L’un des défis auxquels les entreprises sont confrontées lors de la mise en œuvre de la prévention des pertes de données (DLP) est de garantir la précision de la solution. Le moteur Sophos DLP est disponible sous forme de SDK via l’équipe commerciale OEM et offre, à ceux qui souhaitent implémenter des fonctionnalités DLP dans leurs produits et les commercialiser rapidement, une solution de sécurité des données multiplateforme facile à intégrer.
Les SophosLabs fournissent une bibliothèque complète de définitions de données sensibles, vous offrant dès le départ une détection pour tous les types courants d’informations personnelles identifiables (PII) ainsi que pour les données financières et de santé. Alors que de nombreuses solutions DLP se basent sur la correspondance de modèle, Sophos DLP propose plus de 400 modèles de recherche et utilise une notation négative pour réduire considérablement les erreurs.
Défis et solutions en matière de correspondance de modèle
Examinons comment fonctionne la correspondance de modèle pour les données de carte de crédit.
Lors du stockage des numéros de carte de crédit, ils sont simplement représentés par des numéros à 16 chiffres. Cependant, les documents peuvent également contenir des valeurs à 16 chiffres sans aucun rapport entre eux : numéros de pièce, numéros de série ou autres éléments qui pourraient être identifiés par erreur comme des numéros de carte de crédit.
Pour résoudre ce problème, Sophos DLP inclut des chiffres de contrôle pour valider qu’un numéro à 16 chiffres est bien un numéro de carte de crédit valide. Cependant, même après avoir utilisé la formule du chiffre de contrôle (check-digit), il y a encore 10 % de chances qu’une correspondance de modèle aléatoire provoque un faux positif.
Sophos utilise les échecs de validation comme contexte statistique, réduisant ainsi considérablement les faux positifs sans qu’il soit nécessaire de modifier la bibliothèque de correspondance de modèle. Pour ce faire, la logique DLP a été modifiée pour réduire le score de chaque correspondance de modèle qui échoue à la validation.
Avec le dernier moteur d’analyse de contenu de Sophos, nous utilisons 100 % des informations disponibles à partir de la validation des chiffres de contrôle pour augmenter considérablement la précision.
Comparaison des méthodes de recherche DLP
Examinons maintenant trois approches différentes en matière de notation d’une correspondance de modèle appliquées à un document avec des nombres aléatoires.
Méthodes DLP de correspondance de modèle. Cliquez sur l’image pour l’agrandir.
La première méthode, la correspondance de modèle simple, est la plus facile et la plus rapide, mais elle ne permet pas la suppression des faux positifs et est donc très peu fiable.
Cette méthode fonctionne en recherchant un modèle spécifique de valeurs, tel que le modèle d’un numéro de carte de crédit classique : <4 chiffres><espace><4 chiffres><espace><4 chiffres><espace><4 chiffres>.
De nombreux autres produits DLP réduisent les faux positifs en exigeant qu’une phrase spécifique (telle que “carte de crédit”) soit présente à proximité. Cependant, dans des situations réelles, ces phrases explicites sont souvent absentes, entraînant ainsi de nombreuses détections manquées (également appelées faux négatifs).
La deuxième méthode, la validation par chiffre de contrôle (check-digit), ne prend, en général, pas en compte 90 % des résultats en matière de correspondance de modèle individuelle, la rendant ainsi plus résistante aux faux positifs. Cependant, elle donnera toujours des faux positifs au niveau de 10 % des correspondances de modèle aléatoires. Si elle est exposée à suffisamment de résultats en termes de correspondance de séquence similaire, un faux positif peut être inévitable.
Notre approche, à savoir Sophos DLP avec score négatif, prend en compte non seulement les résultats en matière de correspondance de modèle qui ont des chiffres de contrôle valides, mais également les 90 % de correspondances de modèle aléatoires qui ont des chiffres de contrôle non valides.
Ces résultats précédemment ignorés sont maintenant utilisés comme preuve indiquant qu’il s’agit de correspondances aléatoires. Cette approche transforme la faiblesse de la validation par chiffre de contrôle en une force, car plus il y a de données similaires dans un document, plus il est probable que toute détection de faux positifs soit évitée.
L’avenir radieux du DLP (prévention des pertes de données)
Ces dernières années, nous sommes passés des réseaux d’entreprise traditionnels à des solutions hébergées dans le Cloud qui utilisent des approches zero-trust.
En conséquence, le DLP est devenu un élément clé des solutions de mise en réseau et de sécurité modernes, notamment au niveau du SASE (Secure Access Service Edge), SSE (Security Service Edge) et CASB (Cloud Access Security Brokers).
Une étude montre que les entreprises qui réussissent à mettre en œuvre la confiance numérique sont plus susceptibles de connaître des taux de croissance annuels d’au moins 10 % au niveau de leurs chiffres d’affaires et de leurs résultats. Les technologies DLP sont donc un aspect crucial en termes de convergence de la mise en réseau Cloud et de la sécurité Cloud.
Sophos offre des fonctionnalités DLP reconnues et avancées pour une intégration dans les produits de sécurité des partenaires OEM, les applications SaaS et l’infrastructure de sécurité. Les partenaires OEM peuvent bénéficier de l’approche unique de Sophos en matière de prévention des pertes de données (DLP), qui élimine les approximations liées à la mise en œuvre du DLP dans leurs solutions de sécurité.
En plus de prendre en charge un ensemble complet de listes de contrôle, Sophos permet également la personnalisation pour une gouvernance spécifique, au niveau de la sécurité des données, liée à PCI DSS, HIPAA et à d’autres exigences réglementaires qui soutiennent les efforts en matière de conformité des partenaires OEM.
Si vous souhaitez tirer parti des dernières avancées de Sophos en matière de prévention des pertes de données (DLP) afin d’améliorer vos solutions ou votre infrastructure de sécurité, contactez notre équipe OEM pour obtenir davantage de conseils.
Billet inspiré de Sophos DLP enhancements improve detection for OEM partners, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.