Gestion des droits relatifs à l’information
S’applique à : Exchange Server 2013
Chaque jour, les travailleurs de l’information utilisent le courrier électronique pour échanger des informations sensibles telles que des rapports financiers et des données, des contrats juridiques, des informations confidentielles sur les produits, des rapports et des projections de ventes, des analyses concurrentielles, des informations de recherche et de brevets, ainsi que des informations sur les clients et les employés. Étant donné que les utilisateurs peuvent désormais accéder à leurs e-mails à partir de n’importe où, les boîtes aux lettres se sont transformées en référentiels contenant de grandes quantités d’informations potentiellement sensibles. En conséquence, la fuite d'informations peut représenter une sérieuse menace pour les entreprises. Pour éviter les fuites d’informations, Microsoft Exchange Server 2013 inclut des fonctionnalités de gestion des droits relatifs à l’information (IRM), qui fournissent une protection permanente en ligne et hors connexion des messages électroniques et des pièces jointes.
Qu'est-ce que la fuite d'informations ?
La fuite d’informations potentiellement sensibles peut être coûteuse pour un organization et avoir un impact étendu sur l’organization et son activité, ses employés, ses clients et ses partenaires. Les réglementations locales et industrielles régissent de plus en plus la façon dont certains types d’informations sont stockés, transmis et sécurisés. Pour éviter de violer les réglementations applicables, les organisations doivent se protéger contre les fuites d’informations intentionnelles, accidentelles ou accidentelles.
Voici quelques conséquences résultant d’une fuite d’informations :
Dommages financiers : En fonction de la taille, de l’industrie et de la réglementation locale, la fuite d’informations peut avoir un impact financier en raison d’une perte d’activité ou d’amendes et de dommages-intérêts punitifs imposés par les tribunaux ou les autorités réglementaires. Les sociétés publiques peuvent également prendre le risque de perdre leur capitalisation boursière en raison d’une couverture médiatique défavorable.
Dommages à l’image et à la crédibilité : la fuite d’informations peut nuire à l’image et à la crédibilité d’un organization auprès des clients. En outre, selon la nature de la communication, les fuites de messages électroniques peuvent potentiellement constituer une source d’embarras pour l’expéditeur et le organization.
Perte d’avantage concurrentiel : l’une des menaces les plus graves liées à la fuite d’informations est la perte de l’avantage concurrentiel dans les affaires. La divulgation de plans stratégiques ou la divulgation d’informations sur les fusions et acquisitions peut entraîner une perte de chiffre d’affaires ou de capitalisation boursière. D’autres menaces incluent la perte d’informations de recherche, de données analytiques et d’autres menaces de propriété intellectuelle.
Solutions traditionnelles de prévention des fuites d'informations
Bien que les solutions traditionnelles aux fuites d’informations puissent protéger l’accès initial aux données, elles ne fournissent souvent pas une protection constante. Le tableau suivant répertorie certaines solutions traditionnelles et leurs limitations.
Solutions traditionnelles
| Solution | Description | Limitations |
|---|---|---|
| Protocole TLS (Transport Layer Security) | TLS est un protocole Internet standard utilisé pour sécuriser les communications sur un réseau au moyen d’un chiffrement. Dans un environnement de messagerie, TLS est utilisé pour sécuriser les communications serveur/serveur et client/serveur. Par défaut, Exchange 2010 utilise TLS pour tous les transferts de messages internes. Le protocole TLS opportuniste est également activé par défaut pour les sessions avec des hôtes externes. Exchange tente d’abord d’utiliser le chiffrement TLS pour la session, mais si une connexion TLS ne peut pas être établie avec le serveur de destination, Exchange utilise SMTP. Il est également possible de configurer la sécurité de domaine en intégrant le mécanisme Mutual TLS pour les organisations externes. |
Le protocole TLS protège uniquement la session SMTP entre deux hôtes SMTP. En d'autres termes, TLS protège les informations en mouvement, mais ne protège pas l'information au niveau du message ni dans ses autres aspects. À moins que les messages ne soient chiffrés à l’aide d’une autre méthode, les messages dans les boîtes aux lettres de l’expéditeur et des destinataires ne sont pas protégés. Pour les messages électroniques envoyés en dehors du organization, vous pouvez exiger TLS uniquement pour le premier tronçon. Une fois qu’un hôte SMTP distant en dehors de votre organization a reçu le message, il peut le relayer à un autre hôte SMTP via une session non chiffrée. Étant donné que TLS est une technologie de couche de transport, elle ne peut pas fournir de contrôle sur ce que fait le destinataire avec le message. |
| Chiffrement du courrier électronique | Les utilisateurs peuvent utiliser des technologies de chiffrement des messages telles que S/MIME. | Les utilisateurs décident si un message doit être chiffré ou non. Le déploiement d'une infrastructure à clé publique (PKI) avec sa charge connexe de gestion des certificats des utilisateurs et la protection des clés privées entraîne des coûts supplémentaires. Une fois qu'un message est déchiffré, il n'est pas possible de contrôler ce que le destinataire peut faire avec les informations. Les informations déchiffrées peuvent être copiées, imprimées ou transférées. Par défaut, les pièces jointes enregistrées ne sont pas protégées. Les messages chiffrés à l’aide de technologies telles que S/MIME ne sont pas accessibles par votre organization. Le organization ne peut pas inspecter le contenu des messages et, par conséquent, ne peut pas appliquer de stratégies de messagerie, analyser les messages à la recherche de virus ou de contenu malveillant, ou effectuer toute autre action qui nécessite l’accès au contenu. |
Enfin, les solutions traditionnelles manquent souvent d'outils de mise en œuvre des principes de protection des informations personnelles permettant d'appliquer les stratégies de messagerie destinées à empêcher les fuites d'informations de manière uniforme. Par exemple, un utilisateur envoie un message contenant des informations sensibles et les marque comme Confidentiel de la société et Ne pas transférer. Une fois le message remis au destinataire, l’expéditeur ou le organization n’a plus de contrôle sur les informations. Le destinataire peut transférer volontairement ou par inadvertance le message (à l’aide de fonctionnalités telles que des règles de transfert automatique) vers des comptes de messagerie externes, ce qui expose votre organization à des risques de fuite d’informations importants.
IRM dans Exchange 2013
Dans Exchange 2013, vous pouvez utiliser les fonctionnalités IRM pour appliquer une protection persistante aux messages et pièces jointes. LA GESTION des droits utilise les services AD RMS (Active Directory Rights Management Services), une technologie de protection des informations dans Windows Server 2008 et versions ultérieures. Avec les fonctionnalités IRM d’Exchange 2013, votre organization et vos utilisateurs peuvent contrôler les droits dont disposent les destinataires pour le courrier électronique. La gestion des droits relatifs à l’information (IRM) permet également d’autoriser ou de limiter les actions des destinataires, telles que le transfert d’un message à d’autres destinataires, l’impression d’un message ou d’une pièce jointe, ou l’extraction du contenu d’un message ou d’une pièce jointe en copiant et en collant. La protection IRM peut être appliquée par les utilisateurs dans Microsoft Outlook ou Microsoft Office Outlook Web App, ou elle peut être basée sur les stratégies de messagerie de votre organization et appliquée à l’aide de règles de protection de transport ou de règles de protection Outlook. Contrairement à d’autres solutions de chiffrement de courrier électronique, IRM permet également à votre organization de déchiffrer le contenu protégé pour appliquer la conformité à la stratégie.
AD RMS utilise des certificats et des licences basés sur le langage XrML (Extensible Rights Markup Language) pour certifier les ordinateurs et les utilisateurs, et pour protéger le contenu. Lorsque du contenu tel qu’un document ou un message est protégé à l’aide d’AD RMS, une licence XrML contenant les droits dont disposent les utilisateurs autorisés sur le contenu est jointe. Pour accéder au contenu protégé par IRM, les applications compatibles AVEC AD RMS doivent fournir une licence d’utilisation pour l’utilisateur autorisé à partir du cluster AD RMS.
Remarque
Dans Exchange 2013, l’agent de pré-licence attache une licence d’utilisation aux messages protégés à l’aide du cluster AD RMS dans votre organization. Pour plus d’informations, consultez Prélicencement plus loin dans cette rubrique.
Les applications utilisées pour créer du contenu doivent être compatibles RMS pour appliquer une protection persistante au contenu à l’aide d’AD RMS. Les applications Microsoft Office, telles que Word, Excel, PowerPoint et Outlook, sont compatibles RMS et peuvent être utilisées pour créer et consommer du contenu protégé.
IRM vous aide à effectuer les opérations suivantes :
- Empêcher un destinataire autorisé d'un contenu protégé par IRM de transférer, modifier, imprimer, télécopier, enregistrer ou couper et coller ce contenu.
- Protéger les formats de fichier de pièce jointe pris en charge en leur conférant le même niveau de protection que celui du message.
- Prendre en charge l'expiration des messages et pièces jointes protégés par IRM pour qu'ils ne puissent plus être consultés après la période spécifiée.
- Empêcher la copie du contenu protégé par IRM à l’aide de l’outil Capture d’écran dans Microsoft Windows.
Toutefois, irm ne peut pas empêcher la copie des informations à l’aide des méthodes suivantes :
- Programmes de capture d’écran tiers
- Utilisation d’appareils de création d’images tels que des appareils photo pour photographier du contenu protégé par IRM affiché à l’écran
- Utilisateurs mémorisant ou transcrits manuellement les informations
Pour en savoir plus sur AD RMS, consultez Active Directory Rights Management Services.
Modèles de stratégie de droits AD RMS
AD RMS utilise des modèles de stratégie de droits basés sur XrML pour permettre aux applications irm compatibles d’appliquer des stratégies de protection cohérentes. Dans Windows Server 2008 et les versions ultérieures, le serveur AD RMS comprend un service Web utilisable pour énumérer et obtenir des modèles. Exchange 2013 est fourni avec le modèle Ne pas transférer. Lorsque ce modèle est appliqué à un message, seuls les destinataires peuvent déchiffrer le message. Les destinataires ne peuvent pas transférer le message, en copier le contenu ou l'imprimer. Vous pouvez créer des modèles RMS supplémentaires sur le serveur AD RMS dans votre organization pour répondre à vos exigences de protection IRM.
La protection IRM est appliquée en appliquant un modèle de stratégie de droits AD RMS. À l’aide de modèles de stratégie, vous pouvez contrôler les autorisations dont disposent les destinataires sur un message. Les actions telles que la réponse, la réponse à tous, le transfert, l’extraction d’informations d’un message, l’enregistrement d’un message ou l’impression d’un message peuvent être contrôlées en appliquant le modèle de stratégie de droits approprié au message.
Pour plus d'informations sur les modèles de stratégie de droits, consultez les considérations relatives aux modèles de stratégie AD RMS.
Pour plus d'informations sur la création des modèles de stratégie de droits AD RMS, consultez le guide détaillé sur la création et le déploiement de modèles de stratégie de droits AD RMS.
Application de la protection IRM aux messages
Dans Exchange 2010, la protection IRM peut être appliquée aux messages à l’aide des méthodes suivantes :
Manuellement par les utilisateurs Outlook : vos utilisateurs Outlook peuvent protéger les messages IRM avec les modèles de stratégie de droits AD RMS disponibles. Ce processus utilise la fonctionnalité IRM dans Outlook, et non Exchange. Toutefois, vous pouvez utiliser Exchange pour accéder aux messages et prendre des mesures (telles que l’application de règles de transport) pour appliquer la stratégie de messagerie de votre organization. Pour plus d’informations sur l’utilisation de la gestion des droits relatifs à l’information dans Outlook, voir Présentation de la gestion des droits relatifs aux messages électroniques.
Manuellement par les utilisateurs d’Outlook Web App : lorsque vous activez irm dans Outlook Web App, les utilisateurs peuvent protéger les messages qu’ils envoient et afficher les messages protégés par IRM qu’ils reçoivent. Dans La mise à jour cumulative 1 (CU1) d’Exchange 2013, les utilisateurs d’Outlook Web App peuvent également afficher les pièces jointes protégées par IRM à l’aide de Web-Ready'affichage de documents. Pour plus d’informations sur la gestion des droits relatifs à l’information dans Outlook Web App, voir Gestion des droits relatifs à l’information dans Outlook Web App.
Manuellement par windows Mobile et Exchange ActiveSync utilisateurs d’appareils : dans la version rtm d’Exchange 2010, les utilisateurs d’appareils Windows Mobile peuvent afficher et créer des messages protégés par IRM. Cela nécessite que les utilisateurs connectent leurs appareils Windows Mobile pris en charge à un ordinateur et les activent pour irm. Dans Exchange 2010 SP1, vous pouvez activer l’IRM dans Microsoft Exchange ActiveSync pour permettre aux utilisateurs d’appareils Exchange ActiveSync (y compris les appareils Windows Mobile) d’afficher, de répondre à, de transférer et de créer des messages protégés par IRM. Pour plus d’informations sur la gestion des droits relatifs à l’information dans Exchange ActiveSync, consultez Gestion des droits relatifs à l’information dans Exchange ActiveSync.
Automatiquement dans Outlook 2010 et versions ultérieures : vous pouvez créer des règles de protection Outlook pour protéger automatiquement les messages IRM dans Outlook 2010 et versions ultérieures. Les règles de protection Outlook sont déployées automatiquement sur les clients Outlook 2010, et la protection IRM est appliquée par Outlook 2010 lorsque l’utilisateur compose un message. Pour plus d’informations sur les règles de protection Outlook, voir Règles de protection Outlook.
Automatiquement sur les serveurs de boîtes aux lettres : vous pouvez créer des règles de protection du transport pour protéger automatiquement les messages IRM sur les serveurs de boîtes aux lettres Exchange 2013. Pour plus d’informations sur les règles de protection du transport, consultez Règles de protection de transport.
Remarque
La protection IRM n'est pas appliquée à nouveau aux messages qui sont déjà protégés par IRM. Par exemple, si un utilisateur protège un message dans Outlook ou Outlook Web App, la protection IRM n’est pas appliquée au message à l’aide d’une règle de protection du transport.
Scénarios pour la protection IRM
Les scénarios de protection IRM sont décrits dans le tableau suivant.
| Envoi de messages protégés par IRM | Pris en charge | Configuration requise |
|---|---|---|
| Dans le même déploiement Exchange 2013 local | Oui | Pour connaître la configuration requise, consultez La configuration requise de la gestion des droits relatifs à l’information (IRM) plus loin dans cette rubrique. |
| Entre différentes forêts dans un déploiement local | Oui | Pour connaître la configuration requise, consultez Configuration d’AD RMS pour l’intégration à Exchange Server 2010 dans plusieurs forêts. |
| Entre un déploiement Exchange 2013 local et un organization Exchange basé sur le cloud | Oui |
|
| À des destinataires externes | Non | Exchange 2010 n’inclut pas de solution pour envoyer des messages protégés par IRM à des destinataires externes dans un organization non fédéré. AD RMS propose des solutions utilisant des stratégies d’approbation. Vous pouvez configurer une stratégie d’approbation entre votre cluster AD RMS et votre compte Microsoft (anciennement Appelé Windows Live ID). Pour les messages envoyés entre deux organisations, vous pouvez créer une approbation fédérée entre les deux forêts Active Directory à l’aide de Services ADFS (AD FS). Pour plus d’informations, consultez Présentation des stratégies d’approbation AD RMS. |
Déchiffrement des messages protégés par IRM pour appliquer des stratégies de messagerie
Pour appliquer des stratégies de messagerie et pour assurer la conformité réglementaire, vous devez être en mesure d’accéder au contenu des messages chiffrés. Pour répondre aux exigences d’eDiscovery en raison de litiges, d’audits réglementaires ou d’enquêtes internes, vous devez également être en mesure de rechercher des messages chiffrés. Pour faciliter ces tâches, Exchange 2013 inclut les fonctionnalités IRM suivantes :
Déchiffrement de transport : pour appliquer des stratégies de messagerie, les agents de transport tels que l’agent de règles de transport doivent avoir accès au contenu des messages. Le déchiffrement de transport permet aux agents de transport installés sur les serveurs Exchange 2013 d’accéder au contenu des messages. Pour plus d'informations, consultez la rubrique Déchiffrement du transport.
Journal de déchiffrement des rapports : pour répondre aux exigences de conformité ou d’entreprise, les organisations peuvent utiliser la journalisation pour conserver le contenu de la messagerie. L’agent de journalisation crée un rapport de journal pour les messages soumis à la journalisation et inclut des métadonnées sur le message dans le rapport. Le message d’origine est joint au rapport de journal. Si le message d’un rapport de journal est protégé par IRM, le déchiffrement du rapport de journal joint une copie en texte clair du message au rapport de journal. Pour plus d'informations, consultez la rubrique Déchiffrement de l'état de journal.
Déchiffrement IRM pour la recherche Exchange : avec le déchiffrement IRM pour la recherche Exchange, recherche Exchange peut indexer du contenu dans les messages protégés par IRM. Lorsqu’un gestionnaire de découverte effectue une recherche In-Place eDiscovery, les messages protégés par IRM qui ont été indexés sont retournés dans les résultats de la recherche. Pour plus d'informations, voir Découverte électronique locale.
Remarque
Dans Exchange 2010 SP1 et versions ultérieures, les membres du groupe de rôles Gestion de la découverte peuvent accéder aux messages protégés par IRM retournés par une recherche de découverte et résidant dans une boîte aux lettres de découverte. Pour activer cette fonctionnalité, utilisez le paramètre EDiscoverySuperUserEnabled avec l’applet de commande Set-IRMConfiguration . Pour plus d'informations, reportez-vous à la rubrique Configurer IRM pour la recherche et la découverte locale dans Exchange.
Pour activer ces fonctionnalités de déchiffrement, les serveurs Exchange doivent avoir accès au message. Pour ce faire, ajoutez la boîte aux lettres de fédération, une boîte aux lettres système créée par le programme d’installation d’Exchange, au groupe super utilisateurs sur le serveur AD RMS. Pour plus d'informations, consultez la rubrique Ajouter la boîte aux lettres de fédération au groupe de super utilisateurs AD RMS.
Pré-licence
Pour afficher les messages et pièces jointes protégés par IRM, Exchange 2013 attache automatiquement une prélicence aux messages protégés. Cela empêche le client d’avoir à effectuer des déplacements répétés vers le serveur AD RMS pour récupérer une licence d’utilisation et permet d’afficher hors connexion les messages et pièces jointes protégés par IRM. La pré-licence permet également d’afficher les messages protégés par IRM dans Outlook Web App. Lorsque vous activez les fonctionnalités IRM, la pré-licence est activée par défaut.
Agents IRM
Dans Exchange 2013, la fonctionnalité IRM est activée à l’aide d’agents de transport dans le service de transport sur les serveurs de boîtes aux lettres. Les agents IRM sont installés par le programme d’installation d’Exchange sur un serveur de boîtes aux lettres. Vous ne pouvez pas contrôler les agents IRM à l’aide des tâches de gestion des agents de transport.
Remarque
Dans Exchange 2013, les agents IRM sont des agents intégrés. Les agents intégrés ne figurent pas dans la liste des agents renvoyés par la cmdlet Get-TransportAgent. Pour plus d’informations, consultez Agents de transport.
Le tableau suivant répertorie les agents IRM implémentés dans le service de transport sur les serveurs de boîtes aux lettres.
Agents IRM dans le service de transport sur les serveurs de boîtes aux lettres
| Agent | Événement | Fonction |
|---|---|---|
| Agent de déchiffrement RMS | OnEndOfData (SMTP) et OnSubmittedMessage | Déchiffre les messages pour autoriser l’accès aux agents de transport. |
| Agent de règles de transport | OnRoutedMessage | Marque les messages qui correspondent aux conditions de règle dans une règle de protection du transport pour qu’ils soient protégés par l’agent de chiffrement RMS. |
| Agent de chiffrement RMS | OnRoutedMessage | Applique la protection IRM aux messages marqués par l’agent de règles de transport et rechiffre les messages déchiffrés de transport. |
| Agent de pré-licence | OnRoutedMessage | Joint une pré-licence aux messages protégés par IRM. |
| agent de déchiffrement de rapport Journal | OnCategorizedMessage | Déchiffre les messages protégés par IRM attachés aux rapports de journal et incorpore des versions en texte clair avec les messages chiffrés d’origine. |
Pour plus d'informations sur les agents de transport, consultez les rubriques Agents de transport.
Configuration requise pour la Gestion des droits relatifs à l'information (IRM)
Pour implémenter la gestion des droits relatifs à l’information dans votre organization Exchange 2013, votre déploiement doit répondre aux exigences décrites dans le tableau suivant.
| Serveur | Configuration requise |
|---|---|
| Cluster AD RMS |
|
| Exchange |
|
| Outlook |
|
| Exchange ActiveSync |
|
Remarque
Cluster AD RMSest le terme utilisé pour un déploiement AD RMS dans un organization, y compris un déploiement de serveur unique. AD RMS est un service Web. Il n’est pas nécessaire de configurer un cluster de basculement Windows Server. Pour la haute disponibilité et l’équilibrage de charge, vous pouvez déployer plusieurs serveurs AD RMS dans le cluster et utiliser l’équilibrage de charge réseau.
Importante
Un environnement de production ne prend pas en charge l'installation d'AD RMS et d'Exchange sur le même serveur.
Les fonctionnalités IRM d’Exchange 2013 prennent en charge les formats de fichiers Microsoft Office. Vous pouvez étendre la protection IRM à d'autres formats de fichiers en déployant des protections personnalisées. Pour plus d’informations sur les protecteurs personnalisés, consultez Information Protection et Contrôler les partenaires dans l’Espace partenaires Microsoft.
Configuration et test de la Gestion des droits relatifs à l'information (IRM)
Vous devez utiliser Exchange Management Shell pour configurer les fonctionnalités IRM dans Exchange 2013. Pour configurer les fonctionnalités IRM individuelles, utilisez la cmdlet Set-IRMConfiguration. Vous pouvez activer ou désactiver la gestion des droits relatifs aux messages internes, au déchiffrement du transport, au déchiffrement des rapports de journal, à la recherche Exchange et à Outlook Web App. Pour plus d’informations sur la configuration des fonctionnalités IRM, consultez Procédures de gestion des droits relatifs à l’information.
Après avoir configuré un serveur Exchange 2013, vous pouvez utiliser l’applet de commande Test-IRMConfiguration pour effectuer des tests de bout en bout de votre déploiement IRM. Ces tests sont utiles pour vérifier la fonctionnalité IRM immédiatement après la configuration irm initiale et en continu. L’applet de commande effectue les tests suivants :
- Inspecte la configuration IRM de votre organization Exchange 2013.
- Elle contrôle les informations relatives à la version et aux correctifs du serveur AD RMS.
- Elle vérifie s'il est possible d'activer un serveur Exchange pour RMS en récupérant le certificat de compte de droits (RAC) et le certificat de licence client.
- Elle acquiert des modèles de stratégie de droits AD RMS à partir du serveur AD RMS.
- Elle vérifie que l'expéditeur spécifié peut envoyer des messages protégés par IRM.
- Elle récupère une licence d'utilisation de super utilisateur pour le destinataire spécifié.
- Elle acquiert une pré-licence pour le destinataire spécifié.
Étendre Rights Management avec le connecteur Rights Management
Le connecteur Microsoft Rights Management (connecteur RMS) est une application facultative qui améliore la protection des données de votre serveur Exchange 2013 en utilisant les services Microsoft Rights Management basés sur le cloud. Une fois que vous avez installé le connecteur RMS, il fournit une protection continue des données pendant la durée de vie des informations et, comme ces services sont personnalisables, vous pouvez définir le niveau de protection dont vous avez besoin. Par exemple, vous pouvez limiter l'accès d'utilisateurs spécifiques à des courriers électroniques ou définir des droits d'affichage seul pour certains messages.
Pour en savoir plus sur le connecteur RMS et sur son installation, consultez Connecteur Rights Management.