En savoir plus sur la gestion des risques internes Microsoft

Conseil

Saviez-vous que vous pouvez essayer les versions Premium des neuf solutions Microsoft Purview gratuitement ? Utilisez la version d’évaluation des solutions Purview de 90 jours pour découvrir comment des fonctionnalités Purview robustes peuvent aider votre organisation à répondre à ses besoins de conformité. Microsoft 365 E3 et Office 365 E3 clients peuvent être démarrés maintenant sur le Hub d’essais du portail de conformité Microsoft Purview. Découvrez plus d’informations sur les personnes qui peuvent s’inscrire et les conditions d’évaluation.

La gestion des risques liés aux initiés Microsoft Purview est une solution de conformité qui contribue à minimiser les risques internes en vous permettant de détecter, d'enquêter et d'agir sur les activités malveillantes et involontaires au sein de votre organisation. Les stratégies relatives aux risques d'initiés vous permettent de définir les types de risques à identifier et à détecter dans votre organisation, y compris les mesures à prendre et l'escalade des cas vers Microsoft eDiscovery (Premium) si nécessaire. Les analystes de risques de votre organisation peuvent rapidement prendre les mesures appropriées pour s'assurer que les utilisateurs respectent les normes de conformité de votre organisation.

Pour plus d’informations et une vue d’ensemble du processus de planification pour traiter les activités à risque au sein de votre organisation, consultez Démarrage d’un programme de gestion des risques internes.

Regardez les vidéos ci-dessous pour découvrir comment la gestion des risques internes peut aider votre organisation à prévenir, détecter et contenir des risques tout en hiérarchisant les valeurs, la culture et l’expérience utilisateur de votre organisation :

Solution de gestion des risques internes & développement :


Flux de travail de gestion des risques internes :

Regardez la vidéo Microsoft Mechanics sur la façon dont la gestion des risques internes et la conformité des communications fonctionnent ensemble pour réduire les risques liés aux données des utilisateurs de votre organisation.

Important

La gestion des risques internes est actuellement disponible dans les locataires hébergés dans des régions géographiques et des pays pris en charge par les dépendances du service Azure. Pour vérifier que la gestion des risques internes est prise en charge pour votre organisation, consultez la disponibilité des dépendances Azure par pays/région.

Points de douleur à risque modernes

La gestion et la réduction des risques au sein de votre organisation commencent par la compréhension des types de risques présents sur le lieu de travail moderne. Certains risques sont pilotés par des événements externes et des facteurs qui ne sont pas directement contrôlés. D’autres risques sont pilotés par des événements internes et des activités utilisateur qui peuvent être réduites et évitées. Certains exemples sont des risques liés à des comportements et actions illégaux, inappropriés, non autorisés ou contraires à l’éthique de la part des utilisateurs de votre organisation. Ces comportements incluent un large éventail de risques internes de la part des utilisateurs :

  • Fuites de données sensibles et fuite de données
  • Violations de confidentialité
  • Vol de propriété intellectuelle (IP)
  • Fraude
  • Délit d’initié
  • Violations de la conformité avec la réglementation

Les utilisateurs de l’espace de travail moderne ont accès à la création, à la gestion et au partage de données sur un large éventail de plateformes et de services. Dans la plupart des cas, les organisations disposent de ressources et d’outils limités pour identifier et atténuer les risques à l’échelle de l’organisation tout en respectant les normes de confidentialité des utilisateurs.

La gestion des risques internes utilise l’étendue complète du service et des indicateurs tiers pour vous aider à identifier, trier et agir rapidement sur l’activité à risque. En utilisant les journaux d’activité de Microsoft 365 et Microsoft Graph, la gestion des risques internes vous permet de définir des stratégies spécifiques pour identifier les indicateurs de risque. Ces stratégies vous permettent d’identifier les activités à risque et d’agir pour atténuer ces risques.

La gestion des risques internes est centrée sur les principes suivants :

  • Transparence : équilibrez la confidentialité des utilisateurs et les risques de l’organisation avec l’architecture de confidentialité par conception.
  • Configurable : stratégies configurables basées sur des groupes sectoriels, géographiques et d’entreprise.
  • Intégré : flux de travail intégré dans les solutions Microsoft Purview.
  • Actionnable : fournit des insights pour activer les notifications de réviseur, les investigations de données et les investigations utilisateur.

Identification des risques potentiels avec l’analytique

L’analyse des risques internes vous permet d’effectuer une évaluation des risques internes potentiels au sein de votre organisation sans aucune configuration de stratégie des risques internes. Cette évaluation peut permettre à votre organisation d’identifier des zones potentielles plus élevées de risque utilisateur et vous aider à déterminer le type et l’étendue des stratégies de gestion des risques internes que vous pouvez envisager de configurer. Cette évaluation peut également vous aider à déterminer les besoins en matière de licences supplémentaires ou d’optimisation future des stratégies de risque interne existantes.

Pour en savoir plus sur l’analytique des risques internes, consultez les paramètres de gestion des risques internes : Analytique.

Que vous configuriez la gestion des risques internes pour la première fois ou que vous commenciez à créer de nouvelles stratégies, la nouvelle expérience d’actions recommandées peut vous aider à tirer le meilleur parti des fonctionnalités de gestion des risques internes. Les actions recommandées incluent la configuration des autorisations, le choix d’indicateurs de stratégie, la création d’une stratégie, etc.

Flux de travail

Le flux de travail de gestion des risques internes vous aide à identifier, examiner et prendre des mesures pour résoudre les risques internes dans votre organisation. Avec des modèles de stratégie axés, une signalisation d’activité complète dans le service Microsoft 365 et des outils de gestion des alertes et des cas, vous pouvez utiliser des insights actionnables pour identifier et agir rapidement sur les comportements à risque.

L’identification et la résolution des activités à risque internes et des problèmes de conformité avec la gestion des risques internes utilisent le flux de travail suivant :

Flux de travail de gestion des risques internes.

Politiques

Les stratégies de gestion des risques internes sont créées à l’aide de modèles et de conditions de stratégie prédéfinis qui définissent les événements déclencheurs et les indicateurs de risque examinés dans votre organisation. Ces conditions incluent la façon dont les indicateurs de risque sont utilisés pour les alertes, les utilisateurs inclus dans la stratégie, les services prioritaires et la période de détection.

Vous pouvez choisir parmi les modèles de stratégie suivants pour prendre rapidement en main la gestion des risques internes :

Tableau de bord de la stratégie de gestion des risques internes.

Alertes

Les alertes sont générées automatiquement par des indicateurs de risque qui correspondent aux conditions de stratégie et sont affichées dans le tableau de bord Alertes. Ce tableau de bord autorise un affichage rapide de toutes les alertes nécessitant un examen, des alertes ouvertes au fil du temps et des statistiques des alertes pour votre organisation. Toutes les alertes de stratégie sont affichées avec les informations suivantes pour vous aider à identifier rapidement l’état des alertes existantes et des nouvelles alertes qui nécessitent une action :

  • État
  • Severity
  • Heure détectée
  • Cas
  • État du cas

Tableau de bord des alertes de gestion des risques internes.

Triage

Les nouvelles activités utilisateur qui doivent faire l’objet d’une investigation génèrent automatiquement des alertes qui se voient attribuer un état de révision des besoins . Les réviseurs peuvent rapidement identifier et examiner, évaluer et trier ces alertes.

Les alertes sont résolues par l'ouverture d'un nouveau cas, l'affectation de l'alerte à un cas existant ou le rejet de l'alerte. À l’aide de filtres d’alerte, il est facile d’identifier rapidement les alertes par état, gravité ou heure détectée. Dans le cadre du processus de triage, les réviseurs peuvent afficher les détails de l’alerte pour les activités identifiées par la stratégie, afficher l’activité utilisateur associée à la correspondance de stratégie, voir la gravité de l’alerte et examiner les informations de profil utilisateur.

Triage de la gestion des risques internes.

Examiner

Examinez rapidement toutes les activités d’un utilisateur sélectionné avec des rapports d’activité utilisateur (préversion). Ces rapports permettent aux enquêteurs de votre organisation d’examiner les activités de certains utilisateurs pendant une période définie sans avoir à les affecter temporairement ou explicitement à une stratégie de gestion des risques internes. Après avoir examiné les activités d’un utilisateur, les enquêteurs peuvent ignorer les activités individuelles comme étant bénignes, partager ou envoyer par e-mail un lien vers le rapport avec d’autres enquêteurs, ou choisir d’affecter temporairement ou explicitement l’utilisateur à une stratégie de gestion des risques internes.

Les cas sont créés pour les alertes qui nécessitent un examen et une investigation plus approfondis des détails et des circonstances de l’activité autour de la correspondance de stratégie. La Tableau de bord des cas fournit un affichage total de tous les cas actifs, des cas ouverts au fil du temps et des statistiques sur les cas pour votre organisation. Les réviseurs peuvent filtrer rapidement les cas par état, la date à laquelle le cas a été ouvert et la date de la dernière mise à jour du cas.

La sélection d’un cas dans le tableau de bord des cas ouvre le cas pour examen et enquête. Cette étape est au cœur du flux de travail de gestion des risques internes. C’est dans cette zone que les activités à risque, les conditions de stratégie, les détails des alertes et les détails de l’utilisateur sont synthétisés dans une vue intégrée pour les réviseurs. Les principaux outils d’investigation dans ce domaine sont les suivants :

  • Activité de l’utilisateur : l’activité de l’utilisateur s’affiche automatiquement dans un graphique interactif qui trace les activités au fil du temps et par niveau de risque pour les activités à risque actuelles ou passées. Les réviseurs peuvent rapidement filtrer et afficher l’ensemble de l’historique des risques pour l’utilisateur et explorer des activités spécifiques pour plus d’informations.
  • Explorateur de contenu : tous les fichiers de données et messages électroniques associés aux activités d’alerte sont automatiquement capturés et affichés dans l’Explorateur de contenu. Les réviseurs peuvent filtrer et afficher des fichiers et des messages par source de données, type de fichier, balises, conversation et bien d’autres attributs.
  • Notes de cas : les réviseurs peuvent fournir des notes pour un cas dans la section Notes de cas. Cette liste consolide toutes les notes dans un affichage central et inclut les informations de réviseur et de date d’envoi.

Enquête sur la gestion des risques internes.

En outre, le nouveau journal d’audit (préversion) vous permet de rester informé des actions qui ont été effectuées sur les fonctionnalités de gestion des risques internes. Cette ressource permet un examen indépendant des actions effectuées par les utilisateurs affectés à un ou plusieurs groupes de rôles de gestion des risques internes.

Action

Une fois les cas examinés, les réviseurs peuvent agir rapidement pour résoudre le cas ou collaborer avec d’autres parties prenantes à risque de votre organisation. Si les utilisateurs violent accidentellement ou par inadvertance les conditions de stratégie, un simple avis de rappel peut être envoyé à l’utilisateur à partir de modèles d’avis que vous pouvez personnaliser pour votre organisation. Ces avis peuvent servir de rappels simples ou peuvent diriger l’utilisateur vers une formation ou des conseils d’actualisation afin d’éviter tout comportement à risque futur. Pour plus d’informations, voir Modèles de notifications sur la gestion des risques internes.

Dans des situations plus graves, vous devrez peut-être partager les informations sur les cas de gestion des risques internes avec d’autres réviseurs ou services de votre organisation. La gestion des risques internes est étroitement intégrée à d’autres solutions Microsoft Purview pour vous aider à résoudre les risques de bout en bout.

  • eDiscovery (Premium) : l’escalade d’un cas d’enquête vous permet de transférer les données et la gestion du cas à Microsoft Purview eDiscovery (Premium). eDiscovery (Premium) fournit un flux de travail de bout en bout pour conserver, collecter, examiner, analyser et exporter du contenu qui répond aux investigations internes et externes de votre organisation. Il permet aux équipes juridiques de gérer l’ensemble du flux de travail de notification de conservation légale. Pour en savoir plus sur les cas eDiscovery (Premium), consultez Vue d’ensemble de Microsoft Purview eDiscovery (Premium).
  • intégration des API de gestion Office 365 (préversion) : la gestion des risques internes prend en charge l’exportation des informations d’alerte vers les services SIEM (Security Information and Event Management) via les API de gestion Office 365. Avoir accès aux informations d’alerte dans la plateforme le mieux adapté aux processus de risque de votre organisation vous donne plus de flexibilité dans la façon d’agir sur les activités à risque. Pour en savoir plus sur l’exportation des informations d’alerte avec Office 365 API de gestion, consultez Exporter des alertes.

Notes

Merci pour vos commentaires et votre support pendant la préversion du connecteur ServiceNow. Nous avons décidé de mettre fin à la préversion du connecteur ServiceNow et de ne plus prendre en charge la gestion des risques internes le 30 novembre 2020. Nous évaluons activement d’autres méthodes pour fournir aux clients l’intégration de ServiceNow dans la gestion des risques internes.

Scénarios

La gestion des risques internes peut vous aider à détecter, examiner et prendre des mesures pour atténuer les risques internes dans votre organisation dans plusieurs scénarios courants :

Vol de données par des employés quittant votre organisation

Lorsque les utilisateurs quittent une organisation, volontairement ou à la suite d’un arrêt, il existe souvent des préoccupations légitimes quant au risque que les données de l’entreprise, du client et de l’utilisateur soient exposées. Les utilisateurs peuvent innocemment supposer que les données de projet ne sont pas propriétaires, ou ils peuvent être tentés de prendre des données d’entreprise pour un gain personnel et en violation des normes légales et de la politique de l’entreprise. Les stratégies de gestion des risques internes qui utilisent le vol de données en quittant le modèle de stratégie des utilisateurs détectent automatiquement les activités généralement associées à ce type de vol. Avec cette stratégie, vous recevrez automatiquement des alertes pour les activités suspectes associées au vol de données en quittant les utilisateurs afin de pouvoir prendre les mesures d’enquête appropriées. La configuration d’un connecteur Microsoft 365 HR pour votre organisation est requise pour ce modèle de stratégie.

Fuite intentionnelle ou involontaire d’informations sensibles ou confidentielles

Dans la plupart des cas, les utilisateurs font de leur mieux pour gérer correctement les informations sensibles ou confidentielles. Mais parfois, les utilisateurs peuvent faire des erreurs et les informations sont accidentellement partagées en dehors de votre organisation ou en violation de vos stratégies de protection des informations. Dans d’autres circonstances, les utilisateurs peuvent intentionnellement fuiter ou partager des informations sensibles et confidentielles avec une intention malveillante et pour un gain personnel potentiel. Les stratégies de gestion des risques internes créées à l’aide des modèles de stratégie de fuite de données suivants détectent automatiquement les activités généralement associées au partage d’informations sensibles ou confidentielles :

Violations intentionnelles ou involontaires de la stratégie de sécurité (préversion)

Les utilisateurs ont généralement un grand degré de contrôle lors de la gestion de leurs appareils dans l’espace de travail moderne. Ce contrôle peut inclure des autorisations d’installation ou de désinstallation des applications nécessaires à l’exécution de leurs tâches ou la possibilité de désactiver temporairement les fonctionnalités de sécurité des appareils. Que cette activité soit accidentelle, accidentelle ou malveillante, cette conduite peut présenter un risque pour votre organisation et il est important d’identifier et d’agir pour réduire le risque. Pour vous aider à identifier ces activités de sécurité à risque, les modèles de violation de stratégie de sécurité de gestion des risques internes suivants évaluent les indicateurs de risque de sécurité et utilisent Microsoft Defender pour point de terminaison alertes pour fournir des insights sur les activités liées à la sécurité :

Stratégies pour les utilisateurs en fonction de la position, du niveau d’accès ou de l’historique des risques (préversion)

Les utilisateurs de votre organisation peuvent présenter différents niveaux de risque en fonction de leur position, du niveau d’accès aux informations sensibles ou de l’historique des risques. Cette structure peut inclure des membres de l’équipe de direction de votre organisation, des administrateurs informatiques disposant de privilèges d’accès réseau et de données étendus, ou des utilisateurs ayant des antécédents d’activités à risque. Dans ces circonstances, une inspection plus étroite et un scoring plus agressif des risques sont importants pour permettre d’afficher des alertes en vue d’une investigation et d’une action rapide. Pour identifier les activités à risque pour ces types d’utilisateurs, vous pouvez créer des groupes d’utilisateurs prioritaires et créer des stratégies à partir des modèles de stratégie suivants :

Santé (préversion)

Pour les organisations du secteur de la santé, des études récentes ont révélé un taux très élevé de violations de données internes. La détection de l’utilisation abusive des données des patients et des informations sur les dossiers médicaux est un élément essentiel de la protection de la vie privée des patients et de la conformité aux réglementations de conformité telles que la Loi HIPAA (Health Insurance Portability and Accountability Act) et la Loi HITECH (Health Information Technology for Economic and Clinical Health). L’utilisation abusive des données des patients peut aller de l’accès aux dossiers de patients privilégiés à l’accès aux dossiers des patients de la famille ou des voisins ayant une intention malveillante. Pour vous aider à identifier ces types d’activités à risque, les modèles de stratégie de gestion des risques internes suivants utilisent le connecteur Microsoft 365 HR et un connecteur de données spécifique aux soins de santé pour commencer à noter les indicateurs de risque liés aux comportements qui peuvent se produire dans vos systèmes d’enregistrement de santé électronique (DSE) :

Actions et comportements des utilisateurs mécontents (préversion)

Les événements stressants liés à l’emploi peuvent avoir un impact sur le comportement des utilisateurs de plusieurs manières liées aux risques internes. Ces facteurs de stress peuvent être une révision des performances médiocre, une rétrogradation de position ou le placement de l’utilisateur sur un plan d’évaluation des performances. Bien que la plupart des utilisateurs ne répondent pas de manière malveillante à ces événements, le stress de ces actions peut entraîner le comportement de certains utilisateurs d’une manière qu’ils peuvent normalement ne pas prendre en compte dans des circonstances normales. Pour vous aider à identifier ces types d’activités à risque, les modèles de stratégie de gestion des risques internes suivants utilisent le connecteur Microsoft 365 HR et commencent à noter les indicateurs de risque liés aux comportements qui peuvent se produire à proximité des événements du stresseur d’emploi :

Utilisation risquée du navigateur qui peut entraîner un incident de sécurité (préversion)

La plupart des organisations fournissent aux utilisateurs des règles et des instructions qui précisent la façon dont les appareils et l’accès à Internet d’une organisation doivent être utilisés. Ces stratégies aident à protéger l’organisation et les utilisateurs contre les risques de sécurité et de réglementation. Pour vous aider à identifier ces types d’actions à risque, le modèle de stratégie de gestion des risques internes suivant peut vous aider à détecter et à activer le scoring des risques pour les comportements de navigation web susceptibles d’entraîner un incident de sécurité des données, tels que la visite de sites qui fournissent des programmes malveillants ou des outils de piratage.

Vous êtes prêt ?