À l'aube de ma carrière dans le domaine de la sécurité de l'information, j'ai eu l'occasion de participer à un projet extrêmement intéressant. Cela a commencé par le fait que le service de sécurité de l'un des plus grands producteurs et fournisseurs privés de gaz naturel et de pétrole de la CEI, dans le cadre d'une approche intégrée pour garantir la sécurité de l'information, a décidé d'introduire un système DLP. Maintenant, cette holding, obéissant aux tendances générales du marché russe, a disparu dans les entrailles de plusieurs sociétés d'État, et je peux vous raconter cette histoire.
Le but et les objectifs du projet
L'objectif principal du projet était d'augmenter le niveau de sécurité des processus commerciaux de l'entreprise en introduisant un système de contrôle des flux d'informations.
Tâches du projet résolues par la mise en œuvre du système DLP:
- Surveillance et prévention des fuites en dehors de l'organisation des informations confidentielles: secrets commerciaux, données personnelles, propriété intellectuelle, etc.
- Fournir des outils d'enquête sur les incidents: création d'une archive des informations transmises avec possibilité de recherche rétrospective ultérieure.
- Identification en temps opportun des initiés: surveillance des actions suspectes des utilisateurs.
- Optimisation de l'utilisation des ressources d'information de l'entreprise: suppression de l'utilisation des ressources à des fins personnelles.
Approche du projet
L'introduction d'un système DLP sur un réseau d'entreprise géographiquement réparti de l'exploitation a été une tâche assez difficile du côté technique et organisationnel. Il fallait tenir compte du fait que le système DLP devait être absolument «transparent» pour les systèmes d'information d'entreprise existants et ne devait même pas permettre le blocage ou le ralentissement temporaire des processus commerciaux établis. De plus, sa mise en œuvre devrait passer inaperçue auprès des utilisateurs ordinaires.
Ainsi, il a été décidé d’introduire le système DLP par étapes dans les bureaux de l’entreprise et d’augmenter progressivement sa fonctionnalité.
Mise en œuvre du projet
Étape 1: Surveillance et archivage des e-mails d'entreprise au siège social
Table des matières
Au siège de l'exploitation, un système DLP a été installé composé de:
- module de récupération d'informations à une vitesse de 1 Gbit / s;
- module d'interaction;
- module d'analyse;
- module de stockage d'informations;
- Analytique AWP.
De plus, un plugin spécial a été installé sur le serveur de messagerie d'entreprise.
En collaboration avec le service de sécurité de l'exploitation, en tenant compte des spécificités de l'entreprise, le Rubricator a été mis en place - un arbre hiérarchique des sujets requis pour l'analyse morphologique
texte. Conformément à la politique de sécurité de l'entreprise, ainsi qu'à la loi réglementaire locale sur les secrets commerciaux et les informations confidentielles, les règles pertinentes pour la recherche et l'analyse des informations ont été définies dans le rubricator.
Au cours des premiers mois de fonctionnement, le Rubricator a été modifié et complété de manière itérative pour obtenir le niveau de précision requis des informations critiques détectées. En parallèle, des travaux ont été menés pour atteindre des niveaux d'erreur du 1er et du 2e type, satisfaisant le client.
Résultats
Il a été possible d'identifier l'accessibilité de certains documents confidentiels aux employés qui n'y ont formellement pas accès (détection et analyse des documents en pièces jointes aux courriels). Sur la base des résultats de l'enquête, certains paramètres de la politique de sécurité des informations de l'entreprise ont été ajustés en termes de stockage de documents confidentiels et de délimitation de leur accès.
Étape 2: surveillance du trafic FTP
Table des matières
Un module de décodage des informations a été ajouté au système DLP.
Résultats
- Les faits de placer des informations confidentielles sur des ressources FTP d'entreprise non destinées à cela ont été révélés.
- La duplication de gros volumes d'informations (photos, vidéos, archives) a été découverte simultanément sur plusieurs ressources.
Le pouvoir de publier des informations sur les ressources du réseau a été ajusté. L'infrastructure réseau a été reconfigurée pour éliminer la duplication de gros volumes d'informations, ce qui a permis d'optimiser l'espace libre dans le système de stockage de données.
Étape 3: surveillance du trafic via http
Table des matières
Le plugin est installé sur le serveur proxy d'entreprise, ce qui vous permet de contrôler les requêtes get et post, ainsi que le trafic https "ouvert". Conformément aux tâches du service de sécurité et de la gestion TOP de l'entreprise, le Rubricator est configuré pour surveiller certaines informations.
Résultats
- La quantité d'informations consultées par le personnel de l'entreprise qui n'est pas liée à des sujets de travail (blogs, forums, sites de divertissement et d'actualités) a été estimée. Il est conclu que le pourcentage de ce trafic est extrêmement faible et se situe dans la norme autorisée.
- Un certain nombre de personnes ont été identifiées et consultent régulièrement sur Internet une grande quantité d'informations qui ne relèvent pas officiellement de leurs compétences et intérêts. Employés pris sous contrôle par le service de sécurité.
- Employés trouvés intéressés par des informations sur les concurrents et faisant des compromis sur leur propre entreprise. Les mesures nécessaires ont été prises à leur égard.
Étape 4: Analyse rétrospective des archives
Table des matières
Un module a été ajouté au produit, permettant de ré-analyser l'intégralité des archives de trafic accumulées.
Résultats
Dans le cadre de la restructuration du groupe d'entreprises, des réductions massives, des mutations vers de nouveaux postes et des changements de fonction des salariés ont été effectués sur une certaine période.
Un nouveau Rubricator a été mis en place, qui a permis de rechercher des informations sur des salariés spécifiques.
Une analyse rétrospective complète des informations accumulées selon les nouvelles règles de recherche a permis d'identifier des intérêts extérieurs, des contacts de travail illégitimes et d'autres faits suspects dans le travail des salariés devant être réduits ou déplacés vers un autre poste.
Une bonne utilisation des informations reçues nous a permis de revoir certaines décisions du personnel dans un sens ou dans l'autre et de réduire considérablement les risques de conséquences négatives de la réforme de l'organisation et du personnel.
Étape 5: mise en œuvre du système dans les bureaux distants
Table des matières
Les solutions testées au siège selon le calendrier sont progressivement introduites dans tous les bureaux territoriaux du groupe d'entreprises.
Résultats
Grâce aux capacités évolutives flexibles du système DLP, il a été possible de le mettre en œuvre intégralement sur l'ensemble du réseau d'information et de télécommunications du client, qui comprend 10 bureaux distants, 160 entités juridiques et 4 500 personnes.
Des modules de recherche d'informations ont été installés sur tous les canaux de communication externes disponibles dans les bureaux. La gestion du système est mise en œuvre à partir d'un centre de surveillance et de contrôle unique au siège social de l'entreprise. Dans le même temps, si la connexion entre les bureaux est perdue, le système installé dans l'unité distante continue de fonctionner de manière autonome conformément aux politiques spécifiées.
Résumé
L'introduction du système DLP dans l'exploitation a augmenté le niveau de sécurité de l'entreprise et réduit considérablement les risques économiques, de réputation et autres, y compris lors d'une restructuration majeure de l'entreprise.