Récemment, une panne majeure qui a touché les systèmes informatiques et les dispositifs de sécurité d’entreprises du monde entier a mis en évidence l’importance de la stabilité des agents d’endpoint. Comme la solution Proofpoint Information Protection repose sur des agents d’endpoint, la question a été soulevée par un certain nombre de nos clients.
Dans cet article de blog, nous allons répondre aux questions les plus courantes qui nous ont été posées à propos de l’architecture de notre agent d’endpoint unifié pour Proofpoint Data Loss Prevention (DLP) et Proofpoint Insider Threat Management (ITM). Nous expliquerons également comment cet agent est géré.
Qu’est-ce qui distingue Proofpoint DLP des autres solutions ?
La plate-forme Proofpoint Information Protection associe des données sur le contenu et le comportement des utilisateurs sur les canaux DLP les plus critiques : la messagerie, les applications cloud, les endpoints et le Web. C’est pourquoi plus de 50 % des entreprises du classement Fortune 500 ont déployé notre plate-forme de protection des informations centrée sur les personnes. Ce n’est bien sûr pas la seule raison de son succès. Proofpoint a récemment remporté la distinction 2024 Gartner® Peer Insights™ Customers’ Choice pour la prévention des fuites de données. Nous sommes le seul éditeur de solutions évalué qui a atteint ou dépassé la moyenne du marché pour les critères d’expérience globale, d’intérêt des utilisateurs et d’adoption.
Les outils DLP d’ancienne génération subissent souvent des défaillances et sont source de frustration pour les utilisateurs. Cette instabilité s’explique par le fait qu’ils utilisent des agents en mode noyau exigeant une importante puissance de traitement.
À l’opposé, Proofpoint utilise un agent d’endpoint léger pour éviter ce problème. Notre agent consomme un minimum de ressources processeur, évite les perturbations et s’installe de façon silencieuse. En même temps, il assure un large éventail de fonctionnalités, telles que la surveillance stricte des comportements utilisateur, la détection des exfiltrations de données, l’investigation des menaces internes et la réponse aux incidents.
Comment l’agent d’endpoint Proofpoint fonctionne-t-il ?
L’agent d’endpoint Proofpoint s’exécute en mode utilisateur sur les systèmes Windows et macOS standard. Les applications exécutées en mode utilisateur sont isolées. En d’autres termes, elles ne peuvent pas modifier ou endommager des données critiques du système d’exploitation. Si une application se bloque dans ce mode, le système d’exploitation n’est pas affecté.
Par opposition, les applications en mode noyau peuvent interagir directement avec le système d’exploitation. Une panne dans cet espace peut entraîner une instabilité du système ou des redémarrages.
L’exécution de l’agent d’endpoint Proofpoint en mode utilisateur offre les avantages suivants :
- Stabilité. Elle s’explique par le fait que les opérations sont isolées du système d’exploitation.
- Optimisation de l’expérience utilisateur. Ce mode n’a pas de répercussions sur les opérations de l’utilisateur final.
- Performances. Les opérations DLP sont exécutées à la demande plutôt qu’en arrière-plan. Par exemple, les solutions DLP héritées analysent les fichiers au repos. Proofpoint, en revanche, analyse les fichiers sur la base d’événements définis par les clients, ce qui économise du temps processeur et réduit l’empreinte mémoire.
Comment le processus de déploiement et de mise à jour est-il géré ?
L’agent Proofpoint fonctionne avec un impact minimum pour les utilisateurs. De plus, il s’installe silencieusement de façon à ne pas interférer avec les opérations normales. Il consomme peu de ressources et ne nécessite pas de redémarrage système après installation. L’agent Proofpoint fonctionne également sans conflit avec d’autres agents d’endpoint, comme les agents EDR ou les agents directeurs de trafic.
Avant de distribuer un nouvel agent, nous effectuons des tests manuels et automatisés exhaustifs sur toutes les versions de Windows et de macOS prises en charge. Cette mise à l’épreuve nous aide à assurer de hautes performances et une fonctionnalité complète. De plus, les nouvelles fonctions sont distribuées dans un premier temps en version LA (Limited Availability), avec possibilité pour les premiers adoptants de les activer et désactiver à volonté pour les tester en environnement réel. Cette procédure nous permet d’attendre la pleine maturité des fonctionnalités avant de les rendre disponibles au plus grand nombre, ce qui réduit fortement toute perturbation potentielle dans les environnements de production.
Les clients disposent d’un contrôle total sur le déploiement et les mises à jour de l’agent, qui peut être exercé via notre plate-forme ou des outils tiers. Les nouvelles versions de l’agent ne sont pas automatiquement déployées en mode push sur les endpoints. Cette stratégie permet aux clients de valider les mises à jour sur un sous-ensemble de terminaux avant de les déployer dans tout l’environnement. De plus, Proofpoint a publié des bonnes pratiques sur la façon de réaliser des déploiements par phase ou en anneaux pour assurer une adoption graduelle et contrôlée des nouvelles fonctionnalités.
Pour les clients dotés de systèmes critiques où la cohérence et la fiabilité sont des priorités, Proofpoint propose des versions LTS (Long Term Support) avec assistance à long terme de l’agent d’endpoint. Ces versions sont prises en charge pendant une très longue période et font régulièrement l’objet de corrections de bugs, de correctifs de sécurité et de mises à jour. En raison de leur stabilité, de leur sécurité et de leurs exigences plus strictes en matière de gestion des modifications, les versions LTS sont privilégiées par les entreprises de plus grande taille.
L’architecture Proofpoint repose sur un principe de fiabilité
Proofpoint est très attaché à la qualité de la conception. Cette approche nous permet d’attendre la pleine maturité des fonctionnalités avant de les rendre disponibles au plus grand nombre, ce qui limite les perturbations potentielles des environnements informatiques. Les trois grands principes de conception qui sous-tendent notre agent d’endpoint sont les suivants :
- Architecture en mode utilisateur
- Faible utilisation des ressources
- Méthodologie de déploiement graduelle et contrôlée
Cette conception minimise le risque de dégradation des performances au fil du temps ou d’interruption des services (telle que celles qui se sont produites récemment à grande échelle). De plus, nous avons à cœur de réaliser des tests approfondis et de proposer des versions LTS. Ces facteurs font de Proofpoint DLP et Proofpoint Insider Threat Management des outils d’autant plus fiables.
En savoir plus
Découvrez les solutions Proofpoint DLP et Proofpoint ITM et comment elles peuvent vous aider à bloquer les fuites de données et à contrer les menaces internes. Vous pouvez également consulter notre guide Redéfinir la prévention des fuites de données (DLP), qui explique pourquoi les approches traditionnelles de prévention des fuites de données ne sont pas à la hauteur et comment moderniser votre système DLP.