Aider à atténuer dynamiquement les risques avec la protection adaptative (préversion)

Importante

Gestion des risques internes Microsoft Purview met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité. Créés avec la confidentialité par défaut, les utilisateurs sont pseudonymisés par défaut, et des contrôles d’accès en fonction du rôle et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.

La protection adaptative dans Microsoft Purview utilise le Machine Learning pour identifier les risques les plus critiques et appliquer de manière proactive et dynamique des contrôles de protection à partir des éléments suivants :

• Stratégies de protection contre la perte de données (DLP) Microsoft Purview
• Microsoft Entra stratégies d’accès conditionnel

L’intégration à DLP et à l’accès conditionnel peut aider les organisations à automatiser leur réponse aux risques internes et à réduire le temps nécessaire pour identifier et corriger les menaces potentielles. En tirant parti des fonctionnalités des trois solutions, les organisations peuvent créer une infrastructure de sécurité plus complète qui traite les menaces internes et externes.

La protection adaptative permet d’atténuer les risques potentiels en utilisant :

• Détection contextuelle. Permet d’identifier les risques les plus critiques grâce à une analyse pilotée par ML du contenu et des activités des utilisateurs.
• Contrôles dynamiques. Permet d’appliquer des contrôles efficaces sur les utilisateurs à haut risque, tandis que d’autres maintiennent la productivité.
• Atténuation automatisée. Permet de réduire l’impact des incidents potentiels de sécurité des données et de réduire la surcharge d’administration.

La protection adaptative affecte dynamiquement les stratégies DLP et Microsoft Entra d’accès conditionnel Microsoft Purview appropriées aux utilisateurs en fonction des niveaux de risque définis et analysés par les modèles Machine Learning dans la gestion des risques internes. Les stratégies deviennent adaptatives en fonction du contexte utilisateur, ce qui garantit que la stratégie la plus efficace, telle que le blocage du partage de données via DLP ou le blocage de l’accès aux applications via l’accès conditionnel, est appliquée uniquement aux utilisateurs à haut risque, tandis que les utilisateurs à faible risque maintiennent leur productivité. Les contrôles de stratégie DLP et d’accès conditionnel s’ajustent constamment, de sorte que lorsque le niveau de risque d’un utilisateur change, une stratégie appropriée est appliquée dynamiquement pour correspondre au nouveau niveau de risque.

Importante

La gestion des risques internes est actuellement disponible dans les locataires hébergés dans des régions et des pays géographiques pris en charge par les dépendances de service Azure. Pour vérifier que la solution de gestion des risques internes est prise en charge pour votre organization, consultez Disponibilité des dépendances Azure par pays/région. La gestion des risques internes est disponible pour les clouds commerciaux, mais pas pour les programmes cloud du gouvernement des États-Unis pour le moment.

Regardez la vidéo suivante pour obtenir un résumé de la façon dont la protection adaptative peut vous aider à identifier et à atténuer les risques les plus critiques dans votre organization :

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Niveaux de risque et contrôles préventifs

Avec la protection adaptative, les administrateurs peuvent configurer les facteurs de risque ou les activités pour des niveaux de risque personnalisables en fonction des besoins de votre organization. Les niveaux de risque pour la protection adaptative se mettent à jour en continu et automatiquement en fonction des facteurs de risque et des insights des utilisateurs, de sorte que lorsque les risques de sécurité des données des utilisateurs augmentent ou diminuent, leurs niveaux de risque sont ajustés en conséquence. En fonction des niveaux de risque, les stratégies DLP et les stratégies d’accès conditionnel appliquent automatiquement le niveau approprié de contrôles préventifs configurés par les administrateurs (par exemple, bloquer, bloquer avec remplacement ou avertissement).

Selon la stratégie de gestion des risques internes affectée dans la protection adaptative, différents critères (utilisateurs, groupes, indicateurs, seuils, etc.) sont utilisés pour déterminer les niveaux de risque applicables. Les niveaux de risque sont basés sur les insights utilisateur, pas uniquement sur le nombre d’instances d’activités utilisateur spécifiques. Les insights sont un calcul du nombre agrégé d’activités et du niveau de gravité de ces activités.

Par exemple, les niveaux de risque pour l’utilisateur A ne seraient pas déterminés par l’utilisateur A effectuant une activité potentiellement risquée plus de trois fois. Les niveaux de risque pour l’utilisateur A seraient déterminés par un aperçu du nombre agrégé d’activités et les scores de risque seraient attribués à l’activité en fonction des seuils configurés dans la stratégie sélectionnée.

Niveaux de risque

Les niveaux de risque dans la protection adaptative définissent le niveau de risque de l’activité d’un utilisateur et peuvent être basés sur des critères tels que le nombre d’activités d’exfiltration effectuées ou si son activité a généré une alerte de risque interne de gravité élevée. Ces niveaux de risque ont des définitions de niveau de risque intégrées, mais ces définitions peuvent être personnalisées en fonction des besoins :

• Niveau de risque élevé : il s’agit du niveau de risque le plus élevé. Il inclut des définitions intégrées pour les utilisateurs avec des alertes de gravité élevée, les utilisateurs avec au moins trois insights de séquence qui ont chacun une alerte de gravité élevée pour des activités à risque spécifiques, ou une ou plusieurs alertes de gravité élevée confirmées.
• Niveau de risque modéré : le niveau de risque moyen inclut des définitions intégrées pour les utilisateurs avec des alertes de gravité moyenne ou les utilisateurs avec au moins deux activités d’exfiltration de données avec des scores de gravité élevés.
• Niveau de risque mineur : le niveau de risque le plus bas inclut des définitions intégrées pour les utilisateurs avec des alertes de faible gravité ou les utilisateurs avec au moins une activité d’exfiltration de données avec un score de gravité élevé.

Pour qu’un niveau de risque soit attribué à un utilisateur, le nombre d’insights et la gravité attribués à l’activité doivent correspondre à la définition du niveau de risque. Le nombre d’activités d’un insight peut être une seule activité ou plusieurs activités qui s’accumulent pour l’insight unique. Le nombre d’insights est évalué pour la définition du niveau de risque, et non pour le nombre d’activités contenues dans un insight.

Par exemple, supposons que les conditions de la stratégie de gestion des risques internes affectées à la protection adaptative soient limitées à l’identification des téléchargements à partir de sites SharePoint dans votre organization. Si la stratégie détecte qu’un utilisateur a téléchargé 10 fichiers à partir d’un site SharePoint en une seule journée qui sont déterminés comme étant d’une gravité élevée, cela est comptabilisé comme un insight unique qui se compose de 10 événements d’activité. Pour que cette activité puisse être éligible à l’attribution d’un niveau de risque élevé à l’utilisateur, deux insights supplémentaires (avec une gravité élevée) sont nécessaires pour l’utilisateur. Les informations supplémentaires peuvent ou non contenir une ou plusieurs activités.

Personnalisation des niveaux de risque

Les niveaux de risque personnalisés vous permettent de créer des niveaux de risque en fonction des besoins de votre organization. Vous pouvez personnaliser les critères sur lesquels le niveau de risque est basé, puis définir des conditions pour contrôler le moment où le niveau de risque est attribué aux utilisateurs.

Considérez les exemples suivants pour l’utilisation de la protection adaptative avec des stratégies DLP et d’accès conditionnel.

• Stratégies DLP :
  • Permettre aux utilisateurs présentant un niveau de risque mineur ou moyen de recevoir des conseils de stratégie et de l’éducation sur les meilleures pratiques de gestion des données sensibles. De cette façon, vous pouvez influencer les changements de comportement positifs au fil du temps et réduire les risques liés aux données organisationnelles.
  • Empêchez les utilisateurs avec le niveau de risque élevé d’enregistrer ou de partager des données sensibles afin de réduire l’impact des incidents de données potentiels.
• Stratégies d’accès conditionnel :
  • Exiger que les utilisateurs de niveau de risque mineur accusent réception des conditions d’utilisation avant d’utiliser une application.
  • Empêcher les utilisateurs de niveau de risque moyen d’accéder à certaines applications
  • Empêcher complètement les utilisateurs de niveau de risque élevé d’utiliser n’importe quelle application. En savoir plus sur les stratégies d’accès conditionnel couramment appliquées

Critères et conditions de niveau de risque

La personnalisation des critères et conditions de niveau de risque peut être basée sur les domaines suivants :

• Alertes générées ou confirmées pour un utilisateur : cette option vous permet de choisir des conditions en fonction du niveau de gravité des alertes générées ou confirmées pour un utilisateur pour la stratégie de gestion des risques internes sélectionnée. Les conditions pour les alertes ne sont pas additives et le niveau de risque est attribué à un utilisateur si l’une des conditions est remplie.
• Activité utilisateur spécifique : cette option vous permet de choisir les conditions pour l’activité à détecter, sa gravité et le nombre d’occurrences quotidiennes pendant la fenêtre de détection d’activité passée (facultatif). Les conditions relatives à l’activité de l’utilisateur sont additives et le niveau de risque est attribué à un utilisateur uniquement si toutes les conditions sont remplies.

Détection d’activité passée

Ce paramètre de niveau de risque détermine le nombre de jours que la protection adaptative de retour examine pour détecter si un utilisateur remplit les conditions définies par l’un des niveaux de risque. Le paramètre par défaut est 7 jours, mais vous pouvez choisir entre 5 et 30 jours d’activité précédente pour appliquer des conditions de niveau de risque. Ce paramètre s’applique uniquement aux niveaux de risque basés sur l’activité quotidienne d’un utilisateur et exclut les niveaux de risque basés sur les alertes.

L’exemple suivant illustre la façon dont les paramètres de détection des activités passées et les niveaux de risque interagissent pour déterminer si l’activité passée d’un utilisateur est dans l’étendue :

• Paramètre de niveau de risque élevé : l’utilisateur effectue au moins trois séquences, chacune avec un score de risque de gravité élevé (67 à 100)
• Paramètre de détection d’activité passée : 3 jours

Activité utilisateur	Activité dans l’étendue pour le niveau de risque
L’utilisateur a 1 séquence de gravité élevée chaque jour le jour T-3, T-2, T-1	Oui
L’utilisateur a 3 séquences de gravité élevée le jour T-3	Oui
L’utilisateur a 1 séquence de gravité élevée le jour T-4 et 2 séquences de gravité élevée le jour T-3	Non

Période de niveau de risque

Ce paramètre de niveau de risque détermine la durée pendant laquelle un niveau de risque reste attribué à un utilisateur avant sa réinitialisation automatique. Le paramètre par défaut est 7 jours, mais vous pouvez choisir entre 5 et 30 jours avant de réinitialiser le niveau de risque pour un utilisateur.

Les niveaux de risque sont également réinitialisés pour un utilisateur dans les cas suivants :

• L’alerte associée pour l’utilisateur est ignorée
• Le cas associé pour l’utilisateur est résolu
• La date de fin du niveau de risque a expiré manuellement

Remarque

Si un utilisateur se voit actuellement attribuer un niveau de risque et que cet utilisateur remplit à nouveau les critères pour ce niveau de risque, la période de niveau de risque est étendue pour le nombre de jours défini pour l’utilisateur.

Autorisations pour la protection adaptative

Selon la façon dont vous utilisez les groupes de rôles intégrés et les groupes de rôles intégrés à la gestion des risques internes pour DLP ou l’accès conditionnel, vous devrez peut-être mettre à jour les autorisations pour les administrateurs, les analystes et les enquêteurs dans votre organization.

Le tableau suivant décrit les autorisations requises pour des tâches de protection adaptative spécifiques.

Tâche	Groupe de rôles requis
Configurer les paramètres de mise à jour et de protection adaptative	Gestion des risques internes ou administrateurs de gestion des risques internes
Créer et gérer des stratégies DLP avec la condition de protection adaptative	L’un des éléments suivants : Administrateur de conformité, Administrateur des données de conformité, Gestion de la conformité DLP, Administrateur général
Créer et gérer des stratégies d’accès conditionnel avec la condition de protection adaptative	L’un des éléments suivants : Administrateur général, administrateur de l’accès conditionnel, administrateur de la sécurité
Afficher des détails sur les niveaux de risque attribués aux utilisateurs	Gestion des risques internes, analystes de gestion des risques internes ou enquêteurs en gestion des risques internes

Importante

Les quatre catégories de groupes de rôles correspondent aux onglets suivants de la page Protection adaptative : niveaux de risque pour la protection adaptative, niveaux de risque attribués aux utilisateurs, stratégies DLP, stratégies d’accès conditionnel. Si vous n’êtes pas affecté au groupe de rôles approprié, l’onglet n’apparaît pas dans la page Protection adaptative.

En savoir plus sur les groupes de rôles dans Microsoft Defender pour Office 365 et la conformité Microsoft Purview

Configurer la protection adaptative

Selon les besoins de votre organization ou où vous êtes actuellement configuré avec la gestion des risques internes, la protection contre la perte de données et l’accès conditionnel, vous avez deux options pour commencer à utiliser la protection adaptative :

• Configuration rapide
• Configuration personnalisée

Configuration rapide

L’option de configuration rapide est le moyen le plus rapide de commencer à utiliser la protection adaptative. Avec cette option, vous n’avez pas besoin de stratégies préexistantes de gestion des risques internes, de DLP ou d’accès conditionnel, et vous n’avez pas besoin de préconfigurer des paramètres ou des fonctionnalités. Si votre organization n’a pas d’abonnement ou de licence actuel qui prend en charge la gestion des risques internes ou la protection contre la perte de données, inscrivez-vous à une version d’évaluation des solutions de gestion des risques et de conformité Microsoft Purview avant de commencer le processus de configuration rapide. Vous pouvez également vous inscrire à une version d’évaluation Microsoft Entra.

Pour commencer, sélectionnez Activer la protection adaptative dans les cartes de protection adaptative de la page d’accueil du portail Microsoft Purview ou de la page Vue d’ensemble de DLP. Vous pouvez également prendre en main le processus de configuration rapide en accédant à Gestion des> risques internes Tableaude bord>de protection> adaptativeConfiguration rapide.

Remarque

Si vous êtes déjà administrateur délimité pour Microsoft Purview, vous ne pouvez pas activer la configuration rapide.

Voici ce qui est configuré lorsque vous utilisez le processus de configuration rapide pour la protection adaptative :

Catégorie	Configuration
Paramètres de risque interne (s’ils ne sont pas déjà configurés)	- Confidentialité : afficher les versions anonymisées des noms d’utilisateur. Note: Les noms d’utilisateur ne sont pas rendus anonymes dans l’accès conditionnel ou DLP - Délais de stratégie : valeurs par défaut - Indicateurs de stratégie : sous-ensemble d’indicateurs Office (vous pouvez afficher dans les paramètres de gestion des risques internes) - Boosters de score de risque : Tous - Détections intelligentes : Volume d’alerte = Volume par défaut - Analytique : activé - notifications Administration : envoyer un e-mail de notification lorsque la première alerte est générée pour tous
Paramètres de risque interne (s’ils sont déjà configurés)	- Indicateurs de stratégie : les indicateurs Office ne sont pas déjà configurés (vous pouvez les afficher dans les paramètres de gestion des risques internes). - Tous les autres paramètres précédemment configurés ne sont pas mis à jour ou modifiés. - Analytique : Activé (les seuils de déclenchement d’événements dans les stratégies sont les paramètres par défaut déterminés par les recommandations Analytics.)
Une nouvelle stratégie de risque interne	- Modèle de stratégie : Fuites de données - Nom de la stratégie : Stratégie de protection adaptative pour la gestion des risques internes - Étendue de stratégie pour les utilisateurs et les groupes : tous les utilisateurs et groupes - Contenu prioritaire : Aucun - Déclenchement d’événements : événements d’exfiltration sélectionnés (vous pouvez afficher dans les paramètres de gestion des risques internes) - Indicateurs de stratégie : sous-ensemble d’indicateurs Office (vous pouvez afficher dans les paramètres de gestion des risques internes) - Boosters de score de risque : l’activité est au-dessus de l’activité habituelle de l’utilisateur pour ce jour-là
Niveaux de risque de protection adaptative	- Niveau de risque élevé : les utilisateurs doivent avoir au moins trois séquences d’exfiltration de gravité élevée - Niveau de risque modéré : les utilisateurs doivent avoir au moins deux activités de gravité élevée (à l’exception de certains types de téléchargements) - Niveau de risque mineur : les utilisateurs doivent avoir au moins une activité de gravité élevée (à l’exception de certains types de téléchargements)
Deux nouvelles stratégies DLP	Stratégie de protection adaptative pour endpoint DLP - Règle de niveau de risque élevé : Bloqué - Modérée/Règle de niveau de risque mineur : Audit - La stratégie démarre en mode test (audit uniquement) Stratégie de protection adaptative pour Teams et Exchange DLP - Règle de niveau de risque élevé : Bloqué - Modérée/Règles de niveau de risque mineur : Audit - La stratégie démarre en mode test (audit uniquement)
Nouvelle stratégie d’accès conditionnel (créée en mode Rapport uniquement afin que les utilisateurs ne soient pas bloqués)	1-Bloquer l’accès pour les utilisateurs présentant un risque interne (préversion) - Utilisateurs inclus : Tous les utilisateurs - Utilisateurs invités ou externes exclus : utilisateur B2bDirectConnect ; OtherExternalUser ; Serviceprovider - Applications cloud : toutes les applications - Niveaux de risque internes : Élevé - Bloquer l’accès : sélectionné

Une fois le processus de configuration rapide démarré, l’analytique peut prendre jusqu’à 72 heures, les stratégies de gestion des risques internes, DLP et d’accès conditionnel associées sont créées, et vous pouvez vous attendre à voir les niveaux de risque de protection adaptative, la protection contre la perte de données et les actions d’accès conditionnel appliquées aux activités des utilisateurs applicables. Les administrateurs reçoivent un e-mail de notification une fois le processus d’installation rapide terminé.

Configuration personnalisée

L’option d’installation personnalisée vous permet de personnaliser la stratégie de gestion des risques internes, les niveaux de risque et les stratégies DLP et d’accès conditionnel configurées pour la protection adaptative. Cette option vous permet également de configurer ces éléments avant d’activer réellement les connexions de protection adaptative entre la gestion des risques internes et DLP. Dans la plupart des cas, cette option doit être utilisée par les organisations qui ont déjà mis en place une gestion des risques internes et/ou des stratégies DLP.

Effectuez les étapes suivantes pour configurer la protection adaptative à l’aide de la configuration personnalisée :

Étape 1 : Créer une stratégie de gestion des risques internes

Les niveaux de risque sont attribués aux utilisateurs lorsqu’une stratégie affectée dans la protection adaptative détecte l’activité des utilisateurs ou génère des alertes qui correspondent aux conditions de niveau de risque que vous définissez à l’étape suivante. Si vous ne souhaitez pas utiliser une stratégie de gestion des risques internes existante (sélectionnée à l’étape 2), vous devez créer une stratégie de gestion des risques internes. Votre stratégie de gestion des risques internes pour la protection adaptative doit inclure :

• Utilisateurs dont vous souhaitez détecter l’activité. Il peut s’agir de tous les utilisateurs et groupes de votre organization ou simplement d’un sous-ensemble à des fins de test ou de scénarios d’atténuation des risques spécifiques.
• Activités que vous considérez comme risquées et des seuils personnalisés qui influencent le score de risque d’une activité. Les activités à risque peuvent inclure l’envoi d’e-mails à des personnes extérieures à votre organization ou la copie de fichiers sur des périphériques USB.

Sélectionnez Créer une stratégie de risque interne pour lancer l’Assistant Nouvelle stratégie. Le modèle de stratégie Fuites de données est automatiquement sélectionné dans l’Assistant, mais vous pouvez sélectionner n’importe quel modèle de stratégie si nécessaire.

Importante

Selon le modèle de stratégie sélectionné, vous devrez peut-être configurer des paramètres supplémentaires pour la stratégie afin de détecter correctement les activités potentiellement risquées et de créer des alertes applicables

Étape 2 : Configurer les paramètres de niveau de risque

Sélectionnez l’onglet Niveaux de risque pour la protection adaptative . Commencez par sélectionner la stratégie de gestion des risques internes que vous souhaitez utiliser pour la protection adaptative. Il peut s’agir de la nouvelle stratégie que vous avez créée à l’étape 1 ou d’une ou plusieurs stratégies existantes que vous avez déjà configurées.

Ensuite, acceptez les conditions de niveau de risque intégrées applicables ou créez les vôtres. Selon le type de stratégie que vous avez sélectionné, les conditions de niveau de risque reflètent les conditions applicables associées aux indicateurs et aux activités que vous avez configurés dans la stratégie.

Par exemple, si vous avez choisi une stratégie basée sur le modèle de stratégie Fuites de données , les choix de conditions de niveau de risque intégrés s’appliquent aux indicateurs et activités disponibles dans cette stratégie. Si vous avez sélectionné une stratégie basée sur le modèle de stratégie violations de stratégie de sécurité , les conditions de niveau de risque intégrées sont automatiquement limitées aux indicateurs et activités disponibles dans cette stratégie.

Personnaliser un niveau de risque pour votre stratégie

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Portail Microsoft Purview

1. Connectez-vous au portail Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.

2. Accédez à la solution de gestion des risques internes .

3. Sélectionnez Protection adaptative (préversion) dans le volet de navigation gauche, puis sélectionnez Niveaux de risque.

4. Dans la page Niveaux de risque pour la protection adaptative , sélectionnez Modifier pour le niveau de risque que vous souhaitez personnaliser (Élevé, Modéré ou Mineur).

5. Dans le volet Niveau de risque personnalisé , sélectionnez une option dans la section Niveau de risque basé sur :

   • Alerte générée ou confirmée pour un utilisateur
   • Activité utilisateur spécifique

6. Si vous avez sélectionné l’option Alerte générée ou confirmée pour un utilisateur , vous choisissez les niveaux de gravité des alertes générées ou confirmées pour un utilisateur qui doit utiliser ce niveau de risque. Vous pouvez conserver la gravité pour les alertes générées et la gravité des conditions d’alertes confirmées ou supprimer l’une de ces conditions si vous souhaitez en utiliser une seule. Si vous devez rajouter l’une de ces conditions, sélectionnez Ajouter une condition , puis sélectionnez la condition. Pour chaque condition, choisissez le niveau de gravité à appliquer pour la condition (Élevé, Moyen ou Faible). Si l’une des conditions est remplie, le niveau de risque est attribué à un utilisateur.

7. Si vous avez sélectionné l’option Activité utilisateur spécifique , choisissez l’activité à détecter, sa gravité et le nombre d’occurrences quotidiennes pendant la fenêtre de détection d’activité passée. Vous devez configurer les activités, la gravité de l’activité et les occurrences d’activité pendant la fenêtre de détection pour ce niveau de risque.

   Pour la condition Activités , les options que vous pouvez choisir sont automatiquement mises à jour pour les types d’activités que vous avez définis avec les indicateurs configurés dans la stratégie associée. Si nécessaire, cochez la case Attribuer ce niveau de risque à tout utilisateur dont une alerte future est confirmée, même si les conditions ci-dessus ne sont pas remplies . Si toutes les conditions sont remplies, le niveau de risque est attribué à un utilisateur.

   Pour la condition de gravité de l’activité, spécifiez le niveau de gravité des activités incluses dans l’insight de l’activité quotidienne. Les options sont Haut, Moyen et Faible, et sont basées sur des plages de score de risque.

   Pour la condition Occurrences d’activité pendant la fenêtre de détection, vous spécifiez le nombre de fois où les activités sélectionnées doivent être détectées au cours de la période de détection de l’activité passée spécifiée. Ce nombre n’est pas lié au nombre d’événements susceptibles de se produire pour une activité. Par exemple, si la stratégie détecte qu’un utilisateur a téléchargé 20 fichiers à partir de SharePoint en une journée, cela compte comme un insight d’activité quotidienne composé de 20 événements.

8. Sélectionnez Confirmer pour appliquer les conditions de niveau de risque personnalisées ou Annuler pour ignorer vos modifications.

Portail de conformité

1. Connectez-vous au portail de conformité Microsoft Purview à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365.

2. Accédez à la solution de gestion des risques internes .

3. Sélectionnez l’onglet Protection adaptative (préversion), puis sélectionnez Niveaux de risque.

4. Dans la page Niveaux de risque pour la protection adaptative , sélectionnez Modifier pour le niveau de risque que vous souhaitez personnaliser (Élevé, Modéré ou Mineur).

5. Dans le volet Niveau de risque personnalisé , sélectionnez une option dans la section Niveau de risque basé sur :

   • Alerte générée ou confirmée pour un utilisateur
   • Activité utilisateur spécifique

6. Si vous avez sélectionné l’option Alerte générée ou confirmée pour un utilisateur , vous choisissez les niveaux de gravité des alertes générées ou confirmées pour un utilisateur qui doit utiliser ce niveau de risque. Vous pouvez conserver la gravité pour les alertes générées et la gravité des conditions d’alertes confirmées ou supprimer l’une de ces conditions si vous souhaitez en utiliser une seule. Si vous devez rajouter l’une de ces conditions, sélectionnez Ajouter une condition , puis sélectionnez la condition. Pour chaque condition, choisissez le niveau de gravité à appliquer pour la condition (Élevé, Moyen ou Faible). Si l’une des conditions est remplie, le niveau de risque est attribué à un utilisateur.

7. Si vous avez sélectionné l’option Activité utilisateur spécifique , choisissez l’activité à détecter, sa gravité et le nombre d’occurrences quotidiennes pendant la fenêtre de détection d’activité passée. Vous devez configurer les activités, la gravité de l’activité et les occurrences d’activité pendant la fenêtre de détection pour ce niveau de risque.

   Pour la condition Activités , les options que vous pouvez choisir sont automatiquement mises à jour pour les types d’activités que vous avez définis avec les indicateurs configurés dans la stratégie associée. Si nécessaire, cochez la case Attribuer ce niveau de risque à tout utilisateur dont une alerte future est confirmée, même si les conditions ci-dessus ne sont pas remplies . Si toutes les conditions sont remplies, le niveau de risque est attribué à un utilisateur.

   Pour la condition de gravité de l’activité, spécifiez le niveau de gravité des activités incluses dans l’insight de l’activité quotidienne. Les options sont Haut, Moyen et Faible, et sont basées sur des plages de score de risque.

   Pour la condition Occurrences d’activité pendant la fenêtre de détection, vous devez spécifier le nombre de fois où les activités sélectionnées doivent être détectées au cours de la période de détection de l’activité passée spécifiée. Ce nombre n’est pas lié au nombre d’événements susceptibles de se produire pour une activité. Par exemple, si la stratégie détecte qu’un utilisateur a téléchargé 20 fichiers à partir de SharePoint en une journée, cela compte comme un insight d’activité quotidienne composé de 20 événements.

8. Sélectionnez Confirmer pour appliquer les conditions de niveau de risque personnalisées ou Annuler pour ignorer vos modifications.

Comment le niveau de risque est attribué si un utilisateur est dans l’étendue de plusieurs stratégies

Si un utilisateur est dans l’étendue de plusieurs stratégies, si l’utilisateur reçoit des alertes de niveaux de gravité différents, par défaut, l’utilisateur se voit attribuer le niveau de gravité le plus élevé reçu. Par exemple, considérez une stratégie qui attribue un niveau de risque élevé si les utilisateurs reçoivent une alerte de gravité élevée. Si un utilisateur reçoit une alerte de faible gravité de la stratégie 1, une alerte de gravité moyenne de la stratégie 2 et une alerte de gravité élevée de la stratégie 3, l’utilisateur se voit attribuer un niveau de risque élevé , c’est-à-dire le niveau de gravité d’alerte la plus élevée reçu.

Notez que les conditions de niveau de risque doivent être présentes dans les stratégies sélectionnées pour être détectées. Par exemple, si vous sélectionnez l’activité Copier sur USB pour attribuer un niveau de risque modéré , mais que l’activité est sélectionnée dans l’une des trois stratégies sélectionnées, seule l’activité de cette stratégie attribue un niveau de risque modéré pour cette activité.

Étape 3 : Créer ou modifier une stratégie DLP

Ensuite, créez (ou modifiez) une stratégie DLP existante pour limiter les actions pour les utilisateurs qui correspondent à vos conditions de niveau de risque dans la protection adaptative. Utilisez les instructions suivantes pour la configuration de votre stratégie DLP :

• Vous devez inclure le niveau de risque de l’utilisateur pour la condition De protection adaptative est dans votre stratégie DLP. Cette stratégie DLP peut inclure d’autres conditions si nécessaire.
• Bien que vous puissiez inclure d’autres emplacements dans la stratégie DLP, la protection adaptative prend actuellement uniquement en charge Exchange, Microsoft Teams et les appareils.

Sélectionnez Créer une stratégie DLP pour lancer l’Assistant Stratégie DLP et créer une stratégie DLP. Si vous avez une stratégie DLP existante que vous souhaitez configurer pour la protection adaptative, accédez àStratégies de protection contre la> perte de données dans le portail de conformité et sélectionnez la stratégie DLP que vous souhaitez mettre à jour pour la protection adaptative. Pour obtenir des conseils sur la configuration d’une nouvelle stratégie DLP ou la mise à jour d’une stratégie DLP existante pour la protection adaptative, consultez En savoir plus sur la protection adaptative dans la protection contre la perte de données : configuration manuelle.

Conseil

Nous vous recommandons de tester la stratégie DLP (avec des conseils de stratégie) afin de pouvoir passer en revue les alertes DLP pour vérifier que la stratégie fonctionne comme prévu avant d’activer ap.

Étape 4 : Créer ou modifier une stratégie d’accès conditionnel

Ensuite, créez (ou modifiez) une stratégie d’accès conditionnel existante pour limiter les actions pour les utilisateurs qui correspondent à vos conditions de niveau de risque dans la protection adaptative. Utilisez les instructions suivantes pour la configuration de votre stratégie d’accès conditionnel :

• Dans la page Accès conditionnel dans laquelle vous contrôlez l’accès en fonction des signaux provenant de conditions, définissez la condition de risque interne sur Oui, puis sélectionnez un niveau de risque (Élevé, Modéré ou Mineur). Il s’agit du niveau de risque que les utilisateurs doivent avoir pour que la stratégie soit appliquée.

Sélectionnez Créer une stratégie d’accès conditionnel pour lancer l’Assistant Stratégie d’accès conditionnel et créer une stratégie d’accès conditionnel. Si vous avez une stratégie d’accès conditionnel existante que vous souhaitez configurer pour la protection adaptative, accédez à Protection>de l’accès conditionnel dans le centre d'administration Microsoft Entra et sélectionnez la stratégie d’accès conditionnel que vous souhaitez mettre à jour pour la protection adaptative. Pour obtenir des conseils sur la configuration d’une nouvelle stratégie d’accès conditionnel ou la mise à jour d’une stratégie d’accès conditionnel existante pour la protection adaptative, consultez Stratégie d’accès conditionnel commune : stratégie basée sur les risques internes.

Étape 5 : Activer la protection adaptative

Une fois que vous avez effectué toutes les étapes précédentes, vous êtes prêt à activer la protection adaptative. Lorsque vous activez la protection adaptative :

• La stratégie de gestion des risques internes commence à rechercher l’activité utilisateur correspondant à vos conditions de niveau de risque. Si la détection est détectée, les niveaux de risque sont attribués aux utilisateurs.
• Les utilisateurs auxquels des niveaux de risque sont attribués s’affichent sous l’onglet Utilisateurs dans l’étendue de la protection adaptative.
• La stratégie DLP applique des actions de protection pour tout utilisateur affecté aux niveaux de risque inclus dans la stratégie DLP. La stratégie DLP est ajoutée à l’onglet Stratégies DLP dans Adaptive Protection (préversion) . Vous pouvez afficher des détails sur la stratégie DLP et modifier les conditions de stratégie à partir du tableau de bord.
• La stratégie d’accès conditionnel applique des actions de protection pour tout utilisateur affecté aux niveaux de risque inclus dans la stratégie d’accès conditionnel. La stratégie d’accès conditionnel est ajoutée à l’onglet Stratégies d’accès conditionnel dans La protection adaptative (préversion) . Vous pouvez afficher des détails sur la stratégie d’accès conditionnel et modifier les conditions de stratégie à partir du tableau de bord.

Pour activer la protection adaptative, sélectionnez l’onglet Paramètres de protection adaptative, puis activez Activer la protection adaptative. Jusqu’à 36 heures peuvent s’attendre à ce que les niveaux de risque de protection adaptative et les actions DLP et d’accès conditionnel soient appliqués aux activités des utilisateurs applicables.

Regardez la vidéo suivante sur le canal Microsoft Mechanics pour voir comment la protection adaptative peut ajuster automatiquement la puissance de la protection des données en fonction des niveaux de risque calculés pour la sécurité des données des utilisateurs.

Gérer la protection adaptative

Une fois que vous avez activé la protection adaptative et que vos stratégies de gestion des risques internes, DLP et accès conditionnel sont configurées, vous avez accès aux informations sur les métriques de stratégie, les utilisateurs actuels dans l’étendue et les niveaux de risque actuellement dans l’étendue.

Tableau de bord

Une fois que vous avez terminé le processus de configuration rapide ou personnalisée , l’onglet Tableau de bord dans Protection adaptative (préversion) affiche des widgets pour obtenir des informations récapitulatives sur les niveaux de risque utilisateur, les stratégies d’accès conditionnel et les stratégies DLP.

• Niveaux de risque attribués aux utilisateurs : affiche le nombre d’utilisateurs pour chaque niveau de risque (Risque élevé, Risque modéré et Risque mineur).
• Stratégies utilisant des niveaux de risque : affiche le status de stratégies (Non démarré ou Terminé), le type de stratégie (accès conditionnel ou protection contre la perte de données) et le nombre de stratégies configurées pour chaque type de stratégie. Si un type de stratégie n’a pas été configuré, vous pouvez sélectionner le bouton Configuration rapide pour configurer la stratégie.

Niveaux de risque attribués aux utilisateurs

Les utilisateurs auxquels un niveau de risque a été attribué dans la protection adaptative s’affichent sous l’onglet Niveaux de risque attribués aux utilisateurs . Vous pouvez consulter les informations suivantes pour chaque utilisateur :

• Utilisateurs : Listes le nom d’utilisateur. Pour les stratégies DLP, si l’option Afficher les versions anonymes des noms d’utilisateur est sélectionnée dans les paramètres de gestion des risques internes, vous verrez des noms d’utilisateur anonymes. Pour les stratégies d’accès conditionnel, les noms d’utilisateur ne sont pas rendus anonymes, même si le paramètre Afficher les versions anonymisées des noms d’utilisateur est sélectionné.

  Importante

  Pour maintenir l’intégrité référentielle, l’anonymisation des noms d’utilisateur (si elle est activée) n’est pas conservée pour les utilisateurs de la protection adaptative dont les alertes ou l’activité apparaissent en dehors de la gestion des risques internes. Les noms d’utilisateur réels s’affichent dans les alertes DLP associées et dans l’explorateur d’activités.

• Niveau de risque : niveau de risque actuel attribué à l’utilisateur.

• Affecté à l’utilisateur : nombre de jours ou de mois qui se sont écoulés depuis qu’un niveau de risque a été attribué à l’utilisateur.

• Réinitialisations du niveau de risque : nombre de jours avant que le niveau de risque ne soit automatiquement réinitialisé pour l’utilisateur.

  Pour réinitialiser manuellement le niveau de risque d’un utilisateur, sélectionnez-le, puis sélectionnez Expirer. Un niveau de risque n’est plus affecté à cet utilisateur. Les alertes ou les cas existants pour cet utilisateur ne seront pas supprimés. Si cet utilisateur est inclus dans la stratégie de gestion des risques internes sélectionnée, un niveau de risque est attribué à nouveau si un événement déclencheur est détecté.

• Alertes actives : nombre d’alertes actuelles de gestion des risques internes pour l’utilisateur.

• Cas confirmés comme violation : nombre de cas confirmés pour l’utilisateur.

• Case : nom du cas.

Si nécessaire, vous pouvez filtrer les utilisateurs par niveau de risque.

Pour afficher des informations détaillées sur les risques internes et la protection adaptative d’un utilisateur spécifique, sélectionnez l’utilisateur pour ouvrir le volet d’informations utilisateur. Le volet d’informations contient trois onglets : Profil utilisateur, Activité de l’utilisateur et Résumé de la protection adaptative. Pour plus d’informations sur les onglets Profil utilisateur et Activité de l’utilisateur , consultez Afficher les détails de l’utilisateur.

L’onglet Résumé de la protection adaptative agrège les informations en quatre sections :

• Protection adaptative : cette section affiche des informations sur le niveau de risque actuel, le niveau de risque affecté et la réinitialisation du niveau de risque pour l’utilisateur.
• Stratégies DLP dans l’étendue (dynamique) : cette section affiche toutes les stratégies DLP actuellement dans l’étendue de l’utilisateur, ainsi que la date de début et de fin de la stratégie. Cela est basé sur le niveau de risque pour l’utilisateur et la configuration de la stratégie DLP pour les niveaux de risque. Par exemple, si un utilisateur a des activités qui ont été définies en tant que niveaux de risque élevés pour les stratégies de gestion des risques internes et que deux stratégies DLP sont configurées avec la condition Niveau de risque élevé , ces deux stratégies DLP s’affichent ici pour l’utilisateur.
• Stratégies d’accès conditionnel dans l’étendue (dynamique) : cette section affiche toutes les stratégies d’accès conditionnel actuellement dans l’étendue de l’utilisateur, ainsi que la date de début et de fin de la stratégie. Cela est basé sur le niveau de risque pour l’utilisateur et la configuration de la stratégie d’accès conditionnel pour les niveaux de risque. Par exemple, si un utilisateur a des activités qui ont été définies en tant que niveaux de risque élevés pour les stratégies de gestion des risques internes et qu’une stratégie d’accès conditionnel est configurée avec la condition Niveau de risque élevé , la stratégie d’accès conditionnel s’affiche ici pour l’utilisateur.
• Stratégie de risque interne pour la protection adaptative : cette section affiche toute stratégie de gestion des risques internes dans laquelle l’utilisateur est actuellement dans l’étendue.

Stratégies d’accès conditionnel

La page Stratégies d’accès conditionnel affiche toutes les stratégies d’accès conditionnel qui utilisent la condition de risque Insider . Vous pouvez consulter les informations suivantes pour chaque stratégie :

• Nom de la stratégie : nom de la stratégie d’accès conditionnel.
• État de la stratégie : état actuel de la stratégie. Les valeurs sont Active ou Inactive.
• Niveaux de risque inclus : niveaux de risque inclus dans la stratégie d’accès conditionnel à l’aide de la condition de risque interne . Les options sont Les niveaux de risque élevés, modérés ou mineurs .
• Status de stratégie : status actuelle de la stratégie d’accès conditionnel. Les options sont Activé ou Tester avec des notifications.
• Créé le : date à laquelle la stratégie d’accès conditionnel a été créée.
• Dernière modification : date de la dernière modification de la stratégie conditionnelle.

Stratégies de protection contre la perte de données

La page Stratégies DLP affiche toutes les stratégies DLP qui utilisent le niveau de risque de l’utilisateur pour la condition De protection adaptative . Vous pouvez consulter les informations suivantes pour chaque stratégie :

• Nom de la stratégie : nom de la stratégie DLP.
• État de la stratégie : état actuel de la stratégie. Les valeurs sont Active ou Inactive.
• Emplacement de la stratégie : emplacements inclus dans la stratégie DLP. Actuellement, la protection adaptative prend uniquement en charge Exchange, Teams et Appareils.
• Niveaux de risque inclus : Les niveaux de risque inclus dans la stratégie DLP utilisant le niveau de risque de l’utilisateur pour la protection adaptative sont condition. Les options sont Les niveaux de risque élevés, modérés ou mineurs .
• Status de stratégie : status actuelle de la stratégie DLP. Les options sont Activé ou Tester avec des notifications.
• Créé : date à laquelle la stratégie DLP a été créée.
• Dernière modification : date de la dernière modification de la stratégie DLP.

Régler vos paramètres de niveau de risque

Après avoir examiné les utilisateurs présentant des niveaux de risque, vous constaterez peut-être que vous avez trop ou trop peu d’utilisateurs auxquels un niveau de risque est attribué. Vous pouvez utiliser deux méthodes pour paramétrer vos configurations de stratégie afin de réduire ou d’augmenter le nombre d’utilisateurs auxquels des niveaux de risque sont affectés :

• Modifier les paramètres de niveau de risque interne. Vous pouvez ajuster vos seuils pour affecter un niveau de risque à un utilisateur :
  • Augmentez ou diminuez la gravité de l’activité requise pour attribuer un niveau de risque. Par exemple, si vous voyez trop peu d’utilisateurs avec des niveaux de risque, vous pouvez réduire la gravité de l’activité ou de l’alerte.
  • Si le niveau de risque est basé sur une activité utilisateur spécifique, augmentez ou diminuez les occurrences d’activité pendant la fenêtre de détection. Par exemple, si vous voyez trop peu d’utilisateurs avec des niveaux de risque, vous pouvez réduire les occurrences d’activité.
  • Modifier le niveau de risque basé. Par exemple, si vous voyez trop d’utilisateurs avec des niveaux de risque, pour réduire le nombre d’utilisateurs, vous pouvez attribuer un niveau de risque uniquement si l’alerte est confirmée.
• Modifier les seuils de stratégie. Étant donné que les niveaux de risque sont attribués en fonction des détections de stratégie, vous pouvez également modifier votre stratégie, ce qui modifiera à son tour les exigences pour attribuer un niveau de risque. Vous pouvez modifier une stratégie en augmentant ou en diminuant les seuils de stratégie qui entraînent des alertes et des activités de gravité élevée/moyenne/faible.

Désactiver la protection adaptative

Dans certains scénarios, vous devrez peut-être désactiver temporairement la protection adaptative. Pour désactiver la protection adaptative, sélectionnez l’onglet Paramètres de protection adaptative et basculez Activer la protection adaptative sur Désactivé.

Si la protection adaptative est désactivée après avoir été activée et active, les niveaux de risque cesseront d’être attribués aux utilisateurs et partagés avec DLP et l’accès conditionnel, et tous les niveaux de risque existants pour les utilisateurs seront réinitialisés. Après avoir désactivé la protection adaptative, jusqu’à 6 heures peuvent être nécessaires pour arrêter d’attribuer des niveaux de risque à l’activité utilisateur et les réinitialiser tous. Les stratégies de gestion des risques internes, DLP et accès conditionnel ne sont pas automatiquement supprimées.