Planification de l’implémentation de Power BI : protection des informations au niveau de l’organisation

  • Article

Notes

Cet article fait partie de la série d’articles sur la planification de l’implémentation de Power BI. Cette série se concentre principalement sur la charge de travail Power BI au sein de Microsoft Fabric. Pour une introduction à la série, consultez Planification de l’implémentation de Power BI.

Cet article décrit l’évaluation initiale et les activités préparatoires concernant la protection des informations dans Power BI. Il s’adresse aux personnes suivantes :

  • Administrateurs Power BI : Les administrateurs chargés de superviser Power BI dans l’organisation. Les administrateurs Power BI, qui ont besoin de collaborer avec les équipes de sécurité de l’information et d’autres équipes pertinentes.
  • Centre d’excellence, service informatique et équipes BI : les équipes qui sont également responsables de la supervision de Power BI au sein de l’organisation. Ils peuvent devoir collaborer avec des administrateurs Power BI, des équipes de la sécurité des informations et d’autres équipes pertinentes.

Important

La protection des informations et la protection contre la perte de données constituent une entreprise importante à l’échelle de l’organisation. Son étendue et son impact sont bien plus importants que Power BI seul. Ce type d’initiative nécessite un financement, une hiérarchisation et une planification. Attendez-vous à impliquer plusieurs équipes interfonctionnelles dans vos efforts de planification, d’utilisation et de supervision.

Évaluation de l’état actuel

Avant de commencer à effectuer des activités de configuration, évaluez ce qui se passe actuellement dans votre organisation. Il est essentiel de comprendre dans quelle mesure la protection des informations est actuellement implémentée (ou planifiée).

En règle générale, il existe deux cas d’utilisation d’étiquettes de confidentialité.

  • Les étiquettes de confidentialité sont utilisées actuellement : dans ce cas, les étiquettes de confidentialité sont configurées et utilisées pour classifier les fichiers Microsoft Office. Dans cette situation, la quantité de travail qui sera nécessaire pour utiliser des étiquettes de confidentialité pour Power BI sera considérablement inférieure. Le délai sera plus court et il sera plus facile à mettre en place rapidement.
  • Les étiquettes de confidentialité ne sont pas encore utilisées : dans ce cas, les étiquettes de confidentialité ne sont pas utilisées pour les fichiers Microsoft Office. Dans cette situation, un projet à l’échelle de l’organisation pour implémenter des étiquettes de confidentialité sera nécessaire. Pour certaines organisations, ce projet peut représenter une quantité importante de travail et un investissement considérable en temps. Cela est dû au fait que les étiquettes sont destinées à être utilisées dans l’ensemble de l’organisation par différentes applications (plutôt qu’une seule application, comme Power BI).

Le diagramme suivant montre comment les étiquettes de confidentialité sont largement utilisées dans l’ensemble de l’organisation.

Diagram shows how sensitivity labels are used. Items in the diagram are described in the table below.

Le diagramme ci-dessus illustre les éléments suivants :

Item Description
Item 1. Les étiquettes de confidentialité sont configurées dans le portail de conformité Microsoft Purview.
Item 2. Les étiquettes de confidentialité peuvent être appliquées à de nombreux types d’éléments et de fichiers, tels que les fichiers Microsoft Office, les éléments du service Power BI, les fichiers Power BI Desktop et les e-mails.
Item 3. Les étiquettes de confidentialité peuvent être appliquées aux sites Teams, aux sites SharePoint et aux groupes Microsoft 365.
Item 4. Les étiquettes de confidentialité peuvent être appliquées aux ressources de données schématisées inscrites dans le Mappage de données Microsoft Purview.

Dans le diagramme, notez que les éléments du service Power BI et les fichiers Power BI Desktop ne sont que quelques-unes des nombreuses ressources qui permettent d’attribuer des étiquettes de confidentialité. Les étiquettes de confidentialité sont définies de manière centralisée dans la protection des informations de Microsoft Purview. Une fois définies, les mêmes étiquettes sont utilisées par toutes les applications prises en charge au sein de l’organisation. Il n’est pas possible de définir des étiquettes à utiliser dans une seule application, telle que Power BI. Par conséquent, votre processus de planification doit prendre en compte un ensemble plus large de scénarios d’utilisation pour définir des étiquettes qui peuvent être utilisées dans plusieurs contextes. Étant donné que la protection des informations est destinée à être utilisée de manière cohérente entre les applications et les services, il est essentiel de commencer par évaluer les étiquettes de confidentialité actuellement en place.

Les activités d’implémentation des étiquettes de confidentialité sont décrites dans l’article Protection des informations pour Power BI.

Notes

Les étiquettes de confidentialité sont le premier bloc de construction de l’implémentation de la protection des informations. La protection des informations et la protection contre la perte de données se produisent après la configuration de la protection des informations.

Liste de vérification : lors de l’évaluation de l’état actuel de la protection des informations et de la protection contre la perte de données dans votre organisation, les décisions et actions clés incluent :

  • Déterminer si la protection des informations est actuellement utilisée : découvrez quelles fonctionnalités sont actuellement activées, comment elles sont utilisées, par quelles applications et par qui.
  • Identifier qui est actuellement responsable de la protection des informations : lors de l’évaluation des fonctionnalités actuelles, déterminez qui est actuellement responsable de quoi. Impliquez cette équipe dans toutes les activités à l’avenir.
  • Consolider les projets de protection des informations : le cas échéant, combinez les méthodes de protection des informations actuellement utilisées. Si possible, regroupez les projets et les équipes pour gagner en efficacité et en cohérence.

Personnel d’équipe

Comme indiqué précédemment, la plupart des fonctionnalités de protection des informations et de protection contre la perte de données qui seront configurées auront un impact sur l’ensemble de l’organisation (bien au-delà de Power BI). C’est pourquoi il est essentiel de constituer une équipe qui comprend toutes les personnes pertinentes. L’équipe sera cruciale pour définir les objectifs (décrits dans la section suivante) et guider l’effort global.

Lorsque vous définissez les rôles et les responsabilités de votre équipe, nous vous recommandons d’inclure des personnes capables de traduire les exigences et de bien communiquer avec les parties prenantes.

Votre équipe doit inclure des parties prenantes pertinentes, impliquant différentes personnes et différents groupes dans l’organisation, notamment :

  • Responsable de la sécurité des informations/responsable de la protection des données
  • Équipe de sécurité des informations/cybersécurité
  • Informations juridiques
  • Conformité
  • Gestion des risques
  • Comité de gouvernance des données d’entreprise
  • Directeur des données/directeur de l’analytique
  • Équipe d’audit interne
  • Centre d’excellence analytique
  • Équipe d’analytique d’entreprise/business intelligence (BI)
  • Gestionnaires de données et propriétaires de données de domaine provenant d’unités commerciales clés

Votre équipe doit également inclure les administrateurs système suivants :

  • Administrateur Microsoft Purview
  • Administrateur Microsoft 365
  • Administrateur Microsoft Entra ID (anciennement Azure Active Directory)
  • Administrateur des applications Microsoft Defender pour le cloud
  • Administrateur Power BI

Conseil

Attendez-vous à ce que la planification et l’implémentation de la protection des informations soient un effort de collaboration qui prendra du temps.

La tâche de planification et d’implémentation de la protection des informations est généralement une responsabilité à temps partiel pour la plupart des gens. Il s’agit généralement de l’une des nombreuses priorités urgentes. Par conséquent, le fait d’avoir un commanditaire exécutif aidera à clarifier les priorités, à fixer des échéances et à fournir des lignes directrices stratégiques.

La clarté des rôles et des responsabilités est nécessaire pour éviter les malentendus et les retards lorsque l’on travaille avec des équipes interfonctionnelles au-delà des frontières de l’organisation.

Liste de vérification : lors de la mise en place de votre équipe de protection des informations, les décisions et actions clés incluent :

  • Rassembler l’équipe : impliquez toutes les parties prenantes techniques et non techniques pertinentes.
  • Déterminer qui est le commanditaire exécutif : assurez-vous de comprendre clairement qui est le leader de l’effort de planification et d’implémentation. Impliquez cette personne (ou ce groupe) pour l’établissement des priorités, le financement, l’atteinte d’un consensus et la prise de décision.
  • Clarifier les rôles et les responsabilités : assurez-vous que toutes les personnes impliquées comprennent clairement leur rôle et leurs responsabilités.
  • Créer un plan de communication : réfléchissez à la façon et au moment où vous communiquerez avec les utilisateurs tout au long de l’organisation.

Objectifs et exigences

Il est important de prendre en compte vos objectifs en matière d’implémentation de la protection des informations et de la protection contre la perte de données. Les différentes parties prenantes de l’équipe que vous avez réunies sont susceptibles d’avoir des points de vue et des domaines de préoccupation différents.

À ce stade, nous vous recommandons de vous concentrer sur les objectifs stratégiques. Si votre équipe a commencé par définir les détails du niveau d’implémentation, nous vous suggérons de revenir en arrière et de définir les objectifs stratégiques. Des objectifs stratégiques bien définis vous aideront à fournir une implémentation plus fluide.

Vos exigences en matière de protection des informations et de protection contre la perte de données peuvent contenir les objectifs suivants.

  • Activation des utilisateurs en libre-service : permettez aux créateurs et aux propriétaires de contenu BI en libre-service de collaborer, de partager et d’être aussi productifs que possible, le tout dans les garde-fous établis par l’équipe de gouvernance. L’objectif est d’équilibrer le BI libre-service avec le décisionnel centralisé et de permettre aux utilisateurs en libre-service de faire facilement la bonne chose, sans nuire à leur productivité.
  • Culture des données qui valorise la protection des données approuvées : implémentez la protection des informations d’une manière qui soit faible et qui n’empêche pas la productivité des utilisateurs. Lorsqu’elle est implémentée de manière équilibrée, les utilisateurs sont beaucoup plus susceptibles de travailler dans vos systèmes qu’autour d’eux. La formation des utilisateurs et le support utilisateur sont essentiels.
  • Réduction des risques : protégez l’organisation en réduisant ses risques. Les objectifs de réduction des risques incluent souvent la réduction du risque de fuite de données en dehors de l’organisation et la protection des données contre tout accès non autorisé.
  • Conformité : prenez en charge les efforts de conformité pour les réglementations sectorielles, régionales et gouvernementales. En outre, votre organisation peut également avoir des exigences de gouvernance et de sécurité internes considérées comme critiques.
  • Capacité d’audit et sensibilisation : comprenez où se trouvent les données sensibles dans l’organisation et qui les utilise.

N’oubliez pas qu’une initiative visant à introduire la protection des informations est complémentaire à d’autres approches connexes qui impliquent la sécurité et la confidentialité. Coordonnez les initiatives de protection des informations avec d’autres efforts, tels que :

  • Accéder aux rôles, autorisations, partage et sécurité au niveau des lignes pour le contenu Power BI
  • Exigences de résidence des données
  • Exigences de sécurité du réseau
  • Cryptage des données
  • Initiatives de catalogage des données

Pour plus d’informations sur la sécurisation des contenus dans Power BI, consultez les articles Planification de la sécurité.

Liste de vérification : lorsque vous envisagez vos objectifs de protection des informations, les décisions et actions clés incluent :

  • Identifier les réglementations et les risques applicables en matière de confidentialité des données : assurez-vous que votre équipe est au courant des réglementations en matière de confidentialité des données auxquelles votre organisation est soumise pour votre secteur d’activité ou région géographique. Si nécessaire, effectuez une évaluation des risques liés à la confidentialité des données.
  • Discuter et clarifier vos objectifs : ayez des discussions initiales avec les parties prenantes pertinentes et les personnes intéressées. Assurez-vous d’identifier clairement vos objectifs stratégiques de protection des informations. Assurez-vous que vous pouvez traduire ces objectifs en exigences de l’entreprise.
  • Approuver, documenter et hiérarchiser vos objectifs : assurez-vous que vos objectifs stratégiques sont documentés et hiérarchisés. Lorsque vous devez prendre des décisions complexes, hiérarchiser ou faire des compromis, reportez-vous à ces objectifs.
  • Vérifier et documenter les exigences réglementaires et métier : assurez-vous que toutes les exigences réglementaires et commerciales en matière de confidentialité des données sont documentées. Consultez-les pour connaître les priorités et les besoins en matière de conformité.
  • Commencer à créer un plan : commencez à créer un plan de projet en utilisant les objectifs stratégiques hiérarchisés et les exigences documentées.

Contenu connexe

Dans l’article suivant de cette série, découvrez l’étiquetage et la classification des ressources de données à utiliser avec Power BI.