Les e-mails restent l'un des canaux les plus courants d'exposition non intentionnelle ou non autorisée des données. Pour aider les entreprises à protéger les informations sensibles partagées par e-mail, Cisco propose des fonctionnalités DLP (Email Data Loss Prevention) grâce à l'intégration de Cisco Secure Access (SA) et de Cisco Email Threat Defense (ETD).
Dans cette architecture, toutes les actions de création, de configuration et d'application des stratégies DLP de messagerie sont effectuées dans Cisco Secure Access. Cisco Email Threat Defense offre une visibilité sur les e-mails et un suivi des messages, tandis que Cisco Secure Access sert de moteur de stratégie pour définir les règles DLP et le comportement d'application.
Cet article explique comment créer une stratégie DLP de messagerie dans Cisco Secure Access, à l'aide d'un modèle DLP prédéfini ou d'un modèle DLP personnalisé.
Avant de commencer le processus de configuration, assurez-vous que les conditions suivantes sont remplies :
Important : Bien que cette solution utilise à la fois Cisco Secure Access et Cisco Email Threat Defense, toutes les étapes de configuration des règles Email DLP décrites dans cet article sont effectuées uniquement dans Cisco Secure Access.
Pour implémenter correctement une stratégie DLP de messagerie, les composants suivants sont utilisés :
Lors de la création d'une stratégie DLP de messagerie électronique dans Cisco Secure Access, vous pouvez configurer :

NOTE: Dans l'image ci-dessus, le serveur Exchange est O365, mais cette configuration DLP peut être effectuée sur n'importe quel serveur Exchange prenant en charge SMTP.
NOTE: Reportez-vous à l'article « Steps to integrated Cisco Email Threat Defense (ETD) with Cisco Secure Access: » (Étapes d'intégration de Cisco Email Threat Defense (ETD) avec Cisco Secure Access :) pour intégrer Cisco Email Threat Defense et Cisco Secure Access via l'API.
Configurer une stratégie DLP de messagerie dans Cisco Secure Access
Connectez-vous à la console Cisco Secure Access (SA) à l'aide d'un compte d'administrateur avec les autorisations requises.
Dans le tableau de bord Accès sécurisé, accédez à :
Secure > Policy > Data Loss Prevention Policy > Add Rule > Email DLP Rule
La page Add New Email Rule s'ouvre.
Cisco Secure Access propose deux méthodes pour créer une règle DLP pour les e-mails :
Figure 1. Accédez à la création de la règle DLP par e-mail
Accédez à la fenêtre ADD RULE > Email DLP Rule,
Dans la fenêtre Ajouter une nouvelle règle d'e-mail, entrez les détails suivants :
Nom de règle
Entrez un nom descriptif pour la règle DLP d'e-mail.
Description
Fournissez un bref résumé de l'objectif de la règle.
Severity (gravité)
Sélectionnez le niveau de gravité approprié pour la stratégie :
Ces champs permettent de classer les règles d'administration, de création de rapports et de visibilité opérationnelle.

Sous Data Classifications, sélectionnez le modèle DLP prédéfini qui sera utilisé pour inspecter le contenu des e-mails à la recherche de violations DLP potentielles.
Choisissez ensuite l'emplacement auquel les classifications sélectionnées doivent correspondre. Les sites d'inspection pris en charge incluent :
Cela permet à la stratégie d'inspecter à la fois le contenu du message et les pièces jointes à la recherche d'informations sensibles.

Sous Contrôle des fichiers, configurez les critères d'inspection basés sur des fichiers pour la règle.
Cela inclut la prise en charge de :
Ces paramètres sont utiles lorsque l'application DLP doit prendre en compte les étiquettes de sensibilité ou les métadonnées associées aux fichiers joints.

Dans la section Expéditeurs, spécifiez les expéditeurs auxquels la stratégie s'applique.
Les options disponibles sont les suivantes :
Cela vous permet d'appliquer la règle de manière large ou de la restreindre à des utilisateurs ou des groupes sélectionnés.

Dans la section Destinataires, choisissez les utilisateurs ou les groupes qui doivent être inclus ou exclus de l'évaluation de la stratégie.
Les options disponibles sont les suivantes :
Cela permet d'adapter l'application des stratégies en fonction des destinataires prévus.

Dans la section Action, choisissez comment Cisco Secure Access doit gérer les e-mails qui sont identifiés comme violant la règle DLP.
Les actions disponibles sont les suivantes :
Monitor
L'e-mail est autorisé et l'événement est consigné à des fins de visibilité et de création de rapports.
Block
L'e-mail est abandonné pour empêcher la transmission de données sensibles.

Remarque : À l'heure actuelle, les e-mails identifiés positivement peuvent être autorisés via l'action Surveillance ou abandonnés via l'action Bloquer.
Important : Les actions DLP par e-mail ne sont configurées que dans Cisco Secure Access. Si un e-mail est bloqué par l'accès sécurisé, l'événement est également visible dans le suivi des messages Cisco ETD.
L'option de notification n'est disponible que pour les destinataires.
Sous Notifications utilisateur, configurez si les utilisateurs doivent être avertis lorsqu'un e-mail correspond à la stratégie DLP.
Il y a une option pour notifier "Actor's Manager" ou un "Custom Recipient". Un « destinataire personnalisé » peut être n'importe qui.
Configurez le modèle de message électronique de Notification par défaut à Notification personnalisée selon vos besoins.
Si cette option est activée, les notifications peuvent aider à sensibiliser les utilisateurs et à réduire les violations répétées des stratégies. Configurez ce paramètre en fonction des exigences opérationnelles et de conformité de votre entreprise.
Les notifications aux utilisateurs constituent un outil puissant pour sensibiliser les utilisateurs à la sécurité et garantir la conformité. En alertant les utilisateurs ou les administrateurs lorsqu'un e-mail déclenche une stratégie DLP, vous pouvez immédiatement fournir des commentaires et un contexte sur la violation.
Remarque : Les paramètres de notification sont principalement destinés aux destinataires du courrier électronique et aux parties prenantes désignées.
Pour configurer les notifications :
Meilleure pratique : L'activation de ces notifications est un moyen efficace de réduire les violations répétées des politiques en informant les utilisateurs en temps réel des procédures de traitement des données sensibles.

Remarque : Les options de notification peuvent varier en fonction de la configuration du service partagé et des paramètres de stratégie.
Après avoir terminé la configuration de la règle :
La stratégie DLP pour les e-mails est désormais active dans Cisco Secure Access.
La création d'un modèle DLP personnalisé comporte deux phases principales : définition d'un identificateur personnalisé et configuration de la classification des données.
Remarque : Le moteur de classification des données est extrêmement flexible, vous permettant de créer des politiques à l'aide d'un seul identificateur personnalisé ou d'une combinaison d'identificateurs personnalisés et prédéfinis liés par des opérateurs booléens AND/OR.
Pour définir un nouveau modèle de données à détecter, procédez comme suit :

Une fois votre identificateur personnalisé enregistré, vous pouvez l'intégrer dans un objet Classification des données :

Cette configuration garantit que votre entreprise peut détecter des informations sensibles adaptées spécifiquement à vos structures de données internes et aux exigences de conformité.
Si la règle Email DLP ne se comporte pas comme prévu, vérifiez les points suivants :
Tenez compte des meilleures pratiques suivantes lors du déploiement des stratégies DLP pour les e-mails :
Cisco Secure Access est la plate-forme centrale pour la configuration des stratégies DLP des e-mails dans un déploiement intégré de Cisco Secure Access et de Cisco Email Threat Defense. Tandis qu'ETD fournit la visibilité et le suivi des messages, toutes les fonctions de création de règles DLP, de sélection de classification, d'action d'application et de notification sont configurées dans Secure Access.
En utilisant des modèles DLP prédéfinis ou personnalisés, les administrateurs peuvent inspecter le contenu et les pièces jointes des e-mails, définir l'étendue de l'expéditeur et du destinataire et appliquer des actions de surveillance ou de blocage pour empêcher la perte de données sensibles par e-mail.
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
22-Jun-2026
|
Première publication |