Création de la Politique de Contrôle de Données

Cet article explique comment utiliser la page de Contrôle d'Application pour configurer la politique de Contrôle de Données de Prévention de la Perte de Données (DLP) pour votre compte.

Aperçu de la Politique de Contrôle de Données

La politique de Contrôle de Données vous permet de définir des règles pour inspecter comment les données et le contenu sont transférés et déplacés au sein et à l'extérieur de votre organisation. La page de Contrôle d'Application prend en charge trois types de règles : Contrôle d'Application CASB, Contrôle de Type de Fichier, et Contrôle de Données DLP. Les règles de Contrôle de Données contiennent des paramètres supplémentaires pour l'inspection du contenu, y compris :

Attributs de Fichier - Prend en charge plus de 40 types de fichiers différents dans une variété de catégories, y compris : Microsoft Office, exécutables et code source. De plus, vous pouvez affiner la règle pour ne correspondre qu'à une gamme spécifique de tailles de fichiers, ou configurer la règle pour qu'elle corresponde aux fichiers chiffrés.
Profils de Contenu DLP - Ces profils peuvent définir l'inspection du contenu basée sur plus de 350 types de données dans plus de 30 pays et langues, y compris : données à caractère personnel, financiers, et médicaux

La politique de Contrôle d'Application est une base de règles ordonnée qui vous permet de définir des activités et des critères requis pour les applications et catégories. Chaque règle définit une application ou une catégorie. Une fois qu'une règle correspond au trafic, les règles de moindre priorité (en dessous de la règle correspondante) ne sont pas appliquées au trafic.

La règle finale dans la base de règles est une règle implicite ANY ANY qui permet donc, si une connexion ne correspond à aucune règle, elle est autorisée par la règle implicite finale.

Protection DLP pour les Fichiers Chiffrés

Le moteur DLP a la capacité d'identifier et de bloquer les fichiers chiffrés par un mot de passe. Cela peut aider à sécuriser vos informations en empêchant les utilisateurs de télécharger ou de télécharger des données sensibles cachées dans des fichiers protégés par mot de passe. Le moteur DLP ne scanne pas le contenu du fichier chiffré, mais l'identifie comme chiffré et applique l'action de règle pertinente. Puisque le moteur ne scanne pas le contenu du fichier, l'action de la règle est appliquée à tous les fichiers chiffrés indépendamment des profils de contenu configurés dans la règle. Vous pouvez définir des règles pour autoriser ou bloquer les fichiers chiffrés, selon les besoins de votre organisation.

Les fichiers chiffrés détectés par le moteur DLP incluent des fichiers protégés par mot de passe des types suivants : Word, Excel, PowerPoint, ZIP, et PDF

Pré-requis

Les règles de Contrôle de Données exigent que l'Inspection TLS soit activée pour inspecter le contenu.
- La politique de Inspection TLS granulaire de Cato vous permet de créer des règles qui n'inspecteront que le trafic pertinent pour une règle de Contrôle de Données.
La politique de Contrôle d'Application est incluse dans la licence CASB. Activer les règles de Contrôle de Données dans la politique de Contrôle d'Application nécessite également la licence DLP.

Pour plus d'informations sur l'achat des licences ci-dessus, veuillez contacter votre représentant Cato.

Limitations connues

La limite de taille de fichier pour l'inspection de contenu est entre 1KB et 20MB. Les événements pour des fichiers au-delà de cette limite montrent le verdict contourné en raison de la taille
Le moteur DLP contourne un fichier si l'inspection prend plus de 10 secondes.
Ces applications ne sont pas prises en charge pour l'inspection de contenu avec les règles de Contrôle de Données :
- Bitbucket
- GitHub
- Google Drive
- WhatsApp

Comprendre DLP dans la Base de Règles de Contrôle d'Application

Utilisez les règles de Contrôle de Données dans la page de Contrôle d'Application pour implémenter la politique DLP de votre entreprise et définir le contenu qui est bloqué par la pile de sécurité dans le Cato Cloud. Cette section décrit les champs et paramètres qui sont spécifiques aux règles de Contrôle de Données. Pour plus d'informations sur les règles et paramètres qui sont également pertinents pour les règles de Contrôle d'Application, consultez Gestion de la Politique de Contrôle d'Application.

Élément	Description
1	Activer ou désactiver les règles de Contrôle d'Application dans la politique
2	Activer ou désactiver les règles de Contrôle de Données dans la politique
3	Créer une nouvelle règle de Contrôle d'Application ou de Contrôle de Données
4	Icône qui montre le type de règle : Règle de Contrôle de Données Règle de Contrôle d'Application
5	La colonne Critères montre les Profils de Contenu DLP qui correspondent à cette règle Les Profils de Contenu DLP sont configurés dans Sécurité > Profils DLP

Paramètres de la Règle de Contrôle de Données

Une règle de Contrôle de Données comprend les sections suivantes :

Général - Nom et sévérité que vous choisissez d'assigner à la règle. Permet également d'activer ou de désactiver la règle.
Application - Application prédéfinie, catégorie, application personnalisée ou Application Sanctionnée qui correspond à cette règle. Seules les applications prises en charge apparaissent dans la liste des applications prédéfinies.
Activités - Pour les règles de Contrôle de Données, les activités sont simplifiées pour faciliter la mise en œuvre de la politique DLP. Sélectionnez si la règle est pour le trafic ascendant et/ou descendant.
- Pour les applications, sélectionnez l'activité correspondante à laquelle l'action est appliquée.
  
  Remarque
  
  Remarque : Pour les règles d'application, vous devez activer l'Inspection TLS pour inspecter le trafic qui correspond à la règle.
- Pour les catégories, sélectionnez l'activité ou les critères correspondants auxquels l'action est appliquée.
Vous devez définir une activité pour chaque règle.
Attributs de Fichier - Définir le type de contenu et la taille de fichier pour les données qui correspondent à cette règle, et s'il y a une relation ET ou OU entre les éléments.
- Type de Contenu - Le menu déroulant montre tous les Types de Contenus de fichiers pris en charge avec extensions de fichiers et exemples
- Taille du Contenu - Le moteur DLP peut inspecter entre 1KB et 20MB de contenu pour chaque connexion
- Contenu Chiffré - L'action de la règle est appliquée à tous les fichiers chiffrés. Le contenu des fichiers chiffrés ne peut pas être scanné par le moteur DLP.
Profils DLP - Le moteur DLP peut identifier plus de 350 types de données, consultez Création de Profils de Contenu DLP. Vous pouvez configurer le profil avec une relation ET ou OU entre les types de données.
Méthodes d'Accès - Exigences pour les agents utilisateur sur les hôtes et appareils qui peuvent se connecter à votre compte.
Source - Source du trafic pour cette règle.
- Vous pouvez définir la Source sur un Pays pour créer une règle qui applique le trafic provenant de ce pays, basé sur la géolocalisation IP
- Pour des informations sur les autres éléments de Source pour une règle, voir Référence pour Objets de Règle
Temps - Définir la période pendant laquelle la règle est active.
Actions - Appliquez l'action spécifiée au trafic qui correspond à la règle. Définissez également les options de suivi pour les événements et les notifications par email.

Configuration des Règles de Contrôle de Données

Créez une nouvelle règle de contrôle des données et configurez les paramètres de la règle pour mettre en œuvre la politique de contrôle des données DLP pour votre organisation.

Les options de Temps définissent la plage horaire pendant laquelle la règle est activée. Vous pouvez configurer des options personnalisées pour une règle ou choisir les heures de travail par défaut définies pour le compte.

Pour créer une nouvelle règle de contrôle des données :

Depuis le menu de navigation, sélectionnez Sécurité > Contrôle des applications.
Assurez-vous que le Contrôle des données est activé (vert est activé, gris est désactivé).
Cliquez sur Nouveau > Règle de contrôle des données.

Le panneau Règle de contrôle des données s'ouvre.
Développez la section Général et configurez ces paramètres :
1. Saisissez un Nom pour la règle.
2. Activez ou désactivez la règle à l'aide du curseur (vert est activé, gris est désactivé).
3. Sélectionnez la Gravité.
  
  La Gravité est utilisée dans les événements et les analyses de surveillance pour cette règle.
Dans la section Application, sélectionnez Toute Application, ou vous pouvez choisir de limiter l'inspection du contenu à une application ou une catégorie spécifique.
- Lorsque vous sélectionnez Toute Application pour une règle, la règle est appliquée à tout le trafic d'application HTTP/S, y compris le trafic Internet et WAN. Lorsque vous sélectionnez Toute Application pour une règle, la règle est appliquée tant aux applications cloud qu'au trafic d'application par le WAN.
Développez la section Activités et configurez ces paramètres :
1. Cliquez sur Ajouter une activité et sélectionnez l'élément pour la règle.
2. Lorsqu'il y a plusieurs éléments dans la section Activités, dans le menu déroulant Satisfaire, définissez la relation entre les éléments :
  - n'importe lequel (OU) - Si l'un des éléments correspond au trafic, alors la règle est appliquée
  - tous (ET) - Si tous les éléments correspondent au trafic, alors la règle est appliquée
Dans la section Attributs de fichier, vous pouvez choisir d'inspecter uniquement le contenu pour des types de fichiers et des tailles de fichiers spécifiques.

Si vous ne configurez aucun paramètre Attribut de fichier, alors tous les types de fichiers et tailles pris en charge sont inspectés.
1. Cliquez sur Ajouter un attribut de fichier et sélectionnez le Type de contenu, la Taille du contenu ou le Contenu chiffré.
2. Définissez les paramètres pour l'élément Attribut de fichier.
3. Pour plusieurs éléments, définissez la relation entre les éléments (voir ci-dessus 6b).
Dans la section Profils DLP, vous pouvez ajouter des profils d'inspection de contenu existants et définir les types de données qui correspondent à cette règle.

S'il y a plusieurs Profils DLP pour une règle, il y a une relation ET entre eux.
Développez la section Méthodes d'accès et définissez les exigences pour l'agent utilisateur.

S'il y a plusieurs éléments, il y a une relation ET entre eux.
Développez la section Source et sélectionnez un ou plusieurs objets pour la source de trafic pour cette règle (ou vous pouvez saisir une adresse IP).

Sélectionnez le type (par exemple : Hôte, Interface réseau, IP, N'importe lequel). La valeur par défaut est N'importe lequel.
(Optionnel) Développez la section Temps et définissez quand la règle est active.

Sélectionnez Aucune contrainte de temps pour définir la règle comme toujours active.
Développez la section Actions et configurez ces paramètres :
1. Sélectionnez l' Action pour cette règle. Les options sont Autoriser, Bloquer et Surveiller.
2. (Optionnel) Configurez les options de suivi pour générer des Événements et Envoyer une notification.
  
  Pour plus d'informations sur les notifications, voir l'article pertinent pour Groupes d'abonnement, Listes de diffusion et Intégrations d'alertes dans la section Alertes.
Cliquez sur Appliquer.

Définir le mode de défaillance DLP

Activez ou désactivez le réglage Fermeture par échec DLP. Lorsqu'il est activé, la politique de contrôle des données applique une action par défaut Bloquer lorsque une analyse de fichier est expirée ou ne peut pas être complétée en raison d'autres problèmes. Par défaut, le réglage Fermeture par échec DLP est désactivé. Pour en savoir plus sur le mode de défaillance DLP, voir Qu'est-ce que le service DLP de Cato.

Pour définir le mode de défaillance DLP :

Depuis le menu de navigation, sélectionnez Sécurité > Profils DLP et dans l'onglet Paramètres, sélectionnez Général.
Cliquez sur pour activer (vert) le réglage Fermeture par échec DLP pour le compte.
Cliquez sur Sauvegarder. Le réglage Fermeture par échec DLP est appliqué au compte.

Analyse des événements de contrôle des données

La page des Événements affiche tous les événements de contrôle des données pour votre compte. Ces événements de sécurité sont du sous-type, Sécurité des applications.

Vous pouvez en savoir plus sur l'utilisation de la page des Événements ici.

Ce sont les champs qui sont exclusivement liés au contrôle des applications :

Nom de champ	Description
Profils DLP	Profils de contenu DLP qui ont correspondu à cette connexion
Nom de fichier	Nom du fichier qui a été scanné par le moteur DLP
Taille de fichier	Taille du fichier (en octets) qui a été scanné par le moteur DLP
Type de fichier	Type de contenu du fichier (tel que Archive ou Microsoft Office)

Notifications des utilisateurs

Si une activité est bloquée par une règle de contrôle des données, vous pouvez configurer une notification pour être affichée à l'Utilisateur, expliquant quelle application a été bloquée et pourquoi.

Voici comment la notification apparaît sur un appareil Windows :

Voici comment la notification apparaît sur un appareil iOS :

Prérequis pour les notifications utilisateur

Pris en charge à partir de :
- Client Windows v5.10 et supérieur
- Client macOS v5.7 et supérieur
- Client iOS v5.4 et supérieur
L'utilisateur doit être connecté à distance
Les notifications doivent être activées sur l'appareil

Activation des notifications utilisateur

Vous pouvez permettre aux utilisateurs de recevoir des notifications système si une activité est bloquée par une règle de contrôle des données.

Pour activer les notifications utilisateur :

Dans le menu de navigation, sélectionnez Accès > Accès Client > Notifications de Politique de Sécurité.
Cochez la case Activer les notifications utilisateur de la politique de sécurité.
Cliquez sur Sauvegarder.