Planifier la protection contre la perte de données (DLP)

  • Article
  • 15 minutes de lecture

Chaque organisation planifie et implémente la protection contre la perte de données (DLP) différemment, car les besoins, les objectifs, les ressources et la situation de chaque organisation lui sont propres. Toutefois, certains éléments sont communs à toutes les implémentations DLP réussies. Cet article présente les meilleures pratiques utilisées par les organisations dans leur planification DLP.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Avant de commencer

Si vous débutez avec Microsoft Purview DLP, voici une liste des principaux articles dont vous aurez besoin lorsque vous implémenterez DLP :

  1. Unités administratives (Préversion)
  2. En savoir plus sur Protection contre la perte de données Microsoft Purview : l’article vous présente la discipline de protection contre la perte de données et l’implémentation de DLP par Microsoft
  3. Planifier la protection contre la perte de données (DLP) : en suivant cet article que vous lisez maintenant, vous allez :
    1. Identifier les parties prenantes
    2. Décrire les catégories d’informations sensibles à protéger
    3. Définir des objectifs et une stratégie
  4. Informations de référence sur la stratégie de protection contre la perte de données : cet article présente tous les composants d’une stratégie DLP et la façon dont chacun d’eux influence le comportement d’une stratégie
  5. Concevoir une stratégie DLP : cet article vous guide tout au long de la création d’une instruction d’intention de stratégie et de son mappage à une configuration de stratégie spécifique.
  6. Créer et déployer des stratégies de protection contre la perte de données : cet article présente certains scénarios d’intention de stratégie courants que vous mapperez aux options de configuration, puis vous guide dans la configuration de ces options.

Plusieurs points de départ

De nombreuses organisations choisissent d’implémenter la protection contre la perte de données pour se conformer à diverses réglementations gouvernementales ou industrielles. Par exemple, le Règlement général sur la protection des données (RGPD) de l’Union européenne, la loi HIPAA (Health Insurance Portability and Accountability Act) ou la loi californienne sur la confidentialité des consommateurs (CCPA). Ils implémentent également la protection contre la perte de données pour protéger leur propriété intellectuelle. Mais le lieu de départ et la destination finale dans le parcours DLP varient.

Les organisations peuvent commencer leur parcours DLP :

  • à partir d’un focus de plateforme, comme la protection des informations dans les messages de conversation et de canal Teams ou sur Windows 10 ou 11 appareils
  • connaître les informations sensibles qu’ils souhaitent protéger en priorité, comme les dossiers de soins de santé, et définir directement des stratégies pour les protéger
  • sans savoir ce que sont leurs informations sensibles, où elles sont, et qui fait quoi avec elles afin qu’ils commencent par la découverte et la catégorisation et prennent une approche plus méthodique
  • sans savoir quelles sont leurs informations sensibles, ni où elles se trouvent, ou qui en fait quoi avec, mais ils passeront directement à la définition des politiques et utiliseront ces résultats comme point de départ, puis affineront leurs politiques à partir de là
  • sachant qu’ils doivent implémenter la pile de Protection des données Microsoft Purview complète et qu’ils ont donc l’intention d’adopter une approche méthodique à plus long terme

Ce ne sont que quelques exemples de la façon dont les clients peuvent aborder la protection contre la perte de données et peu importe l’endroit où vous commencez, la DLP est suffisamment flexible pour prendre en charge différents types de parcours de protection des informations, du début à une stratégie de protection contre la perte de données entièrement réalisée.

Vue d’ensemble du processus de planification

En savoir plus sur Protection contre la perte de données Microsoft Purview présente les trois aspects différents du processus de planification DLP. Nous allons entrer plus en détail ici sur les éléments communs à tous les plans DLP.

Identifier les parties prenantes

Une fois implémentées, les stratégies DLP peuvent être appliquées à de grandes parties de votre organisation. Le service informatique ne peut pas développer seul un plan de grande envergure sans conséquences négatives. Vous devez identifier les parties prenantes qui peuvent :

  • décrire les réglementations, les lois et les normes du secteur d’activité à laquelle votre organisation est soumise
  • catégories d’éléments sensibles à protéger
  • les processus métier dans lesquels ils sont utilisés
  • le comportement à risque qui doit être limité
  • hiérarchiser les données qui doivent être protégées en premier en fonction de la sensibilité des éléments et des risques impliqués
  • décrire le processus de révision et de correction des événements de correspondance de stratégie DLP

En général, ces besoins sont généralement de 85 % de protection réglementaire et de conformité, et de 15 % de protection de la propriété intellectuelle. Voici quelques suggestions sur les rôles à inclure dans votre processus de planification :

  • Responsables de la réglementation et de la conformité
  • Responsable des risques
  • Conseillers juridiques
  • Responsables de la sécurité et de la conformité
  • Propriétaires d’entreprise pour les éléments de données
  • Utilisateurs professionnels
  • Professionnels de l’informatique

Décrire les catégories d’informations sensibles à protéger

Les parties prenantes décrivent ensuite les catégories d’informations sensibles à protéger et le processus métier dans lequel elles sont utilisées. Par exemple, DLP définit ces catégories :

  • Financier
  • Informations médicales et médicales
  • Confidentialité
  • Personnalisé

Les parties prenantes peuvent identifier les informations sensibles comme suit : « Nous sommes un responsable du traitement des données, donc nous devons mettre en œuvre des protections de la confidentialité sur les informations des personnes concernées et les informations financières ».

Définir des objectifs et une stratégie

Une fois que vous avez identifié vos parties prenantes et que vous savez quelles informations sensibles ont besoin de protection et où elles sont utilisées, les parties prenantes peuvent définir leurs objectifs de protection et le service informatique peut développer un plan d’implémentation.

Définir le plan d’implémentation

Votre plan d’implémentation doit inclure :

  • Mappage de votre état de départ et de l’état final souhaité, ainsi que des étapes pour passer de l’un à l’autre
  • Comment traiter la découverte des éléments sensibles
  • planification des politiques et ordre dans lequel elles seront mises en œuvre
  • comment vous allez répondre aux conditions préalables
  • planification de la façon dont les stratégies seront d’abord testées avant de passer à l’application
  • comment former vos utilisateurs finaux
  • comment vous allez tester et paramétrer vos stratégies
  • comment vous examinerez et mettrez à jour votre stratégie de protection contre la perte de données en fonction de l’évolution de la réglementation, de la législation, des normes du secteur ou de la protection de la propriété intellectuelle et des besoins de l’entreprise

Mapper le chemin d’accès du début à l’état de fin souhaité

Il est essentiel de documenter la façon dont votre organisation va passer de son état de départ à l’état final souhaité pour communiquer avec vos parties prenantes et définir l’étendue du projet. Voici un ensemble d’étapes couramment utilisées pour déployer DLP. Vous voudrez plus de détails que cela, mais vous pouvez l’utiliser pour cadrer votre chemin d’adoption DLP.

graphique montrant l’ordre commun pour le déploiement de DLP.

Découverte d’éléments sensibles

Il existe plusieurs façons de découvrir ce que sont les éléments sensibles individuels et où ils se trouvent. Vous avez peut-être déjà déployé des étiquettes de confidentialité ou vous avez peut-être décidé de déployer une stratégie DLP étendue sur tous les emplacements qui découvrent et auditent uniquement les éléments. Pour en savoir plus, consultez Connaître vos données.

Planification de la stratégie

Lorsque vous commencez votre adoption de DLP, vous pouvez utiliser ces questions pour concentrer vos efforts de conception et d’implémentation de stratégie.

Quelles lois, réglementations et normes industrielles votre organisation doit-elle se conformer ?

Étant donné que de nombreuses organisations arrivent à DLP avec l’objectif de conformité réglementaire, répondre à cette question est un point de départ naturel pour la planification de votre implémentation DLP. Mais, en tant qu’implémenteur informatique, vous n’êtes probablement pas positionné pour y répondre. Votre équipe juridique et les dirigeants d’entreprise doivent y répondre.

Exemple Votre organisation est soumise aux réglementations financières du Royaume-Uni.

Quels sont les éléments sensibles dont dispose votre organisation qui doivent être protégés contre les fuites ?

Une fois que votre organisation sait où elle en est en termes de besoins de conformité réglementaire, vous aurez une idée des éléments sensibles qui doivent être protégés contre les fuites et de la façon dont vous souhaitez hiérarchiser l’implémentation de la stratégie pour les protéger. Cela vous aidera à choisir les modèles de stratégie DLP les plus appropriés. Microsoft Purview est fourni avec des modèles DLP préconfigurés pour les finances, les soins médicaux et la santé, la confidentialité, et vous pouvez créer vos propres modèles à l’aide du modèle personnalisé. Lorsque vous concevez et créez vos stratégies DLP réelles, connaître la réponse à cette question vous aidera également à choisir le type d’informations sensibles approprié.

Exemple Pour commencer rapidement, vous choisissez le U.K. Financial Data modèle de stratégie, qui inclut les Credit Card Numbertypes d’informations sensibles , EU Debit Card Numberet SWIFT Code .

Comment vous souhaitez que vos stratégies soient étendues

Si votre organisation a implémenté des unités administratives (préversion), vous pouvez étendre vos stratégies DLP par unité administrative ou conserver l’étendue complète par défaut de l’annuaire. Pour plus d’informations, consultez Policy Étendue(preview).

Où sont les éléments sensibles et quels processus métier sont-ils impliqués ?

Les éléments qui contiennent des informations sensibles de votre organisation sont utilisés tous les jours dans le cadre des activités commerciales. Vous devez savoir où peuvent se produire les instances de ces informations sensibles et les processus métier dans lesquels elles sont utilisées. Cela vous aidera à choisir les emplacements appropriés pour appliquer vos stratégies DLP. Les stratégies DLP sont appliquées aux emplacements :

  • La messagerie électronique Exchange
  • Sites SharePoint
  • Les comptes OneDrive
  • conversation et messages de canal Teams
  • appareils Windows 10, 11 et macOS
  • Microsoft Defender for Cloud Apps
  • Référentiels locaux

Exemple Les auditeurs internes de votre organisation effectuent le suivi d’un ensemble de numéros de carte de crédit. Ils conservent une feuille de calcul d’eux dans un site SharePoint sécurisé. Plusieurs employés effectuent des copies et les enregistrent sur leur site de travail OneDrive Entreprise, qui est synchronisé avec leur appareil Windows 10. L’un d’eux colle une liste de 14 d’entre eux dans un e-mail et tente de l’envoyer aux auditeurs externes pour examen. Vous souhaitez appliquer la stratégie au site SharePoint sécurisé, à tous les auditeurs internes OneDrive Entreprise comptes, à leurs appareils Windows 10 et à la messagerie Exchange.

Quelle est la tolérance de votre organisation aux fuites ?

Différents groupes de votre organisation peuvent avoir des vues différentes sur ce qui est un niveau acceptable de fuite d’éléments sensibles et ce qui ne l’est pas. Atteindre la perfection de zéro fuite peut avoir un coût trop élevé pour l’entreprise.

Exemple Le groupe de sécurité de votre organisation, ainsi que l’équipe juridique, estiment qu’il ne doit pas y avoir de partage de numéros de carte de crédit avec quiconque en dehors de l’organisation et insistent sur l’absence de fuite. Toutefois, dans le cadre de l’examen régulier de l’activité des numéros de carte de crédit, les auditeurs internes doivent partager certains numéros de carte de crédit avec des auditeurs tiers. Si votre stratégie DLP interdit tout partage de numéros de carte de crédit en dehors de l’organisation, il y aura une interruption importante des processus métier et des coûts supplémentaires pour atténuer l’interruption afin que les auditeurs internes puissent effectuer leur suivi. Ce coût supplémentaire est inacceptable pour les dirigeants exécutifs. Pour résoudre ce problème, il doit y avoir une conversation interne pour décider d’un niveau acceptable de fuite. Une fois que cela est décidé, la stratégie peut fournir des exceptions pour que certaines personnes partagent les informations ou elle peut être appliquée en mode audit uniquement.

Importante

Pour savoir comment créer une instruction d’intention de stratégie et la mapper à des configurations de stratégie, consultez Concevoir une stratégie de protection contre la perte de données

Planification des prérequis

Avant de pouvoir surveiller certains emplacements DLP, il existe des conditions préalables qui doivent être remplies. Consultez les sections Avant de commencer de :

Déploiement de stratégie

Lorsque vous créez vos stratégies DLP, vous devez envisager de les déployer progressivement pour évaluer leur impact et tester leur efficacité avant de les appliquer pleinement. Par exemple, vous ne souhaitez pas qu’une nouvelle stratégie DLP bloque involontairement l’accès à des milliers de documents ou interrompe un processus métier existant.

Si vous créez des stratégies DLP susceptibles d’avoir un impact important, nous vous recommandons de suivre l’ordre suivant :

  1. Démarrez en mode test sans conseils de stratégie, puis utilisez les rapports DLP et les rapports d’incident pour évaluer l’impact. Vous pouvez utiliser les rapports DLP pour connaître le nombre, l’emplacement, le type et la gravité des correspondances de stratégie. En fonction des résultats, vous pouvez affiner les stratégies en fonction des besoins. En mode test, les stratégies DLP n’auront aucun impact sur la productivité des personnes qui travaillent dans votre organisation. Utilisez également cette étape pour tester votre workflow pour la révision des événements DLP et la correction des problèmes.

  2. Passez en mode test avec des notifications et des conseils de stratégie afin que vous puissiez commencer à enseigner aux utilisateurs vos stratégies de conformité et les préparer au moment où les stratégies sont appliquées. Il est utile d’avoir un lien vers une page de stratégie d’organisation qui fournit plus de détails sur la stratégie dans le conseil de stratégie. À ce stade, vous pouvez également demander aux utilisateurs de signaler les faux positifs afin de pouvoir affiner davantage les conditions et réduire le nombre de faux positifs. Passez à cette étape une fois que vous êtes sûr que les résultats de l’application de stratégie correspondent à ce que les parties prenantes avaient à l’esprit.

  3. Démarrez l’application complète des stratégies afin que les actions dans les règles soient appliquées et le contenu protégé. Continuez de surveiller les rapports DLP et tous les rapports ou notifications d’incident pour vous assurer que les résultats correspondent à ce que vous aviez prévu.

    Options d’utilisation du mode test et d’activation de la stratégie.

    Vous pouvez désactiver une stratégie DLP à tout moment, ce qui a une incidence sur toutes les règles de la stratégie. Toutefois, chaque règle peut également être désactivée individuellement en basculant son état dans l’éditeur de règles.

    Options de désactivation d’une règle dans une stratégie.

    Vous pouvez également modifier la priorité de plusieurs règles dans une stratégie. Pour ce faire, ouvrez une stratégie pour modification. Dans une ligne de règle, sélectionnez les points de suspension (...), puis choisissez une option, comme, par exemple, Descendre ou Mettre à la fin.

    Définissez la priorité de la règle.

Formation des utilisateurs finaux

Lorsqu’une stratégie DLP est déclenchée, vous pouvez configurer vos stratégies pour envoyer des notifications par e-mail et afficher des conseils de stratégie pour les stratégies DLP aux administrateurs et aux utilisateurs finaux. Bien que vos stratégies soient toujours en mode test et avant qu’elles ne soient définies pour appliquer une action bloquante, les conseils de stratégie sont des moyens utiles pour sensibiliser aux comportements à risque sur les éléments sensibles et former les utilisateurs à éviter ces comportements à l’avenir.

Passer en revue les exigences DLP et la stratégie de mise à jour

Les réglementations, les lois et les normes du secteur auxquelles votre organisation est soumise changeront au fil du temps et vos objectifs métier en matière de protection contre la perte de données changeront également. Veillez à inclure des révisions régulières de tous ces domaines afin que votre organisation reste en conformité et que votre implémentation DLP continue de répondre à vos besoins métier.

Approches du déploiement

Description des besoins métier des clients Approche
Contoso Bank fait partie d’un secteur hautement réglementé et propose de nombreux types d’éléments sensibles dans de nombreux emplacements différents.
- sait quels types d’informations sensibles sont prioritaires.
- doit réduire l’interruption de l’activité à mesure que les stratégies sont déployées.
- dispose de ressources informatiques et peut embaucher des experts pour vous aider à planifier, concevoir et déployer
- dispose d’un contrat de support de premier plan avec Microsoft		 - Peut prendre le temps de comprendre les réglementations auxquelles ils doivent se conformer et comment ils vont se conformer.
- Peut prendre le temps de comprendre la meilleure valeur ensemble de la pile
Protection des données Microsoft Purview - Peut développer un schéma d’étiquetage de confidentialité pour les éléments hiérarchisés et appliquer
- A impliqué des propriétaires
de processus métier - Concevoir/coder des stratégies, déployer en mode test, former des utilisateurs
- répéter
TailSpin Toys ne sait pas ce qu’ils ont ni où il se trouve, et a peu ou pas de profondeur de ressources. Ils utilisent Teams, OneDrive Entreprise et Exchange de manière intensive. - Commencez par des stratégies simples sur les emplacements hiérarchisés.
- Surveiller ce qui est identifié
- Appliquer les étiquettes de confidentialité en conséquence
- Affiner les stratégies, former les utilisateurs
Fabrikam est une petite start-up qui veut protéger sa propriété intellectuelle et doit agir rapidement. Ils sont prêts à consacrer des ressources, mais ne peuvent pas se permettre d’embaucher des experts externes.
- Les éléments sensibles sont tous dans Microsoft 365 OneDrive Entreprise/SharePoint
- L’adoption de OneDrive Entreprise et SharePoint est lente, les employés/le service informatique fantôme utilisent DropBox et Google drive pour partager/stocker des éléments
- Les employés apprécient la vitesse de travail par rapport à la discipline
de protection des données - Le client splurged et acheté les 18 employés de nouveaux appareils Windows		 - Tirer parti de la stratégie DLP par défaut dans Teams
- Utiliser le paramètre restreint par défaut pour les éléments
SharePoint - Déployer des stratégies qui empêchent le partage
externe - Déployer des stratégies sur des
emplacements hiérarchisés - Déployer des stratégies sur des appareils
Windows - Bloquer les chargements vers un stockage cloud non OneDrive Entreprise

Prochaines étapes

Importante

Pour en savoir plus sur le déploiement de stratégie DLP, consultez Déploiement

Voir aussi