Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La protection des données de votre organization signifie que le contenu chiffré peut circuler en toute sécurité vers et depuis les utilisateurs autorisés, à l’intérieur et à l’extérieur de votre organization. Les paramètres mal configurés peuvent bloquer en mode silencieux une collaboration légitime sur du contenu protégé, ce qui empêche les utilisateurs d’ouvrir des fichiers chiffrés ou des e-mails de partenaires externes.
Confiance nulle recommandations en matière de sécurité
Configurer les paramètres d’accès interlocataire pour autoriser le partage de contenu chiffré
Lorsque vos utilisateurs partagent des fichiers ou des e-mails chiffrés avec des personnes extérieures à votre organization, ou reçoivent du contenu chiffré de partenaires, Microsoft Entra ID doit vérifier les identités des deux côtés de l’envoi et de la réception pour appliquer le chiffrement. Si vos paramètres d’accès interlocataire bloquent l’application Rights Management, ces utilisateurs voient une erreur « L’accès est bloqué par votre organization » et ne peuvent pas ouvrir le contenu protégé.
Autorisez l’application Microsoft Rights Management Services via vos paramètres d’accès interlocataire pour le trafic entrant (les utilisateurs externes ouvrant le contenu que vous partagez) et le trafic sortant (vos utilisateurs ouvrant du contenu à partir de partenaires). Sans cela, le partage de contenu chiffré s’interrompt, même lorsque les autorisations appropriées sont attribuées.
Action de correction
- Paramètres d’accès interlocataire et contenu chiffré
- Configurer les paramètres d’accès interlocataire pour B2B Collaboration
Azure Rights Management licence est activée
Azure Rights Management Service (RMS) est la technologie de chiffrement et de contrôle d’accès de base utilisée par Protection des données Microsoft Purview. Sans cela, votre organization ne peut pas utiliser d’étiquettes de confidentialité avec chiffrement, protéger les e-mails avec Chiffrement de messages Microsoft Purview, appliquer des stratégies IRM sur SharePoint ou OneDrive, ou appliquer la protection des droits par le biais de règles de flux de courrier. Activez Azure RMS au niveau du locataire avant de configurer d’autres fonctionnalités de protection des informations.
Action de correction
Les licences Internal Rights Management sont activées
Les licences RMS internes permettent aux utilisateurs et aux services de l’organization de concéder des licences de contenu protégé pour la distribution et le partage internes. Il est activé automatiquement lorsque Azure RMS est activé. Si cette option est désactivée, les utilisateurs ne peuvent pas collaborer sur des e-mails et des fichiers chiffrés en interne, et les opérations de conservation légale, d’eDiscovery et de récupération de données ne peuvent pas accéder au contenu chiffré.
Action de correction
L’appartenance super utilisateur est configurée pour Protection des données Microsoft Purview
La fonctionnalité de superutilisateur du service Azure Rights Management permet aux comptes désignés de déchiffrer tout le contenu protégé par le organization, quelles que soient les autorisations d’origine attribuées. Les superutilisateurs activent eDiscovery, la récupération de données, les enquêtes de conformité et la migration du contenu. Sans cette configuration, le contenu chiffré peut devenir définitivement inaccessible lorsque les titulaires de droits ne sont pas disponibles.
L’appartenance doit être soigneusement contrôlée et limitée aux comptes de service utilisés par les outils de conformité ou les plateformes eDiscovery. Microsoft recommande de conserver la fonctionnalité désactivée par défaut et de l’activer uniquement via Microsoft Entra Privileged Identity Management (PIM) pour un accès juste-à-temps.
Action de correction
Les analyses à la demande sont configurées pour la découverte d’informations sensibles
Les stratégies d’étiquetage automatique classifient uniquement le contenu nouveau et modifié. Les fichiers et les e-mails existants restent non classifiés et invisibles pour les stratégies DLP qui dépendent de la détection des étiquettes. Les analyses à la demande vous permettent de déclencher manuellement la détection des types d’informations sensibles dans des emplacements spécifiés pour découvrir et classifier rétroactivement le contenu historique, ce qui vous donne une vue complète de votre posture de protection des informations plutôt qu’une couverture prospective.
Action de correction
La reconnaissance optique de caractères est activée pour la détection des informations sensibles
La reconnaissance optique de caractères (OCR) étend la détection de type d’informations sensibles et de classifieur pouvant être entraînée aux images sur les appareils Exchange, SharePoint, OneDrive, Teams et de point de terminaison. Sans ocre, les stratégies DLP et les stratégies d’étiquetage automatique ne peuvent pas analyser le contenu basé sur une image, les documents numérisés, les captures d’écran et les factures, laissant les données sensibles dans les images non protégées. La reconnaissance optique de caractères requiert Azure facturation avec paiement à l’utilisation pour Microsoft Syntex et est configurée au niveau du locataire.
Action de correction
Les types d’informations sensibles personnalisés sont configurés
Les types d’informations sensibles personnalisés (SIT) étendent la détection intégrée de Microsoft Purview pour couvrir les modèles de données spécifiques à organization, les identificateurs propriétaires, les schémas de classification interne, les codes spécialisés du secteur ou d’autres formats qui ne correspondent pas aux SIT intégrés. Sans sits personnalisés, les stratégies d’étiquetage automatique et les règles de protection contre la perte de données (DLP) s’appuient exclusivement sur des modèles génériques et peuvent manquer des données sensibles propres à votre organization.
Action de correction
La correspondance exacte des données est configurée pour la détection des informations sensibles
La correspondance exacte des données (EDM) est un type d’informations sensibles avancé qui détecte les données spécifiques organization en faisant correspondre des valeurs exactes à une base de données de référence chargée. Contrairement aux types d’informations sensibles basés sur des modèles (SIT) qui détectent les formats courants, EDM identifie des éléments tels que des listes de clients, des ID d’employés ou des codes propriétaires propres à votre organization. Sans EDM, les stratégies d’étiquetage automatique et les règles DLP ne peuvent pas détecter ces données propriétaires, ce qui les expose à un risque d’exposition.
Action de correction
- En savoir plus sur les types d’informations sensibles exacts basés sur la correspondance de données
- Démarrage avec des types d’informations sensibles basés sur des correspondances de données exactes
Les types d’informations sensibles des entités nommées sont utilisés dans les stratégies d’étiquetage automatique et de protection contre la perte de données
Les types d’informations sensibles d’entité nommée (SIT) sont des classifieurs Microsoft prédéfinis qui détectent les entités sensibles courantes telles que les noms de personnes, les adresses physiques et la terminologie médicale. Ils étendent la protection des données au-delà de la mise en correspondance de modèles dans une classification contextuelle, et peuvent être utilisés dans des stratégies d’étiquetage automatique et des règles DLP sans aucun développement personnalisé.
Action de correction
- En savoir plus sur les entités nommées
- Utiliser des entités nommées dans vos stratégies de protection contre la perte de données
Les classifieurs pouvant être formés sont utilisés dans les stratégies de protection contre la perte de données et d’étiquetage automatique
Les classifieurs pouvant être entraînés sont des classifieurs basés sur le Machine Learning qui reconnaissent le contenu par la signification et le contexte plutôt que par des modèles fixes. Contrairement aux types d’informations sensibles qui correspondent à des formats prédéfinis, les classifieurs pouvant être entraînés peuvent identifier le contenu non structuré, comme les plans stratégiques, les rapports financiers ou les documents RH. L’utilisation de classifieurs pouvant être entraînés dans les stratégies d’étiquetage automatique et les règles DLP étend la protection au contenu métier sensible que les règles basées sur des modèles ne peuvent pas capturer de manière fiable.
Action de correction
- En savoir plus sur les classifieurs avec capacité d’apprentissage
- Prise en main des classifieurs présentant une capacité d’apprentissage
La journalisation d’audit Purview est activée
Journaux de journalisation d’audit Purview qui ont accédé aux données sensibles, quand des violations de stratégie se sont produites et quelles actions administratives ont été effectuées dans Microsoft 365. Lorsque des journaux d’audit sont disponibles, les équipes de sécurité peuvent examiner les incidents, effectuer une découverte électronique, détecter les menaces internes et présenter des contrôles aux auditeurs et aux régulateurs.
Si la journalisation d’audit n’est pas activée, les acteurs des menaces peuvent souvent fonctionner sans détection, et la réponse aux incidents devient impossible en raison d’un manque de preuves. Les organisations qui ne parviennent pas à activer la journalisation d’audit risquent également de ne pas respecter les exigences réglementaires qui imposent la journalisation des activités pour les opérations sensibles.
Action de correction
Les étiquettes de confidentialité sont configurées
Les étiquettes de confidentialité sont la base de Protection des données Microsoft Purview. Ils permettent aux organisations de classifier et de protéger les données sensibles dans Microsoft 365, les emplacements locaux et les applications non-Microsoft.
Sans étiquettes de confidentialité, les organisations ne disposent pas d’un moyen standardisé de protéger les données confidentielles, ce qui les rend vulnérables aux accès et aux partages non autorisés. Une taxonomie d’étiquettes bien conçue comprend généralement 3 à 7 étiquettes de niveau supérieur : trop d’étiquettes surchargent les utilisateurs et réduisent l’efficacité.
Action de correction
- Prise en main des étiquettes de confidentialité
- Créer et configurer des étiquettes de confidentialité ainsi que leurs stratégies
Les étiquettes de confidentialité publiées à l’échelle mondiale ne dépassent pas le maximum recommandé
La publication d’un trop grand nombre d’étiquettes à l’échelle mondiale crée de la confusion et une paralysie des décisions pour les utilisateurs, ce qui réduit l’adoption et augmente les erreurs de classification. Lorsque les utilisateurs font face à plus de 25 étiquettes, ils ont du mal à identifier la classification appropriée, ce qui conduit à des étiquettes incorrectes ou à l’évitement complet de la fonctionnalité.
Microsoft recommande de ne pas utiliser plus de 25 étiquettes dans les stratégies globales, idéalement organisées en cinq étiquettes parentes avec jusqu’à cinq sous-étiquettes chacune. Utilisez des stratégies délimitées pour publier des étiquettes spécialisées uniquement pour des utilisateurs, des groupes ou des services spécifiques, en gardant l’ensemble d’étiquettes globale axé sur les scénarios courants.
Action de correction
- Bonnes pratiques en matière de stratégies d’étiquette de confidentialité
- Créer et publier des étiquettes de confidentialité
Les étiquettes de confidentialité avec chiffrement sont configurées
Sans chiffrement, les étiquettes de confidentialité classifient uniquement le contenu comme sensible sans empêcher l’accès non autorisé. Les étiquettes avec chiffrement s’appliquent Azure Rights Management protection qui applique des contrôles d’accès, garantissant ainsi la persistance de la protection, quel que soit l’emplacement où le contenu est stocké ou partagé. Par exemple, les utilisateurs peuvent toujours transférer des documents « confidentiels » à des destinataires non autorisés, sauf si le chiffrement restreint l’accès aux fichiers en fonction de l’identité.
Les organisations qui utilisent des étiquettes sans chiffrement gagnent en visibilité, mais manquent d’application technique. Les étiquettes chiffrées garantissent que seuls les utilisateurs autorisés peuvent déchiffrer le contenu, ce qui empêche l’exfiltration des données même si des fichiers sont divulgués ou mal partagés. Au moins une étiquette prenant en charge le chiffrement doit exister pour les données à valeur élevée nécessitant une protection au-delà de la classification.
Action de correction
Les étiquettes de chiffrement à double clé sont configurées
Le chiffrement à double clé (DKE) fournit une couche supplémentaire de protection pour les données hautement sensibles en exigeant deux clés pour déchiffrer le contenu : l’une gérée par Microsoft et l’autre par le client. Cette approche « hold your own key » garantit que Microsoft ne peut pas déchiffrer le contenu, même avec une contrainte légale, répondant aux exigences réglementaires strictes en matière de souveraineté des données.
Toutefois, DKE introduit une complexité opérationnelle importante, notamment une infrastructure de service clé dédiée, une compatibilité réduite des fonctionnalités et une charge de support accrue. Les organisations doivent conserver 1 à 3 étiquettes réservées aux données réellement stratégiques ou fortement réglementées, avec une justification métier documentée pour chaque étiquette DKE. Utilisez le chiffrement standard pour le contenu professionnel général. Les étiquettes DKE excessives (4 ou plus) créent une surcharge de gestion, une confusion utilisateur et réduisent la collaboration. DKE ne doit jamais être déployé à grande échelle, car l’indisponibilité du service clé empêche l’accès aux documents critiques pour l’entreprise.
Action de correction
Les étiquettes de conteneur sont configurées pour Teams, les groupes et les sites
Les étiquettes de conteneur étendent la classification de confidentialité au-delà des fichiers individuels aux espaces de travail de collaboration entiers tels que Microsoft Teams, Groupes Microsoft 365 et les sites SharePoint. Ces étiquettes contrôlent les paramètres au niveau de l’espace de travail, tels que le partage externe, l’accès invité, les restrictions d’appareil et la confidentialité.
Sans étiquettes de conteneur, les utilisateurs peuvent créer Teams avec un accès invité externe même lors de la gestion des informations confidentielles, ce qui crée des risques d’exfiltration de données lorsque des documents correctement étiquetés existent dans des espaces de travail mal sécurisés. Les étiquettes de conteneur garantissent que la sécurité de l’espace de travail correspond à la sensibilité du contenu stocké, empêchant ainsi les documents « hautement confidentiels » de résider dans Teams qui autorisent le partage externe.
Action de correction
Les stratégies d’étiquette de confidentialité sont publiées pour les utilisateurs
Les étiquettes doivent être publiées via des stratégies d’étiquette pour que les utilisateurs puissent les appliquer au contenu. Les stratégies d’étiquette définissent les utilisateurs qui reçoivent les étiquettes, définissent le comportement d’étiquetage par défaut et appliquent des exigences d’étiquetage obligatoires. Sans stratégies publiées, les étiquettes de confidentialité restent indisponibles pour les utilisateurs.
Action de correction
Une étiquette de confidentialité par défaut est configurée dans les stratégies d’étiquette
Sans étiquettes par défaut, les utilisateurs doivent choisir activement une étiquette pour chaque élément qu’ils créent, ce qui augmente les frictions et l’étiquetage incohérent. Les étiquettes par défaut fournissent une classification de base qui peut être remplacée si nécessaire, ce qui réduit la fatigue des décisions et garantit que le contenu présente au moins un niveau minimal de classification.
Sans étiquettes par défaut, le contenu non classifié peut contourner les stratégies de protection contre la perte de données (DLP) qui s’appuient sur la détection des étiquettes. Les différentes charges de travail doivent chacune avoir des étiquettes par défaut appropriées configurées.
Action de correction
- Publier des étiquettes de confidentialité en créant une stratégie d’étiquette
- Configurer une étiquette de confidentialité par défaut pour une bibliothèque de documents SharePoint
- Stratégie d’étiquette par défaut pour Fabric et Power BI
L’étiquetage obligatoire est activé dans les stratégies d’étiquette de confidentialité
Sans étiquetage obligatoire, les utilisateurs peuvent partager du contenu non classifié, ce qui crée des risques de sécurité et de conformité. Les acteurs des menaces peuvent exfiltrer des données sensibles sans métadonnées de classification pour déclencher des stratégies de protection.
Si les stratégies DLP s’appuient sur la détection des étiquettes, les données non classifiées contournent entièrement ces contrôles. Les organisations doivent activer l’étiquetage obligatoire sur toutes les charges de travail pour s’assurer que les communications, les documents et le contenu analytique sont classifiés avant le partage.
Action de correction
Les utilisateurs doivent fournir une justification pour passer à une version antérieure des étiquettes de confidentialité
En l’absence d’exigences de justification, les utilisateurs peuvent rétrograder silencieusement des étiquettes sans créer de piste d’audit, ce qui crée un risque de conformité. Par exemple, lorsqu’un utilisateur supprime une étiquette « Confidentiel » et la remplace par « Interne », les organisations doivent exiger une justification explicite.
Sans ce contrôle, les comptes compromis ou les employés sortants pourraient rétrograder les étiquettes pour activer l’exfiltration des données. La justification du passage à une version antérieure est un contrôle léger qui augmente la responsabilité sans affecter les workflows utilisateur.
Action de correction
- Publier des étiquettes de confidentialité en créant une stratégie d’étiquette
- En savoir plus sur les étiquettes de niveau de confidentialité
- Passer en revue les activités d’étiquetage dans l’Explorateur d’activités
Email stratégies d’étiquette héritent de la sensibilité des pièces jointes
Lorsque les utilisateurs joignent des documents sensibles à des e-mails, ceux-ci doivent hériter de la classification la plus élevée des pièces jointes pour maintenir une protection cohérente. Si cette stratégie n’est pas activée, les utilisateurs peuvent envoyer des e-mails sans étiquette contenant des pièces jointes sensibles, ce qui crée une incompatibilité entre la classification de l’e-mail et son contenu réel.
Email’héritage d’étiquette applique automatiquement l’étiquette de la pièce jointe ou l’étiquette de priorité la plus élevée si plusieurs pièces jointes existent dans l’e-mail, ce qui garantit la correspondance des niveaux de protection et empêche l’exposition accidentelle des données.
Action de correction
- Publiez des étiquettes de confidentialité pour Configurer l’héritage des étiquettes à partir des pièces jointes de courrier électronique.