection des données ou de découverte avec une réaction indiquant d'appliquer une stratégie de gestion des droits. Cette réaction requiert un serveur de gestion des droits et une entrée de stratégie de gestion des droits. Vous pouvez également créer une règle de marquage pour ajouter un marqueur à des fichiers protégés par la gestion des droits. 2 Quand un fichier déclenche la règle, McAfee DLP l'envoie sur le serveur de gestion des droits. 3 Ce dernier applique les protections basées sur la stratégie spécifiée : chiffrement du fichier, limitation des utilisateurs autorisés à accéder au fichier ou à le déchiffrer, ou limitation des conditions dans lesquelles le fichier est accessible. 4 Le serveur de gestion des droits renvoie le fichier à la source avec les protections appliquées. 5 Si vous avez configuré un marqueur pour le fichier, McAfee DLP peut le surveiller. 118 McAfee Data Loss Prevention Endpoint Guide produit

119 Utilisation de règles pour protéger le contenu confidentiel Protection des fichiers avec la gestion des droits 8 Lorsque le logiciel McAfee DLP appliquant la règle de découverte du système de fichiers détecte un fichier à protéger, il utilise le modèle de GUID comme identifiant unique afin de localiser le modèle et d'appliquer la protection. Limitations Le logiciel McAfee DLP Endpoint ne contrôle pas le contenu des fichiers protégés par la gestion des droits. Lorsqu'un fichier marqué est protégé par la gestion des droits, seuls les marqueurs statiques (emplacement et application) sont conservés. Si un utilisateur modifie le fichier, tous les marqueurs sont perdus lors de son enregistrement. Serveurs de gestion des droits pris en charge McAfee DLP Endpoint prend en charge Microsoft Windows Rights Management Services (Microsoft RMS) et les services de gestion des droits d'information (IRM) de Seclore FileSecure. Microsoft RMS McAfee DLP Endpoint prend en charge Microsoft RMS sur Windows Server 2003 et Active Directory RMS (AD-RMS) sur Windows Server 2008 et Vous pouvez appliquer la protection Windows RMS aux documents suivants : Documents Microsoft Word 2007, Word 2010 et Word 2013 Documents Microsoft Excel 2007, Excel 2010 et Excel 2013 Documents Microsoft PowerPoint 2007, PowerPoint 2010 et PowerPoint 2013 Documents SharePoint 2007 Documents Exchange Server 2007 Avec Microsoft RMS, le logiciel McAfee DLP Endpoint peut contrôler le contenu des fichiers protégés si l'utilisateur connecté possède des autorisations de consultation. Pour plus d'informations sur Microsoft RMS, consultez la page library/cc aspx. Seclore IRM McAfee DLP Endpoint prend en charge Seclore FileSecure RM, qui gère 140 formats de fichiers y compris les formats de document les plus courants : Documents Microsoft Office Documents Open Office PDF Textes et formats texte, y compris CSV, XML et HTML Formats image, y compris JPEG, BMP, GIF, etc. Formats de conception ingénierie, y compris DWG, DXF et DWF Le client McAfee DLP Endpoint peut être associé au client de bureau FileSecure pour bénéficier d'une intégration en ligne et hors ligne. Pour plus d'informations sur Seclore IRM, consultez la page seclorefilesecure_overview.html. McAfee Data Loss Prevention Endpoint Guide produit 119

120 8 Utilisation de règles pour protéger le contenu confidentiel Protection des fichiers avec la gestion des droits 120 McAfee Data Loss Prevention Endpoint Guide produit

121 9 9 Utilisation des stratégies McAfee DLP Endpoint stocke les stratégies et les configurations dans le catalogue de stratégies McAfee epo. Les stratégies DLP du catalogue de stratégies McAfee epo contiennent des jeux de règles (règles de protection), ainsi que les classifications et définitions qui y sont associées. Elles peuvent aussi inclure des configurations d'analyse de découverte Endpoint et des paramètres serveur. La création de règles et de jeux de règles s'effectue dans le Gestionnaire de stratégies DLP. Les jeux de règles peuvent contenir plusieurs règles de type Protection des données, Contrôle des équipements et Découverte. Les règles d'un jeu de règles utilisent l'opérateur logique OU, c'est-à-dire que le jeu de règles s'applique si le contenu inspecté correspond à l'une des règles. Au sein d'une même règle, certains paramètres utilisent l'opérateur logique ET ou SAUF, et certaines combinaisons de paramètres utilisent l'opérateur logique ET, OU ou SAUF, comme spécifié par l'administrateur. Workflow Les étapes de la gestion des stratégies sont les suivantes : 1 Créez et enregistrez les jeux de règles sur la page Gestionnaire de stratégies DLP Jeux de règles. 2 La plupart des règles requièrent des classifications. Celles-ci sont définies dans le module Classification. 3 Affectez le jeu de règles à une stratégie DLP sur la page Gestionnaire de stratégies DLP Affectation de stratégie. 4 Créez ou modifiez des définitions. 5 Appliquez les stratégies à McAfee epo sur la page Catalogue de stratégies. Dans le catalogue de stratégies, vous pouvez également créer des stratégies en dupliquant une stratégie par défaut ou une autre stratégie existante. Sommaire Utilisation de plusieurs stratégies Fonctionnement des définitions Modification d'une stratégie DLP McAfee Data Loss Prevention Endpoint Guide produit 121

122 9 Utilisation des stratégies Utilisation de plusieurs stratégies Utilisation de plusieurs stratégies Utilisez plusieurs stratégies pour remplacer les définitions et les paramètres communs. Des stratégies McAfee DLP peuvent être affectées aux ordinateurs clients par McAfee epo depuis l'arborescence des systèmes comme stratégie globale ou par des règles d'affectation de stratégie. La version 9.3 de McAfee DLP présentait une politique unique, qui comprenait les définitions et les paramètres communs. Ces paramètres et définitions étaient envoyés à tous les ordinateurs clients, quelle que soit la méthode utilisée. Les paramètres comprenaient les types d'informations suivants : Règles de marquage Texte inclus dans la liste blanche Règles de classification Définitions d'applications Noms de critères de classification et de marqueur Classes de périphériques Certains paramètres et définitions peuvent influer sur le comportement du système client. Par exemple, le fait de passer une classe d'appareil de non gérée à gérée fait que le client McAfee DLP Endpoint surveille et tente de contrôler les appareils appartenant à cette classe. Si certains ordinateurs clients utilisent des appareils qui ont des problèmes de compatibilité avec le pilote de périphérique McAfee DLP Endpoint, leurs performances peuvent être sérieusement compromises. La version 9.4 de McAfee DLP résout ce problème en proposant plusieurs stratégies. Les administrateurs peuvent remplacer la classe de périphériques et les paramètres de modèle d'application par stratégie, et définir des paramètres et des définitions différents pour des systèmes distincts dans les organisations. Vous pouvez affecter différentes stratégies avec des règles d'affectation des stratégies ou des groupes d'affectation des utilisateurs. Par défaut, Ma stratégie DLP par défaut est affectée à la racine de l'arborescence des systèmes. Fonctionnement des définitions Les définitions permettent de configurer des règles, des critères de classification et des analyses de découverte. Les définitions McAfee DLP sont stockées dans un catalogue de définitions. Une fois définies, elles sont disponibles pour toutes les fonctionnalités McAfee DLP. Toutes les définitions sont configurables par l'utilisateur, mais certaines sont aussi prédéfinies. Vous pouvez afficher les définitions intégrées en cochant la case correspondante. Tableau 9-1 Définitions disponibles par le biais de la fonctionnalité de McAfee DLP Classifications Jeux de règles Données Modèle avancé* Extension de fichier* Dictionnaire* Propriétés de documents Extension de fichier* Informations sur le fichier Type de fichier vrai* Contrôle des équipements classe d'équipement Définitions d'équipement Notification Justification Notification utilisateur 122 McAfee Data Loss Prevention Endpoint Guide produit

123 Utilisation des stratégies Modification d'une stratégie DLP 9 Tableau 9-1 Définitions disponibles par le biais de la fonctionnalité de McAfee DLP (suite) Autre Source/Destination Classifications Jeux de règles Planificateur Modèle d'application Adresse Groupe d'utilisateurs finaux Dossier local Adresse réseau (adresse IP) Port réseau Imprimante réseau Partage réseau Nom du processus Liste d'url Titre de fenêtre *Indique que des définitions prédéfinies (intégrées) sont disponibles. Modification d'une stratégie DLP La configuration d'une stratégie DLP est constituée de jeux de règles, d'affectations de stratégie et de définitions. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Gestionnaire de stratégies DLP. Créez au moins un jeu de règles à affecter à la stratégie DLP. Reportez-vous à la section Création d'un jeu de règles du présent manuel pour plus de détails. 2 Dans McAfee epo, sélectionnez Menu Catalogue de stratégies Produit : Data Loss Prevention 9.4. Ouvrez une configuration de stratégie DLP. Sélectionnez une étiquette de stratégie DLP dans la colonne Catégorie, puis cliquez sur la colonne Nom. 3 Sélectionnez l'onglet Jeux de règles actifs. Si des jeux de règles ont été affectés à la stratégie, ils sont répertoriés sur la page. 4 Pour affecter de nouveaux jeux de règles à la stratégie : a Sélectionnez Menu Gestionnaire de stratégies DLP Affectation de stratégie. b c Sélectionnez Actions Affecter des jeux de règles à une stratégie. Vous pouvez aussi affecter un jeu de règles à plusieurs stratégies à partir du menu Actions. Dans la fenêtre de sélection, sélectionnez une stratégie dans la liste déroulante, puis choisissez les jeux de règles à lui affecter à l'aide des cases à cocher. Cliquez sur OK. Les jeux de règles sélectionnés sont ajoutés à la stratégie. McAfee Data Loss Prevention Endpoint Guide produit 123

124 9 Utilisation des stratégies Modification d'une stratégie DLP 5 Pour supprimer des jeux de règles de la stratégie : a Sélectionnez Actions Affecter des jeux de règles à une stratégie. b Dans la fenêtre de sélection, désactivez les cases correspondant aux jeux de règles à supprimer de la stratégie. Cliquez sur OK. Les jeux de règles sélectionnés sont supprimés de la stratégie. 6 Sélectionnez l'onglet Découverte Endpoint. 7 Sélectionnez Actions Nouvelle analyse Endpoint, puis sélectionnez le type d'analyse à exécuter : local ou Système de fichiers local. Une page de configuration d'analyse apparaît. Cette page vous permet de sélectionner une définition de planification, des règles à appliquer, ainsi que d'autres détails relatifs à l'analyse. Lorsque vous avez renseigné tous les détails requis, cliquez sur Enregistrer. 8 Cliquez sur l'onglet Paramètres. Cette page vous permet de définir les options suivantes. Stratégie d'application par défaut et stratégie d'application de remplacement pour les applications sélectionnées. Valeurs de remplacement pour la classe d'équipement et types de filtre. Ajout de groupes d'utilisateurs ou d'utilisateurs privilégiés. 9 Lorsque vous avez terminé toutes les modifications, cliquez sur Appliquer la stratégie. Les modifications sont appliquées à la base de données McAfee epo. 124 McAfee Data Loss Prevention Endpoint Guide produit

125 Surveillance et génération de rapports Vous pouvez utiliser les composants logiciels McAfee DLP Endpoint pour localiser et examiner les violations de stratégie, ainsi que pour localiser les événements administratifs (opérationnels). Chapitre 10 Chapitre 11 Chapitre 12 Surveillance et rapports d'événements Collecte et gestion des données Création de rapports McAfee Data Loss Prevention Endpoint Guide produit 125

126 Surveillance et génération de rapports 126 McAfee Data Loss Prevention Endpoint Guide produit

127 10 Surveillance et rapports d'événements McAfee DLP sépare les événements en deux classes : les incidents (c'est-à-dire les violations de stratégies) et les événements d'administration. Ces événements sont affichés dans les deux consoles, Gestionnaire d'incidents DLP et Evénements opérationnels DLP. Lorsque McAfee DLP détecte une violation de stratégie, il génère un événement qu'il envoie à l'analyseur d'événements McAfee epo. Ces événements sont visualisés, filtrés et triés sur la console Gestionnaire d'incidents DLP, ce qui permet aux administrateurs ou aux responsables de la sécurité de consulter ces événements et de réagir dans les plus brefs délais. Le cas échéant, le contenu suspect est joint à l'événement en tant que preuve. McAfee DLP jouant un rôle majeur dans les mesures prises par une entreprise pour respecter ses obligations réglementaires et la législation en matière de confidentialité, le Gestionnaire d'incidents DLP présente les informations relatives à la transmission des données confidentielles de la façon la plus souple et précise possible. Les auditeurs, les directeurs, les responsables de la confidentialité et d'autres employés essentiels peuvent utiliser le Gestionnaire d'incidents DLP pour identifier les activités suspectes ou non autorisées, afin d'agir conformément à la politique de confidentialité de l'entreprise et aux autres réglementations et législations en vigueur. L'administrateur système ou le responsable de la sécurité dispose d'un suivi des événements d'administration concernant les agents et l'état de la distribution des stratégies. La console Evénements opérationnels DLP affiche les détails relatifs au déploiement client, aux modifications de stratégies, au déploiement des stratégies, aux connexions en mode sans échec, aux contrôles prioritaires sur agents et aux autres événements d'administration. Sommaire Gestionnaire d'incidents DLP Fonctionnement du gestionnaire d'incidents Types d'incident et détails Gestion des incidents Utilisation des cas McAfee Data Loss Prevention Endpoint Guide produit 127

128 10 Surveillance et rapports d'événements Gestionnaire d'incidents DLP Gestionnaire d'incidents DLP La page Gestionnaire d'incidents DLP de McAfee epo permet d'afficher les événements de sécurité générés par des violations de stratégie. Le gestionnaire d'incidents contient trois sections à onglets : Liste des incidents : liste en cours des événements de violation de stratégie. Tâches relatives aux incidents : liste des actions que vous pouvez effectuer sur la liste ou sur des parties sélectionnées de la liste. Ces tâches comprennent l'affectation de réviseurs à des incidents, la configuration de notifications par automatiques et la purge de la totalité ou d'une partie de la liste. Historique des incidents : liste contenant l'ensemble des incidents historiques. La purge de la liste des incidents n'a aucun effet sur l'historique. Utilisez le module Evénements opérationnels DLP pour afficher des événements d'administration tels que des déploiements d'agents. Le module est organisé de façon identique, avec trois pages à onglets : Liste des événements opérationnels, Tâches d'événements opérationnels et Historique des événements opérationnels. Fonctionnement du gestionnaire d'incidents L'onglet Liste des incidents du Gestionnaire d'incidents DLP contient toutes les fonctionnalités nécessaires à la révision des incidents de violation de stratégie. Vous pouvez afficher les détails d'un événement donné en cliquant sur celui-ci. Vous pouvez créer et enregistrer des filtres pour modifier l'affichage, ou utiliser des filtres prédéfinis dans le volet Grouper par. Vous pouvez aussi modifier l'affichage en sélectionnant et en organisant des colonnes. Les icônes de couleur et les évaluations numériques de gravité permettent de passer en revue les événements de façon simple et rapide. L'onglet Liste des incidents s'appuie sur la fonctionnalité Requêtes et rapports de McAfee epo pour créer des rapports et afficher des données sur les tableaux de bord McAfee epo. Vous pouvez utiliser les options suivantes sur les événements : Gestion des cas : permet de créer des cas et d'ajouter les incidents sélectionnés à un cas. Commentaires : permet d'ajouter des commentaires à des incidents sélectionnés. Envoyer les événements par permet d'envoyer les événements sélectionnés. Exporter les paramètres de l'équipement : permet d'exporter les paramètres de l'équipement vers un fichier CSV (liste des données en utilisation/mouvement uniquement). Etiquettes : permet de définir une étiquette pour filtrer par étiquette. Rédaction de version : permet de supprimer la rédaction pour afficher les champs protégés (requiert des autorisations adaptées). Définir les propriétés : permet de modifier la gravité, l'état ou la résolution ; permet d'affecter un utilisateur ou un groupe pour la révision des incidents. 128 McAfee Data Loss Prevention Endpoint Guide produit

129 Surveillance et rapports d'événements Fonctionnement du gestionnaire d'incidents 10 La page Evénements opérationnels DLP fonctionne de manière identique avec les événements d'administration. Figure 10-1 Gestionnaire d'incidents DLP Tâches relatives aux incidents/tâches d'événements opérationnels Les onglets Tâches relatives aux incidents et Tâches d'événements opérationnels permettent de définir des critères pour les tâches planifiées. Les tâches configurées sur les pages utilisent la fonctionnalité Tâches serveur de McAfee epo pour planifier des tâches. Les deux onglets de tâches sont organisés par type de tâche (volet gauche). L'onglet Tâches relatives aux incidents est également organisé par type d'incident. Les données apparaissent donc sous forme de matrice 4 x 3 et les informations affichées dépendent des deux paramètres que vous sélectionnez. Données en utilisation/ mouvement Données stockées passivement (Endpoint) Définition du réviseur x x Notification par automatique x x Données en utilisation/ mouvement (historique) Purge des événements x x x Scénario d'utilisation - Définition des propriétés Les propriétés sont des données ajoutées à un incident qui nécessite un suivi. Vous pouvez ajouter les propriétés dans Actions Définir les propriétés ou dans le volet de détails de l'incident. Les propriétés sont les suivantes : Gravité Révision du groupe Etat Révision de l'utilisateur Résolution Le réviseur peut être n'importe quel utilisateur McAfee epo. La gravité est modifiable, car si l'administrateur établit que l'incident est un faux positif, le niveau de gravité d'origine n'est plus pertinent. McAfee Data Loss Prevention Endpoint Guide produit 129

130 10 Surveillance et rapports d'événements Types d'incident et détails Scénario d'utilisation - Modification de l'affichage Outre l'utilisation des filtres permettant de modifier l'affichage, vous pouvez aussi personnaliser les champs et l'ordre de l'affichage. Les affichages personnalisés peuvent être enregistrés et réutilisés. La création d'un filtre s'articule autour des tâches suivantes : 1 Cliquez sur Actions Afficher Choisir les colonnes pour ouvrir la fenêtre de modification de l'affichage. 2 Utilisez l'icône x pour supprimer des colonnes et les icônes en forme de flèche pour déplacer des colonnes vers la gauche ou la droite. 3 Cliquez sur Mettre à jour l'affichage pour appliquer l'affichage personnalisé, et sur Actions Afficher Enregistrer l'affichage pour enregistrer l'affichage et le réutiliser ultérieurement. Une fois l'affichage enregistré, vous pouvez aussi enregistrer les filtres personnalisés et temporels. Les affichages enregistrés sont disponibles dans le menu déroulant en haut de la page. Types d'incident et détails Les incidents sont classés en fonction du type de violation ayant eu lieu. Le gestionnaire d'incidents affiche les incidents générés par tous les produits logiciels McAfee DLP. La page des détails du Gestionnaire d'incidents DLP affiche tous les détails relatifs à un incident particulier. Les informations et les options affichées varient selon le type d'incident. Par exemple, les détails des incidents Protection du partage réseau contiennent des informations sur la destination, alors que ceux des incidents Contrôle des équipements contiennent des informations sur les équipements. Tous les incidents contiennent les onglets Règles, Journal d'audit et Commentaires, mais certains types d'incident, comme Protection du partage réseau, contiennent aussi les onglets Preuves et Classification. Affichage des incidents Le Gestionnaire d'incidents affiche tous les incidents signalés par les équipements McAfee DLP. Vous pouvez modifier l'affichage des incidents afin de repérer plus facilement les violations importantes. Quand McAfee DLP traite un objet (un par exemple) qui déclenche plusieurs règles, le Gestionnaire d'incidents rassemble les différentes violations et les affiche en tant qu'incident unique, plutôt que sous forme d'incidents distincts. Tri et filtrage des incidents Organisez l'affichage des incidents sur la base d'attributs tels que la date et l'heure, l'emplacement, l'utilisateur ou la gravité. 130 McAfee Data Loss Prevention Endpoint Guide produit

131 Surveillance et rapports d'événements Types d'incident et détails 10 Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Gestionnaire d'incidents DLP. 2 Effectuez l'une des tâches suivantes : Pour effectuer un tri par colonne, cliquez sur un en-tête de colonne. Pour utiliser une vue personnalisée au lieu de colonnes, sélectionnez une vue personnalisée dans la liste déroulante Afficher. Pour filtrer par date et heure, sélectionnez un laps de temps dans la liste déroulante Date et heure. Pour appliquer un filtre personnalisé, sélectionnez-en un dans la liste déroulante Filtre. Pour regrouper par attribut : 1 Sélectionnez un attribut dans la liste déroulante Grouper par. La liste des options disponibles s'affiche. La liste contient jusqu'à 250 options parmi les plus fréquemment utilisées. 2 Sélectionnez une option dans la liste. Les incidents correspondant à la sélection s'affichent. Exemple Sélectionnez ID utilisateur pour afficher les noms des utilisateurs ayant déclenché des violations. Sélectionnez le nom d'un utilisateur pour afficher tous les incidents correspondant à cet utilisateur. Configuration de l'affichage des colonnes Les options d'affichage permettent d'organiser le type et l'ordre des colonnes disponibles dans le gestionnaire d'incidents. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Gestionnaire d'incidents DLP. 2 Dans la liste déroulante Afficher, sélectionnez Par défaut et cliquez sur Modifier. 3 Configurez les colonnes. a Dans la liste Colonnes disponibles, cliquez sur une option pour la déplacer vers la zone Colonnes sélectionnées. b Dans la zone Colonnes sélectionnées, organisez et supprimez des colonnes selon vos besoins. Pour supprimer une colonne, cliquez sur x. Pour déplacer une colonne, cliquez sur les boutons fléchés ou faites-la glisser. c Cliquez sur Mettre à jour l'affichage. 4 Configurez les paramètres d'affichage. a En regard de la liste déroulante Afficher, cliquez sur Enregistrer. b Sélectionnez l'une des options suivantes : Enregistrer comme nouvel affichage : attribuez un nom à l'affichage. Remplacer un affichage existant : sélectionnez l'affichage à enregistrer. McAfee Data Loss Prevention Endpoint Guide produit 131

132 10 Surveillance et rapports d'événements Types d'incident et détails c Indiquez qui peut utiliser l'affichage. Public : tous les utilisateurs peuvent utiliser l'affichage. Privé : seul l'utilisateur qui a créé l'affichage peut l'utiliser. d e Indiquez si vous souhaitez appliquer les filtres ou les groupements actuels à l'affichage. Cliquez sur OK. Vous pouvez également gérer les affichages dans le gestionnaire d'incidents en sélectionnant Actions Afficher. Configuration de filtres d'incidents Les filtres permettent d'afficher les incidents qui correspondent à des critères spécifiés. Exemple : vous soupçonnez un utilisateur particulier d'avoir envoyé du contenu comportant des données confidentielles vers un intervalle d'adresses IP externe à la société. Vous pouvez créer un filtre pour afficher les incidents qui correspondent au nom de cet utilisateur et à cet intervalle d'adresses IP. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Gestionnaire d'incidents DLP. 2 Dans la liste déroulante Filtre, sélectionnez (aucun filtre personnalisé) et cliquez sur Modifier. 3 Configurez les paramètres de filtrage. a Dans la liste Propriétés disponibles, sélectionnez une propriété. b Saisissez la valeur de la propriété. Pour ajouter d'autres valeurs à la même propriété, cliquez sur +. c Sélectionnez d'autres propriétés selon vos besoins. Pour supprimer une propriété, cliquez sur <. d Cliquez sur Mettre à jour le filtre. 4 Configurez les paramètres de filtrage. a En regard de la liste déroulante Filtre, cliquez sur Enregistrer. b Sélectionnez l'une des options suivantes : Enregistrer comme nouveau filtre : attribuez un nom au filtre. Remplacer un filtre existant : sélectionnez le filtre à enregistrer. c Indiquez qui peut utiliser le filtre. Public : tous les utilisateurs peuvent utiliser le filtre. Privé : seul l'utilisateur qui a créé le filtre peut l'utiliser. d Cliquez sur OK. Vous pouvez également gérer les filtres dans le gestionnaire d'incidents en sélectionnant Actions Filtre. 132 McAfee Data Loss Prevention Endpoint Guide produit

133 Surveillance et rapports d'événements Gestion des incidents 10 Affichage des détails relatifs à un incident Affichez les informations relatives à un incident. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Gestionnaire d'incidents DLP. 2 Cliquez sur un ID d'incident. La page affiche des détails généraux et des informations sur la source. Selon le type d'incident, des détails relatifs à la destination ou aux équipements apparaissent. 3 Pour afficher des informations supplémentaires, effectuez l'une des tâches suivantes. Pour afficher des informations relatives à un utilisateur, cliquez sur son nom dans la zone Source. Pour afficher des fichiers de preuve : 1 Cliquez sur l'onglet Preuves. 2 Cliquez sur le nom d'un fichier pour l'ouvrir avec le programme adapté. Pour afficher les règles ayant déclenché l'incident, cliquez sur l'onglet Règles. Pour afficher des classifications, cliquez sur l'onglet Classifications. L'onglet Classifications n'apparaît pas pour certains types d'incident. Pour afficher l'historique des incidents, cliquez sur l'onglet Journal d'audit. Pour afficher les commentaires ajoutés à l'incident, cliquez sur l'onglet Commentaires. Pour revenir au gestionnaire d'incidents, cliquez sur OK. Gestion des incidents Le Gestionnaire d'incidents permet de mettre à jour et de gérer des incidents. Pour supprimer des incidents, configurez une tâche afin de purger des événements. s Mise à jour d'un incident unique, page 133 Mettez à jour les informations relatives à un incident, telles que sa gravité, son état et son réviseur. Mise à jour de plusieurs incidents, page 134 Mettez à jour plusieurs incidents avec les mêmes informations simultanément. Gérer les étiquettes, page 134 Une étiquette est un attribut personnalisé permettant d'identifier des incidents partageant des caractéristiques similaires. Suppression des incidents, page 135 Supprimez les incidents inutiles. Mise à jour d'un incident unique Mettez à jour les informations relatives à un incident, telles que sa gravité, son état et son réviseur. L'onglet Journal d'audit signale toutes les mises à jour et les modifications effectuées sur un incident. McAfee Data Loss Prevention Endpoint Guide produit 133

134 10 Surveillance et rapports d'événements Gestion des incidents Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Gestionnaire d'incidents DLP. 2 Cliquez sur un incident. 3 Effectuez l'une des tâches suivantes : Pour mettre à jour la gravité, l'état ou la résolution, procédez comme suit : 1 Sélectionnez une option dans la liste déroulante Gravité, Etat ou Résolution. 2 Cliquez sur Enregistrer. Pour mettre à jour le réviseur, procédez comme suit : 1 En regard du champ Réviseur, cliquez sur... 2 Sélectionnez le groupe ou l'utilisateur et cliquez sur OK. 3 Cliquez sur Enregistrer. Pour ajouter un commentaire, procédez comme suit : 1 Sélectionnez Actions Ajouter un commentaire. 2 Entrez un commentaire, puis cliquez sur OK. Mise à jour de plusieurs incidents Mettez à jour plusieurs incidents avec les mêmes informations simultanément. Exemple : vous avez appliqué un filtre pour afficher tous les incidents d'un utilisateur particulier et vous souhaitez définir la gravité de ces incidents sur Majeur. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Gestionnaire d'incidents DLP. 2 Cochez les cases correspondant aux incidents à mettre à jour. Pour mettre à jour tous les incidents affichés avec le filtre actuel, cliquez sur Tout sélectionner dans cette page. 3 Effectuez l'une des tâches suivantes : Pour ajouter un commentaire, sélectionnez Actions Ajouter un commentaire, puis saisissez un commentaire et cliquez sur OK. Pour envoyer les incidents dans un , sélectionnez Actions Envoyer les événements sélectionnés par , entrez les informations, puis cliquez sur OK. Pour modifier les propriétés, sélectionnez Actions Définir les propriétés, puis modifiez les options et cliquez sur OK. Gérer les étiquettes Une étiquette est un attribut personnalisé permettant d'identifier des incidents partageant des caractéristiques similaires. Vous pouvez affecter plusieurs étiquettes à un incident et réutiliser une étiquette pour plusieurs incidents. 134 McAfee Data Loss Prevention Endpoint Guide produit

135 Surveillance et rapports d'événements Gestion des incidents 10 Exemple : des incidents ont été générés pour plusieurs projets développés par votre entreprise. Vous pouvez créer des étiquettes avec le nom de chaque projet et les affecter aux incidents correspondants. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Gestionnaire d'incidents DLP. 2 Cochez les cases correspondant à un ou plusieurs incidents. Pour mettre à jour tous les incidents affichés avec le filtre actuel, cliquez sur Tout sélectionner dans cette page. 3 Effectuez l'une des tâches suivantes : Pour ajouter des étiquettes, procédez comme suit : 1 Sélectionnez Actions Gérer les étiquettes Joindre. 2 Pour ajouter une nouvelle étiquette, entrez un nom et cliquez sur Ajouter. 3 Sélectionnez une ou plusieurs étiquettes. 4 Cliquez sur OK. Pour retirer des étiquettes associées à un incident, procédez comme suit : 1 Sélectionnez Actions Gérer les étiquettes Détacher. 2 Sélectionnez les étiquettes à retirer de l'incident. 3 Cliquez sur OK. Pour supprimer des étiquettes, procédez comme suit : 1 Sélectionnez Actions Gérer les étiquettes Supprimer des étiquettes. 2 Sélectionnez les étiquettes à supprimer. 3 Cliquez sur OK. Suppression des incidents Supprimez les incidents inutiles. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire d'incidents DLP Tâches relatives aux incidents. 2 Dans le volet Type de tâche (gauche), sélectionnez Purge des événements. Si plusieurs types d'incident sont disponibles, sélectionnez le type voulu (Données en utilisation/mouvement, Données stockées passivement, etc.) dans la liste déroulante. Selon l'option choisie dans cette liste, vous pouvez effectuer la purge depuis la liste des incidents ou l'historique des incidents. 3 Sélectionnez Actions Nouvelle tâche. La page Règle de purge s'affiche. McAfee Data Loss Prevention Endpoint Guide produit 135

136 10 Surveillance et rapports d'événements Utilisation des cas 4 Saisissez un nom unique et éventuellement une description. Cliquez sur Suivant. L'état est Activé par défaut. Vous pouvez le définir sur Désactivé si vous n'envisagez pas d'exécuter la règle immédiatement. 5 Cliquez sur > pour sélectionner des critères, sélectionnez la comparaison, puis entrez ou sélectionnez la valeur. Cliquez sur < pour supprimer des critères. Cliquez sur Enregistrer. Par défaut, les tâches de purge sont définies pour être exécutées quotidiennement. Utilisation des cas Les cas permettent aux administrateurs de collaborer à la résolution des incidents liés. Dans de nombreuses situations, un seul incident n'est pas un événement isolé. Vous pouvez voir plusieurs incidents dans le Gestionnaire d'incidents DLP qui partagent des propriétés communes ou qui sont liés les uns aux autres. Vous pouvez affecter ces incidents liés à un cas. Plusieurs administrateurs peuvent surveiller et gérer un cas en fonction de leurs rôles dans l'organisation. Scénario : vous remarquez qu'un utilisateur particulier génère souvent plusieurs incidents après les heures ouvrables. Cela pourrait indiquer que l'utilisateur est engagé dans une activité suspecte ou que le système de l'utilisateur a été compromis. Affectez ces incidents à un cas pour garder une trace du moment et de la fréquence de survenue de ces violations. Selon la nature des violations, vous pourriez avoir besoin d'alerter les équipes RH ou juridiques au sujet de ces incidents. Vous pouvez permettre aux membres de ces équipes de travailler sur le cas, comme ajouter des commentaires, modifier la priorité ou avertir les principales parties prenantes. Gérer les cas Créez et gérez des cas pour la résolution des incidents. Créer des cas Créez un cas pour regrouper et examiner les incidents liés. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestion des cas DLP. 2 Sélectionnez Actions Nouveau. 3 Saisissez un nom de titre et configurez les options. 4 Cliquez sur OK. Affecter des incidents à un cas Ajouter des incidents liés à un nouveau cas ou à un cas existant. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire d'incidents DLP. 2 Sélectionnez le type d'incident dans la liste déroulante Présent. Pour Données stockées passivement (réseau), cliquez sur le lien Analyse pour définir l'analyse si nécessaire. 136 McAfee Data Loss Prevention Endpoint Guide produit

137 Surveillance et rapports d'événements Utilisation des cas 10 3 Cochez les cases correspondant à un ou plusieurs incidents. Utilisez des options telles que Filtre ou Grouper par pour afficher les incidents liés. Pour mettre à jour tous les incidents affichés avec le filtre actuel, cliquez sur Tout sélectionner dans cette page. 4 Affecter des incidents à un cas. Pour ajouter à un nouveau cas, sélectionnez Actions Gestion des cas Ajouter à un nouveau cas, saisissez un nom de titre et configurez les options. Pour ajouter à un cas existant, sélectionnez Actions Gestion des cas Ajouter à un cas existant, filtrez par ID de cas ou titre, puis sélectionnez le cas. 5 Cliquez sur OK. Afficher les informations sur les cas Affichez les journaux d'audit, les commentaires de l'utilisateur et les incidents affectés à un cas. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestion des cas DLP. 2 Cliquez sur un ID de cas. 3 Effectuez l'une des tâches suivantes : Pour afficher les incidents affectés au cas, cliquez sur l'onglet Incidents. Pour afficher les commentaires de l'utilisateur, cliquez sur l'onglet Commentaires. Pour afficher les journaux d'audit, cliquez sur l'onglet Journal d'audit. 4 Cliquez sur OK. Mettre à jour les cas Mettez à jour les informations de cas comme le changement de propriétaire, l'envoi de notifications ou l'ajout de commentaires. Les notifications sont envoyées au créateur du cas, au propriétaire du cas et aux utilisateurs sélectionnés quand : Un est ajouté ou modifié. Des incidents sont ajoutés au cas ou supprimés du cas. Le titre de cas est modifié. Des informations sur le propriétaire sont modifiées. La priorité est modifiée. McAfee Data Loss Prevention Endpoint Guide produit 137

138 10 Surveillance et rapports d'événements Utilisation des cas La résolution est modifiée. Les commentaires sont ajoutés. Vous pouvez désactiver les notifications automatiques par envoyées au créateur et au propriétaire du cas en accédant à Menu Configuration Paramètres serveur Data Loss Prevention. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestion des cas DLP. 2 Cliquez sur un ID de cas. 3 Effectuez l'une des tâches suivantes : Pour mettre à jour le nom du cas, saisissez un nouveau nom dans le champ Titre, puis cliquez sur Enregistrer. Pour mettre à jour le propriétaire : 1 En regard du champ Propriétaire, cliquez sur... 2 Sélectionnez le groupe ou l'utilisateur. 3 Cliquez sur OK. 4 Cliquez sur Enregistrer. Pour mettre à jour les options Priorité, Etat ou Résolution, utilisez les listes déroulantes pour sélectionner les éléments, puis cliquez sur Enregistrer. Pour envoyer des notifications par courrier électronique : 1 En regard du champ Envoyer des notifications à, cliquez sur... 2 Sélectionnez les utilisateurs auxquels envoyer des notifications. Si aucun contact n'est répertorié, vous devez spécifier un serveur de messagerie pour McAfee epo et ajouter des adresses électroniques pour les utilisateurs. Configurez le serveur de messagerie depuis Menu Configuration Paramètres serveur Serveur de messagerie. Configurez les utilisateurs depuis Menu Gestion des utilisateurs Utilisateurs. 3 Cliquez sur Enregistrer. Pour ajouter un commentaire au cas : 1 Cliquez sur l'onglet Commentaires. 2 Saisissez le commentaire dans la zone de texte. 3 Cliquez sur Ajouter un commentaire. Pour supprimer un incident du cas : 1 Cliquez sur l'onglet Incidents et localisez l'incident. 2 Dans la colonne Actions, cliquez sur Supprimer. 4 Cliquez sur OK. Ajouter ou supprimer des étiquettes dans un cas Utiliser des étiquettes pour distinguer les cas grâce à un attribut personnalisé. 138 McAfee Data Loss Prevention Endpoint Guide produit

139 Surveillance et rapports d'événements Utilisation des cas 10 Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestion des cas DLP. 2 Cochez les cases correspondant à un ou plusieurs cas. Pour mettre à jour tous les incidents affichés avec le filtre actuel, cliquez sur Tout sélectionner dans cette page. 3 Effectuez l'une des tâches suivantes : Pour ajouter des étiquettes aux cas sélectionnés : 1 Sélectionnez Actions Gérer les étiquettes Joindre. 2 Pour ajouter une nouvelle étiquette, entrez un nom et cliquez sur Ajouter. 3 Sélectionnez une ou plusieurs étiquettes. 4 Cliquez sur OK. Pour supprimer des étiquettes des cas sélectionnés : 1 Sélectionnez Actions Gérer les étiquettes Détacher. 2 Sélectionnez les étiquettes à supprimer. 3 Cliquez sur OK. Supprimer des cas Supprimez les cas qui ne sont plus nécessaires. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestion des cas DLP. 2 Cochez les cases correspondant à un ou plusieurs cas. Pour supprimer tous les cas affichés par le filtre actuel, cliquez sur Tout sélectionner dans cette page. 3 Sélectionnez Actions Supprimer, puis cliquez sur Oui. McAfee Data Loss Prevention Endpoint Guide produit 139

140 10 Surveillance et rapports d'événements Utilisation des cas 140 McAfee Data Loss Prevention Endpoint Guide produit

141 11 Collecte et gestion des données La surveillance du système consiste à rassembler et à analyser des preuves et des événements, puis à produire des rapports. Les données relatives aux incidents et aux événements contenues dans les tables DLP de la base de données McAfee epo sont affichées dans les pages Gestionnaire d'incidents DLP et Evénements opérationnels DLP, ou sont rassemblées dans des rapports et des tableaux de bord. L'analyse des preuves et des événements enregistrés permet aux administrateurs de déterminer si les règles sont trop restrictives, entraînant des retards inutiles, ou au contraire trop imprécises, favorisant la fuite des données. Sommaire Modification des tâches serveur Surveillance des résultats des tâches Modification des tâches serveur McAfee DLP utilise les tâches serveur McAfee epo pour exécuter les tâches du Gestionnaire d'incidents DLP et des événements opérationnels DLP. Chaque tâche relative aux incidents et chaque tâche d'événements opérationnels sont prédéfinies dans la liste des tâches serveur. Les seules options disponibles sont celles permettant de les activer ou de les désactiver, ou de modifier la planification. Les tâches serveur relatives aux événements opérationnels et aux incidents McAfee DLP 9.4 disponibles sont les suivantes : Migrer des événements d'incident DLP de 9.4 vers Migrer des incidents DLP Migrer des événements opérationnels DLP Purger l'historique des incidents et événements opérationnels DLP Purger les incidents et événements opérationnels DLP Envoyer un pour les incidents et les événements opérationnels DLP Définir le réviseur pour les incidents et les événements opérationnels DLP L'exécuteur de tâches relatives aux incidents DLP est une tâche McAfee DLP 9.3 Il n'apparaît que si vous avez installé les deux versions de McAfee DLP. McAfee Data Loss Prevention Endpoint Guide produit 141

142 11 Collecte et gestion des données Modification des tâches serveur Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Automatisation Tâches serveur. 2 Sélectionnez la tâche à modifier. Utilisez le champ Recherche rapide pour filtrer la liste. 3 Sélectionnez Actions Modifier, puis cliquez sur Planification. 4 Modifiez la planification selon vos besoins, puis cliquez sur Enregistrer. s Création d'une tâche Purge des événements, page 142 Les tâches de purge des incidents et des événements permettent d'effacer les données qui ne sont plus nécessaires de la base de données. Création d'une tâche Notification par automatique, page 143 Vous pouvez définir l'envoi automatique de notifications par aux administrateurs, aux gestionnaires ou aux utilisateurs pour leur signaler des incidents ou des événements opérationnels. Création d'une nouvelle tâche de définition du réviseur, page 144 Vous pouvez affecter des réviseurs à différents incidents et événements opérationnels afin de diviser la charge de travail dans les grandes organisations. Voir aussi Conversion des stratégies et migration de données, page 31 Création d'une nouvelle tâche de définition du réviseur, page 144 Création d'une tâche Notification par automatique, page 143 Création d'une tâche Purge des événements, page 142 Création d'une tâche Purge des événements Les tâches de purge des incidents et des événements permettent d'effacer les données qui ne sont plus nécessaires de la base de données. Vous pouvez créer des tâches de purge pour la liste des incidents, pour les incidents relatifs aux données en utilisation de la liste Historique ou pour la liste des événements opérationnels. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire d'incidents DLP ou Menu Protection des données Evénements opérationnels DLP. 2 Cliquez sur l'onglet Tâches relatives aux incidents ou Tâches d'événements opérationnels. 3 Sélectionnez un type d'incident dans la liste déroulante (tâches relatives aux incidents uniquement), sélectionnez Purge des événements dans le volet Type de tâche, puis cliquez sur Actions Nouvelle règle. L'option Données en utilisation/mouvement - Historique permet de purger les événements de l'historique. 142 McAfee Data Loss Prevention Endpoint Guide produit

143 Collecte et gestion des données Modification des tâches serveur 11 4 Entrez un nom et éventuellement une description, puis cliquez sur Suivant. Les règles sont activées par défaut. Vous pouvez modifier ce paramètre pour retarder l'exécution de la règle. 5 Cliquez sur > pour ajouter des critères et sur < pour les supprimer. Définissez les paramètres Comparaison et Valeur. Lorsque vous avez terminé de définir les critères, cliquez sur Enregistrer. La tâche est exécutée tous les jours pour les données réelles et tous les vendredis à 22 h 00 pour les données historiques. Voir aussi Modification des tâches serveur, page 141 Création d'une tâche Notification par automatique Vous pouvez définir l'envoi automatique de notifications par aux administrateurs, aux gestionnaires ou aux utilisateurs pour leur signaler des incidents ou des événements opérationnels. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire d'incidents DLP ou Menu Protection des données Evénements opérationnels DLP. 2 Cliquez sur l'onglet Tâches relatives aux incidents ou Tâches d'événements opérationnels. 3 Sélectionnez un type d'incident dans la liste déroulante (Tâches relatives aux incidents uniquement), sélectionnez Notification par automatique dans le volet Type de tâche, puis cliquez sur Actions Nouvelle règle. 4 Indiquez un nom et éventuellement une description. Les règles sont activées par défaut. Vous pouvez modifier ce paramètre pour retarder l'exécution de la règle. 5 Sélectionnez les événements à traiter. Traiter tous les incidents/événements (du type d'incident sélectionné). Traiter les incidents/événements survenus depuis la dernière exécution de la tâche de notification par . 6 Sélectionnez les destinataires. Ce champ est obligatoire. Au moins un destinataire doit être sélectionné. 7 Saisissez l'objet de l' . Ce champ est obligatoire. Vous pouvez insérer des variables à partir de la liste déroulante selon vos besoins. 8 Saisissez le texte du corps de l' . Vous pouvez insérer des variables de la liste déroulante selon vos besoins. 9 (Facultatif) Cochez la case pour pouvoir joindre des informations de preuve à l' . Cliquez sur Suivant. 10 Cliquez sur > pour ajouter des critères et sur < pour les supprimer. Définissez les paramètres Comparaison et Valeur. Lorsque vous avez terminé de définir les critères, cliquez sur Enregistrer. McAfee Data Loss Prevention Endpoint Guide produit 143

144 11 Collecte et gestion des données Surveillance des résultats des tâches La tâche s'exécute toutes les heures. Voir aussi Modification des tâches serveur, page 141 Création d'une nouvelle tâche de définition du réviseur Vous pouvez affecter des réviseurs à différents incidents et événements opérationnels afin de diviser la charge de travail dans les grandes organisations. Avant de commencer Dans McAfee epo Gestion des utilisateurs Ensembles d'autorisations, créez un réviseur ou désignez un réviseur de groupe. Vous devez pour cela disposer des autorisations Définition du réviseur pour le Gestionnaire d'incidents DLP et les événements opérationnels DLP. La tâche Définition du réviseur affecte un réviseur aux incidents/événements selon les critères de règle. La tâche est uniquement appliquée aux incidents pour lesquels aucun réviseur n'a été affecté. Vous ne pouvez pas l'utiliser pour réaffecter des incidents à un autre réviseur. Pour consulter la définition des options, cliquez sur? dans l'interface. 1 Dans McAfee epo, sélectionnez Menu Protection des données Gestionnaire d'incidents DLP ou Menu Protection des données Evénements opérationnels DLP. 2 Cliquez sur l'onglet Tâches relatives aux incidents ou Tâches d'événements opérationnels. 3 Sélectionnez un type d'incident dans la liste déroulante (Tâches relatives aux incidents uniquement), sélectionnez Définition du réviseur dans le volet Type de tâche, puis cliquez sur Actions Nouvelle règle. 4 Indiquez un nom et éventuellement une description. Sélectionnez un réviseur ou un groupe, puis cliquez sur Suivant. Les règles sont activées par défaut. Vous pouvez modifier ce paramètre pour retarder l'exécution de la règle. 5 Cliquez sur > pour ajouter des critères et sur < pour les supprimer. Définissez les paramètres Comparaison et Valeur. Lorsque vous avez terminé de définir les critères, cliquez sur Enregistrer. Si plusieurs règles de type Définition du réviseur sont définies, vous pouvez les réordonner dans la liste. La tâche s'exécute toutes les heures. Une fois qu'un réviseur est défini, il n'est pas possible de le remplacer avec la tâche Définition du réviseur. Voir aussi Modification des tâches serveur, page 141 Surveillance des résultats des tâches Surveillez les résultats des tâches relatives aux incidents et aux événements opérationnels. 144 McAfee Data Loss Prevention Endpoint Guide produit