Présentation de la prévention contre la perte de données dans le nouvel Exchange
Article d’origine publié le samedi 29 septembre 2012
La fonction de prévention contre la perte de données (DLP) dans le nouvel Exchange vous aidera à identifier, surveiller et protéger les informations sensibles de votre organisation au travers d’une analyse de contenu approfondie. Cette prévention est de plus en plus importante dans les systèmes de messagerie d’entreprise, car les messages métier critiques incluent les données sensibles qui doivent être protégées. Il s’agit de données financières, d’informations d’identification personnelle ou de données sur la propriété intellectuelle qui peuvent être malencontreusement envoyées à des utilisateurs non autorisés et contraignent ainsi le CSO à consacrer sa nuit à la résolution du problème. Afin de protéger les données sensibles sans affecter la productivité des employés, la nouvelle version de Microsoft Exchange Server 2013 intègre les fonctions de DLP pour que vous puissiez gérer les données sensibles des messages électroniques avec une facilité inégalée.
Vous pouvez démarrer sans peine la prévention de perte de données dans Exchange, car Microsoft y a inclus une interface d’administration simple qui permet les opérations suivantes :
- Démarrer avec un modèle de stratégie préconfiguré qui peut vous aider à détecter des types spécifiques d’informations sensibles, comme les données PCI-DSS, les données Gramm-Leach-Bliley Act ou même les informations d’identification personnelle spécifiques aux paramètres régionaux.
- Utiliser tout le potentiel des actions et prédicats des règles de transport existantes et ajouter de nouvelles règles.
- Tester l’efficacité de vos stratégies de prévention de perte de données avant de les appliquer intégralement.
- Incorporer vos propres modèles de stratégie de prévention de perte de données et vos propres types d’informations sensibles.
- Détecter les informations sensibles dans les pièces jointes des messages, le corps du texte ou les lignes Objet, et régler le niveau de confiance auquel Exchange prend des mesures.
- Appliquer les conseils de stratégie, qui peuvent aider à réduire la perte des données en affichant un avertissement à l’attention de vos utilisateurs Outlook et à améliorer l’efficacité de vos stratégies en autorisant la génération de rapports faux positifs.
- Consulter les données d’incident dans les journaux de suivi des messages ou ajouter la génération de rapports en utilisant une nouvelle action de génération de rapport d’incident.
Les modèles de stratégie de prévention de données fournis par Microsoft constituent un moyen simple de démarrer. Ces stratégies sont des packages de règles de transport composés de nouvelles fonctionnalités que vous pouvez personnaliser. Ces règles incluent les types de classification qui définissent le type de contenu que vous recherchez dans la stratégie DLP. Vous pouvez utiliser l’environnement Exchange Management Shell, le Centre d’administration Exchange (CAE) ou même votre propre éditeur de fichier XML pour commencer à incorporer les stratégies de prévention de perte de données dans votre environnement de messagerie. L’image proposée ici illustre l’interface de gestion de la prévention de perte de données.
Figure 1 : gestion de la prévention de perte de données (DLP) à l’aide du CAE
Un certain nombre de conditions et d’actions de règles de transport ont été créées dans Exchange Server 2013 pour répondre aux nouvelles fonctionnalités de la prévention de perte de données. L’une des fonctions clés des nouvelles règles de transport constitue une approche inédite pour détecter les informations sensibles qui peuvent incorporées au traitement du flux de messagerie. Cette nouvelle fonctionnalité exécute une analyse approfondie du contenu via les correspondances de mots clés ou de dictionnaires, l’évaluation des expressions régulières, les fonctions internes comme la validation du total de contrôle pour les numéros de carte de crédit, ou l’examen permettant de détecter des types de contenu spécifiques au sein du corps du message ou des pièces jointes.
Conseils de stratégie pour informer les employés en temps réel
Avec les nouvelles fonctions de prévention de perte de données, vous pouvez informer les expéditeurs de messages électroniques qu’ils s’apprêtent à transmettre des informations sensibles détectées par vos stratégies, et ce avant même qu’ils ne cliquent sur le bouton Envoyer. Vous pouvez exécuter cette tâche en configurant les conseils de stratégie. Ceux-ci sont similaires aux Infos-courrier et peuvent être configurés de façon à présenter une note concise dans le client Microsoft Outlook 2013 et de fournir des informations sur vos stratégies métier à la personne qui crée un message. Vous pouvez configurer des conseils de stratégie qui préviennent simplement les employés ou bloquent leurs messages, ou les autorisent même à remplacer votre blocage avec une justification à l’appui. Les conseils de stratégie peuvent aussi être utiles pour affiner l’efficacité de votre stratégie de prévention de perte de données, car ils permettent aux utilisateurs de faire état de façon transparente des faux positifs. Voici une capture d’écran illustrant les conseils de stratégie en action.
Figure 2 : un conseil de stratégie informe les expéditeurs de la présence d’informations sensibles avant qu’ils n’envoient le message.
Commencer par établir les stratégies qui protègent les données sensibles
Il existe trois méthodes différentes de mise en route de la prévention de perte de données :
- Appliquer un modèle prêt à l’emploi fourni par Microsoft La solution la plus rapide pour commencer à utiliser les stratégies de prévention de perte de données consiste à créer et à implémenter une nouvelle stratégie avec un modèle. Vous vous évitez ainsi d’avoir à créer un nouvel ensemble de règles à partir de rien.
- Importer un fichier de stratégie déjà prêt en dehors de votre organisation Vous pouvez importer des modèles de stratégie préalablement créées à l’extérieur de votre environnement de messagerie par des éditeurs indépendants. De cette façon, vous pouvez étendre la solution de stratégie de prévention de perte de données pour l’adapter à vos besoins métier.
- Créer une stratégie personnalisée sans conditions préexistantes Votre entreprise peut avoir ses propres impératifs pour surveiller certains types de données réputés exister au sein d’un système de messagerie. Vous pouvez créer vous-même une stratégie de prévention de perte de données pour commencer à vérifier vos propres données de message et agir dessus.
Types d’informations sensibles dans les stratégies de prévention de perte de données
Lorsque vous créez les stratégies de prévention de perte de données, vous pouvez inclure les règles qui incluent les contrôles des informations sensibles. Les conditions que vous définissez au sein d’une stratégie, comme le nombre de fois que telle ou telle chose doit être détectée avant qu’une mesure ne soit prise ou la façon exacte dont cette action peut être personnalisée au sein de vos nouvelles stratégies afin de satisfaire à vos impératifs métier. Les règles sur les informations sensibles sont intégrés à l’infrastructure des règles de transport par l’introduction d’une condition que vous pouvez personnaliser : Si le message contient… informations sensibles. Cette condition peut être configurée avec un ou plusieurs types d’informations sensibles contenues dans les messages.
Pour vous faciliter l’utilisation des règles relatives aux informations sensibles, Microsoft propose des modèles de stratégie qui incluent déjà certains types d’informations sensibles. Un inventaire des types d’informations sensibles proposés prêts à l’emploi est disponible dans la bibliothèque TechNet. En voici un bref exemple :
| Type d’information | Pays principal | Catégorie |
|---|---|---|
| Numéro d’acheminement ABA | États-Unis | Finances |
| Numéro de compte de la Banque d’Australie | Australie | Finances |
| Numéro de carte de crédit | Tous | Finances |
| Numéro de carte bancaire | Union européenne | Finances |
| Numéro de sécurité sociale | France | Informations d’identification personnelle |
| Numéro de permis de conduire | Allemagne | Informations d’identification personnelle |
| Numéro de passeport | Japon | Informations d’identification personnelle |
| Code SWIFT | Tous | Finances |
| Numéro du service de santé | Royaume-Uni | Santé |
La prévention de perte de données dans Exchange 2013 est l’une des nombreuses fonctions nouvelles dont l’objectif est de vous aider à résoudre les problèmes de conformité dans les messages électroniques. Consultez Découverte électronique sur place, Archivage sur place, Stratégies de conservation et les nouveaux ajouts apportés aux règles de transport, ainsi que la gestion des droits relatifs à l’information. Nous espérons que vous deviendrez plus productif et travaillerez plus en sécurité grâce aux nouvelles fonctions de DLP qui vous aideront à protéger les données sensibles de votre organisation.
Ce billet de blog a été traduit de l’anglais. La version originale est disponible sur la page Introducing Data Loss Prevention in the New Exchange