Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans le cadre des conseils d’adoption de Confiance Zéro, cet article décrit le scénario métier de protection de vos ressources de données les plus critiques. Ce scénario se concentre sur la façon d’identifier et de protéger les données métier sensibles.
La transformation numérique a conduit les organisations à traiter les volumes croissants de données. Toutefois, les collaborateurs externes tels que les partenaires, les fournisseurs et les clients accèdent à une grande partie de ces données partagées en dehors du réseau d’entreprise. Ce changement a créé un paysage de données complexe, en particulier lorsque vous envisagez la prolifération des effectifs hybrides et des migrations cloud, la cyberthréats croissante, l’évolution de la sécurité et la modification des exigences réglementaires concernant la façon dont les données sont régies et protégées.
Avec les modèles de travail hybrides, les ressources d’entreprise et les données sont en déplacement. Votre organisation doit contrôler chaque fois que les données sont stockées et transférées sur des appareils, à l’intérieur d’applications et avec des partenaires. Toutefois, pour la sécurité moderne, vous ne pouvez plus vous appuyer sur les contrôles de protection réseau traditionnels.
Protection des données traditionnelle avec des contrôles réseau | Protection moderne des données avec confiance zéro |
---|---|
Dans les réseaux traditionnels, le contrôle de périmètre réseau régit l’accès aux données critiques, et non la confidentialité des données. En règle générale, vous appliquez des étiquettes à des données sensibles manuellement, ce qui peut entraîner une classification incohérente des données. | Un modèle Confiance Zéro applique une authentification forte aux demandes d’accès aux données, en utilisant des stratégies pour vérifier chaque identité et en garantissant que les identités ont accès aux applications et aux données. Un modèle confiance zéro implique l’identification des données sensibles et l’application de la classification et de la protection, y compris la protection contre la perte de données (DLP). Zero Trust inclut des défenses qui protègent vos données même après qu’elles ont quitté votre environnement contrôlé. Il inclut également une protection adaptative pour réduire les risques internes. En plus de ces protections, Zero Trust inclut une surveillance continue et une protection contre les menaces pour empêcher et limiter l’étendue d’une violation de données. |
Le diagramme suivant illustre le passage de la protection traditionnelle avec des contrôles réseau sur la gauche (des emplacements connus limités) à la protection moderne avec confiance zéro à droite (aux emplacements inconnus) dans laquelle la protection est appliquée quel que soit l’emplacement des utilisateurs et des appareils.
Les conseils de cet article expliquent comment commencer à utiliser et à progresser votre stratégie pour identifier et protéger des données sensibles. Si votre organisation est soumise à des réglementations qui protègent les données, utilisez l’article Répondre aux exigences réglementaires et de conformité de cette série pour apprendre à appliquer ce que vous apprenez dans cet article pour protéger les données réglementées.
Comment les dirigeants d’entreprise pensent à la protection des données sensibles
Avant de commencer un travail technique, il est important de comprendre les différentes motivations pour investir dans la protection des données métier, car elles aident à informer la stratégie, les objectifs et les mesures de réussite.
Le tableau suivant fournit des raisons pour lesquelles les chefs d’entreprise d’une organisation doivent investir dans la protection des données basée sur la confiance zéro.
Rôle | Pourquoi la protection des données sensibles est importante |
---|---|
Chef de la direction (PDG) | La propriété intellectuelle est l’épine dorsale des modèles métier de nombreuses organisations. Empêcher la fuite tout en permettant une collaboration transparente avec les parties autorisées est essentielle à l’entreprise. Dans les organisations qui traitent des informations d’identification personnelle (PII) des clients, le risque de fuite peut entraîner non seulement des pénalités financières, mais également endommager la réputation de l’entreprise. Enfin, les conversations commerciales sensibles (comme les fusions et acquisitions, la restructuration d’entreprise, la stratégie et les questions juridiques) peuvent sérieusement endommager une organisation en cas de fuite. |
Directeur marketing (CMO) | La planification, la messagerie, la personnalisation et les annonces de produits à venir doivent être publiées au bon moment et de manière appropriée pour optimiser l’impact. Les fuites intempestives peuvent réduire les rendements d’investissement et informer les concurrents des plans à venir. |
Directeur informatique (CIO) | Bien que les approches traditionnelles de protection des informations s’appuient sur la limitation de l’accès à ces informations, la protection adéquate des données sensibles à l’aide de technologies modernes permet une collaboration plus flexible avec des parties externes, si nécessaire, sans augmenter le risque. Vos services informatiques peuvent remplir leur mandat pour garantir la productivité tout en minimisant les risques. |
Chef de la sécurité des informations (CISO) | En tant que fonction principale de ce rôle, la sécurisation des données métier sensibles fait partie intégrante de la sécurité des informations. Ce résultat affecte directement la stratégie de cybersécurité plus grande de l’organisation. La technologie et les outils de sécurité avancés permettent de surveiller les données et d’éviter les fuites et les pertes. |
Directeur technique (CTO) | La propriété intellectuelle peut différencier une entreprise réussie d’une entreprise défaillante. La protection de ces données contre le surpartage, l’accès non autorisé et le vol est essentielle pour assurer la croissance future de l’organisation. |
Directeur des opérations (COO) | Les données, procédures et plans de production des opérations constituent un avantage stratégique clé pour une organisation. Ces plans peuvent également révéler des vulnérabilités stratégiques qui peuvent être exploitées par les concurrents. La protection de ces données contre le vol, le sur-partage et l’utilisation abusive est essentielle à la réussite continue de l’entreprise. |
Directeur financier (DIRECTEUR FINANCIER) | Les sociétés cotées en bourse ont le devoir de protéger des données financières spécifiques avant qu’elles ne soient rendues publiques. D’autres données financières peuvent révéler des plans et des points forts ou des faiblesses stratégiques. Ces données doivent toutes être protégées pour garantir la conformité aux réglementations existantes et maintenir les avantages stratégiques. |
Directeur de la conformité (CCO) | Les réglementations à travers le monde imposent la protection des informations personnelles des clients ou des employés et d’autres données sensibles. Le CCCO est chargé de s’assurer que l’organisation respecte ces règlements. Une stratégie complète de protection des informations est essentielle pour atteindre cet objectif. |
Chef de la confidentialité (CPO) | Un CPO est généralement responsable de la protection des données personnelles. Dans les organisations qui traitent de grandes quantités de données personnelles client et d’organisations qui opèrent dans des régions avec des réglementations strictes en matière de confidentialité, l’échec de la protection des données sensibles peut entraîner des amendes abruptes. Ces organisations risquent également de perdre la confiance des clients en conséquence. Les PPO doivent également empêcher les données personnelles d’être utilisées de manière à violer les contrats ou lois des clients, ce qui peut inclure un partage incorrect des données au sein de l’organisation et avec des partenaires. |
Cycle d’adoption pour la protection des données métier critiques
Cet article décrit ce scénario métier à l’aide des mêmes phases de cycle de vie que le Framework d'adoption du cloud pour Azure : Définir une stratégie, Planifier, Préparer, Adopter et Gérer, mais adapté à Zero Trust.
Le tableau suivant est une version accessible de l’illustration.
Définition de la stratégie | Plan | Prêt | Adopter | Gouverner et gérer |
---|---|---|---|---|
Résultats Alignement organisationnel Objectifs stratégiques |
Équipe des parties prenantes Plans techniques Préparation des compétences |
Évaluer Test Pilote |
Implémenter de manière incrémentielle dans votre écosystème numérique | Suivre et mesurer Surveiller et détecter Itérer pour atteindre la maturité |
En savoir plus sur le cycle d’adoption de Confiance Zéro dans la vue d’ensemble de l’infrastructure d’adoption zero Trust.
Définir la phase de stratégie
La phase Définir la stratégie est essentielle pour définir et formaliser nos efforts : elle formalise la « Pourquoi ? » de ce scénario. Dans cette phase, vous comprenez le scénario par le biais des perspectives métier, informatiques, opérationnelles et stratégiques. Vous définissez les résultats sur lesquels mesurer le succès dans le scénario, en comprenant que la sécurité est un parcours incrémentiel et itératif.
Cet article suggère des motivations et des résultats pertinents pour de nombreuses organisations. Utilisez ces suggestions pour affiner la stratégie de votre organisation en fonction de vos besoins uniques.
Motivations de protection des données
Les motivations de l’identification et de la protection des données métier sensibles sont simples, mais différentes parties de votre organisation ont des incitations différentes pour effectuer ce travail. Le tableau suivant récapitule certaines de ces motivations.
Domaine | Motivations |
---|---|
Besoins de l'entreprise | Pour protéger les données métier sensibles, en particulier lorsqu’elles sont partagées avec des partenaires. |
Besoins informatiques | Schéma de classification des données standardisé qui peut être appliqué de manière cohérente dans l’ensemble du patrimoine numérique. |
Besoins opérationnels | Implémentez la protection des données de manière cohérente et standard, à l’aide de l’automatisation le cas échéant. |
Besoins stratégiques | Réduisez les dommages qu’un initié peut causer (intentionnellement ou involontairement) ou par un mauvais acteur qui obtient l’accès à l’environnement. |
Notez que la conformité aux exigences réglementaires peut être la principale motivation de certaines organisations. Si cela est vrai pour vous, poursuivez et ajoutez-le à votre stratégie d’organisation et utilisez ce scénario d’entreprise avec l’article Répondre aux exigences réglementaires et de conformité de cette série.
Résultats de la protection des données
L’application de l’objectif global de Confiance Zéro à « ne jamais approuver, toujours vérifier » à vos données ajoute une couche significative de protection à votre environnement. Il est important d’être clair sur les résultats que vous prévoyez d’atteindre afin que vous puissiez atteindre le bon équilibre de protection et d’utilisation pour toutes les équipes impliquées, y compris vos utilisateurs. Le tableau suivant fournit des objectifs et des résultats suggérés.
Objectif | Résultat |
---|---|
Productivité | Les utilisateurs peuvent facilement collaborer sur la création de données métier ou effectuer leurs fonctions de travail à l’aide de données métier. |
Accès sécurisé | L’accès aux données et aux applications est sécurisé au niveau approprié. Les données hautement sensibles nécessitent des protections plus strictes, mais ces protections ne doivent pas charger les utilisateurs qui sont censés contribuer ou utiliser ces données. Les données métier sensibles sont limitées à celles qui ont besoin de l’utiliser et vous avez mis en place des contrôles pour limiter ou décourager les utilisateurs de partager ou de répliquer ces données en dehors du groupe d’utilisation prévu. |
Prendre en charge les utilisateurs finaux | Les contrôles de sécurisation des données ont été intégrés à l’architecture globale confiance Zéro. Ces contrôles incluent l’authentification unique, l’authentification multifacteur (MFA) et l’accès conditionnel Microsoft Entra, afin que les utilisateurs ne soient pas continuellement confrontés aux demandes d’authentification et d’autorisation. Les utilisateurs reçoivent une formation sur la façon de classifier et de partager des données en toute sécurité. Les utilisateurs sont autorisés à prendre le contrôle de leurs données importantes, ce qui leur permet de révoquer l’accès en cas de besoin ou de suivre l’utilisation des informations une fois qu’elles ont été partagées. Les stratégies de protection des données sont automatisées si possible pour réduire le fardeau des utilisateurs. |
Augmenter la sécurité | L’ajout de la protection des données dans le patrimoine numérique protège ces ressources métier critiques et permet de réduire les dommages potentiels causés par une violation de données. Les protections des données incluent des protections pour se protéger contre les violations intentionnelles, involontaires ou négligentes des données par les employés et partenaires actuels ou anciens. |
Renforcer l’informatique | Votre équipe informatique est autorisée à comprendre clairement ce qui se qualifie comme des données métier sensibles. Ils ont un schéma bien raisonné auquel s'aligner et disposent des outils et capacités technologiques pour à la fois mettre en œuvre les plans et surveiller l'état et la réussite. |
Phase de planification
Les plans d’adoption convertissent les principes de la stratégie Confiance Zéro en plan actionnable. Vos équipes collectives peuvent utiliser le plan d’adoption pour guider leurs efforts techniques et les aligner sur la stratégie métier de votre organisation.
Les motivations et les résultats que vous définissez, avec vos chefs d’entreprise et vos équipes, prennent en charge la « Pourquoi ? » pour votre organisation et devenez l’étoile du Nord pour votre stratégie. Vient ensuite la planification technique pour atteindre les objectifs.
L’adoption technique pour identifier et protéger les données métier sensibles implique :
- Découverte et identification de données sensibles dans votre patrimoine numérique.
- Organiser un schéma de classification et de protection, y compris DLP.
- Déployez le schéma dans votre patrimoine numérique, en commençant par des données dans Microsoft 365 et en étendant la protection à toutes les applications SaaS, votre infrastructure cloud et vos données dans des référentiels locaux. Les applications SaaS sont des applications qui se trouvent en dehors de votre abonnement Microsoft 365, mais qui sont intégrées à votre locataire Microsoft Entra.
La protection de vos données métier sensibles implique également quelques activités connexes, notamment :
- Chiffrement de la communication réseau.
- Gestion de l’accès externe à Teams et aux projets où les données sensibles sont partagées.
- Configuration et utilisation d’équipes dédiées et isolées dans Microsoft Teams pour les projets qui incluent des données métier hautement sensibles, ce qui doit être rare. La plupart des organisations ne nécessitent pas ce niveau de sécurité et d’isolation des données.
De nombreuses organisations peuvent adopter une approche à quatre étapes de ces objectifs de déploiement, résumées dans le tableau suivant.
Étape 1 | Étape 2 | Étape 3 | Étape 4 |
---|---|---|---|
Découvrir et identifier les données métier sensibles Découvrir des applications SaaS non approuvées Chiffrer la communication réseau |
Développer et tester un schéma de classification Appliquer des étiquettes aux données dans Microsoft 365 Introduire des stratégies DLP de base Configurer Microsoft Teams sécurisé pour partager des données en interne et en externe avec des partenaires commerciaux |
Ajouter une protection à des étiquettes spécifiques (chiffrement et autres paramètres de protection) Introduire l’étiquetage automatique et recommandé dans les applications et services Office Étendre les stratégies DLP sur les services Microsoft 365 Implémenter des stratégies de gestion des risques internes clés |
Étendre les étiquettes et la protection aux données dans les applications SaaS, notamment DLP Étendre la classification automatisée à tous les services Étendre les étiquettes et la protection aux données au repos dans les référentiels locaux Protéger les données de l’organisation dans votre infrastructure cloud |
Si cette approche intermédiaire fonctionne pour votre organisation, vous pouvez utiliser :
Ce diaporama PowerPoint téléchargeable pour présenter et suivre votre progression à travers ces étapes et objectifs pour les dirigeants d’entreprise et d’autres parties prenantes. Voici la diapositive de ce scénario métier.
Ce classeur Excel sert à désigner des responsables et à suivre votre progression pour ces étapes, objectifs et leurs tâches. Voici la feuille de calcul pour ce scénario métier.
Comprendre votre organisation
Cette approche intermédiaire recommandée pour l’implémentation technique peut aider à donner un contexte à l’exercice de compréhension de votre organisation. Les besoins de chaque organisation pour protéger les données métier sensibles et la composition et le volume de données sont différents.
Une étape fondamentale dans le cycle de vie de l’adoption de Confiance Zéro pour chaque scénario métier comprend la prise d’inventaire. Pour ce scénario métier, vous prenez l’inventaire des données de votre organisation.
Les actions suivantes s’appliquent :
Stockez vos données.
Tout d’abord, prenez le contrôle de l’emplacement où résident toutes vos données, ce qui peut être aussi simple que de répertorier les applications et les référentiels avec vos données. Une fois que des technologies telles que l’étiquetage de confidentialité ont été déployées, vous pouvez découvrir d’autres emplacements où les données sensibles sont stockées. Ces emplacements sont parfois appelés informatique foncé ou gris.
Il est également utile d’estimer la quantité de données que vous prévoyez d’inventorier (le volume). Tout au long du processus technique recommandé, vous utilisez l’ensemble d’outils pour découvrir et identifier les données métier. Vous allez découvrir les types de données que vous avez et où ces données résident dans les services et les applications cloud, ce qui vous permet de mettre en corrélation la sensibilité des données avec le niveau d’exposition des emplacements dans lesquels elles sont présentes.
Par exemple, Microsoft Defender pour Cloud Apps vous aide à identifier les applications SaaS dont vous n’avez peut-être pas connaissance. Le travail de découverte de l’emplacement de vos données sensibles commence à la phase 1 de l’implémentation technique et se poursuit dans les quatre phases.
Documentez les objectifs et planifiez l’adoption incrémentielle en fonction des priorités.
Les quatre étapes recommandées représentent un plan d’adoption incrémentiel. Ajustez ce plan en fonction des priorités de votre organisation et de la composition de votre patrimoine numérique. Veillez à tenir compte des jalons ou obligations de chronologie pour effectuer ce travail.
Stockez les jeux de données ou les projets dédiés qui nécessitent une protection compartimentée (par exemple, des projets tentes ou spéciaux).
Toutes les organisations n’ont pas besoin d’une protection compartimentée.
Planification et alignement organisationnels
Le travail technique de protection des données métier sensibles traverse plusieurs domaines et rôles qui se chevauchent :
- Données
- Applications
- Points de terminaison
- Réseau
- Identités
Ce tableau récapitule les rôles recommandés lors de la création d’un programme de parrainage et d’une hiérarchie de gestion de projet pour déterminer et générer des résultats.
Responsables du programme et propriétaires techniques | Responsabilité |
---|---|
CISO, CIO ou Directeur de la sécurité des données | Parrainage exécutif |
Responsable du programme de la sécurité des données | Susciter des résultats et une collaboration entre les équipes |
Architecte de la sécurité | Conseiller en matière de configuration et de normes, en particulier autour du chiffrement, de la gestion des clés et d’autres technologies fondamentales |
Responsables de la mise en conformité | Associer les exigences de conformité et les risques à des contrôles spécifiques ainsi qu'à des technologies disponibles |
Administrateurs Microsoft 365 | Apportez des modifications à votre environnement Microsoft 365 pour OneDrive et les dossiers protégés. |
Propriétaires d'applications | Identifier les ressources métier critiques et garantir la compatibilité des applications avec des données étiquetées, protégées et chiffrées |
Administrateur de la sécurité des données | Implémenter les modifications de configuration |
Administration informatique | Mettre à jour les normes et les documents de stratégie |
Gouvernance de la sécurité et/ou administrateur informatique | Superviser pour garantir la conformité |
Équipe en charge de l'éducation des utilisateurs | Assurez-vous que les directives pour les utilisateurs reflètent les mises à jour de politique et fournissent des informations sur l’acceptation de la taxonomie d’étiquetage par les utilisateurs. |
Le jeu de ressources PowerPoint pour ce contenu d’adoption inclut la diapositive suivante avec une vue des parties prenantes que vous pouvez personnaliser pour votre propre organisation.
Planification technique et préparation des compétences
Avant d’entreprendre le travail technique, Microsoft recommande de connaître les fonctionnalités, la façon dont elles fonctionnent ensemble et les meilleures pratiques pour aborder ce travail. Le tableau suivant comprend plusieurs ressources pour aider vos équipes à acquérir des compétences.
Ressource | Descriptif |
---|---|
Guide d’accélération du déploiement - Protection des informations et protection contre la perte de données | Découvrez les meilleures pratiques des équipes Microsoft Customer Engagement. Ce guide mène les organisations vers la maturité selon un modèle progressif de rampement, marche, course, qui correspond aux étapes recommandées dans ce guide d’adoption. |
Liste de contrôle RaMP : Protection des données ![]() |
Une autre ressource pour répertorier et hiérarchiser le travail recommandé, y compris les parties prenantes. |
Présentation de Microsoft Purview Data Loss Prevention (débutant) | Dans cette ressource, vous allez découvrir DLP dans Microsoft Purview Information Protection. |
Icône du module Microsoft Learn pour l’introduction à la protection des informations et à la gestion du cycle de vie des données dans le module Microsoft Learn de Microsoft Purview. (intermédiaire) |
Découvrez comment les solutions de gestion de la protection des informations et du cycle de vie des données Microsoft 365 vous aident à protéger et à régir vos données, tout au long de son cycle de vie , où qu’elles se trouvent et se déplacent. |
Icône pour la certification Microsoft Certified: Information Protection Administrator Associate |
Parcours d’apprentissage recommandés pour devenir administrateur associé certifié en protection des informations. |
Étape 1
Les objectifs de déploiement de l’étape 1 incluent le processus de prise en charge de l’inventaire de vos données. Cela inclut l’identification des applications SaaS non approuvées que votre organisation utilise pour stocker, traiter et partager des données. Vous pouvez soit apporter ces applications non approuvées dans votre processus de gestion des applications et appliquer des protections, soit empêcher vos données métier d’être utilisées avec ces applications.
Découvrir et identifier les données métier sensibles
À compter de Microsoft 365, certains des outils principaux que vous utilisez pour identifier les informations sensibles qui doivent être protégées sont des types d’informations sensibles (SIT) et d’autres classifieurs, y compris des classifieurs et des empreintes digitales pouvant être entraînés. Ces identificateurs permettent de trouver des types de données sensibles courants, tels que des numéros de carte de crédit ou des numéros d’identification gouvernementaux, ainsi que l’identification de documents et d’e-mails sensibles à l’aide du Machine Learning et d’autres méthodes. Vous pouvez également créer des SIT personnalisés pour identifier les données propres à votre environnement, notamment en utilisant des données exactes correspondant pour différencier les données relatives à des personnes spécifiques( par exemple, les INFORMATIONS PERSONNELLEs clientes) qui nécessitent une protection spéciale.
Lorsque des données sont ajoutées à votre environnement Microsoft 365 ou modifiées, elles sont automatiquement analysées pour détecter du contenu sensible à l’aide de tous les types d'informations sensibles (SIT) actuellement définis dans votre domaine.
Vous pouvez utiliser l’Explorateur de contenu dans le portail Microsoft Purview pour voir les occurrences de données sensibles détectées dans l’environnement. Les résultats vous permettent de savoir si vous devez personnaliser ou régler les SIT pour votre environnement afin d’obtenir une plus grande précision. Les résultats vous donnent également une première image de votre stock de données et de votre état de protection des informations. Par exemple, si vous recevez trop de faux positifs pour un SIT ou si vous ne trouvez pas de données connues, vous pouvez créer des copies personnalisées des SIT standard et les modifier afin qu’elles fonctionnent mieux pour votre environnement. Vous pouvez également affiner ces données à l’aide d’une correspondance exacte des données.
En outre, vous pouvez utiliser des classifieurs prédéfinis pour identifier les documents appartenant à certaines catégories, comme les contrats ou les documents de fret. Si vous avez des classes spécifiques de documents que vous savez que vous devez identifier et potentiellement protéger, vous pouvez utiliser des exemples dans le portail Microsoft Purview pour entraîner vos propres classifieurs. Ces exemples peuvent être utilisés pour découvrir la présence d’autres documents avec des modèles de contenu similaires.
En plus de l’Explorateur de contenu, les organisations ont accès à la fonctionnalité de recherche de contenu pour produire des recherches personnalisées de données dans l’environnement, notamment à l’aide de critères de recherche avancés et de filtres personnalisés.
Le tableau suivant répertorie les ressources permettant de découvrir des données métier sensibles.
Ressource | Descriptif |
---|---|
Déployer une solution de protection des informations avec Microsoft 365 Purview | Présente une infrastructure, un processus et des fonctionnalités que vous pouvez utiliser pour atteindre vos objectifs métier spécifiques pour la protection des informations. |
Types d’informations sensibles | Commencez ici pour commencer à utiliser des types d’informations sensibles. Cette bibliothèque comprend de nombreux articles permettant d’expérimenter et d’optimiser les SIT. |
Explorateur de contenu | Analysez votre environnement Microsoft 365 pour détecter l’occurrence de SITs et affichez les résultats dans l’outil de l’Explorateur de contenu. |
Classifieurs avec capacité d’apprentissage | Les classifieurs pouvant être formés vous permettent d’apporter des exemples du type de contenu que vous souhaitez découvrir (amorçage), puis de laisser le moteur Machine Learning apprendre à découvrir plus de ces données. Vous participez à la formation classifieur en validant les résultats jusqu’à ce que la précision soit améliorée. |
Correspondance exacte des données | La correspondance exacte des données vous permet de rechercher des données sensibles qui correspondent à des enregistrements existants( par exemple, les informations d’identification personnelles de vos clients, telles que enregistrées dans vos applications métier), ce qui vous permet de cibler précisément ces données avec des stratégies de protection des informations, en éliminant pratiquement les faux positifs. |
Recherche de contenu | Utilisez la recherche de contenu pour les recherches avancées, y compris les filtres personnalisés. Vous pouvez utiliser des mots clés et des opérateurs de recherche booléens. Vous pouvez également créer des requêtes de recherche à l’aide du langage de requête de mot clé (KQL). |
Liste de contrôle RaMP : Protection des données : Connaître vos données | Liste des étapes d'implémentation avec leurs responsables et des liens vers la documentation. |
Découvrir des applications SaaS non approuvées
Votre organisation s’abonne probablement à de nombreuses applications SaaS, telles que Salesforce ou des applications spécifiques à votre secteur d’activité. Les applications SaaS que vous connaissez et gérez sont considérées comme approuvées. Au cours des étapes ultérieures, vous étendez le schéma de protection des données et les stratégies DLP que vous créez avec Microsoft 365 pour protéger les données dans ces applications SaaS approuvées.
Toutefois, à ce stade, il est important de découvrir les applications SaaS non approuvées que votre organisation utilise. Cela vous permet de surveiller le trafic vers et à partir de ces applications pour déterminer si les données métier de votre organisation sont partagées avec ces applications. Si c’est le cas, vous pouvez intégrer ces applications dans la gestion et appliquer la protection à ces données, en commençant par l’activation de l’authentification unique avec l’ID Microsoft Entra.
L’outil permettant de découvrir les applications SaaS que votre organisation utilise est Microsoft Defender pour Cloud Apps.
Ressource | Descriptif |
---|---|
Intégrer des applications SaaS dans le cadre de Zero Trust avec Microsoft 365 | Ce guide de solution décrit le processus de protection des applications SaaS avec des principes de confiance zéro. La première étape de cette solution consiste à ajouter vos applications SaaS à Microsoft Entra ID et aux périmètres des politiques. Il doit s’agir d’une priorité. |
Évaluer Microsoft Defender pour Cloud Apps | Ce guide vous aide à configurer Microsoft Defender pour Cloud Apps le plus rapidement possible. Vous pouvez découvrir des applications SaaS non approuvées dès les phases d’essai et de pilote. |
Chiffrer la communication réseau
Cet objectif est plus d’une vérification pour vous assurer que votre trafic réseau est chiffré. Consultez votre équipe réseau pour vous assurer que ces recommandations sont satisfaites.
Ressource | Descriptif |
---|---|
Sécuriser les réseaux avec zéro Trust-Objective 3 : le trafic interne utilisateur-application est chiffré | Vérifiez que le trafic interne de l’utilisateur à l’application est chiffré :
|
Sécuriser les réseaux avec Zéro Trust-Objective 6 : tout le trafic est chiffré | Chiffrer le trafic principal d’application entre les réseaux virtuels. Chiffrer le trafic entre un site local et un cloud. |
Évolution vers le cloud - Le point de vue d'un architecte | Pour les architectes réseau, cet article permet de mettre en perspective les concepts de mise en réseau recommandés. Ed Fisher, Architecte de sécurité et conformité chez Microsoft, décrit comment optimiser votre réseau pour la connectivité cloud en évitant les pièges les plus courants. |
Étape 2
Une fois que vous avez effectué l’inventaire et découvert l’emplacement de vos données sensibles, passez à l’étape 2 dans laquelle vous développez un schéma de classification et commencez à le tester avec les données de votre organisation. Cette étape inclut également l’identification de l’endroit où les données ou les projets nécessitent une protection accrue.
Lors du développement d’un schéma de classification, il est tentant de créer de nombreuses catégories et niveaux. Toutefois, les organisations qui ont le plus de succès limitent le nombre de niveaux de classification à un petit nombre, comme 3 à 5. Moins de choses sont meilleures.
Avant de traduire le schéma de classification de votre organisation en étiquettes et en ajoutant une protection aux étiquettes, il est utile de réfléchir à l’image globale. Il est préférable d’être aussi uniforme que possible lors de l’application d’un type de protection au sein d’une organisation et surtout d’un grand patrimoine numérique. Cela s’applique également aux données.
Par exemple, de nombreuses organisations sont bien desservies par un modèle de protection à trois niveaux entre les données, les appareils et les identités. Dans ce modèle, la plupart des données peuvent être protégées au niveau de la base de référence. Une plus petite quantité de données peut nécessiter une protection accrue. Certaines organisations ont une très petite quantité de données qui nécessitent une protection à des niveaux beaucoup plus élevés. Par exemple, il s’agit de données ou de données secrètes hautement réglementées en raison de la nature extrêmement sensible des données ou des projets.
Si trois niveaux de protection fonctionnent pour votre organisation, cela vous permet de simplifier la façon dont vous les traduisez en étiquettes et la protection que vous appliquez aux étiquettes.
Pour cette étape, développez vos étiquettes de confidentialité et commencez à les utiliser dans les données de Microsoft 365. Ne vous inquiétez pas encore de l’ajout d’une protection aux étiquettes, ce qui est de préférence effectué à une étape ultérieure une fois que les utilisateurs se sont familiarisés avec les étiquettes et qu’ils les appliquent sans soucis concernant leurs contraintes depuis un certain temps. L’ajout de la protection aux étiquettes est inclus dans la phase suivante. Toutefois, il est recommandé de commencer avec les stratégies DLP de base. Enfin, dans cette phase, vous appliquez une protection spécifique aux projets ou jeux de données qui nécessitent une protection hautement sensible.
Développer et tester un schéma de classification
Ressource | Descriptif |
---|---|
Étiquettes de sensibilité | Découvrez et commencez à utiliser des étiquettes de confidentialité. La considération la plus critique dans cette phase est de s’assurer que les étiquettes reflètent à la fois les besoins de l’entreprise et la langue utilisée par les utilisateurs. Si les noms des étiquettes ne résonnent pas intuitivement avec les utilisateurs ou que leurs significations ne correspondent pas constamment à leur utilisation prévue, l’adoption de l’étiquetage peut finir par être entravée et la précision de l’application d’étiquette risque de souffrir. |
Appliquer des étiquettes aux données dans Microsoft 365
Ressource | Descriptif |
---|---|
Activer les étiquettes de confidentialité pour les fichiers Office dans SharePoint et OneDrive | Activez l’étiquetage intégré pour les fichiers Office pris en charge dans SharePoint et OneDrive afin que les utilisateurs puissent appliquer vos étiquettes de confidentialité dans Office pour le web. |
Gérer les étiquettes de confidentialité dans les applications Office | Ensuite, commencez à présenter des étiquettes aux utilisateurs où ils peuvent les voir et les appliquer. Lorsque vous avez publié des étiquettes de confidentialité à partir du portail Microsoft Purview, elles commencent à apparaître dans les applications Office pour que les utilisateurs classifient et protègent les données à mesure qu’elles sont créées ou modifiées. |
Appliquer des étiquettes aux groupes Microsoft Teams et Microsoft 365 | Lorsque vous êtes prêt, incluez microsoft Teams et les groupes Microsoft 365 dans l’étendue de votre déploiement d’étiquetage. |
Introduire des stratégies DLP de base
Ressource | Descriptif |
---|---|
Empêcher la perte de données | Commencez avec les politiques DLP. Il est recommandé de commencer par des politiques DLP « douces », qui fournissent des avertissements sans bloquer les actions, ou qui, au plus, bloquent les actions tout en permettant aux utilisateurs de passer outre la politique. Cela vous permet de mesurer l’impact de ces stratégies sans nuire à la productivité. Vous pouvez affiner les stratégies de manière à devenir plus strictes lorsque vous gagnez en confiance dans leur précision et leur compatibilité avec les besoins de l’entreprise. |
Configurer des équipes sécurisées pour partager des données en interne et en externe avec des partenaires commerciaux
Si vous avez identifié des projets ou des données qui nécessitent une protection hautement sensible, ces ressources décrivent comment la configurer dans Microsoft Teams. Si les données sont stockées dans SharePoint sans équipe associée, utilisez les instructions de ces ressources pour les paramètres SharePoint.
Ressource | Descriptif |
---|---|
Configurer des équipes avec la protection des données hautement sensibles | Fournit des recommandations prescriptives pour la sécurisation des projets avec des données hautement sensibles, notamment la sécurisation et la gestion de l’accès invité (vos partenaires qui peuvent collaborer avec vous sur ces projets). |
Étape 3
Dans cette phase, vous continuez à déployer le schéma de classification des données que vous avez affiné. Vous appliquez également les protections que vous avez planifiées.
Une fois que vous avez ajouté une protection à une étiquette (par exemple, le chiffrement et la gestion des droits) :
- Tous les documents qui viennent de recevoir l’étiquette incluent la protection.
- Tout document stocké dans SharePoint Online ou OneDrive qui a reçu l’étiquette avant l’ajout de la protection voit cette protection appliquée lorsque le document est ouvert ou téléchargé.
Les fichiers au repos dans le service ou résidant sur l’ordinateur d’un utilisateur ne reçoivent pas la protection qui a été ajoutée à l’étiquette AFTER ces fichiers ont reçu l’étiquette. En d’autres termes, si le fichier a été précédemment étiqueté et que vous ajoutez ultérieurement une protection à l’étiquette, la protection n’est pas appliquée à ces fichiers.
Ajouter une protection aux étiquettes
Ressource | Descriptif |
---|---|
En savoir plus sur les étiquettes de confidentialité | Consultez cet article pour de nombreuses façons de configurer des étiquettes spécifiques pour appliquer la protection. Il est recommandé de commencer par des stratégies de base telles que « chiffrer uniquement » pour les e-mails, et « tous les employés – contrôle total » pour les documents. Ces stratégies fournissent des niveaux de protection forts tout en fournissant des moyens simples pour les utilisateurs lorsqu’ils trouvent des situations dans lesquelles l’introduction du chiffrement provoque des problèmes de compatibilité ou des conflits avec les exigences de l’entreprise. Vous pouvez renforcer de manière incrémentielle les restrictions ultérieurement, car vous gagnez en confiance et en compréhension de la façon dont les utilisateurs doivent consommer les données sensibles. |
Scénarios courants relatifs aux étiquettes de confidentialité | Consultez cette liste de scénarios pris en charge par les étiquettes de confidentialité. |
Introduire l’étiquetage automatique dans les applications Office
Ressource | Descriptif |
---|---|
Appliquer automatiquement une étiquette de confidentialité à du contenu | Affectez automatiquement une étiquette aux fichiers et aux e-mails lorsqu’elle correspond aux conditions que vous spécifiez. Il est recommandé de configurer initialement les étiquettes pour fournir une recommandation d’étiquetage interactive aux utilisateurs. Une fois que vous avez confirmé qu'elles sont généralement acceptées, configurez-les pour que l'étiquette soit appliquée automatiquement. |
Étendre des stratégies DLP dans Microsoft 365
Ressource | Descriptif |
---|---|
Empêcher la perte de données | Continuez à utiliser ces étapes pour appliquer DLP dans votre environnement Microsoft 365, en étendant les stratégies à davantage d’emplacements et de services et en renforçant les actions de règle en supprimant les exceptions inutiles. |
Implémenter des stratégies de gestion des risques internes de base
Ressource | Descriptif |
---|---|
Gestion des risques internes | Commencez par les actions recommandées. Vous pouvez commencer par utiliser des modèles de stratégie pour commencer rapidement, y compris le vol de données par les utilisateurs sortants. |
Étape 4
Au cours de cette étape, vous étendez les protections que vous avez développées dans Microsoft 365 aux données de vos applications SaaS. Vous passez également à l’automatisation autant que possible de la classification et de la gouvernance des données.
Étendre les étiquettes et la protection aux données dans les applications SaaS, notamment DLP
Ressource | Descriptif |
---|---|
Déployer la protection des informations pour les applications SaaS | À l’aide de Microsoft Defender pour Cloud Apps, vous étendez le schéma de classification que vous avez développé avec les fonctionnalités de Microsoft 365 pour protéger les données dans vos applications SaaS. |
Étendre la classification automatisée
Ressource | Descriptif |
---|---|
Appliquer automatiquement une étiquette de confidentialité à du contenu | Continuez à déployer les méthodes automatisées pour appliquer des étiquettes à vos données. Étendez-les aux documents au repos dans SharePoint, OneDrive et Teams, et aux e-mails envoyés ou reçus par les utilisateurs. |
Étendre les étiquettes et la protection aux données dans des référentiels locaux
Ressource | Descriptif |
---|---|
Scanneur Microsoft 365 Purview Information Protection | Analysez les données dans des référentiels locaux, y compris les partages de fichiers Microsoft Windows et SharePoint Server. L’analyseur de protection des informations peut inspecter tous les fichiers que Windows peut indexer. Si vous avez configuré des étiquettes de confidentialité pour appliquer la classification automatique, le scanneur peut étiqueter les fichiers découverts pour appliquer cette classification, et éventuellement appliquer ou supprimer la protection. |
Protéger les données de l’organisation dans votre infrastructure cloud
Ressource | Descriptif |
---|---|
Documentation de gouvernance des données Microsoft Purview | Découvrez comment utiliser le portail de gouvernance Microsoft Purview afin que votre organisation puisse rechercher, comprendre, régir et consommer des sources de données. Les didacticiels, les informations de référence sur l’API REST et d’autres documentations vous montrent comment planifier et configurer votre référentiel de données où vous pouvez découvrir les sources de données disponibles et gérer l’utilisation des droits. |
Plan d’adoption du cloud
Un plan d’adoption est une exigence essentielle pour une adoption réussie du cloud. Les principaux attributs d’un plan d’adoption réussi pour protéger les données sont les suivants :
- La stratégie et la planification sont alignées : Lorsque vous établissez vos plans de test, de pilotage et de déploiement de fonctionnalités de classification et de protection des données dans votre patrimoine numérique, veillez à revoir votre stratégie et vos objectifs pour vous assurer que vos plans sont alignés. Cela inclut la priorité des jeux de données, des objectifs pour la protection des données et des jalons cibles.
- Le plan est itératif : Lorsque vous commencez à déployer votre plan, vous découvrirez de nombreuses choses sur votre environnement et l’ensemble de fonctionnalités que vous utilisez. À chaque étape de votre déploiement, revisitez vos résultats par rapport aux objectifs et ajustez les plans. Cela peut inclure une révision du travail antérieur pour affiner les stratégies, par exemple.
- La formation de votre personnel et de vos utilisateurs est bien planifiée : De votre personnel administratif au support technique et à vos utilisateurs, tout le monde est formé pour réussir avec leurs responsabilités d’identification et de protection des données.
Pour plus d’informations à partir du Cloud Adoption Framework pour Azure, consultez Planifier l’adoption du cloud.
Phase prête
Utilisez les ressources répertoriées précédemment pour hiérarchiser votre plan pour identifier et protéger les données sensibles. Le travail de protection des données métier sensibles représente l’une des couches de votre stratégie de déploiement Confiance Zéro multicouche.
L'approche par étapes recommandée dans cet article inclut la répartition du travail de manière méthodique dans votre patrimoine numérique. Au cours de cette phase de préparation, révisez ces éléments du plan pour vous assurer que tout est prêt à démarrer.
- Les données sensibles pour votre organisation sont bien définies. Vous ajusterez probablement ces définitions lorsque vous recherchez des données et analysez les résultats.
- Vous disposez d’une carte claire dont les jeux de données et les applications commencent par et un plan hiérarchisé pour augmenter l’étendue de votre travail jusqu’à ce qu’il englobe l’ensemble de votre patrimoine numérique.
- Des ajustements aux conseils techniques prescrits qui conviennent à votre organisation et à votre environnement ont été identifiés et documentés.
Cette liste récapitule le processus méthode de haut niveau pour effectuer ce travail :
- Découvrez les fonctionnalités de classification des données telles que les types d’informations sensibles, les classifieurs pouvant être formés, les étiquettes de confidentialité et les stratégies DLP.
- Commencez à utiliser ces fonctionnalités avec des données dans les services Microsoft 365. Cette expérience vous aide à affiner votre schéma.
- Introduisez la classification dans les applications Office.
- Passez à la protection des données sur les appareils en expérimentant, puis en déployant le DLP du point de terminaison.
- Étendez les fonctionnalités que vous avez affinées dans votre patrimoine Microsoft 365 aux données dans les applications cloud à l’aide de Defender pour Cloud Apps.
- Découvrir et appliquer la protection aux données locales à l’aide du scanneur Microsoft Purview Information Protection
- Utilisez la gouvernance des données Microsoft Purview pour découvrir et protéger les données dans les services de stockage de données cloud, notamment les objets blob Azure, Cosmos DB, les bases de données SQL et les référentiels Amazon Web Services S3.
Ce diagramme montre le processus.
Vos priorités pour la découverte et la protection des données peuvent différer.
Notez les dépendances suivantes sur d’autres scénarios métier :
- L’extension de la protection des informations aux appareils terminaux nécessite une coordination avec Intune (inclus dans l’article Travail à distance et hybride sécurisé ).
- L’extension de la protection des informations aux données dans les applications SaaS nécessite Microsoft Defender pour Cloud Apps. Pilotage et déploiement de Defender pour les Applications Cloud sont inclus dans le scénario commercial Empêcher ou réduire les dommages d’entreprise dus à une violation.
Lorsque vous finalisez vos plans d’adoption, veillez à revoir le Guide d’accélération du déploiement de protection des informations et de protection contre la perte de données pour passer en revue les recommandations et affiner votre stratégie.
Phase d’adoption
Microsoft recommande une approche itérative en cascade pour la découverte et la protection des données sensibles. Cela vous permet d’affiner votre stratégie et vos politiques au fur et à mesure afin d'augmenter la précision des résultats. Par exemple, commencez à travailler sur un schéma de classification et de protection lorsque vous découvrez et identifiez des données sensibles. Les données que vous découvrez informent le schéma et le schéma vous aident à améliorer les outils et méthodes que vous utilisez pour découvrir des données sensibles. De même, lorsque vous testez et pilotez le schéma, les résultats vous aident à améliorer les stratégies de protection que vous avez créées précédemment. Il n’est pas nécessaire d’attendre qu’une phase soit terminée avant de commencer la prochaine. Vos résultats sont plus efficaces si vous itérez au fur et à mesure.
Régir et gérer les phases
La gouvernance des données de votre organisation est un processus itératif. En créant de manière réfléchie votre schéma de classification et en le déployant dans votre patrimoine numérique, vous avez créé une base. Utilisez les exercices suivants pour vous aider à créer votre plan de gouvernance initial pour cette base :
- Établissez votre méthodologie : Établissez une méthodologie de base pour examiner votre schéma, comment il est appliqué dans votre patrimoine numérique et la réussite des résultats. Déterminez la façon dont vous allez surveiller et évaluer la réussite de votre protocole de protection des informations, y compris votre état actuel et votre état futur.
- Établissez une base de gouvernance initiale : Commencez votre parcours de gouvernance avec un petit ensemble d’outils de gouvernance facilement implémentés. Cette base de gouvernance initiale est appelée un produit minimum viable (MVP).
- Améliorez votre base de gouvernance initiale : Ajoutez de manière itérative des contrôles de gouvernance pour résoudre les risques tangibles à mesure que vous progressez vers l’état final.
Microsoft Purview fournit plusieurs fonctionnalités pour vous aider à régir vos données, notamment :
- Stratégies de rétention
- Fonctionnalités de rétention et d’archivage des boîtes aux lettres
- Gestion des enregistrements pour les stratégies et planifications de rétention et de suppression plus sophistiquées
Consultez Gouverner vos données avec Microsoft Purview. En outre, l’Explorateur d’activités vous donne une visibilité sur le contenu découvert et étiqueté, ainsi que sur l’emplacement de ce contenu. Pour les applications SaaS, Microsoft Defender pour Cloud Apps fournit des rapports enrichis pour les données sensibles qui se déplacent vers et hors des applications SaaS. Consultez les nombreux didacticiels de la bibliothèque de contenu Microsoft Defender pour Cloud Apps.
Étapes suivantes
- Vue d’ensemble du framework d’adoption de confiance zéro
- Moderniser rapidement votre posture de sécurité
- Sécuriser le travail distant et hybride
- Prévenir ou réduire les préjudices commerciaux causés par une violation
- Répondre aux exigences réglementaires et de conformité
Ressources de suivi de la progression
Pour l’un des scénarios métier Confiance Zéro, vous pouvez utiliser les ressources de suivi de progression suivantes.
Ressource de suivi de la progression | Cela vous aide... | Conçu pour... |
---|---|---|
Grille de plan de scénario d’adoption téléchargeable fichier Visio ou PDF ![]() |
Comprenez facilement les améliorations de sécurité pour chaque scénario métier et le niveau d’effort pour les phases et les objectifs de la phase de plan. | Responsables de projet de scénario commercial, dirigeants d’entreprise et autres parties prenantes. |
Jeu de diapositives PowerPoint téléchargeables pour le suivi de l'adoption du modèle Zero Trust. ![]() |
Suivez votre progression par les étapes et les objectifs de la phase de plan. | Responsables de projet de scénario commercial, dirigeants d’entreprise et autres parties prenantes. |
Objectifs et tâches du scénario métier classeur Excel téléchargeable ![]() |
Attribuez la propriété et suivez votre progression à travers les phases, les objectifs et les tâches de la phase de plan. | Chefs de projet de scénarios métiers, chefs informatiques et implémenteurs informatiques. |
Pour obtenir des ressources supplémentaires, consultez l’évaluation de confiance zéro et les ressources de suivi de progression.