Planification de l’implémentation de Power BI : protection contre la perte de données pour Power BI

Notes

Cet article fait partie de la série d’articles sur la planification de l’implémentation de Power BI. Cette série se concentre principalement sur la charge de travail Power BI au sein de Microsoft Fabric. Pour une introduction à la série, consultez Planification de l’implémentation de Power BI.

Cet article décrit les activités de planification liées à l’implémentation de la protection contre la perte de données (DLP) dans Power BI. Il cible :

• Administrateurs Power BI : Les administrateurs chargés de superviser Power BI dans l’organisation. Les administrateurs Power BI doivent collaborer avec les équipes de sécurité de l’information et d’autres équipes pertinentes.
• Centre d’excellence, service informatique et équipes BI : les autres qui sont également responsables de la supervision de Power BI au sein de l’organisation. Ils peuvent devoir collaborer avec les administrateurs Power BI, les équipes de sécurité des informations et d’autres équipes pertinentes.

Important

La protection contre la perte de données (DLP) est une entreprise importante à l’échelle de l’organisation. Son étendue et son impact sont bien plus importants que Power BI seul. Ce type d’initiative nécessite un financement, une hiérarchisation et une planification. Attendez-vous à impliquer plusieurs équipes interfonctionnelles dans vos efforts de planification, d’utilisation et de supervision.

Nous vous recommandons de suivre une approche graduelle et progressive pour déployer DLP pour Power BI. Pour obtenir une description des types de phases de déploiement à prendre en compte, consultez Protection des informations pour Power BI (phases de déploiement).

Objectif de la DLP

La protection contre la perte de données (DLP) fait référence aux activités et aux pratiques qui protègent les données dans l’organisation. L’objectif de la protection contre la perte de données est de réduire le risque de fuite de données, ce qui peut se produire lorsque des personnes non autorisées partagent des données sensibles. Bien que le comportement responsable des utilisateurs soit un élément essentiel de la protection des données, DLP fait généralement référence aux stratégies automatisées.

DLP vous permet d’effectuer les tâches suivantes :

• Détecter et informer les administrateurs en cas de partage risqué, involontaire ou inapproprié de données sensibles. Plus précisément, il vous permet d’effectuer les opérations suivantes :
  • Améliorer la configuration globale de la sécurité de votre locataire Power BI, avec l’automatisation et les informations.
  • Activer les cas d’usage analytiques qui impliquent des données sensibles.
  • Fournir des informations d’audit aux administrateurs de sécurité.
• Fournir aux utilisateurs des notifications contextuelles. Plus précisément, il vous permet d’effectuer les opérations suivantes :
  • Aidez les utilisateurs à prendre les bonnes décisions pendant leur flux de travail normal.
  • Incitez les utilisateurs à suivre votre stratégie de classification et de protection des données, sans affecter négativement leur productivité.

Services DLP

D'une manière générale, il existe deux services différents qui peuvent mettre en œuvre la prévention de la perte de données.

• Stratégies DLP de Microsoft Purview pour Power BI
• Microsoft Defender for Cloud Apps

Stratégies DLP de Microsoft Purview pour Power BI

Une stratégie DLP pour Power BI est configurée dans le portail de conformité Microsoft Purview. Il peut détecter les données sensibles dans un modèle sémantique (précédemment appelé jeu de données) publié dans un espace de travail Premium dans le service Power BI.

Important

Cet article fait parfois référence à Power BI Premium ou à ses abonnements de capacité (références SKU P). Sachez que Microsoft regroupe actuellement des options d’achat et met hors service les références SKU Power BI Premium par capacité. Les clients nouveaux et existants doivent plutôt envisager l’achat d’abonnements de capacité Fabric (références SKU F).

Pour plus d’informations, consultez Importante mise à jour à venir des licences Power BI Premium et FAQ sur Power BI Premium.

L’objectif de ce type de stratégie DLP est de sensibiliser les utilisateurs et d’informer les administrateurs de l’emplacement où les données sensibles sont stockées. La stratégie DLP peut générer des notifications utilisateur et des alertes administrateur basées sur des types d’informations sensibles ou des étiquettes de confidentialité. Par exemple, vous pouvez déterminer si les informations de carte de crédit ou les informations d’identification personnelle (PII) sont stockées dans un modèle sémantique.

Remarque

La DLP pour Power BI est au centre de cet article.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps est un outil doté de nombreuses fonctionnalités. Certaines stratégies pouvant être configurées dans Microsoft Defender pour les applications cloud (avec intégration à Microsoft Entra ID – précédemment Azure Active Directory) comprennent DLP. Ces stratégies peuvent bloquer, journaliser ou alerter lorsque certaines activités utilisateur se produisent. Par exemple, lorsqu’un utilisateur tente de télécharger un rapport à partir du service Power BI auquel une étiquette de confidentialité hautement restreinte a été attribuée, l’action de téléchargement est bloquée.

L’article Defender for Cloud Apps pour Power BI traite de l’utilisation de Defender for Cloud Apps pour la surveillance des service Power BI. Le reste de cet article se concentre sur la DLP pour Power BI.

Important

Une stratégie DLP pour Power BI, configurée dans le portail de conformité Microsoft Purview, peut être appliquée uniquement pour le contenu stocké dans un espace de travail Power BI Premium. Toutefois, les stratégies configurées dans Defender for Cloud Apps n’ont pas de Power BI Premium conditions préalables similaires. N’oubliez pas que les fonctionnalités, l’objectif et les actions disponibles diffèrent pour les deux ensembles d’outils. Pour obtenir un effet maximal, nous vous recommandons d’utiliser les deux ensembles d’outils.

Prérequis pour DLP pour Power BI

À ce stade, vous devez avoir effectué les étapes de planification de niveau organisation décrites dans l’article Protection des informations pour Power BI. Avant de continuer, vous devez avoir des précisions sur :

• État actuel : L’état actuel de DLP dans votre organisation. Vous devez comprendre dans quelle mesure DLP est déjà utilisé et qui est responsable de sa gestion.
• Objectifs et exigences : Les objectifs stratégiques de l’implémentation de DLP dans votre organisation. La compréhension des objectifs et des exigences servira de guide pour vos efforts d’implémentation.

En règle générale, vous implémentez la protection des informations (décrite dans l’article Protection des informations pour Power BI) avant d’implémenter DLP. Toutefois, ce n’est pas une condition préalable à l’utilisation de DLP pour Power BI. Si des étiquettes de confidentialité sont publiées, elles peuvent être utilisées avec DLP pour Power BI. Vous pouvez également utiliser des types d’informations sensibles avec DLP pour Power BI. Les deux sont décrites dans cet article.

Décisions et actions clés

L’intention d’une stratégie DLP est de configurer une action automatisée, basée sur des règles et des conditions, sur le contenu que vous souhaitez protéger. Vous devrez prendre des décisions concernant les règles et conditions qui permettront de répondre à vos objectifs et exigences.

L’avantage de définir des règles distinctes au sein d’une stratégie DLP unique est que vous pouvez activer des alertes personnalisées ou des notifications utilisateur.

Il existe une priorité hiérarchique pour la liste des stratégies DLP, ainsi que pour les règles de stratégie DLP, à prendre en compte. La priorité affecte la stratégie qui est appelée lorsqu’elle est rencontrée en premier.

Attention

Cette section n’est pas une liste exhaustive de toutes les décisions DLP possibles pour toutes les applications possibles. Veillez à travailler avec d’autres parties prenantes et administrateurs système pour prendre des décisions qui fonctionnent bien pour toutes les applications et les cas d’usage. Par exemple, nous vous recommandons d’examiner d’autres stratégies DLP pour protéger les fichiers sources et les fichiers exportés qui sont stockés dans OneDrive ou SharePoint. Cet ensemble d’articles se concentre uniquement sur le contenu du service Power BI.

Type de données sensibles

Une stratégie DLP pour Power BI configurée dans le portail de conformité Microsoft Purview peut être basée sur une étiquette de confidentialité ou un type d’informations sensibles.

Important

Bien que vous puissiez affecter des étiquettes de confidentialité à la plupart des types d’éléments dans Power BI, les stratégies DLP décrites dans cet article se concentrent spécifiquement sur les modèles sémantiques. Le modèle sémantique doit être publié dans un espace de travail Premium.

Étiquette de sensibilité

Vous pouvez utiliser des étiquettes de confidentialité pour classifier le contenu, allant de moins sensible à plus sensible.

Lorsqu’une stratégie DLP pour Power BI est appelée, une règle d’étiquette de confidentialité vérifie les modèles sémantiques (publiés sur le service Power BI) pour la présence d’une étiquette de confidentialité spécifique. Comme décrit dans l’article Protection des informations pour Power BI, une étiquette peut être affectée par un utilisateur ou par un processus automatisé (par exemple, une étiquette héritée ou une étiquette par défaut).

Voici quelques exemples de cas où vous pouvez créer une règle DLP basée sur une étiquette de confidentialité.

• Conformité réglementaire : Vous disposez d’une étiquette de confidentialité réservée aux données soumises à une exigence réglementaire particulière. Vous souhaitez déclencher une alerte pour vos administrateurs de sécurité lorsque les utilisateurs attribuent cette étiquette de confidentialité à un modèle sémantique dans le service Power BI.
• Rappels pour les créateurs de contenu sur les données confidentielles : Vous disposez d’une étiquette de confidentialité utilisée pour les données confidentielles. Vous souhaitez générer une notification utilisateur lorsqu’un utilisateur affiche la page des détails du modèle sémantique dans le hub de données dans le service Power BI. Par exemple, vous pouvez rappeler aux utilisateurs comment gérer correctement les données confidentielles.

D’autres considérations relatives aux notifications et alertes utilisateur sont décrites dans cette section suivante de cet article.

Liste de vérification - Lorsque vous envisagez les besoins en matière de règles d’étiquette de confidentialité, les décisions et actions clés sont les suivantes :

• Vérifiez l’état actuel de la protection des informations : Vérifiez que les étiquettes de confidentialité sont déployées dans l’organisation et qu’elles sont prêtes à être utilisées par les stratégies DLP.
• Compilez les cas d’usage pour DLP en fonction des étiquettes de confidentialité : Déterminez quelles étiquettes de confidentialité tireraient parti de la mise en place de stratégies DLP. Tenez compte de vos objectifs, de vos réglementations et de vos exigences internes.
• Hiérarchisez la liste des cas d’usage pour DLP en fonction des étiquettes de confidentialité : Discutez des principales priorités avec votre équipe. Identifiez les éléments à hiérarchiser dans votre plan de projet.

Notes

Les stratégies DLP sont généralement automatisées. Toutefois, les actions utilisateur responsables jouent également un rôle crucial dans la protection des données.

Pour plus d’informations, consultez Protection des informations pour Power BI (stratégie de classification et de protection des données). Il décrit une stratégie de gouvernance interne qui fournit des conseils sur ce que les utilisateurs peuvent et ne peuvent pas faire avec le contenu affecté à une certaine étiquette de confidentialité.

Types d’informations sensibles

Tous les types de données ne sont pas identiques ; certains types de données sont intrinsèquement plus sensibles que d’autres. Il existe de nombreux types d’informations sensibles (SIT) différents. Selon votre secteur d’activité et les exigences de conformité, seuls certains SIT s’appliquent à votre organisation.

Voici quelques exemples courants de SIT :

• Numéros de passeport, de sécurité sociale et de permis de conduire
• Numéros de compte bancaire et de routage
• Numéros de carte de crédit et de débit
• Identification fiscale et numéros d’identification nationaux
• Numéros d’identification d’intégrité et informations médicales
• Adresses physiques
• Clés de compte, mots de passe et chaînes de connexion à la base de données

Conseil

Si les données sensibles n’ont pas de valeur analytique, demandez-vous si elles doivent résider dans un système analytique. Nous vous recommandons de former vos créateurs de contenu pour les aider à prendre de bonnes décisions sur les données à stocker dans Power BI.

Les SIT sont des classifieurs basés sur des modèles. Ils recherchent un modèle connu dans le texte à l’aide d’expressions régulières.

Vous trouverez de nombreux SIT préconfigurés dans le portail de conformité Microsoft Purview. Lorsqu’ils répondent à vos besoins, vous devez utiliser un SIT préconfiguré pour gagner du temps. Considérez le numéro de carte de crédit préconfiguré SIT : il détecte les modèles corrects pour tous les principaux émetteurs de carte, garantit la validité de la somme de contrôle et recherche un mot clé approprié à proximité du numéro de carte de crédit.

Si les SIT préconfigurés ne répondent pas à vos besoins ou si vous avez des modèles de données propriétaires, vous pouvez créer un SIT personnalisé. Par exemple, vous pouvez créer un SIT personnalisé pour correspondre au modèle de votre numéro d’ID d’employé.

Une fois le SIT configuré, une stratégie DLP pour Power BI est appelée lorsqu’un modèle sémantique est chargé ou actualisé. À ce stade, une règle de type d’informations sensibles vérifie les modèles sémantiques (dans le service Power BI) pour la présence de types d’informations sensibles.

Voici quelques exemples de cas où vous pouvez créer une règle DLP basée sur un type d’informations sensibles.

• Conformité réglementaire : Vous disposez d’un type d’informations sensibles soumis aux exigences réglementaires. Vous souhaitez générer une alerte pour vos administrateurs de sécurité lorsque ce type de données est détecté dans un modèle sémantique dans le service Power BI.
• Exigences internes : Vous disposez d’un type d’informations sensibles qui nécessite une gestion spéciale. Pour répondre aux exigences internes, vous souhaitez générer une notification utilisateur lorsqu’un utilisateur affiche les paramètres du modèle sémantique ou la page de détails du modèle sémantique dans le hub de données (dans le service Power BI).

Liste de vérification - Lorsque vous envisagez les besoins pour les types d’informations sensibles, les décisions et actions clés sont les suivantes :

• Compilez les cas d’usage pour DLP en fonction des types d’informations sensibles : Déterminez les types d’informations sensibles qui tireraient parti de la mise en place de stratégies DLP. Tenez compte de vos objectifs, de vos réglementations et de vos exigences internes.
• Testez les types d’informations sensibles existants : Collaborez avec l’équipe de sécurité des informations pour vérifier que les SIT préconfigurés répondent à vos besoins. Utilisez les données de test pour vérifier que les modèles et les mots clés sont correctement détectés.
• Créez des types d’informations sensibles personnalisés : Le cas échéant, collaborez avec votre équipe de sécurité des informations pour créer des SIT afin qu’ils puissent être utilisés dans DLP pour Power BI.
• Hiérarchisez la liste des cas d’usage : Discutez des principales priorités avec votre équipe. Identifiez les éléments à hiérarchiser dans votre plan de projet.

Notifications à l’utilisateur

Lorsque vous avez identifié des cas d’usage pour DLP avec des étiquettes de confidentialité et des SIT, vous devez ensuite examiner ce qui se passe lorsqu’une correspondance de règle DLP se produit. En règle générale, il s’agit d’une notification utilisateur.

Les notifications utilisateur pour les stratégies DLP sont également appelées conseils de stratégie. Ils sont utiles lorsque vous souhaitez fournir davantage d’aide et de sensibilisation à vos utilisateurs pendant le cours normal de leur travail. Il est plus probable que les utilisateurs lisent et absorbent les notifications utilisateur s’ils sont :

• Spécifique : La corrélation du message à la règle le rend beaucoup plus facile à comprendre.
• Actionable : Proposer une suggestion sur ce que l’utilisateur doit faire ou sur la façon de trouver plus d’informations.

Pour DLP dans Power BI, les notifications utilisateur apparaissent dans les paramètres du modèle sémantique. Ils apparaissent également en haut de la page de détails du modèle sémantique dans le hub de données, comme illustré dans la capture d’écran suivante. Dans cette instance, la notification indique : Ces données contiennent des cartes de crédit. Ce type de données n’est pas autorisé dans Power BI conformément à la stratégie Classification, protection et utilisation des données.

Vous pouvez définir une ou plusieurs règles pour chaque stratégie DLP. Chaque règle peut éventuellement avoir un conseil de stratégie différent qui sera affiché aux utilisateurs.

Prenons l’exemple suivant de la façon dont vous pouvez définir une stratégie DLP pour détecter les données financières stockées dans des modèles sémantiques dans le service Power BI. La stratégie DLP utilise des SIT et elle a deux règles.

• Règle 1 : La première règle détecte les nombres carte de crédit. Le texte de conseil de stratégie personnalisé indique : ces données contiennent des nombres carte de crédit. Ce type de données n’est pas autorisé dans Power BI conformément à la stratégie de classification et de protection des données.
• Règle 2 : La deuxième règle détecte les comptes financiers. Le texte de conseil de stratégie personnalisé indique : ces données contiennent des informations financières sensibles. Il nécessite l’utilisation de l’étiquette Hautement restreinte. Reportez-vous à la Politique de classification et de protection des données pour connaître les exigences lors du stockage des données financières.

La règle 1 est plus urgente que la règle 2. La règle 1 est destinée à indiquer qu’il existe un problème qui nécessite une action. La deuxième règle est plus informative. Pour les problèmes urgents, il est judicieux de configurer l’alerte. La section suivante décrit la création d’alertes pour les administrateurs.

Lorsque vous décidez des notifications que les utilisateurs doivent recevoir, nous vous recommandons de vous concentrer sur l’affichage uniquement des notifications très importantes. S’il y a trop de notifications concernant la stratégie, les utilisateurs peuvent en être submergés. Il en résulte que certaines notifications peuvent être ignorées.

Les utilisateurs peuvent prendre des mesures en signalant un problème lorsqu’ils pensent qu’il s’agit d’un faux positif (mal identifié). Il est également possible d’autoriser l’utilisateur à remplacer la stratégie. Ces fonctionnalités sont destinées à permettre la communication entre les utilisateurs de Power BI et les administrateurs de sécurité qui gèrent la DLP pour Power BI.

Liste de vérification - Lors de l’examen des notifications utilisateur DLP, les décisions et actions clés sont les suivantes :

• Déterminez quand les notifications utilisateur sont nécessaires : Pour chaque règle DLP que vous envisagez de créer, déterminez si une notification utilisateur personnalisée est requise.
• Créez des conseils de stratégie personnalisés : Pour chaque notification, définissez le message qui doit être affiché aux utilisateurs. Prévoyez de mettre en corrélation le message avec la règle DLP afin qu’il soit spécifique et actionnable.

Alertes d’administrateur

L’alerte est utile pour certaines règles DLP lorsque vous souhaitez suivre les incidents lorsqu’une violation de stratégie s’est produite. Lorsque vous définissez des règles de stratégie DLP, déterminez si des alertes doivent être générées.

Conseil

Les alertes sont conçues pour attirer l’attention d’un administrateur sur certaines situations. Elles sont les mieux adaptées lorsque vous envisagez d’examiner et de résoudre activement des alertes importantes. Vous trouverez toutes les correspondances de règle DPS dans l’explorateur d’activités dans le portail de conformité Microsoft Purview.

L’alerte est utile lorsque vous souhaitez :

• Faites en sorte que vos administrateurs de sécurité et de conformité sachent qu’un événement s’est produit via le tableau de bord de gestion des alertes DLP. Si vous le souhaitez, vous pouvez également envoyer un e-mail à un ensemble spécifique d’utilisateurs.
• Consultez plus d’informations sur un événement qui s’est produit.
• Affectez un événement à une personne pour l’examiner.
• Gérez l’état d’un événement ou ajoutez-y des commentaires.
• Affichez les autres alertes générées pour l’activité par le même utilisateur.

Chaque alerte peut être définie par un niveau de gravité, qui peut être faible, moyen ou élevé. Le niveau de gravité permet de hiérarchiser l’examen des alertes ouvertes.

Voici deux exemples d’utilisation des alertes.

Exemple 1 : vous avez défini une stratégie DLP pour détecter les données financières stockées dans des modèles sémantiques dans le service Power BI. La stratégie DLP utilise des types d’informations sensibles. Il existe deux règles.

• Règle 1 : La première règle détecte les nombres carte de crédit. Les alertes sont activées avec une gravité élevée. Un e-mail est également généré.
• Règle 2 : La deuxième règle détecte les comptes financiers. Les alertes sont activées avec une gravité élevée.

Exemple 2 : vous avez défini une stratégie DLP appelée lorsque l’étiquette de confidentialité Hautement restreint\Membres du comité exécutif et Membres du conseil est affectée à un modèle sémantique dans le service Power BI. Elle ne génère pas de notification utilisateur. Dans ce cas, vous ne souhaitez peut-être pas générer une alerte, mais uniquement journaliser l’occurrence. Si nécessaire, vous pouvez obtenir plus d’informations à partir de l’Explorateur d’activités.

Lorsqu’une alerte par e-mail est requise, nous vous recommandons d’utiliser un groupe de sécurité à extension messagerie. Par exemple, vous pouvez utiliser un groupe nommé Alertes administratives de sécurité et de confidentialité.

Conseil

N’oubliez pas que les règles DLP pour Power BI sont vérifiées chaque fois qu’un modèle sémantique est chargé ou actualisé. Cela signifie qu’une alerte peut être générée chaque fois que le modèle sémantique est actualisé. Des actualisations de données régulières ou fréquentes peuvent entraîner un nombre écrasant d’événements et d’alertes journalisés.

Liste de vérification - Lorsque vous envisagez de créer des alertes DLP pour les administrateurs, les décisions et les actions clés sont les suivantes :

• Déterminez quand les alertes sont requises : Pour chaque règle DLP que vous envisagez de créer, déterminez les situations qui justifient l’utilisation d’alertes.
• Clarifiez les rôles et les responsabilités : Déterminez les attentes et les actions spécifiques qui doivent être effectuées lorsqu’une alerte est générée.
• Déterminez qui recevra les alertes : Déterminez quels administrateurs de sécurité et de conformité géreront les alertes ouvertes. Vérifiez que les autorisations et les conditions de licence sont remplies pour chaque administrateur qui utilisera le portail de conformité Microsoft Purview.
• Créez des groupes de messagerie : Si nécessaire, créez des groupes de sécurité à extension messagerie pour gérer les alertes.

Espaces de travail dans l’étendue

Une stratégie DLP pour Power BI configurée dans le portail de conformité Microsoft Purview est destinée à cibler des modèles sémantiques. Plus précisément, il prend en charge l’analyse des modèles sémantiques publiés dans un espace de travail Premium.

Vous pouvez configurer la stratégie DLP pour analyser tous les espaces de travail Premium. Si vous le souhaitez, vous pouvez choisir d’inclure ou d’exclure des espaces de travail spécifiques. Par exemple, vous pouvez exclure certains espaces de travail de développement ou de test considérés comme moins risqués (en particulier s’ils ne contiennent pas de données de production réelles). Vous pouvez également créer des stratégies distinctes pour certains espaces de travail de développement ou de test.

Conseil

Si vous décidez que seul un sous-ensemble de vos espaces de travail Premium sera inclus pour DLP, tenez compte du niveau de maintenance. Les règles DLP sont plus faciles à gérer lorsque tous les espaces de travail Premium sont inclus. Si vous décidez d’inclure uniquement un sous-ensemble d’espaces de travail Premium, vérifiez qu’un processus d’audit est en place afin de pouvoir identifier rapidement si un nouvel espace de travail est manquant dans la stratégie DLP.

Pour plus d’informations sur l’espace de travail, consultez les articles sur la planification d’espace de travail.

Liste de vérification - Lorsque vous envisagez les espaces de travail à inclure dans l’étendue de la DLP, les décisions et actions clés sont les suivantes :

• Déterminez les espaces de travail Premium auxquels la DLP doit être appliquée : Déterminez si les stratégies DLP doivent affecter tous les espaces de travail Power BI Premium ou seulement un sous-ensemble d’entre eux.
• Créez la documentation pour les affectations d’espace de travail : Le cas échéant, indiquez quels espaces de travail sont soumis à la DLP. Incluez les critères et les raisons pour lesquelles les espaces de travail sont inclus ou exclus.
• Mettre en corrélation les décisions DLP avec la gouvernance de votre espace de travail : Le cas échéant, mettez à jour la documentation de gouvernance de votre espace de travail pour inclure des détails sur la façon dont la DLP est gérée.
• Considérez d’autres emplacements de fichiers importants : En plus des services Power BI, déterminez s’il est nécessaire de créer d’autres stratégies DLP pour protéger les fichiers sources et les fichiers exportés stockés dans OneDrive ou SharePoint.

Exigences en termes de licence

Pour utiliser DLP, il existe plusieurs exigences de licence. Une licence Protection des données Microsoft Purview est requise pour les administrateurs qui configurent, gèrent et supervisent DLP. Vous disposez peut-être déjà de ces licences, car elles sont incluses dans certaines suites de licences, telles que Microsoft 365 E5. Par ailleurs, les fonctionnalités de Conformité Microsoft 365 E5 peuvent être achetées sous forme de licence autonome.

En outre, les stratégies DLP pour Power BI nécessitent Power BI Premium. Cette exigence de licence peut être satisfaite avec une capacité Premium ou une licence Premium par utilisateur (PPU).

Conseil

Si vous avez besoin de clarifications sur les exigences de licence, contactez votre équipe de compte Microsoft. Notez que la licence Microsoft 365 E5 Conformité inclut d’autres fonctionnalités DLP qui sont hors de portée pour cet article.

Liste de vérification - Voici les décisions et actions clés à prendre en compte pour identifier les exigences et les priorités :

• Passez en revue les exigences de licence des produits : Vérifiez que vous avez examiné toutes les exigences de licence pour DLP.
• Passez en revue les conditions requises pour les licences Premium : Vérifiez que les espaces de travail que vous souhaitez configurer pour DLP sont des espaces de travail Premium.
• Procurez-vous des licences supplémentaires : Le cas échéant, achetez d’autres licences pour déverrouiller la fonctionnalité que vous envisagez d’utiliser.
• Attribuez des licences : Attribuez une licence à chacun de vos administrateurs de sécurité et de conformité qui en auront besoin.

Documentation et formation de l’utilisateur

Avant de déployer DLP pour Power BI, nous vous recommandons de créer et de publier la documentation utilisateur. Une page SharePoint ou une page wiki dans votre portail centralisé peut fonctionner correctement, car elle sera facile à gérer. Un document chargé sur une bibliothèque partagée ou un site Teams est également une bonne solution.

L’objectif de la documentation est d’obtenir une expérience utilisateur transparente. La préparation de la documentation utilisateur vous permet également de vous assurer que vous avez tout pris en compte.

Incluez des informations sur les personnes à contacter lorsque les utilisateurs ont des questions ou des problèmes techniques. Étant donné que la protection des informations est un projet à l’échelle de l’organisation, la prise en charge est souvent fournie par le service informatique.

Les questions fréquentes (FAQ) et les exemples sont particulièrement utiles pour la documentation utilisateur.

Conseil

Pour plus d’informations, consultez Protection des informations pour Power BI (stratégie de classification et de protection des données). Il décrit des suggestions pour créer une stratégie de classification et de protection des données afin que les utilisateurs comprennent ce qu’ils peuvent et ne peuvent pas faire avec les étiquettes de confidentialité.

Liste de vérification - Lors de la préparation de la documentation utilisateur et de la formation, les décisions et actions clés sont les suivantes :

• Mettre à jour la documentation pour les créateurs et les consommateurs de contenu : Mettez à jour vos FAQ et exemples pour inclure des conseils pertinents sur les stratégies DLP.
• Publiez comment obtenir de l’aide : Assurez-vous que vos utilisateurs savent comment obtenir de l’aide lorsqu’ils rencontrent quelque chose d’inattendu ou qu’ils ne comprennent pas.
• Déterminez si une formation spécifique est nécessaire : Créez ou mettez à jour votre formation utilisateur pour inclure des informations utiles, en particulier s’il existe une exigence réglementaire.

Service client

Il est important de vérifier qui sera responsable du support utilisateur. Il est courant que la DLP soit prise en charge par un support technique informatique centralisé.

Vous allez peut-être devoir créer des conseils pour le support technique (parfois appelé runbook). Vous allez peut-être devoir également organiser des sessions de transfert de connaissances pour vous assurer que le support technique est prêt à répondre aux demandes de support.

Liste de vérification - Lors de la préparation de la fonction de support utilisateur, les décisions et actions clés sont les suivantes :

• Identifiez qui fournira le support utilisateur : Lorsque vous définissez des rôles et des responsabilités, veillez à prendre en compte la façon dont les utilisateurs obtiendront de l’aide sur les problèmes liés à la protection contre la perte de données.
• Vérifiez que l’équipe de support utilisateur est prête : Créez de la documentation et organisez des sessions de transfert des connaissances pour vous assurer que le support technique est prêt à prendre en charge DLP.
• Communiquez entre les équipes : Discutez des notifications utilisateur et du processus de résolution des alertes DLP avec l’équipe de support technique, ainsi que vos administrateurs Power BI et le Centre d’excellence. Assurez-vous que toutes les personnes impliquées sont préparées aux questions potentielles des utilisateurs Power BI.

Résumé de l’implémentation et des tests

Une fois les décisions prises et les conditions préalables remplies, il est temps de commencer à implémenter et à tester DLP pour Power BI.

Les stratégies DLP pour Power BI sont configurées dans le portail de conformité Microsoft Purview (anciennement centre de conformité Microsoft 365) dans le Centre d'administration Microsoft 365.

Conseil

Le processus de configuration de la protection contre la perte de données pour Power BI dans le portail de conformité Microsoft Purview implique une seule étape, au lieu de deux, pour configurer la stratégie. Ce processus diffère de la configuration de la protection des informations dans le portail de conformité Microsoft Purview (décrit dans l’article Protection des informations pour Power BI). Dans ce cas, il y avait deux étapes distinctes pour configurer l’étiquette et publier une stratégie d’étiquette. Dans ce cas, pour DLP, il n’y a qu’une seule étape dans le processus d’implémentation.

La liste de vérification suivante comprend une liste résumée des étapes d’implémentation de bout en bout. La plupart des étapes ont d’autres détails qui ont été abordés dans les sections précédentes de cet article.

Liste de vérification - Lors de la mise en œuvre de la DLP pour Power BI, les décisions et actions clés sont les suivantes :

• Vérifiez l’état actuel et les objectifs : Assurez-vous que vous êtes clair sur l’état actuel de DLP à utiliser avec Power BI. Tous les objectifs et exigences pour l’implémentation de la DLP doivent être clairs et activement utilisés pour diriger le processus de prise de décision.
• Prenez des décisions : Passez en revue et discutez de toutes les décisions requises. Cette tâche doit se produire avant de configurer quoi que ce soit en production.
• Passez en revue les exigences de licence : Assurez-vous de bien comprendre les exigences relatives aux licences de produits et aux licences utilisateur. Si nécessaire, procurez-vous et attribuez plus de licences.
• Publiez la documentation utilisateur : Publiez les informations dont les utilisateurs auront besoin pour répondre aux questions et clarifier leurs attentes. Fournissez des conseils, des communications et de la formation à vos utilisateurs afin qu’ils soient prêts.
• Créez des stratégies DLP : Dans le portail de conformité Microsoft Purview, créez et configurez chaque stratégie DLP. Reportez-vous à toutes les décisions prises précédemment pour configurer les règles DLP.
• Effectuez des tests initiaux : Effectuez un ensemble initial de tests pour vérifier que tout est configuré correctement. Utilisez le mode test avec des exemples de données pour déterminer si tout se comporte comme prévu, tout en réduisant l’impact sur les utilisateurs. Utilisez initialement un petit sous-ensemble d’espaces de travail Premium. Envisagez d’utiliser un locataire hors production lorsque vous avez accès à un locataire.
• Recueillez les commentaires des utilisateurs : Obtenez des commentaires sur le processus et l’expérience utilisateur. Identifiez les zones de confusion ou les résultats inattendus avec des types d’informations sensibles et d’autres problèmes techniques.
• Continuez les versions itératives : Ajoutez progressivement d’autres espaces de travail Premium à la stratégie DLP jusqu’à ce qu’ils soient tous inclus.
• Surveillez, réglez et ajustez : Investissez des ressources pour examiner fréquemment les alertes de correspondance de stratégie et les journaux d’audit. Examinez les faux positifs et ajustez les stratégies si nécessaire.

Conseil

Ces éléments de liste de vérification sont résumés à des fins de planification. Pour plus d’informations sur ces éléments de liste de vérification, consultez les sections précédentes de cet article.

Pour obtenir d’autres étapes à suivre au-delà du déploiement initial, consultez Defender for Cloud Apps avec Power BI.

Surveillance continue

Une fois l’implémentation terminée, vous devez vous intéresser à la supervision, à l’application et à l’ajustement des stratégies DLP en fonction de leur utilisation.

Les administrateurs Power BI et les administrateurs de sécurité et de conformité devront collaborer de temps à autre. Pour le contenu Power BI, il existe deux audiences pour la supervision.

• Administrateurs Power BI : Une entrée dans le journal d’activité Power BI est enregistrée chaque fois qu’il existe une correspondance de règle DLP. L’entrée du journal d’activité Power BI enregistre les détails de l’événement DLP, notamment l’utilisateur, la date et l’heure, le nom de l’élément, l’espace de travail et la capacité. Il inclut également des informations sur la stratégie, telles que le nom de la stratégie, le nom de la règle, la gravité et la condition correspondante.
• Administrateurs de la sécurité et de la conformité : Les administrateurs de la sécurité et de la conformité de l’organisation utilisent généralement des rapports, des alertes et des journaux d’audit Microsoft Purview.

Avertissement

La surveillance des stratégies DLP pour Power BI ne se produit pas en temps réel, car la génération des journaux et des alertes DLP prend du temps. Si votre objectif est l’application en temps réel, consultez Defender for Cloud Apps pour Power BI (stratégies en temps réel).

Liste de vérification - Lors de la surveillance de la DLP pour Power BI, les décisions et actions clés sont les suivantes :

• Vérifiez les rôles et les responsabilités : Assurez-vous que vous êtes clair sur qui est responsable des actions. Informez vos administrateurs Power BI ou administrateurs de sécurité et communiquez avec eux s’ils sont directement responsables de certains aspects de la surveillance DLP.
• Créez ou validez votre processus de révision de l’activité : Assurez-vous que les administrateurs de la sécurité et de la conformité sont clairs sur les attentes en matière de révision régulière de l’explorateur d’activités.
• Créez ou validez votre processus de résolution des alertes : Assurez-vous que vos administrateurs de sécurité et de conformité disposent d’un processus pour examiner et résoudre les alertes DLP lorsqu’une correspondance de stratégie se produit.

Conseil

Pour plus d’informations sur l’audit, consultez Audit de la protection des informations et de la protection contre la perte de données pour Power BI.

Contenu connexe

Dans l’article suivant de cette série, découvrez comment utiliser Defender for Cloud Apps avec Power BI.