KASPERSKY Security 9.0 for Microsoft Exchange Servers Manuel de l'expert en sécurité de l'information [fr]

Kaspersky Security 9.0 for Microsoft Exchange
Manuel de l'expert en sécurité de
V E R S I O N D E L ' A P P L I C A TION : 9 . 0
Servers
2
Cher Utilisateur !
Merci d'avoir choisi notre produit. Nous espérons que ce document vous aidera dans votre travail et répondra à la majorité des questions que vous pourriez avoir.
Attention ! Ce document demeure la propriété de Kaspersky Lab ZAO (ci-après, Kaspersky Lab) et il est protégé par les législations de la Fédération de Russie et les accords internationaux sur les droits d'auteur. Toute copie ou diffusion illicite de ce document, intégrale ou partielle, est passible de poursuites civiles, administratives ou judiciaires, conformément aux lois applicables.
La copie sous n'importe quelle forme et la diffusion, y compris la traduction, de n'importe quel document sont admises
uniquement sur autorisation écrite de Kaspersky Lab.
Ce document et les illustrations qui l'accompagnent peuvent être utilisés uniquement à des fins personnelles, non commerciales et à titre d'information.
Ce document peut être modifié sans préavis. La version la plus récente de ce document est accessible sur le site de Kaspersky Lab à l'adresse http://www.kaspersky.fr/docs.
Kaspersky Lab ne pourra être tenue responsable du contenu, de la qualité, de l'actualité et de l'exactitude des textes utilisés dans ce manuel et dont les droits appartiennent à d'autres entités. La responsabilité de Kaspersky Lab en cas de dommages liés à l'utilisation de ces textes ne pourra pas non plus être engagée.
Date d'édition : 10/10/2014
© 2014 Kaspersky Lab ZAO. Tous droits réservés.
http://www.kaspersky.com/fr
http://support.kaspersky.com/fr
3
TABLE DES MATIERES
PRESENTATION DU MANUEL ..................................................................................................................................... 5
Dans ce document .................................................................................................................................................... 5
Conventions .............................................................................................................................................................. 6
KASPERSKY SECURITY 9.0 FOR MICROSOFT EXCHANGE SERVERS .................................................................. 8
Présentation des catégories DLP ............................................................................................................................. 8
Présentation des stratégies DLP ............................................................................................................................ 10
Présentation des incidents...................................................................................................................................... 11
Collaboration entre les experts en sécurité de l'information ................................................................................... 12
Processus d'analyse des messages par le module DLP ........................................................................................ 12
Présentation de l'ajout d'en-tête X .......................................................................................................................... 13
INTERFACE DE L'APPLICATION ................................................................................................................................ 14
Fenêtre principale de la Console d'administration .................................................................................................. 14
Arborescence de la console d'administration ......................................................................................................... 14
Espace de travail .................................................................................................................................................... 14
LANCEMENT ET ARRET DE L'APPLICATION ........................................................................................................... 15
ÉTAT DE LA PROTECTION DES DONNEES CONTRE LES FUITES ........................................................................ 16
État par défaut de la protection des données contre les fuites ............................................................................... 16
Consultation des informations relatives à l'état de la protection des données contre les fuites .............................. 16
CONFIGURATION DES ADRESSES DES EXPERTS EN SECURITE DE L'INFORMATION ..................................... 19
UTILISATION DES CATEGORIES .............................................................................................................................. 20
Création et modification d'une catégorie de données tabulaires ............................................................................ 20
Exemple d'une catégorie de données tabulaires .................................................................................................... 21
Création et modification de mots clés ..................................................................................................................... 21
Suppression d'une catégorie .................................................................................................................................. 23
UTILISATION DES STRATEGIES ............................................................................................................................... 24
Création d'une stratégie .......................................................................................................................................... 24
Étape 1. Configuration des paramètres généraux ............................................................................................. 25
Étape 2. Configuration de la zone d'action de la stratégie : expéditeurs ........................................................... 25
Étape 3. Configuration de la zone d'action de la stratégie : destinataires ......................................................... 26
Étape 4. Configuration des actions ................................................................................................................... 27
Modification des paramètres d'une stratégie .......................................................................................................... 29
Configuration de l'envoi des notifications sur la violation d'une stratégie ............................................................... 29
Suppression d'une stratégie ................................................................................................................................... 30
Recherche de stratégies relatives à des utilisateurs définis ................................................................................... 30
TRAITEMENT DES INCIDENTS .................................................................................................................................. 32
Consultation de la liste des incidents ...................................................................................................................... 32
Sélection des colonnes à afficher dans le tableau des incidents ............................................................................ 33
Filtrage de la liste des incidents .............................................................................................................................. 33
Consultation des détails relatifs à l'incident ............................................................................................................ 34
Modification de l'état des incidents ......................................................................................................................... 35
Enregistrement sur le disque de messages liés à un incident ................................................................................ 36
Envoi d'une notification au contrevenant ................................................................................................................ 37
M A NU EL D E L ' E X P E R T E N S É C U R I T É D E L ' I N F O R M A T I O N
4
Ajout d'un commentaire aux incidents .................................................................................................................... 38
Archivage des incidents .......................................................................................................................................... 39
Restauration des incidents depuis l'archive ............................................................................................................ 39
Suppression des incidents archivés ....................................................................................................................... 40
UTILISATION DES RAPPORTS .................................................................................................................................. 41
Présentation des rapports sur le fonctionnement du Module DLP .......................................................................... 41
Rapport détaillé ...................................................................................................................................................... 42
Rapport par utilisateur ............................................................................................................................................ 43
Rapport ICP (KPI) du système ............................................................................................................................... 44
Rapport par stratégie et par incident ...................................................................................................................... 45
Création d'une tâche de composition d'un rapport .................................................................................................. 45
Tâche de composition d'un rapport détaillé : configuration des paramètres ........................................................... 46
Tâche de création d'un rapport par utilisateur : configuration des paramètres ....................................................... 48
Tâche de création d'un rapport ICP (KPI) du système : configuration des paramètres .......................................... 50
Tâche de création d'un rapport par stratégie et par incident : configuration des paramètres ................................. 51
Lancement d'une tâche de composition d'un rapport ............................................................................................. 53
Suppression d'une tâche de composition d'un rapport ........................................................................................... 53
Consultation d’un rapport........................................................................................................................................ 53
Création manuelle d'un rapport .............................................................................................................................. 54
Enregistrement des rapports sur le disque ............................................................................................................. 54
Suppression de rapports......................................................................................................................................... 55
KASPERSKY LAB ZAO ............................................................................................................................................... 56
INFORMATIONS SUR LE CODE TIERS ..................................................................................................................... 57
AVIS SUR LES MARQUES .......................................................................................................................................... 58
5
PRESENTATION DU MANUEL
DANS CETTE SECTION
Dans ce document ............................................................................................................................................................ 5
Conventions ...................................................................................................................................................................... 6
Le présent document constitue le manuel de l'expert en sécurité de l'information de Kaspersky Security 9.0 for Microsoft® Exchange Servers (ci-après, Kaspersky Security).
Le manuel vise les objectifs suivants :
Aider à utiliser l'application.
Offrir un accès rapide aux informations pour répondre aux questions liées au fonctionnement de Kaspersky
Security.

DANS CE DOCUMENT

Ce document reprend les sections suivantes :
Kaspersky Security 9.0 for Microsoft Exchange Servers (cf. page 8)
Cette section décrit brièvement les possibilités de l'application.
Interface de l'application (cf. page 14)
Cette section contient des informations sur les principaux éléments de l'interface graphique de l'application : la fenêtre principale de la Console de gestion, arborescence de la Console de gestion, espaces de travail.
Lancement et arrêt de l'application (cf. page 15)
Cette section explique comment lancer et arrêter l'application.
État de la protection des données contre les fuites (cf.page 16)
Cette section contient des informations sur l'état par défaut de la protection des données contre les fuites ainsi que des instructions pour obtenir des informations sur l'état du Module DLP et des statistiques concernant le fonctionnement de
ce module.
Configuration des adresses des experts en sécurité de l'information (cf. page 19)
Cette section explique comment configurer les adresses des experts en sécurité de l'information, de préférence avant de commencer à utiliser l'application.
Utilisation des catégories (cf. page 20)
Cette section contient des instructions pour la création, la modification et la suppression des catégories DLP.
M A NU EL D E L ' E X P E R T E N S É C U R I T É D E L ' I N F O R M A T I O N
6
Utilisation des stratégies (cf. page 24)
EXEMPLE DE TEXTE
DESCRIPTION DE LA CONVENTION
N'oubliez pas que...
Les avertissements apparaissent en rouge et sont encadrés. Les avertissements contiennent des informations sur les actions pouvant avoir des conséquences indésirables.
Il est conseillé d'utiliser...
Les remarques sont encadrées. Les remarques contiennent des informations complémentaires ou d'aide.
Exemple :
...
Les exemples sont présentés sur un fond jaune sous le titre "Exemple".
Cette section contient des instructions sur la création, la modification et la suppression des stratégies DLP.
Utilisation des incidents (cf. page 32)
Cette section contient des instructions sur le traitement des incidents créés.
Utilisation des rapports
Cette section contient des informations relatives aux rapports sur le fonctionnement du module DLP, des instructions sur
la création, la consultation, l'enregistrement et la suppression de rapports ainsi que sur la création, la modification, l'exécution et la suppression des tâches de création de rapports.
Kaspersky Lab ZAO (cf. page 56)
Cette section contient des informations sur Kaspersky Lab ZAO.
Informations sur le code tiers (cf. page 57)
Cette section reprend des informations relatives au code tiers utilisé dans l'application.
Avis sur les marques (cf. page 58)
Cette section reprend les informations relatives aux marques citées dans le document et à leurs détenteurs.

CONVENTIONS

Le présent document respecte des conventions (cf. tableau ci-dessous).
Таблица 1. Conventions
P R É SE NT A T I O N D U M A N U E L
7
EXEMPLE DE TEXTE
DESCRIPTION DE LA CONVENTION
La mise à jour, c'est ...
L'événement Les bases sont
obsolètes survient.
Les éléments de texte suivants sont en italique :
nouveaux termes ; noms des états et des événements de l'application ;.
Appuyez sur la touche ENTREE. Appuyez sur la combinaison de
touches ALT+F4.
Les noms des touches du clavier sont écrits en caractères majuscules gras.
Deux noms de touche unis par le caractère "+" représentent une combinaison de
touches. Ces touches doivent être enfoncées simultanément.
Cliquez sur le bouton Activer.
Les noms des éléments de l'interface de l'application, par exemple, les champs de saisie, les options du menu, les boutons, sont écrits en caractères gras.
Pour planifier une tâche,
procédez comme suit :
Les phrases d'introduction des instructions sont en italique et ont l'icône "flèche".
Dans la ligne de commande, saisissez le texte help
Les informations suivantes s'affichent :
Indiquez la date au format JJ:MM:AA.
Les types suivants de texte apparaissent dans un style spécial :
 texte de la ligne de commande ;  texte des messages affichés sur l'écran par l'application ;  données à saisir à l'aide du clavier.
<Nom de l'utilisateur>
Les variables sont écrites entre chevrons. La valeur correspondant à la variable
remplace cette variable, sans les chevrons.
8
KASPERSKY SECURITY 9.0 FOR
DANS CETTE SECTION
Présentation des catégories DLP ...................................................................................................................................... 8
Présentation des stratégies DLP ..................................................................................................................................... 10
Présentation des incidents .............................................................................................................................................. 11
Collaboration entre les experts en sécurité de l'information ............................................................................................ 12
Processus d'analyse des messages par le module DLP ................................................................................................. 12
Présentation de l'ajout d'en-tête X ................................................................................................................................... 13
MICROSOFT EXCHANGE SERVERS

Kaspersky Security 9.0 for Microsoft Exchange Servers est une application qui a été développée pour assurer la protection des serveurs de messagerie tournant sous Microsoft Exchange Server contre les virus, les chevaux de Troie, les vers et autres types de menaces pouvant être diffusées par courrier électronique, ainsi que contre le spam, le

phishing et les fuites non préméditées d'informations confidentielles appartenant à la société par le biais de courriers électroniques.
Kaspersky Security 9.0 for Microsoft Exchange Servers contient un module de lutte contre les fuites de données (Data Loss Prevention, DLP) : le Module DLP. Le module DLP recherche la présence éventuelle d'informations confidentielles
ou d'informations répondant à des caractéristiques précises comme des données de carte de crédit ou des données financières ou personnelles d'employés d'une entreprise dans le courrier. Si le Module DLP détecte ce genre d'informations dans le message, il consigne dans son journal une entrée sur la violation de la sécurité des données (incident). Ces entrées permettront d'identifier plus tard qui a tenté d'envoyer ces informations et le destinataire. Le module DLP permet de bloquer la transmission de messages contenant des données confidentielles ou d'autoriser
l'envoi de tels messages, avec simplement consignation dans le journal.
Le module DLP tire ses conclusions sur la violation de la sécurité des données sur la base des catégories DLP et des stratégies DLP.
Si la législation en vigueur dans votre pays impose la notification des citoyens sur le contrôle de leur activité dans les réseaux de transmission de données, il vous faudra informer les utilisateurs sur le fonctionnement du Module DLP.
Des informations supplémentaires concernant d'autres fonctions de l'application sont disponibles dans le Manuel de
l'administrateur de Kaspersky Security 9.0 for Microsoft Exchange Servers.
PRESENTATION DES CATEGORIES DLP
Les catégories DLP (ci-après, « les catégories ») sont des modèles de données selon lesquels le Module DLP recherche les fuites de données dans un message. Les catégories sont réparties entre les catégories de Kaspersky Lab et les catégories utilisateur. Les catégories de Kaspersky Lab sont préparées par les experts de Kaspersky Lab et sont fournies avec l'application et actualisées lors de la mise à jour des bases de l'application. Les catégories définies par l'utilisateur peuvent être créées de manière indépendante.
K A S PE RS K Y S E C U R I T Y 9 . 0 F O R M I C R OS OF T EX C H A N G E S E R V E R S
9
Catégories définies par l'utilisateur
Catégorie de données tabulaires
Ce type de catégorie se présente sous la forme d'une empreinte numérique de données sous forme de tableau. Par exemple, il peut s'agir de tableaux de données personnelles sur des employés et des clients reçus via les systèmes de GRC (cf. section « Création et modification d'une catégorie de données tabulaires » à la page 20). Une recherche à l'aide de cette catégorie permet d'identifier parmi les données protégées des combinaisons de cellules comprenant un nombre défini de lignes et de colonnes (cf. section « Exemple d'une catégorie de données tabulaires » à la page 21).
Catégorie de mots clés
Ce type de catégorie se présente sous la forme d'un mot-clé ou d'une expression composée de mots-clés à l'aide de fonctions spécifiques (cf. section « Création et modification de la catégorie de mots-clés » à la page
21). La recherche selon cette catégorie permet de trouver dans les données protégées une combinaison de
mots ou d'expression qui répondent aux conditions de recherche complexes, par exemple, la présence de deux mots séparés par un nombre de mots définis. La catégorie des mots clés permet de protéger les documents contenant des termes spécifiques (par exemple, noms de nouvelles technologies ou de nouveaux produits qui constituent un secret commercial) contre la fuite de données.
Les nouvelles catégories et modifications d'utilisateurs créées dans les catégories d'utilisateurs s'étendent à tous les Serveurs de sécurité dotés du Module DLP dans les 30 minutes qui suivent.
Catégories de Kaspersky Lab
Documents administratif (Russie)
Cette catégorie permet de protéger les principaux documents administratifs et réglementaires de l'activité économique en Russie comme les commandes ou les instructions.
Documents confidentiels (Russie)
Cette catégorie permet de protéger les documents de l'activité économique en Russie réservés à un cercle restreint de personnes. Il s'agit par exemple de documents portant la note « Usage interne uniquement » ou « Informations confidentielles ».
Documents financiers (Russie)
Cette catégorie permet de protéger les documents financiers standard utilisés dans les entreprises russes
comme les factures, les contrats.
Données médicales (Russie)
Cette catégorie permet de protéger les données médicales personnelles des citoyens de Russie.
Données médicales (Allemagne)
Cette catégorie permet de protéger les données médicales personnelles des citoyens d'Allemagne.
Données médicales (Grande-Bretagne)
Cette catégorie permet de protéger les données médicales personnelles des citoyens de Grande-Bretagne.
Données médicales (Etats-Unis)
Cette catégorie permet de protéger les données médicales personnelles des citoyens des Etats-Unis.
Cartes de paiement
Cette catégorie permet de protéger les données confidentielles conformément à la norme PCI DSS (Payment Card Industry Data Security Standard), la norme internationale adoptée pour garantir la sécurité des données du secteur des cartes de paiement. Elle permet d'identifier dans les données protégées les informations relatives aux cartes de paiement comme le numéro de la carte (avec ou sans trait d'union, avec ou sans le code CVV) et les dumps de la bande magnétique. A l'aide de la catégorie « Cartes de paiement », vous pouvez
M A NU EL D E L ' E X P E R T E N S É C U R I T É D E L ' I N F O R M A T I O N
10
protéger les données personnelles des détenteurs de cartes de paiement contre toute utilisation ou diffusion non autorisée.
Données personnelles (Allemagne)
Cette catégorie permet de protéger les données personnelles conformément aux dispositions de la législation
allemande.
Données personnelles (Russie)
Cette catégorie permet de protéger les données personnelles conformément aux dispositions de la législation
russe.
Données personnelles (Grande-Bretagne)
Cette catégorie permet de protéger les données personnelles conformément aux dispositions de la législation
britannique.
Données personnelles (Etats-Unis)
Cette catégorie permet de protéger les données personnelles conformément aux dispositions de la législation américaine. La catégorie permet d'identifier dans les données protégées toute information qui permet d'identifier un citoyen ou son emplacement comme les données du passeport ou du permis de conduire, les informations de contribuable ou les numéros de sécurité sociale.
Loi fédérale N152 (Russie)
Cette catégorie permet de protéger les données personnelles couvertes par la loi fédérale 152 de la Fédération de Russie. Cette catégorie regroupe les catégories « Données personnelles (Russie) » et « Données médicales (Russie) ».
Loi fédérale HIPAA (Etats-Unis)
Cette catégorie permet de protéger les données personnelles relatives à la santé et couvertes par la loi fédérale
HIPAA des Etats-Unis.
La liste des catégories de Kaspersky Lab livrées avec l'application peut différer de la liste citée. De plus, cette sélection peut être enrichie lors de la mise à jour de la base de données de l'application.
PRESENTATION DES STRATEGIES DLP
Il est possible d'établir des stratégies DLP (ci-après, stratégies) en se basant sur les catégories de Kaspersky Lab et sur les catégories DLP définies par l'utilisateur (cf. section « Création d'une stratégie » à la page 24).
La zone d'action d'une stratégie comprend :
Le nombre d'expéditeurs dont les messages doivent être analysés par l'application conformément à cette
stratégie.
Le nombre de destinataires dont les messages doivent être analysés par l'application conformément à cette
stratégie.
L'application applique les stratégies aux messages sortants qui entrent dans la zone d'action des stratégies et recherche la présence éventuelle de données confidentielles qui correspondent aux catégories de ces stratégies.
La stratégie détermine également les actions. L'application exécute ces actions sur les messages dans lesquels ont été détectées des données confidentielles.
Une catégorie peut servir à la création de plusieurs stratégies aux zones d'action différentes et avec des actions différentes à exécuter.
Les nouvelles stratégies et modifications créées dans les stratégies s'étendent à tous les Serveurs de sécurité dotés du Module DLP dans les 30 minutes qui suivent.
K A S PE RS K Y S E C U R I T Y 9 . 0 F O R M I C R OS OF T EX C H A N G E S E R V E R S
11
ETAT
TYPE
VALEUR
Nouveau
Ouvert
Nouvel incident. Le traitement de l'incident n'a pas encore débuté.
En traitement
Ouvert
L'enquête sur l'incident est en cours.
Clos (traité)
Fermé
L'incident a été traité et les mesures requises ont été adoptées.
Clos (faux positif)
Fermé
La stratégie a été violée, mais l'envoi de données protégée était un faux
positif. Il n'y a pas eu de violation de la
sécurité des informations. Il faudra peut-être réaliser un réglage fin des paramètres de la stratégie.
Clos (pas d'incident)
Fermé
La stratégie a été violée, mais l'envoi de données protégée a été sanctionné par une disposition spéciale. Aucune mesure complémentaire n'est requise.
Clos (autre)
Fermé
L'incident a été clos pour d'autres
raisons
PRESENTATION DES INCIDENTS
Si le contenu du message correspond à des données de la catégorie et à l'ensemble des conditions définies dans la stratégie, le module DLP crée un incident qui évoque la violation de cette stratégie. Si un même message de courrier électronique viole plusieurs stratégies de sécurité de l'information simultanément, le Module DLP crée autant d'incidents qu'il y a de stratégies violées (cf. section « Processus d'analyse des messages par le Module DLP » à la page 12).
Chaque incident contient des informations sur l'objet de l'incident (le message à l'origine de la violation de la sécurité de l'information), sur l'expéditeur et les destinataires du message, sur la stratégie violée, ainsi que des informations
techniques telles que l'identifiant de l'incident ou l'heure de création de l'incident (cf. section « Consultation de la liste des incidents » à la page 32).
Chaque incident doit être traité par un expert en sécurité de l'information. Le traitement de l'incident inclut la consignation de la violation et l'adoption des mesures techniques et organisationnelles à prendre pour renforcer la protection des données confidentielles.
Etat de l'incident
L'état de l'incident indique l'état de son traitement. Un incident qui vient d'être créé possède l'état Nouveau. Lors du traitement d'un incident, l'expert en sécurité de l'information change son état. Le traitement de l'incident est terminé lorsque l'expert en sécurité de l'information lui attribue un des états Clos (<raison>). Les états Nouveau et En traitement sont des états ouverts, et les états Clos (<raison>) sont des états fermés.
Таблица 2. États des incidents
Priorité de l'incident
La priorité de l'incident désigne l'urgence selon laquelle il faut traiter l'incident. L'application attribue une priorité à un incident dès qu'il a été créé (Faible, Moyenne ou Elevée). La priorité est attribuée sur la base de la valeur définie dans les paramètres de la stratégie violée.
Archives des incidents
Les incidents fermés peuvent être déplacés vers une archive (cf. section « Archivage des incidents » à la page 39). Les incidents déplacés vers une archive sont des incidents archivés. Les incidents archivés sont supprimés dans la liste des incidents. Si nécessaire, vous pouvez restaurer des incidents depuis l'archive (cf. section « Restauration des incidents depuis l'archive » à la page 39) et les consulter à nouveau dans la liste des incidents.
M A NU EL D E L ' E X P E R T E N S É C U R I T É D E L ' I N F O R M A T I O N
12
L'archive des incidents est un fichier dans un format spécial qui porte l'extension bak. Vous pouvez créer un nombre illimité d'archives d'incidents.
Le recours aux archives permet de supprimer à intervalles réguliers les incidents clos de la liste et d'utiliser ainsi de manière optimale le volume de la base de données des incidents sans perdre l'historique des incidents et de leur
traitement.
Statistiques et rapports
L'application affiche les statistiques sur les incidents survenus, les incidents en cours de traitement et les incidents
fermés. Ces informations permettent d'évaluer l'efficacité du travail de l'expert en sécurité de l'information. Ces données permettent également de créer des rapports.
COLLABORATION ENTRE LES EXPERTS EN SECURITE DE
L'INFORMATION
L'application permet la collaboration de plusieurs experts en sécurité de l'information. Tous les utilisateurs disposant du rôle d'« Expert en sécurité de l'information » dans l'application peuvent accéder à tous
les éléments de l'administration et à toutes les fonctions du Module DLP. Les modifications apportées par un expert en sécurité de l'information aux catégories, aux stratégies, aux incidents et aux rapports de l'application sont disponibles
pour tous les utilisateurs.

PROCESSUS D'ANALYSE DES MESSAGES PAR LE MODULE DLP

Le module DLP analyse les messages selon l'algorithme suivant :
1. Le module DLP reçoit le message.
2. Le Module DLP vérifie si le message entre ou non dans la zone d'action de chacune des stratégies existantes (cf. section « Création d'une stratégie » à la page 24).
Si le message n'appartient à la zone d'action d'aucune des stratégies, le module DLP ignore le message
sans aucune modification.
Si le message entre dans la zone d'action d'une quelconque stratégie, le Module DLP recherche dans le
message des fragments de données correspondant à la catégorie de cette stratégie (cf. section « Présentation des catégories DLP » à la page 8). La recherche porte sur l'objet du message, le corps du
texte et toutes les pièces jointes.
3. En cas de résultat positif (le message contenait des équivalences avec une catégories de la stratégie), cela
signifie que la stratégie a été violée. Le Module DLP attribue à l'incident créé la priorité indiquée et effectue sur le message les actions indiquées dans les paramètres de la stratégie (cf. section « Modification des paramètres d'une stratégie » à la page 29) :
Il supprime le message ou le remet à son destinataire. Une copie du message peut être jointe à l'incident
en vue d'une enquête ultérieure.
Il envoie une notification sur la violation de la stratégie aux destinataires indiqués (cf. section
« Configuration de l'envoi des notifications sur la violation d'une stratégie » à la page 29).
Les informations sur l'action effectuée sur le message sont conservées dans les informations sur l'incident (cf. section « Consultation des détails relatifs à l'incident » à la page 34).
4. En cas de résultat négatif, le module DLP passe à l'analyse du message selon la stratégie suivante.
Si le message viole la sécurité des informations de plusieurs stratégies simultanément, le module DLP crée plusieurs incidents conformément au nombre de stratégies violées.
K A S PE RS K Y S E C U R I T Y 9 . 0 F O R M I C R OS OF T EX C H A N G E S E R V E R S
13
EN-TÊTE X
VALEURS
X-KSE-Dlp-Interceptor-Info
license violation : violation de la licence, message remis
sans analyse.
protection disabled : module DLP désactivé ; message
remis sans analyse.
fallback : module DLP inopérationnel ; message remis sans
analyse.
X-KSE-DLP-ScanInfo
Overloaded file d'attente des messages entrants pleine ;
message remis sans analyse.
Skipped : stratégies applicables au message introuvables ;
message remis sans analyse.
Clean : le message était couvert par la zone d'action d'une ou de plusieurs stratégies, mais aucune violation de stratégie n'a été détectée.
Detect : le message a entraîné la violation d'une ou de plusieurs stratégies.
ScanError : erreur d'analyse.
Les messages subissent ce traitement sur tous les serveurs de messagerie de votre entreprise dotés du module DLP. Les incidents observés sur tous les serveurs de messagerie de l'entreprise sont repris dans une liste d'incidents uniques.
Si, en fonction de la topologie de votre infrastructure de messagerie, un message transite par deux serveurs de
messagerie dotés du module DLP ou plus, le message sera soumis à la recherche d'éventuelles fuites sur un seul serveur uniquement. Cela permet d'exclure toute possibilité de duplication des incidents et de perturbation des statistiques dans les rapports (cf. section « Utilisation des rapports » à la page 41).
PRESENTATION DE L'AJOUT D'EN-TETE X
Le module DLP ajoute de nouveaux en-tête X aux messages lors du traitement. Ces en-têtes X permettent, lors de l'analyse du message, d'obtenir des informations sur les résultats de son traitement par le module DLP.
Таблица 3. En-tête X des messages ajoutés par le module DLP
14

INTERFACE DE L'APPLICATION

DANS CETTE SECTION
Fenêtre principale de la Console d'administration ........................................................................................................... 14
Arborescence de la console d'administration ................................ .................................................................................. 14
Espace de travail ............................................................................................................................................................. 14
La console d’administration assure l’interface d’administration de l'application. Il s'agit d'un composant enfichable isolé spécial intégré à Microsoft Management Console (MMC).
FENETRE PRINCIPALE DE LA CONSOLE
D'ADMINISTRATION
La fenêtre principale de la Console d'administration contient les éléments suivants :
Menu. Il se trouve dans la partie supérieure de la fenêtre principale. Le menu permet d'administrer les fichiers
et les fenêtres et offre également l’accès aux fichiers d’aide.
Arborescence de la Console d'administration. Se trouve dans la partie gauche de la fenêtre principale.
L'arborescence de la Console de gestion permet d'accéder aux fonctions et aux paramètres de l'application.
Espace de travail. Se trouve dans la partie droite de la fenêtre principale. L'espace de travail affiche le contenu
de l'entrée sélectionnée dans l'arborescence de la console de gestion.

ARBORESCENCE DE LA CONSOLE D'ADMINISTRATION

L'arborescence de la console contient l'entrée racine Protection contre les fuites de données qui reçoit les informations sur l'état de la protection des données contre les fuites.
L'entrée racine contient des sous-entrées prévues pour l'administration des fonctions de l'application :
Catégories et stratégies Configuration des paramètres de protection des données contre les fuites
Incidents Traitement des incidents
Rapports. Création et consultation de rapports sur le fonctionnement du module DLP et autres actions sur ces
rapports.

ESPACE DE TRAVAIL

L'espace de travail permet d'accéder au contenu de l'entrée sélectionnée dans l'arborescence de la Console de gestion : aux paramètres, aux fonctions de l'application ou aux informations statistiques relatives au fonctionnement de l'application. Le type d'espace de travail varie en fonction de l'entrée sélectionnée.
15
LANCEMENT ET ARRET DE L'APPLICATION
Pour commencer à utiliser l'application, vous devez lancer la console d'administration.
Pour lancer la console d'administration,
sélectionnez dans le menu Démarrer l'option Tous les programmes Kaspersky Security 9.0 for Microsoft Exchange Servers Kaspersky Security 9.0 for Microsoft Exchange Servers.
Après son lancement, la console d'administration se connecte automatiquement au serveur de sécurité. Dans l'arborescence de la console d'administration, sélectionnez l'entrée Protection contre les fuites de données, puis
les entrées suivantes :
Catégories et stratégies
Incidents
Rapports.
Si la console d'administration n'est pas installée sur votre ordinateur ou que vous constatez une différence entre le lancement de la console d'administration et la description faite ici, contactez votre administrateur.
Pour mettre fin à l'utilisation de l'application, vous devez fermer la console d'administration.
Pour fermer la console d'administration,
dans le menu principal de la Console d'administration, sélectionnez l'option Fichier Quitter.
16
ÉTAT DE LA PROTECTION DES DONNEES
DANS CETTE SECTION
État par défaut de la protection des données contre les fuites ........................................................................................ 16
Consultation des informations relatives à l'état de la protection des données contre les fuites ...................................... 16
CONTRE LES FUITES
Cette section contient des informations sur l'état par défaut de la protection des données contre les fuites ainsi que des instructions pour obtenir des informations sur l'état du Module DLP et des statistiques concernant le fonctionnement de
ce module.
ÉTAT PAR DEFAUT DE LA PROTECTION DES DONNEES
CONTRE LES FUITES
Après l'installation de l'application, la protection des données contre les fuites se trouve par défaut dans l'état suivant :
Le module DLP est activé.
L'application contient des catégories prédéfinies. L'application ne contient aucune catégorie définie par
l'utilisateur.
L'application ne possède aucune stratégie.
L'application ne recherche pas les éventuelles fuites de données dans les messages sortant et ne crée pas
d'incidents. Le module DLP ignore tous les messages sortant.
CONSULTATION DES INFORMATIONS RELATIVES A L'ETAT
DE LA PROTECTION DES DONNEES CONTRE LES FUITES
Les informations sur l'état de la protection contre les fuites de données apparaissent dans la zone de travail de l'entrée
Protection contre les fuites de données de la Console d'administration.
Les informations reprises dans l'espace de travail de l'entrée Protection contre les fuites de données sont réparties en trois groupes :
Etat du Module DLP
Incidents ouverts.
statistiques.
É T A T DE L A P R O T E C T I O N D E S D O N NÉ ES C O N TR E L E S F U I T E S
17
Groupe Etat du Module DLP
Le groupe Etat du Module DLP permet d'obtenir des informations sur l'état actuel du module DLP et sur les erreurs survenues pendant le fonctionnement du module DLP sur les serveurs de sécurité de votre organisation. Le groupe
contient les informations suivantes :
Etat du module DLP (Activé, Activé et fonctionne avec des erreurs, Désactivé).
informations sur les types d'erreurs suivant (le cas échéant) :
erreurs liées à la licence ;
erreurs liées à la base de données DLP ;
erreurs d'analyse des messages ;
erreurs de communication avec les serveurs de sécurité dotés du module DLP.
Les groupes contenant les informations relatives aux erreurs reprennent le nombre et la liste de serveurs de sécurité sur lesquels les erreurs se sont produites.
Groupe Incidents ouverts
Le groupe Incidents ouverts permet de consulter les statistiques sur les incidents existants portant l'état Nouveau et En cours de traitement.
La partie supérieure du groupe reprend les informations suivantes :
Violateurs. Nombre d'expéditeurs uniques. Les incidents créés lors de l'analyse des messages de ces
expéditeurs possèdent l'état Nouveau ou En traitement.
Nouveaux incidents. Nombres d'incidents possédant actuellement l'état Nouveau.
Incidents lors du traitement. Nombres d'incidents possédant actuellement l'état En cours de traitement.
Incidents ouverts avec priorité élevée. Nombre d'incidents ouverts (en pour cent) qui ont possèdent la priorité
supérieure Elevée. Ce paramètre affiche le niveau de danger actuel. Ce niveau peut avoir une des valeurs
suivantes :
0 à 25 %. Faible. Mis en évidence en vert.
25 à 50 %. Moyenne. Mis en évidence en jaune.
50 à 75 %. Elevée. Mis en évidence en rouge.
75 à 100 %. Critique. Mis en évidence en noir.
Top 3 des violateurs. Liste de trois expéditeurs. Les messages de ces expéditeurs ont violé le plus de
stratégies et les incidents créés par ces messages possèdent l'état Nouveau ou En cours de traitement.
La partie inférieure du groupe reprend le diagramme des incidents ouverts qui signalent le nombre d'incidents portant l'état Nouveau et En cours de traitement comptabilisés pour chaque catégorie. Par défaut, le diagramme est créé su la base des données de toutes les catégories. Vous pouvez modifier la liste des catégories reprises dans la production du
diagramme des incidents ouverts.
M A NU EL D E L ' E X P E R T E N S É C U R I T É D E L ' I N F O R M A T I O N
18
Pour modifier la liste des catégories reprises dans la production du diagramme des incidents ouverts :
1. Cliquez sur le bouton Sélectionner les catégories.
La fenêtre Liste des catégories s'ouvre.
2. Cochez la case en regard des catégories à utiliser pour la génération du diagramme. Cliquez ensuite sur OK.
Le contenu du diagramme sera actualisé conformément aux catégories sélectionnées.
Groupe Statistiques
Le groupe Statistiques permet d'obtenir des informations sur les messages traités et analysés ainsi que sur les incidents fermés au cours de la période du rapport. La période du rapport peut être égale à 7 ou 30 jours. Vous pouvez sélectionner la période du rapport.
Pour choisir la période du rapport,
cliquez sur le lien 7 jours ou 30 jours.
Les données du groupe sont actualisées en fonction de la période de rapport sélectionnée.
La partie supérieure du groupe contient les informations suivantes :
Messages traités. Nombre de messages reçus par le module DLP.
Messages analysés. Nombre de messages entrés dans la zone d'action d'une stratégie (cf. section
« Présentation des stratégies DLP » à la page 10) et analysés par le module DLP.
Incidents créés. Nombre d'incidents créés.
Messages ignorés à cause des délais d'attente. Nombre de messages qui n'ont pas été analysés en raison
d'un dépassement de la durée d'analyse.
Messages ignorés à cause d'erreurs. Nombre de messages qui n'ont pas été analysés en raison d'erreurs,
dont des erreurs liées à la licence.
La partie inférieure du groupe contient le diagramme des incidents fermés qui indique le nombre et le pourcentage d'incidents portant les états Fermé (traité), Fermé (faux positif), Fermé (n'est pas un incident), Fermé (autre) créés au cours de la période sélectionnée pour le rapport. Les incidents restaurés depuis l'archive entrent dans la composition du diagramme (cf. section « Restauration des incidents depuis l'archive » à la page 39).
Par défaut, le diagramme est créé su la base des incidents liés à toutes les catégories. Vous pouvez modifier la liste des catégories reprises dans la production du diagramme des incidents fermés.
Pour modifier la liste des catégories reprises dans la production du diagramme des incidents fermés :
1. Cliquez sur le bouton Sélectionner les catégories.
La fenêtre Liste des catégories s'ouvre.
2. Cochez la case en regard des catégories à utiliser pour la génération du diagramme. Cliquez ensuite sur OK.
Le contenu du diagramme sera actualisé conformément aux catégories sélectionnées.
Loading...
+ 40 hidden pages