Cette section décrit en détail comment configurer une règle de protection contre la perte de données (DLP) pour une stratégie de sécurité sélectionnée.

Avant de commencer

Pour configurer une stratégie de sécurité, les utilisateurs doivent d'abord avoir créé, configuré et appliqué une stratégie de sécurité. Pour obtenir des instructions spécifiques sur la création d'une stratégie de sécurité, reportez-vous à la section Création d'une stratégie de sécurité.

Étapes de configuration

Pour configurer une règle DLP, procédez comme suit :
  1. Accédez à Cloud Web Security > Configurer (Configure) > Stratégies de sécurité (Security Policies).
  2. Sélectionnez une stratégie de sécurité pour configurer la règle DLP et cliquez sur l'onglet DLP.
  3. Dans l'onglet DLP de l'écran Stratégies de sécurité (Security Policies), cliquez sur + AJOUTER UNE RÈGLE (+ ADD RULE).

    Ajoutez une règle DLP à la stratégie de sécurité.

    L'écran Sélectionner une source (Select Source) s'affiche.

  4. Dans l'écran Sélectionner une source (Select Source), cochez la case Tous les groupes d'utilisateurs (All Users Groups) pour appliquer la règle à tous les utilisateurs et groupes ou décochez cette case pour spécifier des utilisateurs et des groupes. Par défaut, l'option Tous les groupes d'utilisateurs (All Users Groups) est sélectionnée pour la source.
    La première option à configurer est Source. Par défaut, elle est définie sur Tous les utilisateurs et groupes (All Users and Groups).
    Note : L'option Tous les groupes d'utilisateurs (All Users Groups) est la seule option disponible pour les clients qui ne disposent pas d'un fournisseur d'identité, tel que Workspace ONE ou Azure Active Directory (AD) configuré pour Cloud Web Security.
    Note : Cloud Web Security doit être configuré avec un fournisseur d'identité tel que Workspace ONE ou Azure Active Directory (AD) pour que des utilisateurs et des groupes spécifiques fonctionnent.

    Cliquez sur Suivant (Next), l'écran Sélectionner le type de contenu (Select Content Type) s'affiche.

  5. Dans l'écran Sélectionner le type de contenu (Select Content Type), les utilisateurs peuvent configurer les types de contenu déclenchés par la fonctionnalité d'inspection DLP. Trois paramètres peuvent être configurés pour le type de contenu :
    Écran par défaut pour sélectionner le type de contenu, affichant les options Inspecter l'entrée de texte (Inspect Text Input), Inspection du téléchargement du fichier (File Upload Inspection) avec Taille de fichier maximale (Maximum File Size) et Sélectionner des types de fichiers (Select File Types).
    1. Indiquez si la règle DLP doit Inspecter l'entrée de texte (Inspect Text Input) ou non. La valeur par défaut de cette option est Désactivé (Off). Lorsque cette option est basculée sur Activé (On), l'entrée de texte de l'utilisateur passe par l'inspection DLP lorsque des envois réseau sont demandés.
      Note : L'entrée de texte est semblable à une publication de formulaire ou à un message texte. Elle est différente d'un fichier texte qui est un fichier .txt joint à un chargement.
    2. L'option Taille de fichier maximale (Maximum File Size) permet aux utilisateurs de choisir l'inspection des chargements de fichiers en définissant une taille de fichier maximale à inspecter. Le paramètre par défaut de cette option est de 50 mégaoctets (Mo) et les utilisateurs peuvent configurer une valeur de Taille de fichier maximale (Maximum File Size) de manière numérique et par unités de stockage : en octets (o) (B), en kilo-octets (Ko) (KB), en mégaoctets (Mo) (MB) ou en gigaoctets (Go) (GB). Si la taille du fichier chargé dépasse la Taille de fichier maximale (Maximum File Size) configurée, il n'est pas inspecté par la fonctionnalité DLP et est autorisé.
      Note : La valeur numérique de Taille de fichier maximale (Maximum File Size) peut être configurée sous la forme d'un nombre compris entre 1 et 1 000 sur Orchestrator. Le nombre 0 n'est pas valide pour ce champ.
      Important : Bien qu'il soit possible de configurer des valeurs extrêmement petites et grandes, DLP a une limite de taille des fichiers maximale de 5 Go. Même si les utilisateurs configurent une valeur plus élevée, cette valeur ne sera pas respectée au-delà de 5 Go. DLP a également des tailles de contenu minimales prises en charge comme suit :
      Tableau 1. Tailles minimales de contenu prises en charge
      Entrée utilisateur Entrée de fichier
      1 024 octets 5120 octets
    3. L'option Sélectionner des types de fichiers (Select File Types) permet à l'utilisateur de choisir des types de fichiers spécifiques à inspecter. Le paramètre par défaut consiste à inspecter Tous les types pris en charge (All Supported File Types), 36 types de fichiers au total. Si les utilisateurs désactivent Tous les types de fichiers pris en charge (All Supported File Types), ils verront un menu complet répertoriant les 36 types de fichiers triés par 11 catégories :
      • Archives et modules compressés (Archives and Compressed Packages) (9) : 7-Zip, ARJ, BZIP, CAB, GZIP, LZH, RAR, TAR, ZIP
      • Calendrier (Calendar) (1) : invitation à une réunion ICS
      • Applications d'ingénierie (Engineering Applications) (2) : AutoCAD, Visio
      • Multimédia (Multimedia) (2) : fichiers audio, fichiers vidéo
      • Documents divers (Miscellaneous Documents) (1) : RTF
      • Autres fichiers et documents (Other Files and Documents) (1) : autres fichiers et documents de types inconnus
      • Outils de présentation (Presentation Tools) (2) : OpenOffice Presentation, PowerPoint
      • Productivité (Productivity) (2) : Microsoft One Note, Microsoft Project
      • Scripts et exécutables (Scripts and Executables) (6) : exécutable Android, JAR, exécutable Linux, exécutable Mac, fichiers de script basés sur texte
      • Tableurs (Spreadsheets) (3) : CSV, Excel, OpenOffice Spreadsheet
      • Traitements de texte (Word Processors) (7) : Hangul, Ichitaro, OpenOffice Text, PDF, Word, Word Perfect, XPS
    Les utilisateurs peuvent sélectionner plusieurs types de fichiers ou tous les Types de fichiers (File Types) dans une catégorie de fichiers. Si le nombre de Types de fichiers (File Types) sélectionnés est inférieur à tous les Types de fichiers (File Types) disponibles pour cette catégorie, le nom de la catégorie de fichiers s'affiche en bleu et indique le nombre de Types de fichiers (File Types) sélectionnés sur le total disponible.
    Configurez les types de fichiers en sélectionnant certains types de fichiers, mais pas tous, pour une catégorie. Dans ce cas, seuls quelques archives et modules compressés sont sélectionnés.

    Si les utilisateurs souhaitent sélectionner tous les Types de fichiers (File Types) pour cette catégorie, ils peuvent cliquer sur la zone de sélection supérieure et tous les Types de fichiers (File Types) sont sélectionnés. Lorsque cette opération est effectuée, l'en-tête de catégorie devient vert et affiche tous les Types de fichiers (File Types) sélectionnés pour cette catégorie.

    Configurez les types de fichiers en sélectionnant tous les types de fichiers pour cette catégorie. Dans ce cas, toutes les archives et tous les modules compressés sont sélectionnés.

    Après avoir sélectionné les paramètres de types de contenu DLP pour la règle, cliquez sur Suivant (Next). L'écran Sélectionner des destinations (Select Destinations) s'affiche.

  6. Dans l'écran Sélectionner des destinations (Select Destinations), les utilisateurs peuvent spécifier les domaines et/ou les catégories pour lesquels l'inspection DLP doit avoir lieu. Le paramètre par défaut est Tous les domaines et toutes les catégories (All Domains and Categories), ce qui signifie que DLP inspecte tous les Domaines (Domains) et les 84 Catégories (Categories).
    Paramètres par défaut pour sélectionner un domaine.

    Si les utilisateurs décochent la case Tous les domaines et toutes les catégories (All Domains and Categories), ils doivent configurer des Domaines (Domains) personnalisés et/ou des Catégories (Categories).

    Pour le champ Domaines (Domains), les utilisateurs peuvent spécifier des noms de domaine complets, des adresses IP ou des plages d'adresses IP qui déclenchent une alerte d'auditeur. Vous pouvez spécifier une combinaison de noms de domaine complets, d'adresses IP et de plages d'adresses IP.
    Configuration des domaines, y compris les noms de domaine complets, les adresses IP et les plages d'adresses IP.

    Dans le champ Catégories (Categories), les utilisateurs peuvent choisir parmi 84 catégories distinctes au maximum pour lesquelles un fichier peut correspondre et nécessiter une inspection DLP. Les utilisateurs peuvent également sélectionner toutes les catégories à la fois en cochant la case située en haut à gauche.

    Choix des catégories spécifiques dans la section Catégorie.

    Après avoir sélectionné la destination DLP pour la règle, cliquez sur Suivant (Next). L'écran Sélectionner des dictionnaires (Select Dictionaries) s'affiche.

  7. Dans la section Sélectionner des dictionnaires (Select Dictionaries), les utilisateurs doivent choisir un ou plusieurs dictionnaires à associer à la règle. Les dictionnaires peuvent être personnalisés, prédéfinis ou une combinaison de personnalisés et prédéfinis. Tous les dictionnaires sélectionnés sont évalués et une action est effectuée en fonction des critères spécifiés dans les dictionnaires respectifs.
    Écran Sélectionner des dictionnaires (Select Dictionaries) avec des explications sur plusieurs options de configuration d'affichage.

    Il existe plus de 340 dictionnaires prédéfinis à choisir en plus des dictionnaires personnalisés que l'utilisateur peut créer. Les utilisateurs doivent affiner leurs options de dictionnaire en haut de chaque colonne. Dans cet exemple, l'utilisateur filtre les dictionnaires qui correspondent au terme de catégorie « HIPAA » pour les lier au dictionnaire personnalisé qu'il a déjà créé.

    Filtrage pour les dictionnaires à l'aide du terme de recherche de catégorie HIPAA.

    Après avoir sélectionné les dictionnaires DLP à appliquer à la règle, cliquez sur Suivant (Next). L'écran Sélectionner une action (Select Action) s'affiche.

  8. Dans l'écran Sélectionner une action (Select Action), l'utilisateur peut décider quelle action est effectuée lorsque les critères définis sont remplis. L'action peut être définie sur Bloquer (Block), Consigner (Log) ou Ignorer l'inspection (Skip Inspection). Les paramètres par défaut pour Sélectionner une action (Select Action) sont Bloquer (Block) sans E-mail d'audit (Audit Email) et avec HTTP et HTTPS activés en tant que Protocoles à inspecter (Protocols to Inspect).
    Écran par défaut pour Sélectionner une action (Select Action) lorsqu'un critère de règle est rempli. L'écran indique que les options pour Action sont Bloquer (Block), Consigner (Log) ou Ignorer l'inspection (Skip Inspection).

    Si les utilisateurs définissent l'option Envoyer l'e-mail d'audit (Send Audit Email) sur Oui (Yes); ils doivent également sélectionner un ou plusieurs Profils d'auditeur (Auditor Profile(s)) qui recevront l'e-mail d'audit. Dans ce cas, l'utilisateur choisit le profil d'audit configuré précédemment dans la section Auditeurs (Auditors).

    La capture d'écran présente l'utilisateur lorsqu'il bascule l'option Envoyer l'e-mail d'audit (Send Audit Email) et configure un profil d'auditeur.

    Après avoir configuré l'action à effectuer pour la règle, cliquez sur Suivant (Next).

  9. Dans l'écran Entrer le nom/les balises/la description (Enter Name /Tags/Description), l'utilisateur doit configurer un Nom (Name) unique pour la règle DLP. L'utilisateur peut également configurer les options Balises (Tags), Notification et Motif (Reason) pour la règle.
    Configurer un nom et une description pour la règle DLP.
  10. Cliquez sur Terminer (Finish). Une règle DLP est créée et est répertoriée dans la section de règle DLP de la stratégie de sécurité.
  11. Cliquez sur Publier (Publish) pour que la règle DLP prenne effet dans cette stratégie de sécurité.
    Note : Environ cinq minutes sont nécessaires pour que la règle DLP prenne effet à partir du moment où les utilisateurs la publient. Après la publication de la stratégie de sécurité, les utilisateurs peuvent Appliquer la stratégie de sécurité.
    Confirmez le remplissage de la règle DLP sur l'écran de règle DLP principal, puis cliquez sur Publier pour que la règle prenne effet.

    Après la publication, une règle DLP peut être modifiée et republiée si nécessaire, de la même manière qu'elle a été créée pour la première fois.

Pour plus d'informations sur ces paramètres d'entreprise DLP, reportez-vous à la section Protection contre la perte de données.