Protection contre la perte de données dans Exchange 2013

S’applique à : Exchange Server 2013

Découvrez les stratégies DLP dans Exchange Server 2013, notamment ce qu’elles contiennent et comment les tester. Vous allez également découvrir une nouvelle fonctionnalité dans Exchange DLP.

La protection contre la perte de données (Data loss prevention, DLP) est un élément important des systèmes de messagerie d'entreprise, en raison de l'utilisation massive du courrier électronique dans les communications stratégiques pour l'entreprise qui incluent des données sensibles. Afin de respecter les exigences de conformité liées à ces données et de gérer leur utilisation dans le courrier électronique sans diminuer la productivité des utilisateurs, les fonctions DLP rendent la gestion des données sensibles plus simple qu'elle ne l'a jamais été. Pour obtenir une vue d’ensemble conceptuelle de la protection contre la perte de données, regardez la vidéo suivante.

Vue d’ensemble de DLP

Les stratégies DLP sont des packages simples qui contiennent des ensembles de conditions, qui sont constitués de règles de transport, d’actions et d’exceptions que vous créez dans le Centre d’administration Exchange (EAC), puis que vous activez pour filtrer les messages électroniques et les pièces jointes. Vous pouvez créer une stratégie DLP, mais choisir de ne pas l'activer. Cela vous permet de tester vos stratégies sans affecter le flux de messagerie. Les stratégies DLP peuvent utiliser toute la puissance des règles de transport existantes. En fait, un certain nombre de nouveaux types de règles de transport ont été créés dans Microsoft Exchange Server 2013 afin d’accomplir une nouvelle fonctionnalité DLP.

Une nouvelle fonctionnalité importante des règles de transport consiste en une nouvelle approche de classification des informations sensibles pouvant être intégrée au processus de flux de messagerie. Cette nouvelle fonctionnalité DLP effectue une analyse en profondeur du contenu via des correspondances de mot clé, des correspondances de dictionnaire, l'évaluation d'expressions standard et d'autres examens de contenu en vue de détecter le contenu non conforme aux stratégies DLP de l'organisation. Exchange 2013 Service Pack 1 (SP1) ajoute l’empreinte digitale des documents, qui vous permet de détecter les informations sensibles dans les formulaires standard. Pour plus d’informations sur les règles de transport, consultez Règles de transport dans Exchange 2013 et Intégration de règles d’informations sensibles avec des règles de transport. Vous pouvez aussi gérer vos stratégies DLP par le biais des cmdlets Exchange Management Shell. Pour plus d’informations sur les applets de commande de stratégie et de conformité, consultez Stratégie de messagerie et conformité.

En plus des stratégies DLP personnalisables elles-mêmes, vous pouvez également informer les expéditeurs d’e-mails qu’ils sont sur le point de violer l’une de vos stratégies, avant même qu’ils envoient un message incriminé. Pour ce faire, configurez les conseils de stratégie. Les conseils de stratégie sont similaires aux infos-courrier et peuvent être configurés pour présenter une brève note dans Outlook 2013 ou version ultérieure qui fournit des informations sur les violations de stratégie possibles à une personne qui crée un message. Dans Exchange 2013 SP1, les conseils de stratégie sont également affichés dans Outlook Web App et OWA pour appareils. Pour plus d'informations, consultez la rubrique Conseils de stratégie.

Remarque

La protection contre la perte de données est une fonctionnalité étendue qui nécessite une licence d’accès client (CAL) Exchange Enterprise. Pour plus d’informations sur les licences d’accès client et les licences de serveur, consultez FAQ sur les licences Exchange.

Licence d’accès client Exchange Entreprise avec services : il existe une distinction de comportement à prendre en compte si vous êtes un client de licence d’accès client Exchange Enterprise avec services avec un déploiement hybride, où vous avez des boîtes aux lettres situées localement et d’autres dans Exchange Online. Les stratégies DLP sont appliquées dans Exchange Online. Par conséquent, les stratégies DLP ne s'appliquent pas aux messages envoyés par un utilisateur sur site à un autre, car ces messages ne quittent pas l'infrastructure sur site.

Recherchez-vous les tâches de gestion relatives à la protection contre la perte de données ? Consultez la rubrique Procédures relatives à la protection contre la perte de données (DLP).

Établir des stratégies visant à protéger les données sensibles

Les fonctions de protection contre la perte de données peuvent vous aider à identifier et surveiller de nombreuses catégories d'informations sensibles que vous avez définies dans les conditions de vos stratégies, comme les numéros d'identification privée ou les numéros de carte de crédit. Vous avez la possibilité de définir vos propres stratégies personnalisées et règles de transport ou d'utiliser les modèles de stratégie DLP prédéfinis fournis par Microsoft pour commencer rapidement. Pour plus d’informations sur les modèles de stratégie inclus, consultez Modèles de stratégie DLP fournis dans Exchange 2013. Un modèle de stratégie inclut un ensemble de conditions, de règles et d'actions que vous pouvez choisir pour créer et enregistrer une stratégie DLP qui vous aidera à inspecter les messages. Les modèles de stratégie sont des modèles à partir desquels vous pouvez sélectionner ou créer vos propres règles spécifiques, de façon à créer une stratégie répondant à vos besoins en matière de protection contre la perte de données.

Il existe trois différentes méthodes pour commencer à utiliser DLP :

1. Appliquer un modèle prête à l’emploi fourni par Microsoft : le moyen le plus rapide de commencer à utiliser des stratégies DLP consiste à créer et à implémenter une nouvelle stratégie à l’aide d’un modèle. Cela vous évite de devoir créer intégralement un nouveau groupe de règles. Vous devez connaître le type de données que vous souhaitez case activée ou le règlement de conformité que vous essayez de traiter. Vous devez également connaître les attentes de votre organisation en matière de traitement de ces données. Pour plus d’informations, consultez Modèles de stratégie DLP fournis dans Exchange 2013 et Créer une stratégie DLP à partir d’un modèle.

2. Importer un fichier de stratégie prédéfini à partir de l’extérieur de votre organization : vous pouvez importer des stratégies qui ont déjà été créées en dehors de votre environnement de messagerie par des éditeurs de logiciels indépendants. De cette façon, vous pouvez étendre les solutions DLP qui répondent aux besoins de votre entreprise. Pour plus d'informations, consultez les rubriques Modèles de stratégie des partenaires Microsoft, Définition de vos modèles DLP et types d'informations et Importer un modèle de stratégie DLP personnalisé à partir d'un fichier.

3. Créer une stratégie personnalisée sans conditions préexistantes : votre entreprise peut avoir ses propres exigences pour la surveillance de certains types de données connus dans un système de messagerie. Vous pouvez créer intégralement une stratégie personnalisée afin de commencer à vérifier vos propres données de messages uniques et à agir sur ces dernières. Vous devez connaître les exigences et les contraintes de l’environnement dans lequel la stratégie DLP sera appliquée afin de créer une telle stratégie personnalisée. Pour plus d'informations, consultez les rubriques Création d'une stratégie personnalisée de protection contre la perte de données (DLP).

Après avoir ajouté une stratégie, vous pouvez vérifier et modifier ses règles, la désactiver ou la supprimer complètement. Les procédures permettant de réaliser ces actions sont indiquées dans la rubrique Gestion de stratégies de protection contre la perte de données (DLP).

Types d'informations sensibles dans les stratégies DLP

Lorsque vous créez ou modifiez des stratégies DLP, vous pouvez inclure des règles qui comportent des vérifications d'informations sensibles. Les types d’informations sensibles répertoriés dans la rubrique Types d’informations sensibles dans Exchange Server peuvent être utilisés dans vos stratégies. Les conditions que vous établissez dans une stratégie, comme le nombre de fois qu'un élément doit être trouvé pour réaliser une action ou encore le contenu exact de cette action, peuvent être personnalisées dans vos nouvelles stratégies personnalisées afin de répondre à vos exigences de stratégies spécifiques. Pour plus d'informations sur la création de stratégies DLP, consultez la rubrique Création d'une stratégie personnalisée de protection contre la perte de données (DLP). Pour plus d’informations sur les règles de transport de la suite complète, consultez Règles de transport dans Exchange 2013.

Pour que vous puissiez utiliser facilement les règles associées aux informations sensibles, Microsoft a fourni des modèles de stratégie qui incluent déjà certains types d'informations sensibles. Toutefois, vous ne pouvez pas ajouter de conditions pour tous les types d’informations sensibles répertoriés ici aux modèles de stratégie, car les modèles sont conçus pour vous aider à vous concentrer sur les types les plus courants de données liées à la conformité dans votre organization. Pour plus d’informations sur les modèles prédéfinis, consultez Modèles de stratégie DLP fournis dans Exchange 2013. Vous pouvez créer de nombreuses stratégies DLP pour votre organisation et les activer toutes de façon à examiner divers types d'informations. Vous pouvez également créer une stratégie DLP qui n’est pas basée sur un modèle existant. Pour commencer la création de cette stratégie, consultez la rubrique Création d'une stratégie personnalisée de protection contre la perte de données (DLP). Pour plus d’informations sur les types d’informations sensibles, consultez Types d’informations sensibles dans Exchange Server.

Détection de données de formulaire sensibles avec l’empreinte numérique de document

Avec Exchange 2013 SP1, vous pouvez utiliser l’empreinte digitale de document pour créer facilement un type d’informations sensibles basé sur un formulaire standard. Pour découvrir comment protéger les données de formulaire, consultez la rubrique Protection des données de formulaire avec la création d'une empreinte numérique de document.

Les conseils de stratégie indiquent aux utilisateurs les attentes en termes de contenu sensible

Vous pouvez utiliser les messages de notification de conseil de stratégie pour informer les expéditeurs d’e-mails des éventuels problèmes de conformité pendant qu’ils composent un e-mail. Lorsque vous configurez un conseil de stratégie dans une stratégie DLP, le message de notification ne s'affiche que si un élément dans le message électronique de l'expéditeur répond aux conditions décrites dans votre stratégie. Les conseils de stratégie sont semblables aux infos-courrier introduites dans Microsoft Exchange 2010. Pour plus d'informations, consultez la rubrique Conseils de stratégie.

Détection des informations sensibles avec la classification des messages traditionnelle

Exchange 2013 présente une nouvelle méthode pour vous aider à gérer les données des messages et des pièces jointes par rapport à la classification traditionnelle des messages. Un facteur essentiel de la puissance d'une solution DLP est la possibilité d'identifier correctement le contenu confidentiel ou sensible pouvant être spécifique à l'organisation, aux exigences réglementaires, à la géographie ou à d'autres exigences métier. Exchange 2013 permet cette identification via une nouvelle architecture analysant le contenu en profondeur et couplée à des critères de détection que vous définissez grâce aux règles de vos stratégies DLP. La protection contre la perte de données dans Exchange 2013 repose sur la configuration d'un ensemble correct de règles d'informations sensibles, visant à fournir un haut degré de protection tout en diminuant la perturbation du flux de messagerie avec des faux positifs et des faux négatifs. Ces types de règles, appelés détection des informations sensibles au sein des informations DLP, fonctionnent dans la structure fournie par les règles de transport de façon à activer les fonctionnalités DLP.

Pour en savoir plus sur ces nouvelles fonctionnalités, consultez la rubrique Intégration des règles d'informations sensibles aux règles de transport. Les champs de classification de messages traditionnels peuvent toujours être appliqués aux messages dans Exchange et ils peuvent être combinés avec la nouvelle détection d’informations sensibles, soit ensemble au sein d’une seule stratégie DLP, soit en cours d’exécution simultanément afin qu’ils soient évalués indépendamment dans Exchange. Pour en savoir plus sur les classifications de messages Exchange 2010 héritées, consultez Présentation des classifications de messages.

Informations sur les messages traités par DLP

Pour qu'Exchange 2013 obtienne des informations sur les messages et les détections de stratégies DLP dans votre environnement, consultez les rubriques Afficher les rapports de détection de stratégies DLP et Créer des rapports de compte-rendu d'incident pour la détection de stratégies DLP. Les données associées aux détections DLP sont hautement intégrées à l'outil de suivi des messages de rapports de remise d'Exchange 2013.

Conditions préalables à l'installation

Pour utiliser les fonctionnalités DLP, exchange 2013 doit être configuré avec au moins une boîte aux lettres de l’expéditeur. La prévention de la perte de données est une fonctionnalité étendue qui nécessite une licence d’accès client (CAL) Entreprise. Pour plus d’informations sur la prise en main de Exchange Server, consultez Planification et déploiement.

Pour plus d'informations

• Stratégie et conformité de messagerie

• Procédures relatives à la protection contre la perte de données (DLP)

• Afficher les rapports de détection de stratégies DLP

• Création d'une empreinte numérique de document