Établir une stratégie DLP
Les stratégies de protection contre la perte de données (DLP) peuvent agir comme des barrières de sécurité pour empêcher les utilisateurs d’exposer involontairement des données de l’organisation pour protéger la sécurité des informations dans le client. Les stratégies DLP appliquent des règles pour lesquelles les connecteurs sont activés pour chaque environnement et les connecteurs qui peuvent être utilisés ensemble. Les connecteurs sont classés comme données commerciales uniquement, aucune donnée commerciale autorisée, ou bloqué. Un connecteur dans le groupe de données métier uniquement, il ne peut être utilisé qu’avec d’autres connecteurs de ce groupe dans la même application ou le même flux. Plus d’informations : Administrer Microsoft Power Platform : Stratégies de protection contre la perte de données
L’établissement de vos stratégies DLP va de pair avec votre stratégie environnementale.
Faits rapides
- Les politiques de données protection des pertes (DLP) agissent comme des garde-fous pour empêcher les utilisateurs d’exposer involontairement des données.
- Les stratégies DLP peuvent être limitées au niveau de l’environnement et du locataire, offrant ainsi toute la flexibilité requise pour élaborer des stratégies pertinentes, sans sacrifier la productivité.
- Les stratégies DLP d’environnement ne peuvent pas remplacer les stratégies DLP à l’échelle de l’abonné.
- Si plusieurs stratégies sont configurées pour un environnement, la stratégie la plus restrictive s’applique à la combinaison de connecteurs.
- Par défaut, aucune stratégie DLP n’est implémentée dans le client.
- Les stratégies ne peuvent pas être appliquées au niveau de l’utilisateur, uniquement au niveau de l’environnement ou du locataire.
- Les stratégies DLP prennent en charge les connecteurs, mais ne contrôlent pas les connexions établies à l’aide du connecteur. En d’autres termes, les stratégies DLP ne savent pas si vous utilisez le connecteur pour vous connecter à un environnement de développement, de test ou de production.
- PowerShell et les connecteurs d’administration peuvent gérer les stratégies.
- Les utilisateurs de ressources dans les environnements peuvent afficher les stratégies qui s’appliquent.
Classification des connecteurs
Les classifications métier et hors métier dessinent des limites autour des connecteurs qui peuvent être utilisés ensemble dans une application ou un flux donné. Les connecteurs peuvent être classés dans les groupes suivants à l’aide de stratégies DLP :
- Entreprise : une Power App ou une Power Automate ressource donnée peut utiliser un ou plusieurs connecteurs d’un groupe d’entreprises. Si une ressource Power App ou Power Automate utilise un connecteur métier, elle ne peut pas utiliser de connecteur non métier.
- Non professionnel : une Power App ou une ressource Power Automate donnée peut utiliser un ou plusieurs connecteurs d’un groupe non professionnel. Si une ressource Power App ou Power Automate utilise un connecteur non métier, elle ne peut pas utiliser de connecteur métier.
- Bloqué : aucune Power App ou Power Automate ressource ne peut utiliser un connecteur d’un groupe bloqué. Tous les connecteurs premium et connecteurs tiers (standard et premium) détenus par l’utilisateur peuvent être bloqués. Microsoft Tous les connecteurs standard et connecteurs appartenant à Microsoftne peuvent pas être bloqués. Common Data Service
Les désignations « métier » et « hors métier » n’ont pas de signification particulière ; ce sont simplement des étiquettes. Le regroupement des connecteurs eux-mêmes est important, pas le nom du groupe dans lequel ils sont placés.
Plus d’information : Administrer Microsoft Power Platform : Classification des connecteurs
Stratégies pour créer des stratégies DLP
En tant qu’administrateur prenant le contrôle d’un environnement ou commençant à prendre en charge l’utilisation de Power Apps et Power Automate, les stratégies DLP doivent être l’une des premières choses que vous configurez. Une fois qu’un ensemble de stratégies de base est en place, et vous pouvez alors vous concentrer sur la gestion des exceptions et la création de stratégies DLP ciblées qui implémentent ces exceptions une fois approuvées.
Nous recommandons le point de départ suivant pour les stratégies DLP pour les environnements de productivité partagés des utilisateurs et des équipes :
- Créez une stratégie couvrant tous les environnements à l’exception de ceux sélectionnés (par exemple, vos environnements de production), conservez les connecteurs disponibles dans cette stratégie limités à Office 365 et autres microservices standard, et bloquez l’accès à tout le reste. Cette stratégie s’applique à l’environnement par défaut et aux environnements de formation dont vous disposez pour exécuter des événements de formation internes. En outre, cette stratégie s’applique également à tous les environnements qui sont créés.
- Créez des stratégies DLP appropriées et plus permissives pour vos environnements de productivité partagés des utilisateurs et des équipes. Ces stratégies pourraient permettre aux fabricants d’utiliser des connecteurs, tels que les services Azure en plus des services Office 365. Les connecteurs disponibles dans ces environnements dépendent de votre organisation et de l’endroit où elle stocke ses données métier.
Nous recommandons le point de départ suivant pour les stratégies DLP pour les environnements de productivité (divisions et projet) :
- Excluez ces environnements des stratégies de productivité partagées des utilisateurs et des équipes.
- Travaillez avec la division et le projet pour déterminer les connecteurs et les combinaisons de connecteurs qu’ils utiliseront et créer une stratégie de client pour inclure uniquement les environnements sélectionnés.
- Les administrateurs de ces environnements peuvent utiliser les politiques d’environnement pour classer les connecteurs personnalisés dans la catégorie des données métier uniquement, si nécessaire.
Nous recommandons également :
- La création d’un nombre minimal de stratégies par environnement. Il n’y a pas de hiérarchie stricte entre les politiques des locataires et celles de l’environnement, et lors de la conception et de l’exécution, toutes les politiques applicables à l’environnement dans lequel l’application ou le flux réside sont évaluées ensemble pour décider si la ressource est en conformité ou en violation des politiques DLP. Plusieurs politiques DLP appliquées à un seul environnement fragmenteront votre espace de connecteur de manière complexe et pourraient rendre difficile la compréhension des problèmes auxquels vos créateurs sont confrontés.
- La gestion centralisée des stratégies DLP à l’aide de stratégies au niveau du client et l’utilisation des stratégies d’environnement uniquement pour classer les connecteurs personnalisés ou dans des cas exceptionnels.
Une fois une stratégie de base en place, planifiez comment gérer les exceptions. Vous pouvez :
- Refuser la demande.
- Ajouter le connecteur à la stratégie DLP par défaut.
- Ajouter les environnements à la liste Tous sauf pour la DLP globale par défaut et créez une stratégie DLP spécifique au cas d’utilisation avec l’exception incluse.
Exemple : Stratégie DLP de Contoso
Voyons comment Contoso Corporation, notre exemple d’organisation pour ces conseils, a configuré ses stratégies DLP. La configuration de leurs stratégies DLP est étroitement liée à leur stratégie environnementale.
Les administrateurs de Contoso souhaitent prendre en charge les scénarios de productivité des utilisateurs et des équipes et les application métier, en plus de la gestion des activités du centre d’excellence (CoE).
L’environnement et la stratégie DLP que les administrateurs Contoso appliqués ici sont les suivants :
Stratégie DLP restrictive à l’échelle du client qui s’applique à tous les environnements du client, à l’exception de certains environnements spécifiques exclus de l’étendue de la stratégie. Les administrateurs ont l’intention de limiter les connecteurs disponibles dans cette stratégie à Office 365 et autres micro-services standard en bloquant l’accès à tout le reste. Cette stratégie s’applique également à l’environnement par défaut.
Les administrateurs Contoso ont créé un autre environnement partagé permettant aux utilisateurs de créer des applications pour les cas d'utilisation de productivité des utilisateurs et des équipes. Cet environnement a une stratégie DLP au niveau du client associée qui n’est pas aussi averse au risque qu’une stratégie par défaut et permet aux créateurs d’utiliser des connecteurs, tels que les services Azure en plus des services Office 365. Comme il ne s’agit pas d’un environnement par défaut, les administrateurs peuvent contrôler activement la liste de création d’environnement pour celui-ci. Il s’agit d’une approche à plusieurs niveaux de l’environnement de productivité partagé des utilisateurs et des équipes et des paramètres DLP associés.
En outre, pour que les unités commerciales puissent créer des applications métier, elles ont créé des environnements de développement, de test et de production pour leurs filiales fiscales et d’audit dans divers pays/régions. L’accès du créateur d’environnement à ces environnements est soigneusement géré, et les connecteurs propriétaires et tiers appropriés sont mis à disposition à l’aide de stratégies DLP au niveau du locataire en consultation avec les parties prenantes de la division.
De même, les environnements de développement/test/production sont créés pour être utilisés par le service informatique central pour développer et déployer des applications pertinentes ou appropriées. Ces scénarios d’application métier ont généralement un ensemble bien défini de connecteurs qui doivent être mis à la disposition des créateurs, des testeurs et des utilisateurs dans ces environnements. L’accès à ces connecteurs est géré à l’aide d’une stratégie de niveau client dédiée.
Contoso dispose également d’un environnement dédié à ses activités de Center of Excellence (CoE). À Contoso, la stratégie DLP pour l’environnement à usage spécial reste high touch étant donné la nature expérimentale du livre des équipes théoriques. Dans ce cas, les administrateurs des locataires délégué la gestion de la DLP pour cet environnement directement à un administrateur d’environnement de confiance de l’équipe CoE et l’ont exclu d’une école de toutes les stratégies au niveau des locataires. Cet environnement est géré uniquement par la stratégie DLP au niveau de l’environnement, qui est une exception plutôt que la règle de Contoso.
Comme prévu, tout nouvel environnement créé dans Contoso correspondra à la stratégie originale de tous les environnements.
Cette configuration de stratégies DLP centrées sur le client n’empêche pas les administrateurs d’environnement de proposer leurs propres stratégies DLP au niveau de l’environnement, s’ils souhaitent introduire plus des restrictions ou classer les connecteurs personnalisés.
Configurer les stratégies de données
Créez votre stratégie dans le centre d’administration Power Platform. Plus d’informations : Gérer les stratégies de données
Utilisez le Kit de développement logiciel (SDK) DLP pour ajouter des connecteurs personnalisés à une stratégie DLP.
Communiquez clairement les stratégies DLP de votre organisation aux créateurs
Mettez en place un site ou un wiki SharePoint qui communique clairement :
- Des stratégies DLP au niveau du locataire et au niveau de l’environnement clé (par exemple, environnement par défaut, environnement d’essai) appliquées dans l’organisation, y compris les listes de connecteurs classés comme métier, hors métier et bloqués.
- L’ID de messagerie de votre groupe d’administrateurs afin que les créateurs puissent prendre contact pour des scénarios d’exception. Par exemple, les administrateurs peuvent aider les créateurs à se remettre en conformité en modifiant une stratégie DLP existante, en déplaçant la solution vers un environnement différent, en créant un environnement et une stratégie DLP, et en déplaçant le créateur et la ressource vers ce nouvel environnement.
Communiquez également clairement la stratégie d’environnement de votre organisation aux créateurs.