Sécuriser les données avec la Confiance Zéro

Background

Confiance Zéro est une stratégie de sécurité utilisée pour concevoir des principes de sécurité pour votre organisation. Confiance Zéro permet de sécuriser les ressources d’entreprise en implémentant les principes de sécurité suivants :

• Vérifier explicitement. Toujours authentifier et autoriser en fonction de tous les points de données disponibles, y compris l'identité de l'utilisateur, l'emplacement, l'état du dispositif, le service ou la charge de travail, la classification des données et les anomalies.

• Utiliser l’accès du moindre privilège. Limitez l’accès utilisateur avec JIT (juste-à-temps) et JEA (Just-Enough-Access), des stratégies adaptatives basées sur les risques et la protection des données pour sécuriser les données et la productivité.

• Supposer une violation. Réduire au minimum le rayon de l'explosion et segmenter l'accès. Vérifiez le chiffrement de bout en bout et utilisez l’analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.

Microsoft Purview propose cinq éléments principaux pour une stratégie de défense des données en profondeur et une implémentation Confiance Zéro pour les données :

1. Classification et étiquetage des données
   Si vous ne savez pas quelles données sensibles vous possédez localement et dans les services cloud, vous ne pouvez pas les protéger de manière adéquate. Découvrez et détectez les données dans l'ensemble de votre organisation et classez-les par niveau de sensibilité.

2. Information Protection
   L’accès conditionnel et le moins privilégié aux données sensibles réduisent les risques de sécurité des données. Appliquer des garde-fous de contrôle d'accès basés sur la sensibilité, la gestion des droits et le cryptage lorsque les contrôles environnementaux sont insuffisants. Utilisez des marquages de confidentialité des informations pour accroître la sensibilisation et la conformité des stratégies de sécurité.

3. Prévention contre la perte de données
   Le contrôle d’accès résout uniquement une partie du problème. La vérification et le contrôle des activités et mouvements de données à risque qui peuvent entraîner un incident de sécurité ou de conformité des données permet aux organisations d’empêcher le surpartage des données sensibles.

4. Gestion des risques internes
   L’accès aux données peut ne pas toujours fournir l’ensemble de l’histoire. Réduisez les risques liés aux données en activant la détection comportementale à partir d’un large éventail de signaux, et en agissant sur des activités potentiellement malveillantes et accidentelles dans votre organisation qui pourraient être des précurseurs ou une indication d’une violation de données.

5. Gouvernance des données
   La gestion proactive du cycle de vie des données sensibles réduit son exposition. Limitez le nombre de copies ou de propagation de données sensibles et supprimez les données qui ne sont plus nécessaires pour réduire les risques de violation de données.

Objectifs du déploiement de données Confiance Zéro

Nous vous recommandons de vous concentrer sur ces objectifs de déploiement initiaux lors de la mise en œuvre d'un cadre de Confiance Zéro de bout en bout pour les données :
	I.Classer et étiqueter les données. Classer et étiqueter automatiquement les données dans la mesure du possible. Appliquez manuellement l’emplacement où ce n’est pas le cas. II.Appliquez le chiffrement, le contrôle d’accès et les marquages de contenu. Appliquez le chiffrement où la protection et le contrôle d’accès sont insuffisants. III.Contrôler l’accès aux données. Contrôlez l’accès aux données sensibles afin qu’elles soient mieux protégées.
Au fur et à mesure que vous atteignez les objectifs ci-dessus, ajoutez ces objectifs de déploiement supplémentaires :
	IV.Empêcher les fuites de données. Utilisez des stratégies DLP qui sont pilotées par les signaux à risque et la sensibilité des données. V.Gérer les risques. Gérez les risques susceptibles d’entraîner un incident de sécurité des données en case activée les activités utilisateur et les modèles d’activité des données liés à la sécurité qui peuvent entraîner un incident de sécurité ou de conformité des données. VI.Réduisez l’exposition des données. Réduire l’exposition des données par le biais de la gouvernance des données et de la réduction continue des données

Guide de déploiement des données Confiance Zéro

Ce guide vous guidera pas à pas dans une approche de la protection des données fondée sur la Confiance Zéro. N’oubliez pas que ces éléments varient considérablement en fonction de la confidentialité de vos informations, ainsi que de la taille et de la complexité de votre organisation.

En tant que précurseur de toute implémentation de sécurité des données, Microsoft vous recommande de créer une taxonomie d’étiquettes de classification des données et d’étiquettes de confidentialité qui définit des catégories de haut niveau de risque de sécurité des données. Cette taxonomie sera utilisée pour simplifier tout, de l’inventaire des données ou des insights d’activité, à la gestion des stratégies à la hiérarchisation des enquêtes.

Pour plus d’informations, consultez l’article suivant :

• Créer une infrastructure de classification des données bien conçue

Objectifs de déploiement initiaux

I. Classifier, étiqueter et découvrir les données sensibles

Une stratégie de protection des informations doit englober la totalité du contenu numérique de votre organisation.

Les classifications et les étiquettes de confidentialité vous permettent de comprendre où se trouvent vos données sensibles, comment elles se déplacent et implémentent des contrôles d’accès et d’utilisation appropriés cohérents avec les principes de confiance zéro :

• Utilisez la classification et l’étiquetage automatisés pour détecter les informations sensibles et mettre à l’échelle la découverte dans votre patrimoine de données.

• Utilisez l’étiquetage manuel pour les documents et les conteneurs, et organisez manuellement des jeux de données utilisés dans l’analytique où la classification et la sensibilité sont mieux établies par les utilisateurs compétents.

Effectuez les étapes suivantes :

• Découvrir les types d’informations sensibles

• En savoir plus sur les classifieurs entraînables

• En savoir plus sur les étiquettes de sensibilité

Une fois que vous avez configuré et testé la classification et l’étiquetage, effectuez un scale-up de la découverte des données dans votre patrimoine de données.

Procédez comme suit pour étendre la découverte au-delà des services Microsoft 365 :

• Prise en main du scanneur local Microsoft Purview

• Découvrir et protéger les informations sensibles dans l’application SaaS

• En savoir plus sur les analyses et l’ingestion dans le portail de gouvernance Microsoft Purview

Lorsque vous découvrez, classifiez et étiquetez vos données, utilisez ces insights pour corriger les risques et informer vos initiatives de gestion des stratégies.

Effectuez les étapes suivantes :

• Prise en main de l’explorateur de contenus

• Passer en revue l’activité d’étiquetage avec l’Explorateur d’activités

• En savoir plus sur les Recommandations de données

II. Appliquer le chiffrement, le contrôle d’accès et les marquages de contenu

Simplifiez votre implémentation de privilèges minimum à l’aide d’étiquettes de confidentialité pour protéger vos données les plus sensibles avec le chiffrement et le contrôle d’accès. Utilisez des marquages de contenu pour améliorer la sensibilisation et la traçabilité des utilisateurs.

Protéger les documents et les emails

Protection des données Microsoft Purview permet l’accès et le contrôle d’utilisation en fonction des étiquettes de confidentialité ou des autorisations définies par l’utilisateur pour les documents et les e-mails. Il peut également appliquer des marquages et chiffrer des informations qui résident dans ou circulent vers des environnements de confiance moindre internes ou externes à votre organisation. Il fournit une protection au repos, en mouvement et en cours d’utilisation pour les applications compatibles.

Effectuez les étapes suivantes :

• Passer en revue les options de chiffrement dans Microsoft 365
• Restreindre l'accès au contenu et à l'utilisation en utilisant des étiquettes de sensibilité

Protéger les documents dans Exchange, SharePoint et OneDrive

Pour les données stockées dans Exchange, SharePoint et OneDrive, la classification automatique avec des étiquettes de confidentialité peut être déployée via des stratégies vers des emplacements ciblés afin de restreindre l'accès et de gérer le chiffrement lors des sorties autorisées.

Étape à suivre

• Configurez des stratégies d’étiquetage automatique pour SharePoint, OneDrive et Exchange.

III. Contrôler l’accès aux données

Fournir l’accès aux données sensibles doit être contrôlé afin qu’elles soient mieux protégées. Assurez-vous que les décisions relatives à l’accès et à la stratégie d’utilisation sont inclusives à la confidentialité des données.

Contrôler l’accès et le partage des données dans Teams, Groupes Microsoft 365 et sites SharePoint

Utilisez des étiquettes de confidentialité de conteneur pour implémenter des restrictions d’accès conditionnel et de partage aux sites Microsoft Teams, Groupes Microsoft 365 ou SharePoint.

Étape à suivre

• Utiliser des étiquettes de confidentialité avec Microsoft Teams, les groupes Microsoft 365 et les sites SharePoint

Contrôler l'accès aux données dans les applications SaaS

Microsoft Defender for Cloud Apps offre des fonctionnalités supplémentaires pour l’accès conditionnel et pour gérer des fichiers sensibles dans des environnements Microsoft 365 et tiers tels que Box ou Google Workspace, notamment :

• Suppression des autorisations pour traiter les privilèges excessifs et empêcher les fuites de données.

• Mise en quarantaine des fichiers à réviser.

• Application d’étiquettes à des fichiers sensibles.

Effectuez les étapes suivantes :

• Intégrer Protection des données Microsoft Purview

Conseil

Consultez Intégrer des applications SaaS pour Confiance Zéro avec Microsoft 365 pour découvrir comment appliquer des principes Confiance Zéro pour gérer votre infrastructure numérique d’applications cloud.

Contrôler l’accès dans le stockage IaaS/PaaS

Déployez des stratégies de contrôle d’accès obligatoires sur des ressources IaaS/PaaS qui contiennent des données sensibles.

Étape à suivre

• En savoir plus sur les stratégies DevOps de Microsoft Purview

IV. Empêcher la fuite de données

Le contrôle de l’accès aux données est nécessaire, mais insuffisant pour exercer un contrôle sur le déplacement des données et empêcher les fuites ou pertes de données accidentelles ou non autorisées. C’est le rôle de la protection contre la perte de données et de la gestion des risques internes, qui est décrit dans la section IV.

Utilisez des stratégies DLP Microsoft Purview pour identifier, case activée et protéger automatiquement les données sensibles :

• Services Microsoft 365 tels que les comptes Teams, Exchange, SharePoint et OneDrive

• Applications Office telles que Word, Excel et PowerPoint

• Points de terminaison Windows 10, Windows 11 et macOS (trois dernières versions)

• Partages de fichiers locaux et serveurs SharePoint locaux

• Applications cloud non-Microsoft.

Effectuez les étapes suivantes :

• Planifier la protection contre la perte de données

• Créer, tester et paramétrer des stratégies DLP

• En savoir plus sur le tableau de bord Alertes de protection contre la perte de données

• Examiner l’activité des données avec l’Explorateur d’activités

V. Gérer les risques internes

Les implémentations de privilèges minimum permettent de réduire les risques connus, mais il est également important de mettre en corrélation des signaux comportementaux utilisateur liés à la sécurité, case activée modèles d’accès aux données sensibles et aux fonctionnalités de détection, d’investigation et de chasse étendues.

Procédez comme suit :

• En savoir plus sur la gestion des risques internes

• Examiner les activités de gestion des risques internes

VI. Supprimer des informations sensibles inutiles

Les organisations peuvent réduire leur exposition aux données en gérant le cycle de vie de leurs données sensibles.

Supprimez tous les privilèges dans lesquels vous pouvez supprimer les données sensibles elles-mêmes lorsqu’elles ne sont plus précieuses ou autorisées pour votre organisation.

Étape à suivre

• Implémenter la Gestion du cycle de vie des données et de la gestion des enregistrements

Réduisez la duplication des données sensibles en favorisant le partage et l’utilisation sur place plutôt que les transferts de données.

Étape à suivre

• En savoir plus sur le partage de données sur place avec Microsoft Purview

Produits abordés dans ce guide

Microsoft Purview

Microsoft Defender for Cloud Apps

Pour plus d’informations ou pour obtenir de l’aide sur l’implémentation, contactez l’équipe chargée de la réussite client.

Série de guides de déploiement de la Confiance Zéro