Cet article a été traduit à partir de l’anglais pour votre marché. Quel est votre niveau de satisfaction par rapport à la qualité de la langue utilisée?
Votre stratégie de protection des informations est déterminée par les besoins de votre entreprise. De nombreuses organisations doivent se conformer aux réglementations, aux lois et aux pratiques commerciales. En outre, les organisations doivent protéger les informations propriétaires, telles que les données pour des projets spécifiques.
Protection des données Microsoft Purview (anciennement Microsoft Information Protection) fournit une infrastructure, un processus et des fonctionnalités que vous pouvez utiliser pour protéger les données sensibles sur les clouds, les applications et les appareils.
Pour voir des exemples de Protection des données Microsoft Purview en action, de l’expérience de l’utilisateur final à la configuration administrateur, watch la vidéo suivante :
Astuce
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Cadre de protection des informations Microsoft Purview
Utilisez Microsoft Purview Information Protection pour vous aider à découvrir, classer, protéger et gérer les informations sensibles, où qu'elles se trouvent ou voyagent.
Les capacités de protection de l'information de Microsoft Purview sont incluses dans Microsoft Purview. Les exigences de licence peuvent varier même au sein des fonctionnalités, en fonction des options de configuration. Pour identifier les exigences et les options en matière de licences, consultez les Conseils Microsoft 365 en matière de sécurité et de conformité.
Connaître vos données
Savoir où résident vos données sensibles constitue souvent le plus grand défi pour de nombreuses organisations. La classification des données de Microsoft Purview Information Protection vous aide à découvrir et à classer avec précision les quantités toujours croissantes de données créées par votre organisation. Les représentations graphiques vous permettent d’obtenir des informations sur ces données afin de pouvoir configurer et surveiller des stratégies pour les protéger et les gérer.
Étape
Description
Plus d’informations
1
Décrivez les catégories d’informations sensibles que vous souhaitez protéger.
Vous avez déjà une idée des types d’informations les plus importantes pour votre organisation et de ceux qui ne le sont pas. Collaborez avec les parties prenantes pour décrire ces catégories qui constituent votre point de départ.
Vous pouvez trouver les données sensibles dans des éléments à l’aide de nombreuses méthodes différentes qui incluent des stratégies DLP par défaut, l’étiquetage manuel par les utilisateurs et la reconnaissance automatique des modèles à l’aide de types d’informations sensibles ou de l’apprentissage automatique.
Utilisez l’Explorateur de contenu et l’Explorateur d’activités pour une analyse plus approfondie des éléments sensibles et des mesures que les utilisateurs prennent sur ces éléments.
Utilisez les informations en sachant où résident vos données sensibles pour vous aider à les protéger plus efficacement. Toutefois, il n’est pas nécessaire d’attendre : vous pouvez commencer à protéger vos données immédiatement avec une combinaison d’étiquetage manuel, par défaut et automatique. Ensuite, utilisez l’Explorateur de contenu et l’Explorateur d’activités de la section précédente pour vérifier quels éléments sont étiquetés et comment vos étiquettes sont utilisées.
En plus d’identifier la sensibilité du contenu, ces étiquettes peuvent appliquer des actions de protection telles que des marquages de contenu (en-têtes, pieds de page, filigranes), le chiffrement et d’autres contrôles d’accès.
Exemples d’étiquettes de confidentialité : Personnel Public Général
-
Tout le monde (sans restriction)
-
Tous les employés (sans restriction) Confidentiel
-
Tout le monde (sans restriction)
-
Tous les employés
-
Personnes approuvé Hautement confidentiel
-
Tous les employés
-
Personnes spécifiques
Exemple de stratégie d’étiquette de confidentialité : 1. Publier toutes les étiquettes pour tous les utilisateurs du locataire 2. Étiquette par défaut Général \ Tous les employés (sans restriction) pour les éléments 3. Les utilisateurs doivent fournir une justification pour supprimer une étiquette ou abaisser sa classification
Étiquetez et protégez les données pour les applications et services Microsoft 365.
Les étiquettes de confidentialité sont prises en charge pour les réunions Microsoft 365 Word, Excel, PowerPoint, Outlook, Teams, ainsi que pour les conteneurs qui incluent des sites SharePoint et OneDrive, ainsi que des groupes Microsoft 365. Utilisez une association de méthodes d’étiquetage telles que l’étiquetage manuel, l’étiquetage automatique, une étiquette par défaut et l’étiquetage obligatoire.
Exemple de configuration pour l’étiquetage automatique côté service : Appliquer à tous les emplacements (Exchange, SharePoint, OneDrive) 1. Appliquer Confidentiel \ Tout le monde (sans restriction) si 1-9 carte numéros de crédit 2. Appliquer Confidentiel \ Tous les employés si 10+ numéros de carte de crédit 3. Appliquer Confidentiel \ Tout le monde (sans restriction) si 1-9 données personnelles américaines et noms complets 4. Appliquer Confidentiel \ Tous les employés si plus de 10 données personnelles américaines et noms complets
Découvrez, étiquetez et protégez les éléments sensibles qui résident dans des magasins de données dans le cloud (Box, GSuite, SharePoint et OneDrive) à l’aide de Microsoft Defender for Cloud Apps avec vos étiquettes de confidentialité.
Exemple de configuration pour une stratégie de fichier : recherche des numéros de carte de crédit dans les fichiers stockés dans un compte Box, puis applique une étiquette de confidentialité pour identifier les informations hautement confidentielles et les chiffrer.
Découvrez, étiquetez et protégez les éléments sensibles qui résident dans des magasins de données locaux en déployant le scanneur de protection des informations avec vos étiquettes de confidentialité.
Étendez vos étiquettes de sensibilité à Azure en utilisant la carte de données Microsoft Purview, pour découvrir et étiqueter des éléments pour Azure Blob Storage, les fichiers Azure, le stockage Azure du lac de données Gen1 et Azure du lac de données Gen12.
Microsoft Purview comprend des fonctionnalités supplémentaires pour aider à protéger les données. Tous les clients n’ont pas besoin de ces fonctionnalités, et certaines d’entre elles peuvent être remplacées par des versions plus récentes.
Déployez des stratégies de prévention des pertes de données (DLP) Microsoft Purview pour régir et empêcher le partage, le transfert ou l'utilisation inappropriés de données sensibles dans les applications et les services. Ces stratégies aident les utilisateurs à prendre les bonnes décisions et à prendre les bonnes mesures lorsqu’ils utilisent des données sensibles.
Étape
Description
Plus d’informations
1
En savoir plus sur DLP.
Les organisations ont des informations sensibles sous leur contrôle, telles que des données financières, des données propriétaires, des numéros de carte de crédit, des dossiers de santé et des numéros de sécurité sociale. Pour protéger ces données sensibles et réduire les risques, ils ont besoin d’un moyen d’empêcher leurs utilisateurs de les partager de manière inappropriée avec des personnes qui ne devraient pas les avoir. Cette pratique est appelée protection contre la perte de données (DLP).
Chaque organisation planifie et implémente la protection contre la perte de données (DLP) différemment, car les besoins, les objectifs, les ressources et la situation de chaque organisation lui sont propres. Toutefois, certains éléments sont communs à toutes les implémentations DLP réussies.
La création d’une stratégie de protection contre la perte de données (DLP) est rapide et facile, mais l’obtention d’une stratégie pour produire les résultats attendus peut prendre beaucoup de temps si vous devez effectuer un grand nombre de paramétrages. Prendre le temps de concevoir une stratégie avant de l’implémenter vous permet d’obtenir les résultats souhaités plus rapidement et avec moins de problèmes inattendus, que le réglage par essai et erreur seul.
Exemple de configuration pour une stratégie DLP : empêche l’envoi d’e-mails s’ils contiennent des numéros de carte de crédit ou s’ils ont une étiquette de confidentialité spécifique qui identité des informations hautement confidentielles.
Après avoir déployé une stratégie DLP, vous verrez à quel point elle répond à l’objectif prévu. Utilisez ces informations pour ajuster vos paramètres de stratégie pour de meilleures performances.
Les exemples de nombre de carte de crédit sont souvent utiles pour les tests initiaux et la formation des utilisateurs finaux. Même si votre organization n’a généralement pas besoin de protéger les numéros de carte de crédit, le concept de ces éléments sensibles qui nécessitent une protection est facilement compris par les utilisateurs. De nombreux sites web fournissent des numéros de crédit carte qui conviennent uniquement à des fins de test. Vous pouvez également rechercher des sites qui fournissent des générateurs de nombres de carte de crédit afin de pouvoir coller les numéros dans des documents et des e-mails.
Lorsque vous êtes prêt à déplacer vos stratégies d’étiquetage automatique et DLP en production, passez aux classifieurs et aux configurations qui conviennent au type de données utilisé par votre organization. Par exemple, vous devrez peut-être utiliser des classifieurs pouvant être formés pour la propriété intellectuelle et des types spécifiques de documents, ou des types d’informations sensibles de correspondance de données exactes (EDM) pour les données de confidentialité liées aux clients ou aux employés.
Vous pouvez également commencer par découvrir et protéger les informations informatiques qui sont fréquemment la cible d’attaques de sécurité. Ensuite, complétez cela en vérifiant et en empêchant le partage des mots de passe avec des stratégies DLP pour les e-mails et les conversations Teams :
Utiliser les classifieurs trainables IT et IT Infrastructure and Network Security Documents
Utilisez le type d’informations sensibles intégré Mot de passe général et créez un type d’informations sensibles personnalisé pour « password is » pour les différentes langues utilisées par vos utilisateurs.
Le déploiement d’une solution de protection des informations n’est pas un déploiement linéaire, mais itératif et souvent circulaire. Plus vous connaissez vos données, plus vous pouvez les étiqueter avec précision et éviter les fuites de données. Les résultats de ces étiquettes et stratégies appliquées sont transmis au tableau de bord et aux outils de classification des données, ce qui rend les données plus sensibles visibles pour vous permettre de les protéger. Ou, si vous protégez déjà ces données sensibles, déterminez si elles nécessitent des actions de protection supplémentaires.
Vous pouvez commencer à étiqueter manuellement les données dès que vous avez défini des étiquettes de confidentialité. Les mêmes classifieurs que vous utilisez pour DLP peuvent être utilisés pour rechercher et étiqueter automatiquement d’autres données. Vous pouvez même utiliser des étiquettes de confidentialité comme classifieur, par exemple bloquer le partage d’éléments étiquetés hautement confidentiels.
La plupart des clients disposent déjà de solutions pour protéger leurs données. Votre stratégie de déploiement peut être de s’appuyer sur ce que vous avez déjà, ou de vous concentrer sur les lacunes qui offrent la plus grande valeur métier ou qui traitent de domaines à risque élevé.
Vous préférerez peut-être déployer la protection des informations à l’aide d’un déploiement par phases qui implémente des contrôles progressivement restrictifs. Cette approche introduit progressivement de nouvelles mesures de protection pour les utilisateurs à mesure que vous gagnez en connaissance et en confiance avec la technologie. Par exemple :
Des étiquettes par défaut et aucun chiffrement, à la recommandation d’étiquettes qui appliquent le chiffrement lorsque des données sensibles sont trouvées, puis à l’application automatique d’étiquettes lorsque des données sensibles sont trouvées.
Les stratégies DLP qui passent de l’audit des actions de surpartage, au blocage plus restrictif avec avertissement pour éduquer les utilisateurs, puis au blocage de tout partage.
Les détails d’un tel déploiement par phases peuvent ressembler au plan suivant, où les étiquettes de confidentialité et les stratégies DLP deviennent plus intégrées les unes aux autres pour offrir une meilleure protection des données que si elles étaient utilisées indépendamment :
Configurations des étiquettes de confidentialité :
Général\Tous les employés : étiquette par défaut pour l’e-mail. Aucun chiffrement. S’il est appliqué aux e-mails, empêchez les utilisateurs de sur-partager.
Confidentiel\Tous les employés : étiquette par défaut pour les documents. Aucun chiffrement. S’il est appliqué aux e-mails, empêchez les utilisateurs de sur-partager.
Hautement confidentiel\Tous les employés : aucun chiffrement. S’il est appliqué aux e-mails, empêchez les utilisateurs de sur-partager.
Stratégie DLP A :
Si 1 à 2 instances de cartes de crédit sont trouvées, bloquez le partage externe, sauf si l’élément est étiqueté comme Personnel ou Confidentiel\Anyone (sans restriction). Utilisez la journalisation et la création de rapports pour l’analyse.
Stratégie DLP B :
Si 3 à 9 instances de cartes de crédit sont trouvées, bloquez le partage externe, la sortie cloud et la copie sur les lecteurs amovibles, sauf si l’élément est étiqueté confidentiel\Tout le monde (sans restriction). Utilisez la journalisation et la création de rapports pour l’analyse.
Stratégie DLP C :
Si plus de 10 instances de cartes de crédit sont trouvées, bloquez le partage externe, la sortie cloud et la copie sur les lecteurs amovibles sans exception. Utilisez la journalisation et la création de rapports pour l’analyse.
Configurations des étiquettes de confidentialité :
Général\Tous les employés : étiquette par défaut pour l’e-mail. Aucun chiffrement. S’il est appliqué aux e-mails, empêchez les utilisateurs de sur-partager.
Confidentiel\Tous les employés : étiquette par défaut pour les documents. Chiffrement avec contrôle total pour tous les employés. S’il est appliqué aux e-mails, empêchez les utilisateurs de sur-partager.
Confidentiel\Personnes approuvé : chiffrement qui permet aux utilisateurs d’attribuer des autorisations avec Encrypt-Only pour Outlook et invite les utilisateurs dans Word, PowerPoint et Excel. Si elle est appliquée aux e-mails, affichez l’info-bulle DLP pour avertir les utilisateurs que les utilisateurs non autorisés ne pourront pas lire l’e-mail.
Hautement confidentiel\Tous les employés : chiffrement avec contrôle total pour tous les employés. S’il est appliqué aux e-mails, empêchez les utilisateurs de sur-partager. Recommandez l’étiquette si 3 à 9 instances de cartes de crédit sont trouvées avec un niveau de confiance élevé, ou si plus de 10 instances de cartes de crédit sont trouvées avec un niveau de confiance faible.
Stratégie DLP A :
Si 1 à 2 instances de cartes de crédit sont trouvées, bloquez le partage externe, sauf si l’élément est étiqueté comme Personnel ou Confidentiel\Anyone (sans restriction). Envoyer une alerte en cas d’actions répétées dans un court laps de temps.
Stratégie DLP B :
Si 3 à 9 instances de cartes de crédit sont trouvées, bloquez le partage externe, la sortie cloud et la copie sur les lecteurs amovibles, sauf si l’élément est étiqueté confidentiel\Tout le monde (sans restriction). Envoyer une alerte en cas de répétition d’actions au fil du temps.
Stratégie DLP C :
Si plus de 10 instances de cartes de crédit sont trouvées, bloquez le partage externe, la sortie cloud et la copie sur les lecteurs amovibles sans exception. Rapport sur chaque action individuelle.
Configurations des étiquettes de confidentialité :
Général\Tous les employés : étiquette par défaut pour l’e-mail. Aucun chiffrement. S’il est appliqué aux e-mails, empêchez les utilisateurs de sur-partager.
Confidentiel\Tous les employés : sous-étiquette par défaut pour l’étiquette parente, Confidentiel. Chiffrement avec tous les droits d’utilisation, à l’exception de l’exportation et du contrôle total pour tous les employés. Chiffrement avec des droits d’utilisation en contrôle total pour les gestionnaires. Recommandez l’étiquette si 1 à 9 instances de cartes de crédit sont trouvées avec un niveau de confiance faible.
Confidentiel\Personnes approuvé : chiffrement qui permet aux utilisateurs d’attribuer des autorisations avec Encrypt-Only pour Outlook et invite les utilisateurs dans Word, PowerPoint et Excel. Si elle est appliquée aux e-mails, affichez l’info-bulle DLP pour avertir les utilisateurs que les utilisateurs non autorisés ne pourront pas lire l’e-mail.
Hautement confidentiel\Tous les employés : chiffrement avec tous les droits d’utilisation, à l’exception de l’exportation et du contrôle total pour tous les employés. Chiffrement avec des droits d’utilisation en contrôle total pour les gestionnaires. Recommandez l’étiquette si 1 à 9 instances de cartes de crédit sont trouvées avec un niveau de confiance faible. S’il est appliqué aux e-mails, empêchez les utilisateurs de sur-partager. Appliquez automatiquement l’étiquette si 3 à 9 instances de cartes de crédit sont trouvées avec un niveau de confiance élevé, ou si plus de 10 instances de cartes de crédit sont trouvées avec un niveau de confiance faible.
Hautement confidentiel\Personnes spécifique : chiffrement qui permet aux utilisateurs d’attribuer des autorisations avec Ne pas transférer pour Outlook et invite les utilisateurs dans Word, PowerPoint et Excel. Exception pour toutes les règles de blocage DLP.
Stratégie DLP A :
Si 1 à 2 instances de cartes de crédit sont trouvées, bloquez le partage externe, sauf si l’élément est étiqueté comme Personnel, Confidentiel\Personnes approuvé ou Hautement confidentiel\Spécifique Personnes. Envoyer une alerte en cas d’actions répétées dans un court laps de temps.
Stratégie DLP B :
Si 3 à 9 instances de cartes de crédit sont trouvées, bloquez le partage externe, la sortie du cloud et la copie sur les lecteurs amovibles, sauf si l’élément est étiqueté confidentiel\tout le monde (sans restriction) ou Hautement confidentiel\Spécifique Personnes. Envoyer une alerte en cas de répétition d’actions au fil du temps.
Stratégie DLP C :
Si plus de 10 instances de cartes de crédit sont trouvées, bloquez le partage externe, la sortie cloud et la copie sur les lecteurs amovibles sans exception. Rapport sur chaque action individuelle.
Stratégie DLP D :
Si les étiquettes de confidentialité Général\Tous les employés, Confidentiel\Tous les employés ou Hautement confidentiel\Tous les employés bloquent le partage externe avec un conseil de stratégie et sans exception.
Détails de configuration pour cet exemple de déploiement par phases :
Microsoft Purview Data Loss Prevention (DLP) helps safeguard sensitive information by monitoring and preventing accidental data leaks across your organization's digital platforms. In this module, you'll learn how to plan, deploy, and adjust DLP policies to protect sensitive data in your organization, ensuring security without disrupting daily work.
Expliquez les principes de base de la sécurité des données, de la gestion de cycle de vie, de la sécurité des informations et de la conformité pour protéger un déploiement Microsoft 365.
Implémentez les fonctionnalités de la protection des données Microsoft Purview pour vous aider à protéger les informations sensibles où qu’elles se trouvent ou voyagent.
Découvrez comment protéger vos informations sensibles à l’aide de stratégies et d’outils Protection contre la perte de données Microsoft Purview et découvrez le cycle de vie DLP.
Le tableau de bord de classification de conformité microsoft Purview fournit une visibilité sur la quantité de données sensibles trouvées et classifiées dans votre organization.
Découvrez les étiquettes et stratégies de confidentialité par défaut pour Protection des données Microsoft Purview afin de classifier et de protéger le contenu sensible.
Cet article donne une vue d’ensemble des types d’informations sensibles et de la façon dont ils détectent les informations sensibles telles que la sécurité sociale, les carte de crédit ou les numéros de compte bancaire pour identifier les éléments sensibles.
Guide pas à pas sur la création et la publication de stratégies de protection pour les étiquettes de confidentialité dans Microsoft Purview afin que seuls certains utilisateurs puissent accéder aux informations sensibles.