Alors que l’année 2023 est déjà bien entamée, il est important de revenir sur un sujet crucial abordé depuis la fin de 2022 concernant l’agent DLP (Data Loss Prevention).

Cet agent installé sur les postes physiques et/ou virtuels  permet de couvrir de multiples canaux de fuite tel que les ports USB, les processus applicatifs, les impressions, les emails et bien sûr, la navigation web.

Depuis plusieurs années, la détection des fuites via les canaux web utilise des extensions de navigateur telles que celles intégrées à Chrome, Firefox, Edge et Safari, fournies par l’agent Forcepoint DLP.  Associé à d’autre mécanisme de protection comme le module « Improved Detection for Web File Uploads», ces plug-in garantissent la sécurité des échanges web à partir des navigateurs et des applications tierces qui en dépendent.

Depuis novembre 2022, une nouvelle fonctionnalité de l’agent DLP, appelée DLP Inline proxy, est utilisée pour détecter les fuites sur la partie web.Ce mode Inline, exécuté localement sur le client Endpoint, offre une autre méthode d’application des politiques de sécurité web. À terme, il est destiné à remplacer l’utilisation des extensions de navigateur.

Cette nouvelle approche a été adoptée pour deux raisons principales

•  Google a annoncé que son navigateur Chrome ne prenait plus en charge lesextensions comme celle utilisée actuellement par Forcepoint. Par conséquent, Forcepoint prend des mesures pour assurer  la continuité des fonctionnalités de détection DLP.

Pour plus d’informations, consultez le lien suivant : https://developer.chrome.com/docs/extensions/mv3/mv2-sunset/

•  La fonction Inline proxy offre une meilleure détection des canaux Web, y compris la navigation en mode incognito/privée, et réduit les faux positifs pouvant survenir en raison de l’implémentation actuelle des extensions de navigateur.

 Il est crucial de prendre en compte cette évolution, quel que soit votre environnement et votre architecture. Cette nouvelle approche peut entraîner d’importants changements dans votre control DLP.

 Concernant la fonctionnalité en elle-même, nous avons effectués des tests depuis le début de l’année sur nos infrastructures et depuis quelques mois chez certains d’entre vous, en accordant une attention particulière à des phases de tests approfondis.

 Cette fonction Inline présente un intérêt certain (certains diront que nous revenons en arrière de 15 ans, et cela est  en partie vrai 😊) car  elle permet un contrôle  étendu et performant des transfert Web, en particulier pour  les méthodes de transfert de fichier telles que le mode « Data Stream ».

Elle offre, par exemple une meilleure prise en charge des cas d’utilisation liées aux applications cloud, plus communément appelées « Cloud Apps » comme O365.

 En termes d’architecture, elle est fondamentalement différente par rapport au plug-in. Ce proxy local  s’insère dans les couches basses du système (driver réseau) pour intercepter les flux web.

L’agent DLP effectue un déchiffrement SSL local sur le poste client afin effectuer l’analyse DLP requise puis, chiffre à nouveau le flux de données avant de le renvoyer  vers la destination suivante.

En conclusion…

Ce nouvel outil permet une détection plus étendue et des performances accrues sur les navigateurs Web ainsi que sur les exécutables des postes utilisateurs.

 Cependant, il est important de prendre en compte deux facteurs majeurs :

• La cassure TLS effectuée sur le poste et/ou VDI
• Les interactions potentielles avec les autres applications présentes sur le poste utilisateur.

Ces changement ne sont pas sans impact et une phase de réflexion est nécessaire pour préparer au mieux cette transition.

 Nous restons à votre disposition pour échanger, discuter sur ce sujet. N’hésitez pas à nous contacter.