Services
Contactez-nous

Nous avons comparé Acronis DeviceLock DLP et ManageEngine DLP Plus sur des machines virtuelles Windows Server 2022 identiques avec 28 scénarios : 23 tests de fuite de données (incluant 12 fichiers d'évasion adversariale), 3 tests de sécurité de l'agent et 2 tests sous forte consommation de CPU et de mémoire.

Pour les autres produits DLP, Netwrix Endpoint Protector, Sophos Intercept X, Teramind DLP et Trellix DLP, nous avons examiné leurs fonctionnalités.

Résultats du comparatif DLP

Loading Chart

Nous avons déployé chaque produit sur une infrastructure identique : 3 instances Contabo Cloud VPS 10 (4 vCPU, 8 Go RAM, 150 Go SSD) exécutant Windows Server 2022 Datacenter avec Active Directory.

  • Acronis remporte la victoire globale avec une avance de 10 points, portée par une inspection de contenu plus approfondie, une intégration SIEM complète, la préservation des preuves par copie d'ombre et une bibliothèque de modèles de politiques plus riche.
  • Un utilisateur qui copie des données SSN d'un tableur et les colle dans n'importe quel formulaire web (Pastebin, Google Translate) contourne complètement ManageEngine. Changer le format du SSN de 578-12-3364 à 578 12 3364 le contourne également. Acronis bloque les deux.
  • Les deux produits ont réussi tous les tests de falsification de l'agent. L'agent DLP ne peut pas être arrêté, tué ou désinstallé par un compte utilisateur standard.
  • Les deux produits ont continué à bloquer les uploads sous une charge de CPU de 100 % et lors de transferts de fichiers en vrac. Cette catégorie est documentée mais non notée, car la performance sous charge n'était pas un facteur différenciant.
  • Aucun des deux produits n'a détecté les données SSN encodées en base64. Les deux ont bloqué l'usurpation d'extension, les archives cryptées et la détection d'un seul SSN dans de grands documents.

Le score global est la somme pondérée de 8 catégories. Consultez notre méthodologie de comparatif DLP pour les pondérations et la justification du score.

Tests de prévention des fuites de données


✓ : DLP a bloqué la tentative, ✗ : DLP l'a laissée passer

ManageEngine a bloqué 16 scénarios sur 23 (70 %). Acronis a bloqué 19 scénarios sur 23 (83 %). Les deux produits bloquent les canaux d'exfiltration standard (uploads de fichiers, emails, transferts web). Les différences apparaissent sur le collage du presse-papiers, les variantes de format SSN, l'exfiltration inter-client et les canaux d'impression.

Mappage sur OWASP top 10

Nos scénarios de fuite correspondent à des catégories de vulnérabilités bien documentées. La référence principale est A02:2021 Échecs cryptographiques, anciennement nommée « Exposition de données sensibles ». Cette catégorie couvre les SSN et les PII, laissant le terminal en texte clair sans cryptage ni tokenisation, ce qui est le mode de défaillance que chaque scénario d'exfiltration de notre ensemble de tests vise. A04:2021 Conception non sécurisée couvre les lacunes architecturales comme l'absence d'inspection du presse-papiers ou d'indexation inter-client qui ne peuvent être corrigées par la configuration seule.

Nos tests adversariaux (encodage base64, variantes de format SSN, texte caché HTML, division par formule entre cellules) s'alignent sur les techniques d'injection encodée et d'évasion de filtre documentées dans le Guide de test de sécurité web OWASP et la Fiche de triche d'évasion de filtre XSS. Les techniques diffèrent par leur objectif (exfiltration de données vs injection de charge utile) mais partagent le même modèle sous-jacent : obscurcir le contenu sensible afin que les filtres basés sur les signatures et les expressions régulières échouent à le reconnaître.

Tests de sécurité de l'agent DLP

Les deux produits ont protégé contre les trois tentatives de falsification. L'arrêt du service depuis PowerShell a été refusé. Le processus de l'agent n'a pas pu être terminé depuis le Gestionnaire des tâches. La désinstallation depuis Programmes et fonctionnalités a échoué sans privilèges administratifs. Les utilisateurs standard ne peuvent pas désactiver l'agent DLP sur l'un ou l'autre produit.

Comportement sous forte consommation de CPU et de mémoire

Les deux produits ont continué à bloquer sous une charge de CPU de 100 % sans dégradation. Les uploads en vrac ont également été bloqués correctement. Cette catégorie est documentée pour référence mais exclue du score, car aucun des deux produits n'a montré de dégradation et cela n'a produit aucune différenciation entre eux.

Produits DLP comparés

Les deux sections de produits ci-dessous documentent le comparatif complet sur le terrain. Les deux ont été installés sur des machines virtuelles Windows Server 2022 identiques et testés avec les mêmes 23 scénarios de fuite, 3 tests de sécurité de l'agent et 2 scénarios de forte consommation de CPU et de mémoire.

1. Acronis DeviceLock DLP

Installation

Acronis DeviceLock nécessitait un serveur SQL comme prérequis pour l'installation, et nous avons installé SQL Server 2022 Express.

Une fois la base de données prête, la configuration de DeviceLock a repris avec un certificat auto-signé et une configuration de connexion à la base de données. Le déploiement de l'agent a utilisé un fichier MSI de 164 Mo copié via un partage réseau.

Tableau de bord et interface utilisateur

DeviceLock est administré via des applications Windows natives plutôt qu'une console web. L'interface principale est un module MMC (Microsoft Management Console) avec une navigation en vue arborescente. Acronis livre également un module DeviceLock Group Policy Manager pour les environnements gérés par AD et un DeviceLock Enterprise Manager séparé pour les réseaux non-AD, tous partageant les mêmes conventions d'interface utilisateur.

Le panneau de gauche comporte trois branches : DeviceLock Service (paramètres de l'agent), Enterprise Server (gestion centrale) et Content Security Server (moteur d'analyse de contenu). La console MMC se connecte à un client à la fois, mais le module DeviceLock Reports fournit des rapports graphiques sur l'ensemble du parc, y compris les graphiques d'activité des utilisateurs, les graphiques de relations, les dossiers utilisateurs et les rapports sur les appareils plug-and-play.1

L'avantage architectural : chaque appareil et protocole se divise en profils Regular (en ligne) et Offline (déconnecté). Un ordinateur portable peut avoir des règles strictes au bureau et des règles assouplies en déplacement. ManageEngine n'offre pas cette distinction.

Configuration des politiques

La base de données de contenu de DeviceLock contient plus de 50 groupes de contenu préconstruits avec plus de 90 modèles d'expressions régulières et plus de 160 dictionnaires de mots-clés. L'analyse morphologique prend en charge 7 langues pour la correspondance de mots-clés.

Le groupe intégré « Social Security » est de type Mots-clés (recherche la phrase « social security »), et non de type Motif. La bonne approche : Ajouter un groupe > Motif avec la validation intégrée « US Social Security Number », qui utilise une vérification de style Luhn. Ce motif validé est la raison pour laquelle Acronis a détecté les 8 variantes de format SSN tandis que ManageEngine n'a attrapé que le format avec tirets.

Acronis prend en charge deux chemins de distribution centralisés : la stratégie de groupe Active Directory (le module DeviceLock GPO) et DeviceLock Enterprise Server, qui livre les politiques aux agents via des modes push (initié par le serveur) ou pull (planifié par l'agent ou à la demande). Dans notre laboratoire, nous avons utilisé l'exportation de fichiers .dls par client via la console de gestion, qui est le chemin manuel ; l'approche de production est la livraison GPO ou Enterprise Server.

Tests de fuite

Acronis a bloqué 19 scénarios sur 23 (taux de blocage de 83 %). Les résultats remarquables :

Collage du presse-papiers bloqué : Les données SSN collées dans pastebin.com et soumises via « Créer un nouveau paste » ont renvoyé ERR_CONNECTION_RESET. DeviceLock a inspecté le corps de la requête HTTP POST, a trouvé du contenu SSN et a tué la connexion. Le même test sur Google Translate : coller un SSN complet (212-64-6345) a déclenché « Erreur de traduction ». Supprimer les quatre derniers chiffres a permis la traduction. La règle se déclenche sur les motifs SSN valides, pas sur le site lui-même.

Variants de format SSN détectés: Acronis a bloqué les 8 représentations : espacées (578 12 3364), pointillées (612.34.8876), sans séparateurs (334721198), groupes inversés et formats mixtes. Le moteur de validation intégré reconnaît le numéro indépendamment du formatage.

Exfiltration inter-client bloquée: ssn_data.xlsx pris dans le dossier partagé et uploadé via WeTransfer depuis une machine différente a été bloqué. Acronis analyse le contenu au point d'exfiltration, pas au point de création.

Suppression de fichier bloquée : ManageEngine a permis aux utilisateurs de supprimer des fichiers sensibles depuis le bureau. Acronis l'a empêché. Cela signifie que Acronis protège contre la destruction de données, pas seulement contre l'exfiltration de données.

Contournement de l'impression : Impression non bloquée dans notre test (limitation de configuration). L'impression de confidential_report.docx depuis WordPad a réussi car les règles sensibles au contenu étaient configurées uniquement sous Protocoles. L'architecture à deux couches de DeviceLock nécessite une règle séparée sous Appareils > Règles sensibles au contenu pour les imprimantes ; avec la règle côté Appareils en place, le blocage de l'impression s'activerait également. Ce n'est pas une capacité manquante, mais c'est une étape supplémentaire que les administrateurs doivent se rappeler lorsqu'ils couvrent à la fois les canaux réseau et physiques.

Contrôle d'accès et AD

DeviceLock offre une intégration native Active Directory basée sur GPO. Il ajoute son propre module (DeviceLock Group Policy Manager) à la console de gestion des stratégies de groupe, permettant la distribution de politiques via l'infrastructure AD standard. La différenciation basée sur les OU est techniquement prise en charge : différents OU peuvent recevoir différentes politiques DeviceLock.

Dans notre laboratoire, nous avons utilisé la distribution de fichiers .dls plutôt que les chemins GPO/Enterprise Server de production. Nous avons également vu la console demander une ré-authentification lors de la liaison des utilisateurs/groupes AD aux règles sensibles au contenu sur des clients distants, ce que nous avons traité comme un artefact de cache d'identification de notre petit environnement de test. En alternative à GPO AD, DeviceLock Enterprise Server livre les politiques via des modes push ou pull, adaptés aux environnements non-AD et aux déploiements ad hoc.

Intégration

Acronis mène en matière d'intégration avec trois canaux d'exportation SIEM (Syslog, SNMP, SMTP) prenant en charge les formats de journal CEF et JSON. La copie d'ombre préserve une copie complète de chaque fichier bloqué ou surveillé sur le serveur pour la réponse aux incidents. Le Content Security Server inclut un module de découverte qui scanne les terminaux, NAS et partages de fichiers à la recherche de données sensibles mal placées.

Le RBAC dispose de trois niveaux (Accès complet, Modification, Lecture seule) avec un interrupteur d'accès aux données d'ombre séparé à chaque niveau. L'intégration programmatique est construite autour de la redirection SIEM (Syslog/SNMP/SMTP) et de la livraison de journaux d'ombre vers un serveur central plutôt que d'une API REST publique.

Sécurité de l'agent

Acronis a protégé contre les trois tests de falsification en tant qu'utilisateur standard. Stop-Service sur le service DeviceLock a renvoyé accès refusé. Le Gestionnaire des tâches a refusé de terminer le processus de l'agent. La désinstallation depuis Programmes et fonctionnalités nécessitait une élévation administrative et a été bloquée sans elle.

Pour la défense contre la falsification au niveau administrateur, Acronis offre la liste des administrateurs DeviceLock. Lorsqu'elle est configurée, seuls les comptes de la liste peuvent désinstaller, modifier ou arrêter l'agent. Même les administrateurs locaux hors liste sont bloqués.

Comportement sous forte consommation de CPU et de mémoire

Sous une charge de CPU de 100 % (4 tâches PowerShell en boucle infinie), Acronis a continué à bloquer les uploads sans dégradation. 100 fichiers uploadés consécutivement ont tous été analysés et bloqués correctement. Cette catégorie n'a pas été notée.

Analyse de contenu

L'analyse de contenu est le domaine le plus fort de Acronis. Le motif SSN validé avec détection indépendante du format est la fonctionnalité la plus impactante que nous ayons testée. Au-delà des expressions régulières, Acronis documente plusieurs capacités2

Journalisation et alertes

DeviceLock fournit trois visionneuses de journaux séparées : Audit Log (toutes les tentatives d'accès et changements de politique), Shadow Log (copies des fichiers bloqués/surveillés) et UAM Log (surveillance de l'activité utilisateur avec captures d'écran et utilisation des applications).

Les canaux d'alerte incluent SMTP, SNMP Traps et Syslog. Quatre catégories d'alertes sont configurables : accès appareil/protocole, violations des règles sensibles au contenu, règles de pare-feu et changements administratifs. L'exportation de rapports prend en charge HTML, PDF et RTF.

La copie d'ombre est la fonctionnalité remarquable pour la réponse aux incidents. Lorsqu'un transfert de fichier est bloqué, le contenu complet du fichier est préservé sur le serveur. ManageEngine enregistre l'événement mais rejette le fichier. Aucun des deux produits n'a un flux de travail d'incident complet (attribution, escalade, suivi du statut).

L'installateur de l'agent a échoué silencieusement sur Client 1 avec un conflit de port 8383 qui n'a produit aucun message d'erreur visible. Le problème n'a été découvert qu'en vérifiant manuellement l'état du service. L'installation de l'extension de navigateur est également requise pour le blocage des uploads et doit être configurée séparément pour chaque navigateur (Chrome, Edge, Firefox, Brave). Tableau de bord et interface utilisateur ManageEngine s'ouvre dans un navigateur web. Le tableau de bord affiche l'état des politiques, les incidents récents et l'aperçu des appareils avec des graphiques. La navigation utilise une barre latérale gauche. La création de politiques, la gestion des appareils et les rapports sont accessibles en 2-3 clics. Tous les clients sont visibles sur un seul écran. Comparé à la console MMC de Acronis, l'interface semble moderne et fonctionnelle. ManageEngine n'offre pas le mode à double profil Offline/Regular. Configuration des politiques ManageEngine fournit une base de données de contenu avec des règles préconstruites pour PCI-DSS, HIPAA, GDPR et des modèles spécifiques à certains pays. Les catégories incluent les numéros de carte de crédit (Visa, Mastercard, Amex), SSN, numéro d'identification fiscale pour 20+ pays, IBAN, numéros de passeport et données d'assurance maladie. Des règles d'expressions régulières personnalisées peuvent être créées. Un problème opérationnel : chaque changement de politique nécessite un redémarrage du PC client avant de prendre effet. La première tentative a coûté 30 minutes de dépannage avant que l'exigence de redémarrage ne soit découverte dans la documentation. L'état du déploiement de la politique était à 0 % jusqu'à ce que le client soit redémarré manuellement. Dans un environnement de production avec des centaines de terminaux, c'est une lourde charge opérationnelle. Tests de fuite ManageEngine a bloqué 16 scénarios sur 23 (taux de blocage de 70 %). Les principales conclusions : Impression bloquée automatiquement: L'impression de confidential_report.docx depuis WordPad a été bloquée. L'impression vers PDF a également été bloquée. Contrairement à Acronis, ManageEngine couvre l'impression sous la même politique que les uploads. Aucune règle d'appareil séparée requise. Contournement du collage du presse-papiers: Les données SSN copiées depuis un tableur et collées dans pastebin.com ont été uploadées avec succès. ManageEngine n'inspecte pas le texte collé dans les formulaires web. Le collage Google Translate a également été contourné. Après avoir basculé l'accès aux fichiers en mode « Autoriser dans les applications de confiance », le contournement du presse-papiers a été fermé car les utilisateurs ne pouvaient plus ouvrir de fichiers sensibles avec des applications non fiables. C'est une atténuation indirecte qui limite les flux de travail légitimes, pas une inspection ciblée du presse-papiers. Variants de format SSN contournés: ManageEngine n'a détecté que le format standard avec tirets (XXX-XX-XXXX). Les variantes espacées, pointillées et sans séparateur ont passé. Capture d'écran bloquée : ManageEngine a détecté et bloqué la capture d'écran pendant qu'un fichier sensible était ouvert. Upload d'image SSN bloqué: ssn_image.png (un fichier image contenant des numéros SSN) a été bloqué lors de l'upload. Il s'agit d'une détection basée sur les métadonnées/classification, pas de OCR. Contournement de la suppression de fichier : Les fichiers sensibles pouvaient être supprimés depuis le bureau du client sans aucune intervention DLP. Acronis a bloqué la suppression de fichier. Contournement de l'exfiltration inter-client: Une capture d'écran prise sur Client 1, copiée sur le partage réseau et uploadée depuis Client 2 via WeTransfer est passée. L'agent de Client 2 n'avait jamais indexé ce fichier. Contrôle d'accès et AD L'intégration AD fonctionne : la console a découvert le domaine dlptest.local et a synchronisé les utilisateurs et les OU automatiquement après la saisie des identifiants. Les politiques basées sur les groupes ont été testées en créant deux groupes d'ordinateurs manuels (Finance-Clients et IT-Clients) avec des règles différentes. Client 1 (Finance) avait des restrictions d'accès aux fichiers strictes tandis que Client 2 (IT) n'avait aucun blocage. La différenciation a fonctionné correctement. Les groupes d'utilisateurs AD ne pouvaient pas être mappés directement aux groupes d'ordinateurs. Le système attend des groupes d'ordinateurs AD, pas des groupes d'utilisateurs. Cela signifie que l'attribution de politiques basée sur les groupes nécessite un regroupement manuel des ordinateurs plutôt que de tirer les groupes d'Active Directory. Intégration ManageEngine Endpoint DLP Plus n'a pas d'intégration SIEM native. La documentation d'aide officielle3 , la page des fonctionnalités et le guide utilisateur ne mentionnent pas Syslog, CEF ou la redirection SIEM. D'autres produits ManageEngine (DataSecurity Plus, ADAudit Plus, Endpoint Central) prennent en charge Syslog, mais DLP Plus en tant que produit autonome ne le fait pas. Le RBAC est disponible et plus granulaire que Acronis : 4 rôles prédéfinis (Administrateur, Gestionnaire Endpoint DLP, Technicien, Invité), rôles personnalisés avec permissions au niveau du module (Contrôle total, Écriture, Lecture, Aucun accès), attribution basée sur le périmètre (restreindre les administrateurs à des groupes d'ordinateurs spécifiques) et prise en charge de l'authentification à deux facteurs (Email OTP ou Google Authenticator). Malgré un meilleur RBAC, le score global d'intégration est plus faible car SIEM et copie d'ombre sont absents. Sécurité de l'agent ManageEngine a protégé contre les trois tests de falsification en tant qu'utilisateur standard. Stop-Service sur le service de l'agent DLP a renvoyé accès refusé. Le Gestionnaire des tâches n'a pas terminé le processus de l'agent. La désinstallation depuis Programmes et fonctionnalités nécessitait une élévation administrative et a été refusée sans elle. Contrairement à Acronis, ManageEngine n'offre pas de liste d'administrateurs nommés pour restreindre la désinstallation au niveau administrateur. Tout compte disposant de droits d'administrateur local peut désinstaller l'agent depuis Programmes et fonctionnalités. Pour les déploiements de production, cela signifie que les droits d'administrateur de terminal doivent être strictement contrôlés via l'appartenance aux groupes Active Directory et la politique d'administrateur local, car il n'y a pas de restriction au niveau du produit. Comportement sous forte consommation de CPU et de mémoire Sous une charge de CPU de 100 %, ManageEngine a continué à bloquer les uploads sans dégradation. Les 100 fichiers d'un test d'upload en vrac ont tous été analysés et bloqués correctement. Analyse de contenu L'analyse de contenu de ManageEngine est basée sur les expressions régulières et les mots-clés. Elle analyse correctement plusieurs formats de fichiers (xlsx, docx, csv, json, html, py, log) et scanne à l'intérieur des commentaires de code, des entrées de journal et des champs de données structurées. L'usurpation d'extension ne la trompe pas. Les fichiers ZIP cryptés sont bloqués par analyse des métadonnées/en-têtes. Les limites : seul le format SSN standard avec tirets (XXX-XX-XXXX) est détecté. Pas de décodage base64, pas de scan de PDF cryptés. ManageEngine propose l'empreinte numérique de document et OCR via Endpoint Central, mais le moteur d'expressions régulières n'inclut pas de validation SSN indépendante du format comme Acronis. La bibliothèque de règles est riche (20+ pays, plusieurs cadres de conformité). Journalisation et alertes La page Audit des fichiers sensibles enregistre les événements avec des détails utiles : nom de l'ordinateur, utilisateur connecté, type d'événement, nom de fichier, domaine web, application d'entreprise, statut de l'événement et la règle de classification spécifique qui a déclenché. Ce niveau de détail est suffisant pour l'enquête. ManageEngine dispose d'une fonctionnalité utile de signalement des faux positifs : lorsqu'un fichier est bloqué, l'utilisateur voit une option « Signaler ce blocage comme faux positif ». Le rapport apparaît dans la page Override Audit de la console d'administration. Acronis gère les exceptions via des règles côté administrateur et le ciblage utilisateur/groupe dans la console de gestion plutôt qu'un bouton accessible à l'utilisateur final. Les canaux d'alerte sont limités aux emails SMTP. Il n'y a pas de redirection SNMP ou Syslog. L'exportation de rapports prend en charge uniquement CSV et PDF. Les rapports planifiés sont disponibles. Il n'y a pas de copie d'ombre ni de collecte de preuves. Pas de flux de travail d'incident. Méthodologie et environnement du comparatif DLP Nous avons provisionné 3 instances Contabo Cloud VPS 10 exécutant Windows Server 2022 Datacenter. Active Directory : Domaine dlptest.local avec deux OU (Finance, IT), quatre utilisateurs de test (user.finance1, user.finance2, user.it1, user.it2) et un dossier partagé à \vmi3184661\share. Tests séquentiels : ManageEngine a été installé en premier, testé sur les 8 catégories notées, puis complètement désinstallé. Acronis a été installé sur les mêmes machines virtuelles et testé avec des scénarios et des fichiers identiques. Les deux produits ont fait face au même environnement. Tous les tests ont été effectués par la même personne. Jeu de données de test 8 fichiers de base et 12 fichiers d'évasion adversariale, tous contenant des numéros de sécurité sociale américains (SSN) comme type de données sensibles principal : Fichiers de base : ssn_data.xlsx (tableur SSN), credit_cards.csv (numéros de carte de crédit), confidential_report.docx (SSN avec mot-clé « CONFIDENTIAL »), health_records.docx (données HIPAA), source_code.py (identifiants dans le code), ssn_image.png (SSN dans une image pour OCR), confidential_archive.zip (archive cryptée), normal_file.docx (fichier propre pour contrôle de faux positif). Fichiers adversariaux (12) : Fichier journal avec SSN intégré, CSV avec nom innocent et colonne SSN cachée, JSON avec SSN dans les champs de données, commentaires Python avec SSN, 8 variantes de format SSN (espacées/pointillées/sans séparateur), SSN encodé en base64, HTML avec SSN à texte caché, SSN divisé par formule entre cellules de tableur, usurpation d'extension (.txt en .jpg, .xlsx en .png), ZIP protégé par mot de passe, aiguille dans une botte de foin (1 SSN dans 80 lignes de texte propre). Exemples de tests de fuite Chaque test suit le même modèle : tenter d'exfiltrer un fichier sensible via un canal spécifique et enregistrer si l'agent DLP le bloque ou l'autorise. Test de fuite de base (upload) : Ouvrir un navigateur sur le client, naviguer vers WeTransfer, sélectionner ssn_data.xlsx depuis le bureau, cliquer sur uploader. Si l'agent DLP bloque l'upload, le navigateur affiche une erreur ou la connexion est réinitialisée. S'il l'autorise, le fichier est uploadé avec succès vers WeTransfer. Test d'évasion de canal (presse-papiers) : Ouvrir ssn_data.xlsx dans Notepad, tout sélectionner, copier (Ctrl+C). Ouvrir un navigateur, naviguer vers pastebin.com, coller (Ctrl+V) dans la zone de texte, cliquer sur « Créer un nouveau paste ». Un produit DLP avec inspection du presse-papiers tue la requête HTTP POST avant qu'elle ne se termine. Un produit sans inspection du presse-papiers autorise le collage car les données n'ont jamais quitté sous forme de fichier. Test d'évasion de contenu (variantes de format) : Créer un fichier texte contenant 8 représentations SSN différentes : standard (578-12-3364), espacé (578 12 3364), pointillé (578.12.3364), sans séparateur (578123364), inversé (3364-12-578) et formats mixtes. Uploader le fichier vers WeTransfer. Un produit DLP avec des motifs SSN validés reconnaît tous les formats. Un produit uniquement basé sur les expressions régulières ne détecte que les formats couverts par son expression régulière. Test de fuite indirecte (inter-client) : Sur Client 1, prendre une capture d'écran de données sensibles affichées à l'écran. Enregistrer la capture d'écran. La copier sur le partage réseau (\server\share). Sur Client 2, récupérer le fichier depuis le partage et l'uploader vers WeTransfer. Un produit qui scanne au moment de l'upload bloque indépendamment de l'origine du fichier. Un produit qui repose sur l'indexation préalable rate les fichiers qu'il n'a jamais vus. Test de charge CPU : Exécuter 4 tâches PowerShell en boucle infinie pour saturer les 4 vCPU : 1..4 | ForEach-Object { Start-Job { while($true){} } }. Confirmer que le CPU est à 99-100 % dans le Gestionnaire des tâches. Pendant que le CPU est bloqué, tenter d'uploader ssn_data.xlsx vers WeTransfer. Si l'agent DLP bloque toujours l'upload sous charge maximale, le comportement sous charge est acceptable. Nettoyer avec Get-Job | Stop-Job; Get-Job | Remove-Job. Scores par catégorie du comparatif DLP Chaque catégorie a un score maximum égal à son poids attribué. Les poids totalisent 50 et le total brut est mis à l'échelle sur 100 pour le score final. Les scores sont des entiers liés directement aux résultats mesurés ou aux fonctionnalités documentées, pas des évaluations subjectives. La journalisation et les alertes contribuent à la plus grande écart unique (+6). Acronis exporte vers SMTP, SNMP et Syslog, exécute trois visionneuses de journaux (Audit, Shadow, UAM) et préserve le contenu complet des fichiers via copie d'ombre. ManageEngine n'a que SMTP, un seul journal d'audit et pas de copie d'ombre. L'intégration ajoute +3 supplémentaires grâce au support SIEM de Acronis, au module de découverte et au double profil hors ligne, qui n'existent pas dans ManageEngine DLP Plus autonome. La configuration des politiques ajoute +2 grâce aux 90+ modèles préconstruits de Acronis et à l'analyse de mots-clés morphologique en 9 langues. Les tests de fuite ajoutent +1, reflétant directement le taux de blocage de 83 % contre 70 %. ManageEngine récupère +2 de l'installation, +4 du tableau de bord (interface web moderne avec graphiques contre module MMC sans tableau de bord) et +1 du contrôle d'accès (2FA, rôles personnalisés, administration basée sur le périmètre). La sécurité de l'agent est à égalité à 6 chacun après que les trois tests de falsification ont réussi. Méthodologie de notation (justification des poids) 8 catégories notées sur des échelles entières proportionnelles à leur poids. Le score maximum possible de chaque catégorie est égal à sa valeur de poids. Les poids totalisent 50 et le total brut est mis à l'échelle sur 100 pour le score final. Les poids ont été attribués par le réviseur senior en fonction des catégories qui produisent une différenciation significative et de celles qui sont directement corrélées aux opérations DLP quotidiennes. Chaque score est dérivé de résultats mesurés (taux de blocage des tests de fuite) ou de la matrice de fonctionnalités documentée dans la section Comparaison des fonctionnalités, pas d'une évaluation subjective. Le comportement sous forte consommation de CPU et de mémoire a été testé séparément mais exclu du score, car les deux produits ont performé de manière identique sous charge. Comparaison des fonctionnalités Configuration et déploiement ManageEngine se déploie 6 fois plus vite et ne nécessite aucune dépendance externe. Acronis nécessite SQL Server et un certificat, mais livre un kit d'outils de déploiement plus large (module de stratégie de groupe, push/pull Enterprise Server, export manuel .dls). Journalisation et preuves La copie d'ombre est le plus grand écart. Lorsque Acronis bloque un transfert de fichier, le contenu complet du fichier est préservé sur le serveur pour examen médico-légal. ManageEngine enregistre les métadonnées de l'événement mais rejette le fichier réel. Aucun des deux produits n'a un flux de travail d'incident complet (attribution, escalade, suivi du statut). Capacités d'analyse de contenu Acronis a une analyse de contenu plus approfondie pour chaque méthode. Les 90+ modèles d'expressions régulières et les 160+ dictionnaires de mots-clés avec analyse morphologique en 9 langues lui donnent une surface de détection plus large. ManageEngine propose OCR via la plateforme Endpoint Central et l'empreinte numérique de document via son module de classification, mais Acronis publie des chiffres spécifiques (33 langues OCR, 5 300+ types de fichiers) tandis que ManageEngine ne le fait pas. Aucun des deux produits n'utilise l'apprentissage automatique ou le NLP pour la classification.4 5 6 7 Limitations Deux produits comparés sur le terrain : Le comparatif couvre ManageEngine DLP Plus et Acronis DeviceLock DLP. Les quatre autres produits couverts (Netwrix, Sophos, Teramind, Trellix) n'ont pas été re-testés selon la même méthodologie de 28 scénarios ; leurs sections reflètent des revues de fonctionnalités antérieures. Les scores comparatifs (76/100 et 66/100) sont donc uniquement entre les deux produits testés sur le terrain, pas sur les six. Aucun test USB ou support amovible : Le contrôle des appareils USB est l'un des cas d'usage DLP les plus courants. Les deux produits le prennent en charge, mais notre infrastructure (instances VPS cloud) n'a pas de ports USB physiques. Le blocage USB, l'application du cryptage et la liste blanche des appareils n'ont pas été testés. Seuls les motifs SSN testés : Tous les tests de fuite ont utilisé le numéro de sécurité sociale américain comme type de données sensibles. La détection de cartes de crédit (validation Luhn), les motifs HIPAA et les règles spécifiques GDPR n'ont pas été testés séparément, bien que les deux produits incluent des modèles préconstruits pour ceux-ci. Produits DLP précédemment examinés Nous avions accès à des essais pour les quatre produits ci-dessous lors d'un cycle de recherche antérieur. Les résultats reflètent la couverture des fonctionnalités et les tests à cette époque, pas un re-test de 2026. Les captures d'écran proviennent de l'environnement de revue original. Là où les fournisseurs ont livré des mises à jour après la revue originale, celles-ci sont signalées en ligne. Netwrix Endpoint Protector Netwrix Endpoint Protector est une solution DLP axée sur les canaux, construite autour du contrôle des appareils, de l'inspection approfondie des paquets et de l'eDiscovery. La revue a couvert son flux de travail de création de politiques, la couverture des périphériques et les fonctionnalités administratives. Fonctionnalités efficaces : Contrôle granulaire de 30+ types d'appareils, inspection approfondie des paquets pour les transferts de fichiers réseau, politiques prédéfinies et personnalisées, droits effectifs pour la création de politiques, eDiscovery pour les données au repos, cryptage USB, notifications et alertes pour les actions bloquées, notifications client personnalisables, piste d'audit et protection contre la falsification. Fonctionnalités inefficaces : Pas de gestion d'appareils (MDM est offert en complément, non inclus dans l'essai de base). Couverture des canaux: Endpoint Protector permet un contrôle granulaire de 30+ types d'appareils, y compris les appareils USB, les appareils Bluetooth, les smartphones et plus. Les administrateurs peuvent configurer le contrôle d'accès pour des appareils spécifiques afin de les autoriser ou de les bloquer de se connecter aux ordinateurs clients. L'inspection approfondie des paquets permet à l'administrateur de gérer les transferts de fichiers réseau via webmail, lecteurs et applications tierces. Lorsqu'elle est activée, la protection sensible au contenu (CAP) et les paramètres de contrôle des appareils fonctionnent conformément aux scans DPI. Classification des données : La protection sensible au contenu inclut des politiques prédéfinies en trois groupes basés sur le système d'exploitation du client (Windows, Mac, Linux). Il y a 86 politiques prédéfinies pour Windows couvrant les transferts de fichiers par type de contenu (graphiques, archives, programmation), la conformité HIPAA et la conformité GDPR. Des politiques personnalisées peuvent être définies en fonction des points de sortie de politique, des utilisateurs et de l'action de politique choisie. L'eDiscovery détecte les données sensibles au repos et permet le cryptage, le décryptage et la suppression à la cible. Administration : Les droits effectifs permettent la création de politiques basées sur un utilisateur, un appareil ou un type de fichier spécifique. Les droits globaux sont des droits de contrôle d'appareil qui s'appliquent en général, et les administrateurs peuvent définir différents droits d'accès pour différents appareils. Pour créer une politique, l'administrateur sélectionne parmi des options prédéfinies ou personnalisées, et les politiques peuvent être ordonnées par priorité. Les classes personnalisées permettent d'assigner un « Appareil de confiance (TD) » basé sur des informations d'appareil telles que le numéro de série et le type. Notifications et alertes : Lorsqu'un administrateur tente de joindre un fichier .xlsx nommé « Confidential » contenant des informations de numéro de sécurité sociale dans WhatsApp, Endpoint Protector bloque l'action et notifie l'administrateur. Les journaux d'événements sont visibles dans la fenêtre Rapport sensible au contenu avec des détails incluant l'événement, l'heure, l'utilisateur, l'appareil, la destination et le fichier. Autres fonctionnalités : La synchronisation Microsoft AD et Microsoft Entra ID est prise en charge. Les notifications client peuvent être personnalisées. Les listes de refus et d'autorisation aident à définir le contenu sensible via des types de fichiers, du contenu personnalisé, des emplacements de fichiers, des emplacements de scan, des motifs d'expressions régulières, des domaines, des URL et des domaines d'email. Le cryptage des appareils USB peut être automatisé. Sophos Intercept X Sophos Intercept X fournit des capacités DLP dans le cadre d'une suite de sécurité de terminal plus large. La revue s'est concentrée sur la configuration de politiques personnalisées, la protection contre la falsification et l'expérience administrative via Sophos Central. Fonctionnalités efficaces : Protection efficace par email, périphérique et application, protection contre la falsification fonctionnelle, intégration Active Directory, classification des données personnalisable, recherche de fichiers et balises avec hachages, piste d'audit complète. Fonctionnalités inefficaces : Certaines fonctionnalités comme la protection des périphériques nécessitent des politiques personnalisées plutôt que de fonctionner immédiatement. Pas d'analyse du comportement des utilisateurs et pas de gestion d'appareils. Couverture des canaux : Dans les périphériques et les emails, les politiques de base par défaut n'ont pas arrêté les transferts de fichiers. L'équipe de revue a pu les bloquer en utilisant des politiques personnalisées. La fonctionnalité de contrôle des applications a restreint le transfert de fichiers vers d'autres plateformes telles que Google Drive. Les utilisateurs peuvent être inclus ou exclus directement des politiques via des exceptions basées sur l'email ou l'IP. Neuf types d'appareils amovibles peuvent être surveillés et contrôlés, moins que des concurrents tels qu'Endpoint Protector. Classification des données : La classification automatique des données était inefficace, classant les emails à risque comme de faible gravité. Les paramètres de personnalisation sont disponibles et détaillés. Les données classifiées sont vérifiables via une liste de fichiers complète avec statut de classification. Administration : La protection contre la falsification a restreint les appareils de falsifier le logiciel de l'agent et nécessitait un mot de passe pour désinstaller le fichier de l'agent. Cette fonctionnalité a fonctionné lors des tests de revue. Sophos Central a enregistré avec succès les journaux d'audit des activités des utilisateurs. Les hachages de fichiers sont offerts via la fonctionnalité de découverte pour identifier les fichiers à risque. Note Shadow AI : Depuis janvier 2026, Sophos a ajouté la protection de l'espace de travail pour la gouvernance Shadow IT et Shadow AI. La protection de l'espace de travail est adjacente aux fonctionnalités DLP de terminal couvertes ici, pas un remplacement pour elles.8 Teramind DLP Teramind DLP est une solution DLP pilotée par les politiques avec un positionnement fort en analyse comportementale. La revue s'est concentrée sur la couverture des canaux, la profondeur de personnalisation et la charge administrative. Fonctionnalités efficaces : Protection efficace pour les périphériques, les emails et les applications, personnalisation détaillée de la classification des données, piste d'audit complète, intégration Active Directory, recherche de fichiers. Fonctionnalités inefficaces : La classification des données avait du mal à distinguer les données confidentielles des données non confidentielles. Les politiques personnalisées sont difficiles à gérer. Pas de protection contre la falsification, pas de OCR dans l'essai gratuit. Couverture des canaux : Les politiques de blocage USB étaient efficaces mais bloquaient également les fichiers non confidentiels d'être copiés sur des appareils périphériques. Les types d'appareils n'étaient pas mentionnés dans les politiques d'appareils amovibles. Les politiques email sont efficaces mais empêchent les utilisateurs internes d'envoyer des emails comme effet secondaire. La politique de protection des applications restreint tous les transferts de données vers des applications telles que Google Drive. Des emails ou domaines spécifiques peuvent être exclus des politiques. Classification des données : La classification des données était inefficace car elle ne pouvait pas distinguer entre les données confidentielles et non confidentielles lors des tests d'essai. Les options de personnalisation sont détaillées mais nécessitent une familiarité avec la plateforme. Les données classifiées sont vérifiables. Administration : La protection contre la falsification était inefficace, car les utilisateurs pouvaient falsifier le fichier de l'agent. L'activité de chaque utilisateur était surveillée avec des alertes envoyées à l'email de l'administrateur. L'identification des données OCR n'est pas incluse dans l'essai gratuit. Mise à jour de l'agent Mac. À partir de janvier 2026, l'agent Teramind Mac prend en charge l'enregistrement d'écran uniquement lorsqu'une règle de comportement est violée, réduisant l'utilisation du stockage et améliorant la confidentialité tout en capturant des preuves pertinentes.9 Trellix DLP Trellix DLP (anciennement McAfee Total Protection for DLP) couvre un large éventail de canaux de terminal et de réseau mais montre des incohérences dans certains domaines. La revue s'est concentrée sur la couverture des canaux, les politiques prédéfinies par rapport aux politiques personnalisées et les capacités administratives. Fonctionnalités efficaces : Large couverture des canaux, protection complète par email et application, règles de données personnalisables, piste d'audit, protection contre la falsification, filtrage web. Fonctionnalités inefficaces : Pas d'intégration Active Directory dans l'essai, pas de recherche de fichiers, pas d'analyse du comportement des utilisateurs, pas de support complet OCR pour la détection et la prévention web. Couverture des canaux : Trellix peut détecter lorsqu'un utilisateur configure Outlook pour envoyer des fichiers sensibles via des comptes email personnels et peut mettre en quarantaine les emails contenant des informations sensibles. La libération des emails mis en quarantaine peut être fastidieuse, nécessitant une approbation manuelle de l'expéditeur, du manager de l'expéditeur ou du propriétaire des données via des notifications email plutôt qu'un flux de travail automatisé. Trellix ne prend pas entièrement en charge le filtrage des données sensibles synchronisées sur les appareils mobiles via ActiveSync pour certains groupes d'utilisateurs. La surveillance et le contrôle des appareils périphériques sont possibles, mais Trellix ne prend pas en charge une politique unifiée sur tous les canaux, ce qui limite la flexibilité dans les environnements avec plusieurs types d'appareils périphériques. Les administrateurs peuvent configurer des contrôles d'accès pour les appareils USB et autres périphériques, mais la mise en œuvre de la politique peut être incohérente sur les canaux plus récents tels que les appareils mobiles. Le support avancé tel que le cryptage des appareils USB nécessite des abonnements supplémentaires. Pour les applications, Chrome n'est pas entièrement pris en charge et les utilisateurs peuvent contourner les politiques DLP dans certains scénarios, tels que lors de l'upload de fichiers depuis un réseau Wi-Fi public. Classification des données : Les politiques prédéfinies de Trellix couvrent les cadres réglementaires courants incluant PCI DSS et GDPR, bien que les modèles de politique soient moins complets et précis que ceux des concurrents, créant des lacunes de détection potentielles. L'administrateur peut créer des politiques personnalisées en utilisant des mots-clés, des expressions régulières et l'empreinte numérique de fichier. Trellix ne prend pas en charge les fonctionnalités avancées telles que l'apprentissage automatique ou la protection basée sur le risque comportemental. OCR est limité aux documents graphiques pour la découverte, pas pour la prévention. Administration : Les administrateurs peuvent assigner des droits basés sur les utilisateurs ou les groupes, mais Trellix manque d'administration déléguée basée sur les rôles, limitant la capacité d'assigner des rôles spécifiques pour la gestion des politiques et le traitement des incidents. Le cryptage USB et l'application de la politique DLP de terminal sont standards, mais les options avancées telles que la protection adaptative au risque et l'analyse comportementale native sont soit limitées, soit nécessitent une intégration tierce. Des alertes sont générées pour les transferts de données sensibles via email, mais la personnalisation limitée des rapports et les capacités de gestion des incidents peuvent nécessiter une surveillance manuelle supplémentaire. Que fait le logiciel DLP ? Le logiciel DLP surveille et contrôle le flux de données sensibles à travers les terminaux, le réseau et les services cloud d'une organisation. Il empêche les transferts de données non autorisés via des canaux tels que les uploads de fichiers, les pièces jointes email, le copier-coller du presse-papiers, l'impression, les lecteurs USB et la capture d'écran. Les produits DLP combinent généralement trois méthodes de détection : inspection du contenu (analyse du contenu des fichiers pour des motifs tels que SSN ou numéros de carte de crédit), analyse du contexte (évaluation du canal, de l'utilisateur et de la destination) et application des politiques (blocage, alerte ou journalisation basée sur des règles). Capacités DLP courantes Conclusion Pour les équipes qui ont besoin d'intégration SIEM, de preuves de copie d'ombre ou de détection de SSN multi-format, Acronis est le produit le plus fort. Il a bloqué 83 % des scénarios de fuite, empêche la suppression de fichiers, redirige les événements vers Syslog/CEF et préserve le contenu complet des fichiers pour examen médico-légal via copie d'ombre. Pour les équipes qui privilégient un déploiement rapide et une interface utilisateur utilisable, ManageEngine s'installe en 15 minutes sans dépendances. Le coût : pas d'intégration SIEM, pas de copie d'ombre, pas d'inspection du presse-papiers et un taux de blocage de 13 points de pourcentage inférieur. Les produits DLP peuvent-ils détecter les données collées dans des formulaires web ? Acronis DeviceLock a détecté les données SSN collées dans Pastebin et Google Translate en inspectant les corps de requêtes HTTP POST. ManageEngine DLP Plus n'inspecte pas le collage du presse-papiers. Activer le mode « Autoriser dans les applications de confiance » ferme indirectement cette lacune en restreignant quelles applications peuvent ouvrir des fichiers sensibles. L'agent DLP peut-il être arrêté ou désinstallé par un utilisateur standard ? Non. Les deux produits protègent contre l'arrêt du service, la fin du processus et les tentatives de désinstallation par les utilisateurs standard. Les trois tests de falsification ont réussi sur les deux. Pour la défense contre les comptes administrateur locaux, Acronis offre la liste des administrateurs DeviceLock pour restreindre qui peut désinstaller, arrêter ou modifier l'agent. ManageEngine n'a pas de mécanisme équivalent au niveau du produit, donc les droits d'administrateur doivent être contrôlés via Active Directory. Les produits DLP détectent-ils les SSN écrits dans différents formats ? Acronis a détecté les SSN avec espaces, points et sans séparateurs. ManageEngine n'a détecté que le format standard avec tirets (XXX-XX-XXXX). Pourquoi seuls deux des six produits sont-ils testés sur le terrain ? Disponibilité des essais des fournisseurs. ManageEngine et Acronis DeviceLock DLP ont fourni des essais fonctionnels sur Windows Server 2022 dans notre fenêtre de recherche. Les quatre autres produits (Netwrix, Sophos, Teramind, Trellix) nécessitaient des approbations de démonstration dirigées par les ventes qui n'ont pas été complétées à temps, donc nous nous appuyons sur les revues de fonctionnalités antérieures pour ceux-ci. À mesure que de nouveaux essais deviennent disponibles, nous relancerons le comparatif complet de 28 scénarios sur ces produits et mettrons à jour les résultats ci-dessous.

Visitez le site web
Ne manquez pas nos benchmarks et analyses basées sur les données. Le bouton ouvre Google ; sélectionner AIMultiple confirme que vous souhaitez voir AIMultiple plus souvent dans les résultats de recherche Google.
GoogleAjouter comme source préférée

Citez ce benchmark

Choisissez le format qui correspond à votre lieu de publication. Coller la version avec lien dans votre CMS préserve le lien retour.

Ekrem Sarı (2026) - "Comparatif des logiciels DLP". Publié en ligne sur AIMultiple.com. Consulté le 30 Avril 2026, à : https://aimultiple.com/dlp-review [Ressource en ligne]

Sarı, E. (2026, 30 Avril). Comparatif des logiciels DLP. AIMultiple. https://aimultiple.com/dlp-review

@misc{sar2026,
  author = {Sarı, Ekrem},
  title  = {{Comparatif des logiciels DLP}},
  year   = {2026},
  month  = apr,
  howpublished    = {\url{https://aimultiple.com/dlp-review}},
  note   = {AIMultiple. Consulté le 30 Avril 2026}
}
Ekrem Sarı
Ekrem Sarı
Chercheur en IA
Ekrem est chercheur en IA chez AIMultiple, spécialisé dans l'automatisation intelligente, les GPU, les agents IA et les frameworks RAG.
Voir le profil complet

Soyez le premier à commenter

Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires. Les commentaires sont laissés dans leur langue d'origine.

0/450