Banc d'essai : stopper les failles sur les postes de travail
Notre confrère Network World a testé trois solutions de DLP pour les postes de travail. TrendMicro et Websense assurent une protection ad hoc contre les failles internes. Beaucoup de failles du système d'information viennent de l'interne. Comment s'assurer qu'un employé de l'entreprise n'accède pas à des données sensibles ? Les solutions de Endpoint DLP (Data Loss Prevention) qui s'installent sur les PC, portables ou les serveurs, servent à encadrer les actions des utilisateurs voire leurs accès. Objectif ? Empêcher les envois par email d'informations confidentielles. Les produits testés par notre confrère Network World se sont montrés impressionnants dans ce cadre. Trois solutions DLP pour poste de travail ont été testées : Data Endpoint de Websense, LeakProof de TrendMicro, et Identity Finder Enterprise Edition de Identity Finder. De nombreux vendeurs ont finalement décliné l'invitation : Cisco, McAfee, CA, RSA, Symantec, Verdasys, Safend, Code Green, Indorse, Proofpoint, nexTier, Vericept, GTB, et Workshare. L'idée de départ pour ce test était d'identifier plusieurs types de données sensibles et de vérifier si le produit de DLP arrive à bloquer le transfert de ces données, selon diverses méthodes : sauvegarde sur une clé USB, création d'un CD, envoi par Webmail, ou par messagerie instantanée. En tout, 588 tests ont été menés. Le vainqueur est LeakProof de TrendMicro pour un usage général. Sa note globale est de 3,9 sur 5. Ses atouts sont un parématrage sans peine, des options d'installation flexibles, les meilleures performances, le moins envahissant, et il a renforcé la ... ... politique de sécurité. Il a été également le plus régulier sur différents systèmes d'exploitation et lors de divers scénarios de transfert de données. Il dispose d'excellentes capacités de blocage. Le pré-paramétrage facilite le démarrage. Il permet de créer des enchaînements de règles qui ne se déclenchent que lorsqu'une certaine combinaison d'événements se réalise. Côté points faibles, le pré-paramétrage ne correspondait pas au guide de démarrage rapide (Quick Start Guide). Il a fallu s'appuyer sur les connaissances de l'environnement RedHat de l'ingénieur de test afin de démarrer le produit sur le réseau. Il a été impossible de restreindre le blocage d'informations à des applications particulières au-delà de ce qui est défini dans la console d'administration. Le produit n'est pas arrivé à stopper des données dont l'empreinte avait été calculée et dont les volumes transférés étaient inférieurs à une page. Data Endpoint de Websense, pour sa part, est un produit puissant, doté de nombreuses fonctions. Il atteint la note de 3,75 sur 5. Ses fonctions permettent à l'administrateur de s'appuyer sur beaucoup de modèles de sécurité, afin d'écrire des actions personnalisées lors de la détection, de définir sur mesure des actions par application, et de planifier le calcul d'empreinte de fichiers, lors d'un partage en réseau. Data Endpoint fait partie de Data Security Suite de Websense. Il possède un ensemble de fonctions plus élaborées que LeakProof de TrendMicro, et est nettement moins cher. Il a un impact minimal sur les performances de Windows XP, Server 2003 ou Server 2008. Le support de l'éditeur est solide. Mais il a aussi ses inconvénients. Le produit est centré sur les applications. Conséquence, cela peut amener l'administrateur réseau à enclencher la course aux armements avec l'utilisateur qui trouve de nouvelles applications afin d'accèder aux données en violation de la politique de sécurité. Le testeur a observé des réactions contradictoires aux violations de la politique de sécurité. Le produit n'est pas arrivé à stopper des transferts de données dont l'empreinte avait été calculée, et d'une taille inférieure au paragraphe. Ces deux produits ont pour objectif ... ... d'empêcher les données de quitter le périphérique protégé, que ce soit par accident ou volontaire. En pratique, le gain pour l'entreprise se trouve probablement dans la protection contre ces fuites accidentelles, étant donné que l'utilisateur trouvera probablement des moyens de contourner beaucoup des méthodes de blocage prévues. Le troisième produit, Identity Finder, quant à lui obtient une note de 2,5 sur 5. Il ne vise pas à empêcher de réaliser des actes prohibés avec des données sensibles, mais tente plutôt d'aider l'utilisateur à protéger ses données confidentielles. Sa philosophie part donc plutôt du principe que les utilisateurs vont agir correctement au lieu de penser qu'ils tentent de mal agir. Il se concentre sur des données relatives à l'identité des personnes, telles que les noms, adresses, numéros de sécurité sociale, numéros de cartes de crédit, etc .... Via un langage d'expressions régulières, il permet de créer d'autres modèles de recherche.