Utiliser des listes d'URL personnalisées pour la protection contre la perte de données dans Chrome

Les listes d'URL sont disponibles pour les clients qui ont souscrit un abonnement à Chrome Enterprise Premium. Pour en savoir plus sur l'intégration de la protection contre la perte de données à Chrome Enterprise Premium, consultez Intégrer la protection contre la perte de données dans Chrome grâce à Chrome Enterprise Premium.

Pour renforcer vos règles de protection contre la perte de données dans le navigateur Chrome, créez une liste d'URL personnalisée. Les listes d'URL personnalisées vous permettent de bloquer l'accès des utilisateurs à certains liens à l'aide des paramètres des règles, d'avertir les utilisateurs en cas de liens à risque avant de les laisser continuer ou d'enregistrer une piste d'audit des visites de liens spécifiques.

Qu'est-ce qu'une liste d'URL ?

Une liste d'URL est un ensemble d'URL que vous pouvez utiliser dans les règles de protection contre la perte de données de Chrome. Vous pouvez les utiliser en parallèle d'autres outils de mise en correspondance et règles de protection contre la perte de données personnalisées.

Formats de listes d'URL acceptés

Le format de base d'une entrée de liste d'URL est <host>/<path>. Les numéros de port, les littéraux IPv4 et les littéraux IPv6 sont acceptés. Voici quelques exemples d'URL valides pour une liste d'URL :

  • example.com
  • example.com:3000
  • subdomain.example.com
  • example.com/a/long/path
  • 192.168.0.1
  • [2001:db8:85a3:0:0:8a2e:370:7334]/Path

L'hôte n'est pas sensible à la casse, mais le chemin l'est. Par conséquent, une entrée de liste d'URL se terminant par /path est différente d'une entrée de liste d'URL se terminant par /Path.

Formats et paramètres de listes d'URL non acceptés

Les formats et paramètres d'URL suivants ne sont pas acceptés dans les listes d'URL personnalisées. S'ils sont utilisés, ils sont ignorés et ne sont pas enregistrés dans l'entrée :

  • Schéma d'URL (https://example.com est enregistré dans la liste d'URL sous la forme example.com)
  • Paramètres de requête (example.com?user=1 est enregistré dans la liste d'URL sous la forme example.com)
  • Ancres (example.com#section1 est enregistré dans la liste d'URL sous la forme example.com)
  • Barre oblique à la fin d'une URL (example.com/ est enregistré dans la liste d'URL sous la forme example.com)

Exemple de liste d'URL personnalisée

Supposons que vous disposiez d'une liste d'URL personnalisée comprenant les six entrées suivantes :

  1. example.com/path/1
  2. example.com/Path
  3. subdomain.example3.com
  4. 192.168.0.1
  5. [1:2:3:4:5:6:7:8]:3000
  6. 192.168.0.2/path

Chaque fois que vous créez une règle définie sur Actif et qui utilise cette liste comme condition, chaque URL qu'un utilisateur saisit dans la barre d'adresse est comparée à la liste. Toute correspondance déclenche la règle.

Remarque : Sachez qu'une adresse IP et le nom de domaine qui lui est associé dans le DNS représentent deux URL distinctes qui peuvent être comparées à une liste d'URL.

Le tableau suivant présente des exemples d'URL qu'un utilisateur peut consulter et explique pourquoi l'URL déclencherait ou non la règle.

URL saisie dans la barre d'adresse Déclenche-t-elle la règle ?
http://example.com/path/1?param1=1#heading Oui. Comme le schéma, le paramètre de requête et l'ancre sont ignorés, le format de cette URL correspond à la première URL de votre liste.
https://subdomain.examPLE.com/path/1/2/3 Oui. Comme le schéma est ignoré et que le nom d'hôte n'est pas sensible à la casse pour les listes d'URL, le format de cette URL correspond à la première URL de votre liste.
http://example.com/path Non. Comme le chemin d'accès est sensible à la casse pour les listes d'URL et qu'aucun chemin d'accès de votre liste n'est une sous-chaîne de ce chemin d'accès, le format de cette URL ne correspond à aucune URL de votre liste.
https://example3.com/Path Non. L'entrée de votre liste d'URL pour example3.com inclut un sous-domaine qui n'est pas présent dans cette URL. Il ne s'agit donc pas d'une correspondance.
http://192.168.0.1:8080/1/2/3 Oui. La quatrième URL de votre liste est une sous-chaîne de cette URL. Il y a donc une correspondance.
https://[01:02:03:04:05:06:07:08]:3000 Oui. L'adresse de cette URL est un littéral IPv6. Elle est donc comparée à votre liste d'URL sous sa forme abrégée et correspond à la cinquième URL de votre liste.
http://192.168.0.2/path1234/2#heading Oui. La sixième URL de votre liste est une sous-chaîne de cette URL. Il y a donc une correspondance.
https://[1.2.3.4.5.6.7.8]/Path Non. Bien que cette URL ait le même hôte que la cinquième URL de votre liste, elle n'inclut pas le port de cette URL. Il n'y a donc pas de correspondance.

Limites de taille pour les listes d'URL

  • La longueur maximale de chaque entrée d'une liste d'URL est de 150 caractères.
  • Le nombre maximal d'entrées d'une liste d'URL est de 20 000, ou la taille totale est de 1 Mo, selon la première limite atteinte.
  • Le nombre maximal d'URL autorisées par domaine est de 800 ou de 60 ko, selon la première limite atteinte. Par exemple, le domaine example.com ne peut pas comporter plus de 800 URL dans une seule liste d'URL.

Utiliser une liste d'URL pour la protection contre la perte de données dans Chrome

Pour utiliser une liste d'URL pour la protection contre la perte de données dans Chrome, vous devez créer un détecteur de liste d'URL et une règle qui inclut la liste d'URL comme l'une de ses conditions.

Étape 1 : Créez un détecteur de liste d'URL

Avant de commencer : Si vous devez configurer un service ou une équipe pour ce paramètre, consultez Ajouter une unité organisationnelle.

  1. Dans la console d'administration Google, accédez à Menu puis SécuritépuisContrôle des accès et des donnéespuisProtection des données.

    Nécessite les droits d'administrateur "Afficher les règles de protection contre la perte de données" et "Gérer les règles de protection contre la perte de données".

  2. Dans la section Règles de protection des données et détecteurs, cliquez sur Gérer les détecteurs.
  3. Cliquez sur Ajouter un détecteurpuisListe d'URL.
  4. Dans la section Nom, saisissez un nom et, si vous le souhaitez, une description.
  5. Sélectionnez l'une des options suivantes :
    • Si votre liste d'URL est courte ou si vous souhaitez ajouter quelques éléments à une liste existante, sélectionnez Ajouter une URL. Saisissez vos URL dans le champ de texte, en les séparant par une virgule.
    • Pour importer un fichier CSV d'URL ou modifier une liste existante, sélectionnez Mise à jour groupée.
      • Pour exporter les détecteurs contenant des listes d'URL, cliquez sur Exporter les détecteurs.
  6. Cliquez sur Créer.

Étape 2 : Créez une règle de protection contre la perte de données avec une condition de liste d'URL

  1. Dans la console d'administration Google, accédez à Menu puis SécuritépuisContrôle des accès et des donnéespuisProtection des données.

    Nécessite les droits d'administrateur "Afficher les règles de protection contre la perte de données" et "Gérer les règles de protection contre la perte de données".

  2. Dans la section Règles de protection des données et détecteurs, cliquez sur Gérer les règlespuisAjouter une règlepuisNouvelle règle.
  3. Saisissez un nom et, si vous le souhaitez, une description pour la règle.
  4. Dans la section Applications , sélectionnez Google Chrome , puis l'option qui déclenche la règle (par exemple, URL visitée).
  5. Cliquez sur Continuer.
  6. Dans la section Actions , sélectionnez une action pour Chrome (par exemple, Bloquer).
  7. Cliquez sur Continuer.
  8. Dans la section Champ d'application, cliquez sur Tous les utilisateurs de votre-organisation.
    • (Facultatif) Pour inclure ou exclure les unités organisationnelles ou les groupes auxquels la règle s'applique, cliquez sur l'option appropriée. Remarque : Les unités organisationnelles peuvent contenir n'importe quelle combinaison d'appareils et d'utilisateurs. En cas de conflit entre une unité organisationnelle et un groupe, le groupe est prioritaire.
  9. Dans la section Conditions concernant le contenu , cliquez sur Ajouter une condition , puis configurez la condition comme suit :
    • Dans le champ Type de contenu à analyser, sélectionnez URL.
    • Dans le champ Éléments à rechercher, sélectionnez Correspond à une URL de la liste d'URL.
    • Dans le champ Liste d'URL, sélectionnez le nom de la liste d'URL que vous avez créée à l'étape 1.
  10. Cliquez sur Continuer.
  11. Sur la page Détails de la règle, sélectionnez un état :
    • Actif : la règle s'exécute immédiatement.
    • Inactif : la règle ne s'exécute pas immédiatement, ce qui vous laisse le temps de la tester et de la partager avec les personnes concernées. Si vous souhaitez activer une règle inactive, suivez la procédure Activer une règle inactive sur cette page.
  12. Cliquez sur Créer.

Activer une règle inactive

Si vous avez une règle inactive, vous pouvez l'activer comme suit :

  1. Dans la console d'administration Google, accédez à Menu puis SécuritépuisContrôle des accès et des donnéespuisProtection des données.

    Nécessite les droits d'administrateur "Afficher les règles de protection contre la perte de données" et "Gérer les règles de protection contre la perte de données".

  2. Dans la section Règles de protection des données et détecteurs, cliquez sur Gérer les règles.
  3. Dans la colonne État, cliquez sur Inactif pour la règle que vous souhaitez activer, puis sélectionnez Actif.
  4. Dans la boîte de dialogue Désactiver la règle, cliquez sur Confirmer.