Tutoriel : appliquer automatiquement des étiquettes de confidentialité de Protection des données Microsoft Purview

Dans un monde idéal, tous vos employés comprennent l’importance de la protection des données et respectent vos stratégies. Mais dans le monde réel, il est probable qu’un partenaire qui travaille avec la comptabilité télécharge un document vers l’amont dans votre référentiel OneDrive Entreprise avec les autorisations incorrectes. Une semaine plus tard, vous réalisez que des informations confidentielles de votre entreprise ont été exposées à vos concurrents. Microsoft Defender for Cloud Apps vous permet d’éviter ce genre de catastrophe avant qu’elle n’arrive. Cette fonctionnalité est disponible pour Box, SharePoint et OneDrive Entreprise. L’application d’une étiquette de confidentialité est l’un des éléments figurant dans la longue liste des actions de gouvernance disponibles.

Dans ce tutoriel, vous allez apprendre à identifier les autorisations publiques définies sur un document enregistré dans votre stockage cloud, afin d’être averti en cas de violation. En outre, vous pouvez appliquer automatiquement votre étiquette de confidentialité Protection des données Microsoft Purview Confidentiel pour renforcer le chiffrement des fichiers.

• Configurer la protection des données
• Valider votre stratégie

Protection par chiffrement renforcé au niveau des données

L’intégration de Defender pour le cloud dans la Protection des données Microsoft Purview augmente le niveau de protection en chiffrant automatiquement des fichiers. Lorsque la Protection des données Microsoft Purview chiffre les fichiers, les applications qui prennent en charge la Protection des données Microsoft Purview (comme Microsoft 365) savent comment ouvrir les fichiers et respecter les autorisations définies dans les étiquettes de confidentialité. Utilisez des étiquettes pour appliquer des règles de protection spécifiques. Par exemple, définissez un fichier qui peut être ouvert mais pas partagé, imprimé, transféré ni modifié.

Ce niveau de protection élevé suit le fichier. Le fichier est toujours protégé si vous l’envoyez, le copiez ou le stockez dans votre application de stockage en ligne. Si l’un de vos employés perd une clé USB sur laquelle se trouve le fichier, le fichier est verrouillé. Si une personne tente d’ouvrir le fichier, le propriétaire du fichier reçoit une alerte. Avec Defender for Cloud Apps, vous pouvez appliquer automatiquement une protection. Par exemple, définissez une protection automatique à l’aide d’une étiquette de confidentialité pour tous les fichiers qui comprennent des numéros de carte de crédit ou qui ont été téléchargés vers l’amont par le service financier afin d’être partagés en externe.

La menace

Un utilisateur de votre organisation enregistre des fichiers contenant des informations confidentielles sur vos clients dans OneDrive Entreprise et en définit le partage avec tous les utilisateurs de l’organisation. L’utilisateur ne se rend pas compte que non seulement son équipe, mais également l’ensemble du personnel de support a accès à ce compte OneDrive Entreprise. Cet accès inclut les fournisseurs, les partenaires et les visiteurs qui viennent parfois au bureau. Toutes les personnes ayant accès au compte OneDrive Entreprise de votre organisation ont désormais accès à ces informations. Non seulement cet accès peut s’avérer dangereux pour votre organisation, mais également contraire aux réglementations relatives aux informations personnelles de nombreux pays/nombreuses régions, ce qui peut entraîner des problèmes juridiques.

La solution

Utilisez Defender for Cloud Apps avec la Protection des données Microsoft Purview pour incorporer des informations de classification et de protection afin de mettre en place une protection permanente qui suit vos données. Elles restent ainsi protégées où qu’elles soient stockées et quelles que soient les personnes avec lesquelles vous les partagez. Cette protection vous permet de partager en toute sécurité des données avec vos collègues, clients et partenaires. Définissez qui peut accéder aux données et comment ils peuvent les utiliser. Par exemple, autorisez des utilisateurs à afficher et modifier des fichiers, mais pas à les imprimer ou les transférer. Vous pouvez également ajouter d’autres actions de gouvernance prises en charge par Defender for Cloud Apps aux fichiers telles que la suppression de collaborateurs et la suppression des fonctionnalités de partage.

Prérequis

• Activez Defender for Cloud Apps et la Protection des données Microsoft Purview pour votre client.

Configurer la protection des données

Définissons une stratégie qui recherche des numéros de carte de crédit dans des fichiers stockés dans votre compte OneDrive Entreprise. Lorsque des fichiers sont trouvés, appliquez automatiquement une étiquette de confidentialité et contrôlez les actions effectuées sur tous les fichiers portant cette étiquette.

1. Commencez à protéger les données que vous stockez dans OneDrive Entreprise en définissant une stratégie qui chiffre toutes les données sensibles stockées dans un dossier OneDrive Entreprise spécifique :

   1. Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Stratégies –>Gestion des stratégies.

   2. Sélectionnez Créer une stratégie>Stratégie de fichier.

   3. Dans la page Créer une stratégie de fichier, entrez Protection des données OneDrive dans la zone Nom de la stratégie.

   4. Dans la zone Fichiers correspondant à tout ce qui suit, créez un filtre pour cibler vos données propriétaires et sensibles. Par exemple :

      1. Sélectionnez Ajouter un filtre, puis sélectionnez l’option Sélectionner un filtre>Dossier parent>égal à>Sélectionner un dossier.
      2. Dans la boîte de dialogue Sélectionner un dossier, sélectionnez un dossier à surveiller, tel que Sales West, puis sélectionnez Terminé.
      3. Sélectionnez à nouveau Ajouter un filtre, puis sélectionnez Collaborateurs>Groupes>contient>Finance

   5. Définissez la méthode d’inspection pour rechercher des fichiers contenant des informations sur la carte de crédit :

      1. Dans la liste déroulante Méthode d’inspection, sélectionnez Service de classification des données.
      2. Sélectionnez Choisir le type d’inspection>Type Informations sensibles>Numéro de carte de crédit>Terminé. Lorsque vous sélectionnez votre type d’informations sensibles, entrez le crédit dans la zone Recherche, puis appuyez sur ENTRÉE pour filtrer les types répertoriés.

   6. Dans la zone Actions de gouvernance, étendez la liste déroulante Microsoft OneDrive Entreprise, puis sélectionnez Appliquer l’étiquette de confidentialité. Sélectionnez l’étiquette à appliquer, telle que Confidentiel - Finance.

      Defender for Cloud Apps est intégré à la Protection des données Microsoft Purview, ce qui vous permet de sélectionner dans votre liste existante d’étiquettes de confidentialité à utiliser pour protéger les données.

   7. Sélectionnez Créer.

Examiner vos correspondances

Après avoir configuré votre stratégie pour surveiller les informations de carte de crédit dans le dossier sélectionné, procédez comme suit pour examiner les correspondances trouvées :

1. Dans le menu de navigation des applications cloud Microsoft Defender XDR, sélectionnez Stratégies > Gestion des stratégies.
2. Sélectionnez la stratégie que vous avez créée précédemment, puis sélectionnez Afficher les correspondances de stratégie.
3. Passez en revue les correspondances qui ont été déclenchées pour la stratégie. Sélectionnez un fichier spécifique à étendre pour plus de détails, y compris les autres stratégies mises en correspondance par le fichier sélectionné.

Valider votre stratégie

1. Pour simuler une alerte, créez un fichier avec un numéro de carte de crédit simulé dans le dossier OneDrive Entreprise que vous aviez défini dans votre stratégie.
2. Accédez au rapport de stratégie, où une nouvelle correspondance doit apparaître sous peu.
3. Vous pouvez sélectionner la correspondance pour voir quels fichiers ont été protégés. La correspondance elle-même est masquée pour protéger les données sensibles.

Remarque

• Defender for Cloud Apps prend actuellement en charge l’application automatique des étiquettes de confidentialité sur Box, GSuite, SharePoint et OneDrive Entreprise.
• Lorsqu’un document est étiqueté par Defender for Cloud Apps, les marquages visuels, tels que les en-têtes, les pieds de page ou les filigranes, ne sont pas appliqués. Si vous souhaitez obtenir plus d’informations, consultez En savoir plus sur les étiquettes de confidentialité.

Étapes suivantes

Meilleures pratiques pour la protection de votre organisation

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.