Lire en anglais

Partager via


Sécuriser les données avec la Confiance Zéro

Background

Confiance Zéro est une stratégie de sécurité utilisée pour concevoir des principes de sécurité pour votre organisation. Confiance Zéro permet de sécuriser les ressources d’entreprise en implémentant les principes de sécurité suivants :

  • Vérifier explicitement. Toujours authentifier et autoriser en fonction de tous les points de données disponibles, y compris l'identité de l'utilisateur, l'emplacement, l'état du dispositif, le service ou la charge de travail, la classification des données et les anomalies.

  • Utiliser l’accès du moindre privilège. Limitez l’accès utilisateur avec JIT (juste-à-temps) et JEA (Just-Enough-Access), des stratégies adaptatives basées sur les risques et la protection des données pour sécuriser les données et la productivité.

  • Supposer une violation. Réduire au minimum le rayon de l'explosion et segmenter l'accès. Vérifiez le chiffrement de bout en bout et utilisez l’analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.

Microsoft Purview propose cinq éléments principaux pour une stratégie de défense des données en profondeur et une implémentation Confiance Zéro pour les données :

  1. Classification et étiquetage des données
    Si vous ne savez pas quelles données sensibles vous possédez localement et dans les services cloud, vous ne pouvez pas les protéger de manière adéquate. Découvrez et détectez les données dans l'ensemble de votre organisation et classez-les par niveau de sensibilité.

  2. Information Protection
    L’accès conditionnel et le moins privilégié aux données sensibles réduisent les risques de sécurité des données. Appliquer des garde-fous de contrôle d'accès basés sur la sensibilité, la gestion des droits et le cryptage lorsque les contrôles environnementaux sont insuffisants. Utilisez des marquages de confidentialité des informations pour accroître la sensibilisation et la conformité des stratégies de sécurité.

  3. Prévention contre la perte de données
    Le contrôle d’accès résout uniquement une partie du problème. La vérification et le contrôle des activités et mouvements de données risqués pouvant entraîner un incident de sécurité ou de conformité des données permettent aux organisations de prévenir le partage à outrance des données sensibles.

  4. Gestion des risques internes
    L’accès aux données ne donne pas toujours l’ensemble des détails. Réduisez les risques liés aux données en activant la détection comportementale à partir d’un large éventail de signaux, et en agissant sur des activités potentiellement malveillantes et accidentelles dans votre organisation qui pourraient être des précurseurs ou une indication d’une violation de données.

  5. Gouvernance des données
    La gestion proactive du cycle de vie des données sensibles réduit son exposition. Limitez le nombre de copies ou de propagation de données sensibles et supprimez les données qui ne sont plus nécessaires pour réduire les risques de violation de données.

Objectifs du déploiement de données Confiance Zéro

Nous vous recommandons de vous concentrer sur ces objectifs de déploiement initiaux lors de la mise en œuvre d'un cadre de Confiance Zéro de bout en bout pour les données :

Icône de liste avec une coche.

I. Classifier et étiqueter les données. Classifier et étiqueter automatiquement les données dans la mesure du possible. Appliquez manuellement où ce n’est pas le cas.

II. Appliquer le chiffrement, le contrôle d’accès et les marquages de contenu. Appliquer le chiffrement où la protection et le contrôle d’accès sont insuffisants.

III. Contrôler l’accès aux données. Contrôler l’accès aux données sensibles afin qu’elles soient mieux protégées. Assurez-vous que les décisions relatives à l’accès et à la stratégie d’utilisation sont inclusives à la confidentialité des données.

Au fur et à mesure que vous atteignez les objectifs ci-dessus, ajoutez ces objectifs de déploiement supplémentaires :

Icône de liste avec deux coches.

IV. Empêcher la fuite de données. Utiliser des stratégies DLP pilotées par les signaux à risque et la sensibilité des données.

V. Gérer les risques. Gérez les risques susceptibles d’entraîner un incident de sécurité des données, en vérifiant les activités d’utilisateurs et les modèles d’activité des données liés à la sécurité des données qui peuvent entraîner un incident de sécurité ou de conformité des données.

VI. Réduire l’exposition des données. Réduire l’exposition des données par le biais de la gouvernance des données et de la réduction continue des données

Guide de déploiement des données Confiance Zéro

Ce guide vous guidera pas à pas dans une approche de la protection des données fondée sur la Confiance Zéro. N’oubliez pas que ces éléments varient considérablement en fonction de la confidentialité de vos informations, ainsi que de la taille et de la complexité de votre organisation.

En tant que précurseur de toute implémentation de sécurité des données, Microsoft vous recommande de créer une taxonomie d’étiquettes de classification des données et d’étiquettes de confidentialité qui définit des catégories de haut niveau de risque de sécurité des données. Cette taxonomie sera utilisée pour simplifier tout, de l’inventaire des données ou des insights d’activité, à la gestion des stratégies à la hiérarchisation des enquêtes.

Pour plus d’informations, consultez l’article suivant :




Icône liste de contrôle avec une coche.

Objectifs de déploiement initiaux

I. Classifier, étiqueter et découvrir les données sensibles

Une stratégie de protection des informations doit englober la totalité du contenu numérique de votre organisation.

Les classifications et les étiquettes de confidentialité vous permettent de comprendre où se trouvent vos données sensibles, comment elles se déplacent et implémentent des contrôles d’accès et d’utilisation appropriés cohérents avec les principes de confiance zéro :

  • Utilisez la classification et l’étiquetage automatisés pour détecter les informations sensibles et mettre à l’échelle la découverte dans votre patrimoine de données.

  • Utilisez l’étiquetage manuel pour les documents et les conteneurs et organisez manuellement des jeux de données utilisés dans l’analyse où la classification et la confidentialité sont mieux établies par des utilisateurs compétents.

Effectuez les étapes suivantes :

Une fois que vous avez configuré et testé la classification et l’étiquetage, effectuez un scale-up de la découverte des données dans votre patrimoine de données.

Procédez comme suit pour étendre la découverte au-delà des services Microsoft 365 :

Lorsque vous découvrez, classifiez et étiquetez vos données, utilisez ces insights pour corriger les risques et informer vos initiatives de gestion des stratégies.

Effectuez les étapes suivantes :

II. Appliquer le chiffrement, le contrôle d’accès et les marquages de contenu

Simplifiez votre implémentation de privilèges minimum à l’aide d’étiquettes de confidentialité pour protéger vos données les plus sensibles avec le chiffrement et le contrôle d’accès. Utilisez des marquages de contenu pour améliorer la sensibilisation et la traçabilité des utilisateurs.

Protéger les documents et les emails

Protection des données Microsoft Purview permet l’accès et le contrôle d’utilisation en fonction des étiquettes de confidentialité ou des autorisations définies par l’utilisateur pour les documents et les e-mails. Il peut également appliquer des marquages et chiffrer des informations qui résident dans ou circulent vers des environnements de confiance moindre internes ou externes à votre organisation. Il fournit une protection au repos, en mouvement et en cours d’utilisation pour les applications compatibles.

Effectuez les étapes suivantes :

Protéger les documents dans Exchange, SharePoint et OneDrive

Pour les données stockées dans Exchange, SharePoint et OneDrive, la classification automatique avec des étiquettes de confidentialité peut être déployée via des stratégies vers des emplacements ciblés afin de restreindre l'accès et de gérer le chiffrement lors des sorties autorisées.

Étape à suivre

III. Contrôler l’accès aux données

L’attribution des accès aux données sensibles doit être contrôlée afin qu’elles soient mieux protégées. Assurez-vous que les décisions relatives à l’accès et à la stratégie d’utilisation sont inclusives à la confidentialité des données.

Contrôler l’accès et le partage des données dans Teams, Groupes Microsoft 365 et sites SharePoint

Utilisez des étiquettes de confidentialité de conteneur pour implémenter des restrictions d’accès conditionnel et de partage aux sites Microsoft Teams, Groupes Microsoft 365 ou SharePoint.

Étape à suivre

Contrôler l'accès aux données dans les applications SaaS

Microsoft Defender for Cloud Apps offre des fonctionnalités supplémentaires pour l’accès conditionnel et pour gérer des fichiers sensibles dans des environnements Microsoft 365 et tiers tels que Box ou Google Workspace, notamment :

  • Suppression des autorisations pour traiter les privilèges excessifs et empêcher les fuites de données.

  • Mise en quarantaine des fichiers à réviser.

  • Application d’étiquettes à des fichiers sensibles.

Effectuez les étapes suivantes :

Conseil

Consultez Intégrer des applications SaaS pour Confiance Zéro avec Microsoft 365 pour découvrir comment appliquer des principes Confiance Zéro pour gérer votre infrastructure numérique d’applications cloud.

Contrôler l’accès dans le stockage IaaS/PaaS

Déployez des stratégies de contrôle d’accès obligatoires sur des ressources IaaS/PaaS qui contiennent des données sensibles.

Étape à suivre

IV. Empêcher la fuite de données

Le contrôle de l’accès aux données est nécessaire, mais insuffisant pour exercer un contrôle sur le déplacement des données et empêcher les fuites ou pertes de données accidentelles ou non autorisées. C’est le rôle de la protection contre la perte de données et de la gestion des risques internes, qui est décrit dans la section IV.

Utilisez des stratégies DLP Microsoft Purview pour identifier, case activée et protéger automatiquement les données sensibles :

  • Services Microsoft 365 tels que les comptes Teams, Exchange, SharePoint et OneDrive

  • Applications Office telles que Word, Excel et PowerPoint

  • Points de terminaison Windows 10, Windows 11 et macOS (trois dernières versions)

  • Partages de fichiers locaux et serveurs SharePoint locaux

  • Applications cloud non-Microsoft.

Effectuez les étapes suivantes :

V. Gérer les risques internes

Les implémentations de privilèges minimum permettent de réduire les risques connus. Cependant, il est également important de mettre en corrélation des signaux comportementaux utilisateur liés à la sécurité supplémentaires, de vérifier les modèles d’accès aux données sensibles et d’étendre les capacités de détection, d’enquête et de repérage.

Procédez comme suit :

VI. Supprimer des informations sensibles inutiles

Les organisations peuvent réduire leur exposition aux données en gérant le cycle de vie de leurs données sensibles.

Supprimez tous les privilèges où vous êtes en mesure de le faire, en supprimant les données sensibles elles-mêmes lorsqu’elles ne sont plus utiles ou autorisées à votre organisation.

Étape à suivre

Réduisez la duplication des données sensibles en favorisant le partage et l’utilisation sur place plutôt que les transferts de données.

Étape à suivre

Produits abordés dans ce guide

Microsoft Purview

Microsoft Defender for Cloud Apps

Pour plus d’informations ou pour obtenir de l’aide sur l’implémentation, contactez l’équipe chargée de la réussite client.



Série de guides de déploiement de la Confiance Zéro

Icône pour la présentation

Icône pour les identités

Icône pour les points de terminaison

Icône pour les applications

Icône pour les données

Icône pour l’infrastructure

Icône pour les réseaux

Icône pour Visibilité, automatisation et orchestration