Découverte et classification des données SQL

  • Article

S’applique à :SQL Server

L’outil Découverte et classification des données ajoute des fonctionnalités de découverte, de classification, d’étiquetage et de reporting pour les données sensibles présentes dans vos bases de données. Cette opération peut être effectuée par le biais de T-SQL ou à l’aide de SQL Server Management Studio (SSMS). La découverte et la classification de vos données les plus sensibles (professionnelles, financières, médicales, etc.) peuvent jouer un rôle essentiel dans la protection des informations de votre organisation. Elles peuvent servir d’infrastructure pour :

  • Contribuer à répondre aux normes de confidentialité des données.
  • Surveillance de l’accès aux bases de données/colonnes contenant des données très sensibles.

Remarque

La fonctionnalité Découverte et classification des données est prise en charge pour SQL Server 2012 et ultérieur et peut être utilisée avec SSMS 17.5 ou ultérieur. Pour Azure SQL Database, consultez Découverte et classification des données Azure SQL Database.

Vue d’ensemble

L’outil Découverte et classification des données constitue un nouveau paradigme de protection des informations pour SQL Database, SQL Managed Instance et Azure Synapse destiné à protéger les données, et pas seulement la base de données. Actuellement, il prend en charge les fonctionnalités suivantes :

  • Découverte et recommandations : le moteur de classification analyse votre base de données et identifie les colonnes contenant des données potentiellement sensibles. Il fournit ensuite un moyen simple d’examiner et appliquer les recommandations de classification appropriée, ainsi que de classifier manuellement des colonnes.
  • Étiquetage : des étiquettes de classification de sensibilité peuvent être marquées de manière permanente sur les colonnes.
  • Visibilité : L’état de classification de la base de données peut être consulté dans un rapport détaillé imprimable et exportable à des fins de conformité et d’audit.

Découverte, classification et étiquetage des colonnes sensibles

La section suivante décrit les étapes de découverte, de classification et d’étiquetage des colonnes contenant des données sensibles dans votre base de données, ainsi que l’affichage de l’état actuel de la classification de votre base de données et l’exportation de rapports.

La classification comprend deux attributs de métadonnées :

  • Étiquettes : principaux attributs de classification utilisés pour définir le niveau de sensibilité des données stockées dans la colonne.
  • Types d’informations : précision supplémentaire concernant le type de données stockées dans la colonne.

Pour classifier votre base de données SQL Server :

  1. Dans SQL Server Management Studio (SSMS), connectez-vous à SQL Server.

  2. Dans l’Explorateur d’objets SSMS, sélectionnez la base de données à classer et choisissez Tâches>Découverte et classification des données>Classer les données….

    Capture d’écran montrant l’Explorateur d’objets SSMS avec l’option Tâches > Découverte et classification des données > Classer les données… sélectionnée.

  3. Le moteur de classification analyse votre base de données à la recherche de colonnes (sur la base des noms de colonnes uniquement) contenant des données potentiellement sensibles, et il fournit une liste de classifications de colonnes recommandées :

    • Pour consulter la liste des classifications de colonne recommandées, sélectionnez la zone de notification des recommandations située en haut ou le panneau de recommandations qui se trouve en bas de la fenêtre :

      Capture d’écran montrant la notification qui indique la découverte de 39 colonnes avec des recommandations de classification. Cliquez ici pour les afficher.

      Capture d’écran montrant la notification qui indique 39 colonnes avec des recommandations de classification (cliquez pour afficher).

    • Passez en revue la liste des recommandations :

      • Pour accepter une recommandation associée à une colonne spécifique, cochez la case dans la colonne de gauche de la ligne concernée. Vous pouvez également accepter toutes les recommandations en cochant la case dans l’en-tête de table de recommandations.

      • Modifiez le type d’informations et l’étiquette de confidentialité recommandés à l’aide des zones de liste déroulante.

      Capture d’écran montrant la liste des recommandations.

    • Pour appliquer les recommandations sélectionnées, sélectionnez le bouton Enregistrer les recommandations sélectionnées.

      Capture d’écran du bouton Accepter les recommandations sélectionnées.

Remarque

Le moteur de recommandation, qui effectue la recherche de données automatique et fournit des recommandations de colonne sensibles, est désactivé lorsque le mode Stratégie Protection des données Microsoft Purview est utilisé.

  1. Pour afficher les colonnes classées, sélectionnez le schéma approprié et la table correspondante dans la liste déroulante, puis Charger les colonnes.

    Capture d’écran de la classification des données SSMS – Chargement des colonnes classées.

  2. Vous pouvez aussi, en guise d’alternative, classifier manuellement des colonnes ou, en plus de la classification basée sur les recommandations :

    • Dans le menu en haut de la fenêtre, sélectionnez Ajouter une classification.

      Capture d’écran montrant le menu supérieur avec l’option Ajouter une classification en évidence.

    • Dans la fenêtre contextuelle qui apparaît, entrez le nom de la colonne à classer, le type d’informations et l’étiquette de confidentialité. Le schéma et la table sont sélectionnés en fonction des entrées de la page principale.

      Capture d’écran montrant la fenêtre contextuelle Ajouter une classification.

    • Si vous souhaitez ajouter en une seule fois une classification pour toutes les colonnes non classées d’une table spécifique, sélectionnez Toutes non classées dans la liste déroulante Colonnes de la page Ajouter une classification.

      Capture d’écran de la classification des données SSMS – Sélection de toutes les colonnes non classées.

  3. Pour terminer votre classification et étiqueter de manière permanente les colonnes de la base de données avec les nouvelles métadonnées de classification, sélectionnez Enregistrer dans le menu situé en haut de la fenêtre.

    Capture d’écran montrant le menu supérieur avec l’option Enregistrer en évidence.

  4. Pour générer un rapport avec un récapitulatif complet de l’état de classification de la base de données, sélectionnez Afficher le rapport dans le menu situé en haut de la fenêtre. (Vous pouvez également générer un rapport à l’aide de SSMS. Sélectionnez la base de données dans laquelle vous souhaitez générer le rapport, puis choisissez Tâches>Découverte et classification des données>Générer le rapport….)

    Capture d’écran montrant le menu supérieur avec l’option Afficher le rapport en évidence.

    Capture d’écran montrant le rapport de classification des données SQL.

Classification d’une base de données à l’aide d’une stratégie Protection des données Microsoft Purview

Remarque

Microsoft Information Protection (abrévié MIP) a été renommé Protection des données Microsoft Purview. Tant les termes MIP que Protection des données Microsoft Purview sont utilisés de manière interchangeable dans ce document, mais font référence au même concept.

Les étiquettes Protection des données Microsoft Purview constituent pour les utilisateurs un moyen simple et uniforme de classer des données sensibles dans SQL Server. Les étiquettes de confidentialité MIP sont créées et gérées dans le Centre de conformité Microsoft 365 [renommé Portail de conformité Microsoft Purview]. Pour savoir comment créer et publier des étiquettes de confidentialité MIP dans le portail de conformité Microsoft Purview, consultez l’article Étiquettes de confidentialité Microsoft Information Protection.

Vous pouvez maintenant utiliser SSMS pour classer les données à la source (SQL Server) à l’aide d’étiquettes Protection des données Microsoft Purview, qui sont utilisées dans Power BI, Office et d’autres produits Microsoft. Elles sont appliquées au niveau de la colonne dans une base de données, comme pour la stratégie Information Protection SQL.

Les jeux de données et les rapports Power BI qui se connectent à des données associées à une étiquette de confidentialité dans des sources de données prises en charge peuvent hériter automatiquement de ces étiquettes. Ainsi, les données restent classées une fois intégrées dans Power BI et exportées dans des applications en aval. La disponibilité de la stratégie MIP dans SSMS permet d’offrir une solution de classification de bout en bout à l’échelle de l’entreprise.

Procédure de configuration de la stratégie Protection des données Microsoft Purview

  1. Dans SQL Server Management Studio (SSMS), connectez-vous à SQL Server.

  2. Dans l’Explorateur d’objets SSMS, sélectionnez la base de données à classer et sélectionnez Tâches>Découverte et classification des données>Définir la stratégie Microsoft Information Protection.

    Capture d’écran de la définition de la stratégie Microsoft Information Protection dans SSMS.

  3. Une fenêtre d’authentification pour Microsoft 365 s’affiche. Elle permet de définir la stratégie Microsoft Information Protection. Sélectionnez Se connecter et entrez ou sélectionnez des informations d’identification utilisateur valides pour vous authentifier auprès de votre locataire Microsoft 365.

    Capture d’écran de l’authentification pour définir la stratégie Microsoft Information Protection.

  4. Si l’authentification réussit, la fenêtre contextuelle qui s’affiche indique l’état Réussite.

    Capture d’écran de la définition de la stratégie Microsoft Information Protection dans SSMS en cas de réussite.

  5. Facultatif : Si vous souhaitez vous connecter à l’un des clouds Microsoft souverains pour vous authentifier auprès de Microsoft 365, accédez à SSMS >Outils>Options>Services Azure>Cloud Azure, puis remplacez le Nom par le cloud Microsoft souverain approprié.

    Capture d’écran de la sélection du type de cloud Azure dans SSMS.

  6. Dans la fenêtre Explorateur d’objets SSMS, cliquez avec le bouton droit sur la base de données à classer et choisissez Tâches>Découverte et classification des données>Classer les données. Vous pouvez maintenant ajouter une nouvelle classification à l’aide des étiquettes de confidentialité MIP définies dans votre locataire Microsoft 365 et utiliser ces dernières pour classer les colonnes dans SQL Server.

    Choix des étiquettes de confidentialité de la stratégie Microsoft Information Protection dans SSMS

    La découverte et la recommandation automatiques de données sont désactivées dans le mode de stratégie Microsoft Information Protection. Elles ne sont à l’heure actuelle disponibles que dans le mode de stratégie Information Protection SQL.

Pour rétablir la stratégie Information Protection par défaut ou la stratégie Information Protection SQL, accédez à l’Explorateur d’objets SSMS, cliquez avec le bouton droit sur la base de données et choisissez Tâches>Découverte et classification des données>Rétablir la stratégie Information Protection par défaut. Cette opération applique la stratégie par défaut ou la stratégie Information Protection SQL. Vous pouvez alors classer les données à l’aide d’étiquettes de confidentialité SQL au lieu des étiquettes MIP.

Capture d’écran de la réinitialisation de la stratégie Information Protection dans SSMS.

Pour activer la stratégie Information Protection à partir d’un fichier JSON personnalisé, accédez à l’Explorateur d’objets SSMS, cliquez avec le bouton droit sur la base de données, puis choisissez Tâches>Découverte et classification des données>Définir le fichier de stratégie Information Protection.

Remarque

Une icône d’avertissement indique que la colonne a déjà été classée à l’aide d’une autre stratégie Information Protection que le mode de stratégie sélectionné. Par exemple, si vous vous trouvez actuellement en mode Microsoft Information Protection, et que l’une des colonnes a auparavant été classée à l’aide de la stratégie Information Protection SQL ou de la stratégie Information Protection à partir d’un fichier de stratégie personnalisée, une icône d’avertissement s’affiche sur cette colonne. Vous pouvez décider si vous souhaitez modifier la classification de la colonne en fonction de l’une des étiquettes de confidentialité disponibles dans le mode de stratégie actuel ou la conserver telle quelle. Capture d’écran de l’avertissement de stratégies incompatibles pour la classification des données.

Gestion de la stratégie Information Protection avec SSMS

Vous pouvez gérer la stratégie Information Protection à l’aide de la version 18.4 ou d’une version ultérieure de SSMS :

  1. Dans SQL Server Management Studio (SSMS), connectez-vous à SQL Server.

  2. Dans l’Explorateur d’objets SSMS, sélectionnez l’une de vos bases de données et choisissez Tâches>Découverte et classification des données.

    Les options de menu suivantes vous permettent de gérer la stratégie Information Protection :

  • Définir la stratégie Microsoft Information Protection : définit la stratégie Protection des données en Protection des données Microsoft Purview.

  • Définir le fichier de stratégie Information Protection : utilise la stratégie Information Protection SQL définie dans le fichier JSON sélectionné. (Voir Fichier de stratégie de protection des informations par défaut)

  • Exporter la stratégie Information Protection : exporte la stratégie Information Protection dans un fichier JSON.

  • Rétablir la stratégie Information Protection : rétablit la stratégie Information Protection SQL par défaut.

Important

Le fichier de stratégie de protection des informations n’est pas stocké dans l’ordinateur SQL Server. SSMS utilise une stratégie Information Protection par défaut. En cas d’échec d’une stratégie Information Protection personnalisée, SSMS ne peut pas utiliser la stratégie par défaut. La classification des données échoue. Pour résoudre ce problème, cliquez sur Réinitialiser la stratégie de protection des informations pour utiliser la stratégie par défaut et réactiver la classification des données.

Accès aux métadonnées de classification

SQL Server 2019 introduit la vue de catalogue système sys.sensitivity_classifications. Cette vue retourne les types d’informations et les étiquettes de sensibilité.

Sur les instances SQL Server 2019, interrogez sys.sensitivity_classifications pour passer en revue toutes les colonnes classifiées avec leurs classifications correspondantes. Par exemple :

SELECT 
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
	label,
	rank,
	rank_desc
FROM sys.sensitivity_classifications sc
    JOIN sys.objects O
    ON  sc.major_id = O.object_id
	JOIN sys.columns C 
    ON  sc.major_id = C.object_id  AND sc.minor_id = C.column_id

Avant SQL Server 2019, les métadonnées de classification des types d’informations et des étiquettes de sensibilité se trouvaient dans les propriétés étendues suivantes :

  • sys_information_type_name
  • sys_sensitivity_label_name

Pour les instances de SQL Server 2017 et versions antérieures, l’exemple suivant retourne toutes les colonnes classifiées avec leurs classifications correspondantes :

SELECT
    schema_name(O.schema_id) AS schema_name,
    O.NAME AS table_name,
    C.NAME AS column_name,
    information_type,
    sensitivity_label 
FROM
    (
        SELECT
            IT.major_id,
            IT.minor_id,
            IT.information_type,
            L.sensitivity_label 
        FROM
        (
            SELECT
                major_id,
                minor_id,
                value AS information_type 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_information_type_name'
        ) IT 
        FULL OUTER JOIN
        (
            SELECT
                major_id,
                minor_id,
                value AS sensitivity_label 
            FROM sys.extended_properties 
            WHERE NAME = 'sys_sensitivity_label_name'
        ) L 
        ON IT.major_id = L.major_id AND IT.minor_id = L.minor_id
    ) EP
    JOIN sys.objects O
    ON  EP.major_id = O.object_id 
    JOIN sys.columns C 
    ON  EP.major_id = C.object_id AND EP.minor_id = C.column_id

Autorisations

Sur les instances SQL Server 2019, l’affichage de la classification requiert l’autorisation VIEW ANY SENSITIVITY CLASSIFICATION. Pour plus d'informations, consultez Metadata Visibility Configuration.

Avant SQL Server 2019, les métadonnées sont accessibles par le biais de la vue catalogue dans les propriétés étendues sys.extended_properties.

Pour manager la classification, l’autorisation ALTER ANY SENSITIVITY CLASSIFICATION est requise. La classification ALTER ANY SENSITIVITY CLASSIFICATION est impliquée par l’autorisation de base de données ALTER, ou par l’autorisation de serveur CONTROL SERVER.

Gérer les classifications

Vous pouvez utiliser T-SQL pour ajouter et supprimer des classifications de colonnes, ainsi que pour récupérer toutes les classifications sur l’intégralité de la base de données.

Étapes suivantes

Pour Azure SQL Database, consultez Découverte et classification des données Azure SQL Database.

Protégez vos colonnes sensibles en appliquant des mécanismes de sécurité au niveau des colonnes :