En savoir plus sur la protection contre la perte de données

  • Article
  • 14 minutes de lecture

Les organisations ont des informations sensibles sous leur contrôle, telles que des données financières, des données propriétaires, des numéros de carte de crédit, des dossiers médicaux ou des numéros de sécurité sociale. Pour protéger ces données sensibles et réduire les risques, ils ont besoin d’un moyen d’empêcher leurs utilisateurs de les partager de manière inappropriée avec des personnes qui ne devraient pas les avoir. Cette pratique est appelée protection contre la perte de données (DLP).

Dans Microsoft Purview, vous implémentez la protection contre la perte de données en définissant et en appliquant des stratégies DLP. Avec une stratégie DLP, vous pouvez identifier, surveiller et protéger automatiquement les éléments sensibles dans :

  • Services Microsoft 365 tels que Teams, Exchange, SharePoint et OneDrive
  • Applications Office telles que Word, Excel et PowerPoint
  • points de terminaison Windows 10, Windows 11 et macOS (trois dernières versions publiées)
  • applications cloud non-Microsoft
  • partages de fichiers locaux et SharePoint local.

DLP détecte les éléments sensibles à l’aide d’une analyse de contenu approfondie, et pas seulement par une simple analyse de texte. Le contenu est analysé pour rechercher les correspondances de données primaires aux mots clés, par l’évaluation des expressions régulières, par la validation de fonction interne et par les correspondances de données secondaires qui se trouvent à proximité de la correspondance de données primaires. En outre, DLP utilise également des algorithmes d’apprentissage automatique et d’autres méthodes pour détecter le contenu qui correspond à vos stratégies DLP.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

Si vous débutez avec Microsoft Purview DLP, voici une liste des principaux articles dont vous aurez besoin lorsque vous implémenterez DLP :

  1. Unités administratives (Préversion)
  2. En savoir plus sur Protection contre la perte de données Microsoft Purview : l’article que vous lisez vous présente maintenant la discipline de protection contre la perte de données et l’implémentation de la protection contre la perte de données par Microsoft
  3. Planifier la protection contre la perte de données (DLP) : en suivant cet article, vous allez :
    1. Identifier les parties prenantes
    2. Décrire les catégories d’informations sensibles à protéger
    3. Définir des objectifs et une stratégie
  4. Informations de référence sur la stratégie de protection contre la perte de données : cet article présente tous les composants d’une stratégie DLP et la façon dont chacun d’eux influence le comportement d’une stratégie
  5. Concevoir une stratégie DLP : cet article vous guide tout au long de la création d’une instruction d’intention de stratégie et de son mappage à une configuration de stratégie spécifique.
  6. Créer et déployer des stratégies de protection contre la perte de données : cet article présente certains scénarios d’intention de stratégie courants que vous mapperez aux options de configuration, puis vous guide dans la configuration de ces options.

Licences et abonnements

Consultez les conditions de licence pour Information Protection pour plus d’informations sur les abonnements qui prennent en charge DLP.

DLP fait partie de l’offre Microsoft Purview plus large

La protection contre la perte de données n’est qu’un des outils Microsoft Purview que vous utiliserez pour protéger vos éléments sensibles où qu’ils résident ou voyagent. Vous devez comprendre les autres outils de l’ensemble d’outils Microsoft Purview, comment ils s’interrent et fonctionnent mieux ensemble. Consultez Outils Microsoft Purview pour en savoir plus sur le processus de protection des informations.

Actions de protection des stratégies DLP

Les stratégies DLP permettent de surveiller les activités que les utilisateurs effectuent sur les éléments sensibles au repos, les éléments sensibles en transit ou les éléments sensibles en cours d’utilisation et d’effectuer des actions de protection. Par exemple, lorsqu’un utilisateur tente d’effectuer une action interdite, comme copier un élément sensible vers un emplacement non approuvé ou partager des informations médicales dans un e-mail ou d’autres conditions définies dans une stratégie, DLP peut :

  • afficher un conseil de stratégie contextuelle à l’utilisateur qui l’avertit qu’il peut essayer de partager un élément sensible de manière inappropriée
  • bloquer le partage et, via un conseil de stratégie, permettre à l’utilisateur de remplacer le bloc et de capturer la justification des utilisateurs
  • bloquer le partage sans l’option de remplacement
  • pour les données au repos, les éléments sensibles peuvent être verrouillés et déplacés vers un emplacement de quarantaine sécurisé
  • Pour la conversation Teams, les informations sensibles ne s’affichent pas

Toutes les activités supervisées par DLP sont enregistrées dans le journal d’audit Microsoft 365 par défaut et routées vers l’Explorateur d’activités. Lorsqu’un utilisateur effectue une action qui répond aux critères d’une stratégie DLP et que vous avez configuré des alertes, DLP fournit des alertes dans le tableau de bord de gestion des alertes DLP.

Cycle de vie DLP

Une implémentation DLP suit généralement ces phases majeures.

Planifier la DLP

La surveillance et la protection DLP sont natives pour les applications que les utilisateurs utilisent quotidiennement. Cela permet de protéger les éléments sensibles de votre organisation contre les activités à risque, même si vos utilisateurs ne sont pas habitués à la réflexion et aux pratiques en matière de protection contre la perte de données. Si votre organisation et vos utilisateurs ne connaissent pas les pratiques de protection contre la perte de données, l’adoption de la protection contre la perte de données peut nécessiter une modification de vos processus métier, et il y aura un changement de culture pour vos utilisateurs. Toutefois, avec une planification, des tests et un réglage appropriés, vos stratégies DLP protègent vos éléments sensibles tout en minimisant les interruptions potentielles des processus métier.

Planification de la technologie pour DLP

N’oubliez pas que la technologie DLP peut surveiller et protéger vos données au repos, les données en cours d’utilisation et les données en mouvement sur les appareils des services Microsoft 365, Windows 10, Windows 11 et macOS (trois dernières versions publiées), les partages de fichiers locaux et SharePoint local. Il existe des implications de planification pour les différents emplacements, le type de données que vous souhaitez surveiller et protéger, ainsi que les actions à entreprendre lorsqu’une correspondance de stratégie se produit.

Planification des processus métier pour DLP

Les stratégies DLP peuvent bloquer les activités interdites, telles que le partage inapproprié d’informations sensibles par e-mail. Lorsque vous planifiez vos stratégies DLP, vous devez identifier les processus métier qui touchent vos éléments sensibles. Les propriétaires de processus métier peuvent vous aider à identifier les comportements utilisateur appropriés qui doivent être autorisés et les comportements d’utilisateur inappropriés contre lesquels il faut se protéger. Vous devez d’abord planifier vos stratégies et les déployer en mode test, puis évaluer leur impact via l’Explorateur d’activités avant de les appliquer dans des modes plus restrictifs.

Planification de la culture organisationnelle pour DLP

Une implémentation DLP réussie dépend autant de la formation et de l’adaptation de vos utilisateurs aux pratiques de protection contre la perte de données que de stratégies bien planifiées et ajustées. Étant donné que vos utilisateurs sont fortement impliqués, veillez à planifier la formation pour eux aussi. Vous pouvez utiliser stratégiquement des conseils de stratégie pour sensibiliser vos utilisateurs avant de modifier l’application de la stratégie du mode test vers des modes plus restrictifs.

Préparer la protection contre la perte de données

Vous pouvez appliquer des stratégies DLP aux données au repos, aux données en cours d’utilisation et aux données en mouvement à des emplacements tels que :

  • Exchange Online e-mail
  • Sites SharePoint Online
  • Comptes OneDrive
  • conversation et messages de canal Teams
  • Microsoft Defender for Cloud Apps
  • appareils Windows 10, Windows 11 et macOS (trois dernières versions publiées)
  • Référentiels locaux
  • sites Power BI

Chacun a des conditions préalables différentes. Les éléments sensibles dans certains emplacements, comme Exchange Online, peuvent être placés sous le parapluie DLP en configurant simplement une stratégie qui s’applique à eux. D’autres, comme les référentiels de fichiers locaux, nécessitent un déploiement de l’analyseur Azure Information Protection (AIP). Vous devez préparer votre environnement, coder les stratégies de brouillons et les tester minutieusement avant d’activer des actions bloquantes.

Déployer vos stratégies en production

Concevoir vos stratégies

Commencez par définir vos objectifs de contrôle et comment ils s’appliquent à chaque charge de travail respective. Rédigez une politique qui reflète vos objectifs. N’hésitez pas à commencer avec une charge de travail à la fois, ou sur toutes les charges de travail. Cela n’a pas encore d’impact.

Implémenter la stratégie en mode test

Évaluez l’impact des contrôles en les implémentant avec une stratégie DLP en mode test. Les actions définies dans une stratégie ne sont pas appliquées lorsque la stratégie est en mode test. Il est possible d’appliquer la stratégie à toutes les charges de travail en mode test, afin d’obtenir l’ensemble des résultats, mais vous pouvez commencer avec une seule charge de travail si nécessaire.

Surveiller les résultats et affiner la stratégie

En mode test, surveillez les résultats de la stratégie et ajustez-la afin qu’elle réponde à vos objectifs de contrôle tout en veillant à ce que vous n’ayez pas d’impact négatif ou involontaire sur la productivité et les workflows utilisateur valides. Voici quelques exemples de choses à affiner :

  • ajuster les emplacements et les personnes/lieux qui sont dans ou hors de l’étendue
  • paramétrer les conditions utilisées pour déterminer si un élément et ce qui est fait avec lui correspondent à la stratégie
  • définition(s) d’informations sensibles
  • ajouter de nouveaux contrôles
  • ajouter de nouvelles personnes
  • ajouter de nouvelles applications restreintes
  • ajouter de nouveaux sites restreints

Remarque

Arrêter le traitement d’autres règles ne fonctionne pas en mode test, même lorsqu’il est activé.

Activer le contrôle et paramétrer vos stratégies

Une fois que la stratégie répond à tous vos objectifs, activez-la. Continuez à surveiller les résultats de l’application de stratégie et réglez-les en fonction des besoins.

Remarque

En général, les stratégies prennent effet environ une heure après avoir été activées.

Vue d’ensemble de la configuration de la stratégie DLP

Vous disposez d’une certaine flexibilité dans la façon dont vous créez et configurez vos stratégies DLP. Vous pouvez commencer à partir d’un modèle prédéfini et créer une stratégie en quelques clics ou vous pouvez concevoir la vôtre à partir de zéro. Quel que soit votre choix, toutes les stratégies DLP nécessitent les mêmes informations de votre part.

  1. Choisissez ce que vous souhaitez surveiller : la DLP est fournie avec de nombreux modèles de stratégie prédéfinis pour vous aider à commencer ou vous pouvez créer une stratégie personnalisée.

    • Modèle de stratégie prédéfini : données financières, données médicales et médicales, données de confidentialité pour différents pays et régions.
    • Stratégie personnalisée qui utilise les types d’informations sensibles, les étiquettes de rétention et les étiquettes de confidentialité disponibles.

  2. Choisissez l’étendue administrative : DLP prend en charge l’attribution d’unités administratives aux stratégies (préversion). Les administrateurs affectés à une unité administrative peuvent uniquement créer et gérer des stratégies pour les utilisateurs, les groupes, les groupes de distribution et les comptes auxquels ils sont affectés. Par conséquent, les stratégies peuvent être appliquées à tous les utilisateurs et groupes par un administrateur non restreint, ou elles peuvent être étendues à des unités administratives. Pour plus d’informations spécifiques à la protection contre la perte de données, consultez Étendue de la stratégie. Pour plus d’informations sur les unités administratives dans Protection des données Microsoft Purview, consultez Unités administratives (préversion).

  3. Choisir l’emplacement où vous souhaitez surveiller : vous choisissez un ou plusieurs emplacements que vous souhaitez que DLP surveille pour les informations sensibles. Vous pouvez surveiller :

emplacement Inclure/exclure par
e-mail Exchange groupes de distribution
sites SharePoint sites
comptes OneDrive comptes ou groupes de distribution
conversation et messages de canal Teams compte ou groupe de distribution
appareils Windows 10, Windows 11 et macOS (trois dernières versions publiées) utilisateurs ou groupe
Microsoft Cloud App Security instance
Référentiels locaux chemin d’accès au fichier de référentiel
Power BI (préversion) Espaces
  1. Choisissez les conditions qui doivent être mises en correspondance pour qu’une stratégie soit appliquée à un élément : vous pouvez accepter des conditions préconfigurées ou définir des conditions personnalisées. En voici quelques exemples :
  • item contient un type spécifié d’informations sensibles qui sont utilisées dans un contexte donné. Par exemple, 95 numéros de sécurité sociale sont envoyés par e-mail au destinataire en dehors de votre organisation.
  • l’élément a une étiquette de confidentialité spécifiée
  • l’élément contenant des informations sensibles est partagé en interne ou en externe
  1. Choisissez l’action à entreprendre lorsque les conditions de stratégie sont remplies : les actions dépendent de l’emplacement où l’activité se produit. En voici quelques exemples :
  • SharePoint/Exchange/OneDrive : bloquer l’accès au contenu des personnes extérieures à votre organisation. Affichez un conseil à l’utilisateur et envoyez-lui une notification par e-mail indiquant qu’il effectue une action interdite par la stratégie DLP.
  • Conversation et canal Teams : empêcher le partage d’informations sensibles dans la conversation ou le canal
  • appareils Windows 10, Windows 11 et macOS (trois dernières versions publiées) : auditer ou restreindre la copie d’un élément sensible sur un périphérique USB amovible
  • Applications Office : affiche une fenêtre contextuelle informant l’utilisateur qu’il se livre à un comportement à risque et bloque ou bloque, mais autorise la substitution.
  • Partages de fichiers locaux : déplacez le fichier de son emplacement de stockage vers un dossier de mise en quarantaine

Remarque

Les conditions et les actions à entreprendre sont définies dans un objet appelé Règle.

Après avoir créé une stratégie DLP dans le portail de conformité, elle est stockée dans un magasin de stratégies central, puis synchronisée avec les différentes sources de contenu, notamment :

  • Depuis Exchange Online vers Outlook sur le web et Outlook.
  • Sites OneDrive Entreprise.
  • Sites SharePoint Online.
  • Programmes de bureau Office (Excel, PowerPoint et Word).
  • Canaux et messages de conversations Microsoft Teams.

Une fois la stratégie synchronisée avec les emplacements adéquats, elle commence à évaluer le contenu et à mettre en place des actions.

Affichage des résultats de l’application de stratégie

DLP signale une grande quantité d’informations dans Microsoft Purview à partir de la surveillance, des correspondances de stratégie et des actions, et des activités des utilisateurs. Vous devez consommer et agir sur ces informations pour paramétrer vos stratégies et trier les actions effectuées sur les éléments sensibles. Les données de télémétrie entrent en premier dans la portail de conformité Microsoft Purview Journaux d’audit, sont traitées et accèdent à différents outils de création de rapports. Chaque outil de création de rapports a un objectif différent.

Tableau de bord des alertes DLP

Lorsque DLP effectue une action sur un élément sensible, vous pouvez être averti de cette action via une alerte configurable. Plutôt que d’empiler ces alertes dans une boîte aux lettres, le portail de conformité les met à disposition dans le tableau de bord de gestion des alertes DLP. Utilisez le tableau de bord Alertes DLP pour configurer les alertes, les examiner, les trier et suivre la résolution des alertes DLP. Voici un exemple d’alertes générées par des correspondances de stratégie et des activités à partir d’appareils Windows 10.

Informations d’alerte.

Vous pouvez également afficher les détails de l’événement associé avec des métadonnées complètes dans le même tableau de bord

informations sur l’événement.

Rapports

Les rapports DLP montrent des tendances générales au fil du temps et donnent des insights spécifiques sur :

  • Correspondances de stratégie DLP au fil du temps et filtrer par plage de dates, emplacement, stratégie ou action
  • Les correspondances d’incident DLP affichent également les correspondances au fil du temps, mais elles tableaux croisés dynamiques sur les éléments plutôt que sur les règles de stratégie.
  • Les faux positifs et remplacements DLP affichent le nombre de faux positifs et, si configurés, les remplacements par l’utilisateur avec la justification de l’utilisateur.

Explorateur d’activités DLP

L’onglet Explorateur d’activités de la page DLP a le filtre d’activité prédéfini sur DLPRuleMatch. Utilisez cet outil pour passer en revue l’activité liée au contenu qui contient des informations sensibles ou qui a des étiquettes appliquées, telles que les étiquettes qui ont été modifiées, les fichiers ont été modifiés et correspondent à une règle.

capture d’écran de l’explorateur d’activités délimité à DLPRuleMatch.

Résumé contextuel

Vous pouvez voir le texte qui entoure le contenu correspondant, comme un numéro de carte de crédit dans un événement DLPRuleMatch dans l’Explorateur d’activités. Pour ce faire, vous devez d’abord activer l’analyse et la protection avancées de la classification.

Les événements DLPRuleMatch sont associés à l’événement d’activité utilisateur. Le doit être juste à côté (ou au moins très proche) l’un de l’autre dans l’Explorateur d’activités. Vous devez examiner les deux, car l’événement d’activité utilisateur contient des détails sur la stratégie correspondante et l’événement DLPRuleMatch contient les détails sur le texte qui entoure le contenu correspondant.

Ceci est en préversion pour le point de terminaison DLP. Pour les points de terminaison, vérifiez que vous avez appliqué KB5016688 pour les appareils Windows 10 et KB5016691 pour les appareils Windows 11.

Pour plus d’informations, consultez Prise en main de l’Explorateur d’activités

Pour en savoir plus sur microsoft Purview DLP, consultez :

Pour savoir comment utiliser la protection contre la perte de données afin de se conformer aux réglementations en matière de confidentialité des données, consultez Déployer la protection des informations pour les réglementations en matière de confidentialité des données avec Microsoft Purview (aka.ms/m365dataprivacy).