Planifier l’implémentation de la protection contre la perte de données Microsoft Purview
- 10 minutes
Protection contre la perte de données Microsoft Purview (DLP) aide les organisations à maintenir la conformité aux exigences réglementaires. Il les aide également à protéger leurs données sensibles contre les violations de données potentielles, qu’elles stockent leurs données localement, dans le cloud ou qu’elles les partagent avec des fournisseurs tiers.
Pour aider les organisations à atteindre ces objectifs, Microsoft Purview DLP fournit une gamme de fonctionnalités, notamment :
- Détection et classification automatisées des données sensibles.
- Surveillance et suivi continus des données sensibles.
- Intégration à d’autres services Microsoft, tels que Microsoft Entra Protection et Microsoft Sécurité des applications cloud.
- Création de stratégies personnalisables pour appliquer des mesures de protection des données.
- Alertes et rapports en temps réel sur les violations de données potentielles.
Remarque
Azure Active Directory Domain Services (Azure AD) est désormais Microsoft Entra ID. En savoir plus.
L’implémentation de ces fonctionnalités nécessite un effort de planification coordonné. Cette unité de formation se concentre sur la façon dont les organisations doivent planifier l’implémentation de Microsoft Purview DLP.
Plusieurs points de départ
Chaque organization planifie et implémente microsoft Purview DLP différemment. Pourquoi ? Parce que les besoins, les objectifs, les ressources et la situation de chaque organization sont uniques. Toutefois, certains éléments sont communs à toutes les implémentations DLP réussies. Cette unité présente les meilleures pratiques que les organisations utilisent dans leur planification DLP.
De nombreuses organisations choisissent d’implémenter la protection contre la perte de données pour se conformer à diverses réglementations gouvernementales ou industrielles. Les organisations implémentent également une protection contre la perte de données pour protéger leur propriété intellectuelle. Mais le lieu de départ et la destination finale dans le parcours DLP varient d’un organization à l’autre.
Les organisations peuvent commencer leur parcours DLP de différentes façons. Par exemple :
- À partir d’un focus de plateforme, ils souhaitent protéger les informations dans les messages de conversation et de canal Teams ou sur les appareils Windows.
- Ils savent quelles informations sensibles ils veulent protéger en priorité, comme les dossiers de soins de santé. Compte tenu de ces informations, ils peuvent passer directement à la définition de stratégies pour les protéger.
- Ils peuvent ne pas savoir quelles sont leurs informations sensibles, où elles se trouvent et qui en fait quoi. Par conséquent, ils commencent par la découverte et la catégorisation et prennent une approche plus méthodique.
- Ils peuvent ne pas savoir quelles sont leurs informations sensibles, où elles se trouvent ou qui en fait quoi. Même sans ces informations, ils peuvent toujours passer directement à la définition de stratégies. À partir de là, ils utilisent ces résultats comme point de départ, puis affinent leurs stratégies à partir de là.
- Ils souhaitent implémenter la pile de Protection des données Microsoft Purview complète. Par conséquent, ils ont l’intention d’adopter une approche plus longue et plus méthodique de l’implémentation DLP.
Ces exemples ne sont que quelques-unes des façons dont les clients peuvent aborder DLP. Peu importe d’où commence un organization. Microsoft Purview DLP est suffisamment flexible pour prendre en charge différents types de parcours de protection des informations, de leur début à une stratégie de protection contre la perte de données entièrement réalisée.
Vue d’ensemble du processus de planification DLP Microsoft Purview
Il existe différents aspects du processus de planification DLP Microsoft Purview. Les sections suivantes examinent chacune de ces considérations.
Identifier les parties prenantes
Lorsqu’un organization implémente des stratégies DLP, il peut les appliquer à de grandes parties de l’entreprise. Ce faisant, il est essentiel que le service informatique ne développe pas de plan d’ensemble par lui-même. Le fait de ne pas le faire entraîne toujours des conséquences négatives. Au lieu de cela, un organization doit identifier les parties prenantes dans l’ensemble des ministères qui peuvent :
- Décrivez les réglementations, les lois et les normes de l’industrie à laquelle le organization est soumis.
- Déterminez les catégories d’éléments sensibles nécessitant une protection.
- Identifiez les processus métier qui nécessiteraient une stratégie DLP.
- Identifiez le comportement à risque que l’entreprise souhaite limiter.
- Hiérarchisez les données à protéger en premier en fonction de la sensibilité des éléments et des risques impliqués.
- Décrivez chaque processus de révision et de correction des événements de correspondance de stratégie DLP.
En général, ces besoins sont généralement de 85 % de protection réglementaire et de conformité, et de 15 % de protection de la propriété intellectuelle. Voici quelques suggestions sur les rôles à inclure dans le processus de planification d’un organization :
- Responsables de la réglementation et de la conformité
- Responsable des risques
- Conseillers juridiques
- Responsables de la sécurité et de la conformité
- Propriétaires d’entreprise pour les éléments de données
- Utilisateurs professionnels
- Professionnels de l’informatique
Décrire les catégories d’informations sensibles à protéger
Une fois qu’une organization identifie les parties prenantes DLP, elle doit décrire :
- Catégories d’informations sensibles qu’ils souhaitent protéger.
- Processus métier qui utilisent les données trouvées dans ces catégories.
Par exemple, DLP peut définir les catégories suivantes :
- Financier
- Informations médicales et médicales
- Confidentialité
- Personnalisé
Définir des objectifs et créer un plan d’implémentation
Une fois que les parties prenantes ont défini les informations sensibles à protéger et l’emplacement des données :
- Les parties prenantes peuvent définir leurs objectifs de protection.
- Le service informatique peut élaborer un plan d’implémentation.
Le plan d’implémentation d’un organization doit inclure :
- Mappage de son état de départ et de l’état final souhaité, ainsi que des étapes à suivre pour passer de l’un à l’autre.
- Comment il traite la découverte des éléments sensibles.
- Planification de la stratégie.
- Étapes requises pour implémenter le plan.
- Comment il répond aux conditions préalables.
- Comment il teste les stratégies avant de passer à l’application.
- Comment il forme ses utilisateurs finaux.
- Comment il teste et règle ses stratégies.
- Comment il examine et met à jour sa stratégie de protection contre la perte de données en fonction de l’évolution de la réglementation, de la législation, des normes du secteur ou de la protection de la propriété intellectuelle et des besoins métier.
Mapper le chemin d’accès du début à l’état de fin souhaité
Pourquoi est-il essentiel pour un organization de documenter comment il va passer de son état de départ à l’état final souhaité ? Parce que la documentation est essentielle pour communiquer avec ses parties prenantes et définir l’étendue du projet.
Le diagramme suivant présente un ensemble d’étapes que les organisations utilisent couramment pour déployer Microsoft Purview DLP. Vous pouvez utiliser ce plan pour encadrer votre chemin d’adoption DLP, puis renseigner les détails.
Découverte d’éléments sensibles
Il existe plusieurs façons de découvrir les éléments sensibles d’un organization et leur emplacement. Un organization peut avoir des étiquettes de confidentialité déjà déployées. Ou bien, elle a décidé de déployer une stratégie DLP étendue sur tous les emplacements qui découvre et audite uniquement les éléments. Pour en savoir plus, consultez Connaître vos données.
Planification de la stratégie
Au fur et à mesure que les organisations commencent leur adoption de DLP, elles peuvent utiliser les questions suivantes pour concentrer leurs efforts de conception et d’implémentation de stratégie.
| Question | Réponse | Exemple |
|---|---|---|
| Quelles lois, réglementations et normes industrielles votre organization doit-elle respecter ? | Étant donné que de nombreuses organisations arrivent à DLP avec l’objectif de conformité réglementaire, répondre à cette question est un point de départ naturel pour la planification de leur implémentation DLP. Mais, en tant qu’implémenteur informatique, vous ne pouvez probablement pas y répondre. Au lieu de cela, notre équipe juridique et les dirigeants d’entreprise doivent fournir la réponse. | Votre organization est soumis à la réglementation financière du Royaume-Uni. |
| Quels sont les éléments sensibles que votre organization souhaite protéger contre les fuites ? | Une fois qu’un organization sait où il en est en termes de besoins de conformité réglementaire, il peut déterminer : - Éléments sensibles à protéger contre les fuites. - Comment il souhaite hiérarchiser l’implémentation de la stratégie pour les protéger. Ces informations lui permettent de choisir les modèles de stratégie DLP les plus appropriés. Microsoft Purview est fourni avec des modèles DLP préconfigurés pour les finances, les soins médicaux et la santé, ainsi que la confidentialité. Un organization peut également générer son propre modèle à l’aide de la fonctionnalité Modèle personnalisé. Comme un organization conçoit et crée ses stratégies DLP réelles, connaître la réponse à cette question l’aide également à choisir le type d’informations sensibles approprié. |
Pour commencer rapidement, vous choisissez le modèle de stratégie données financières du Royaume-Uni. Ce modèle inclut le numéro de carte de crédit, le numéro de débit de l’UE carte et les types d’informations sensibles du code SWIFT. |
| Où se trouvent les éléments sensibles et quels processus métier les utilisent ? | Un organization utilise des éléments qui contiennent des informations sensibles chaque jour lors de l’activité commerciale. Un organization doit savoir où il stocke les instances de ces informations sensibles. Il doit également savoir quels processus métier utilisent ces données. Le fait de connaître ces informations aide le organization à choisir les emplacements appropriés pour appliquer ses stratégies DLP. Vous pouvez appliquer des stratégies DLP aux emplacements suivants : E-mail Exchange Sites Microsoft Office SharePoint Online Comptes OneDrive - Messages de conversation et de canal Teams - Windows 10 et 11 appareils - Microsoft Defender for Cloud Apps - Référentiels locaux |
Les auditeurs internes de votre organisation effectuent le suivi d’un ensemble de numéros de carte de crédit. Ils conservent une feuille de calcul d’eux dans un site SharePoint sécurisé. Plusieurs employés font des copies et les enregistrent sur leur lieu de travail OneDrive Entreprise site. Ils synchronisent ce site avec leurs Windows 10 et 11 appareils. L’un d’eux colle une liste de 14 numéros de carte de crédit dans un e-mail et tente de l’envoyer aux auditeurs externes pour examen. Vous souhaitez appliquer la stratégie au site SharePoint sécurisé, à tous les comptes OneDrive Entreprise des auditeurs internes, à leurs Windows 10 et 11 appareils, ainsi qu’à la messagerie Exchange. |
| Quelle est la tolérance de votre organization pour les fuites ? | Différents groupes de votre organization peuvent avoir des vues différentes sur le niveau acceptable de fuite d’éléments sensibles et ce qui ne l’est pas. Atteindre la perfection de zéro fuite peut avoir un coût trop élevé pour l’entreprise. | Le groupe de sécurité de votre organisation, ainsi que l’équipe juridique, estiment qu’il ne devrait pas y avoir de partage des numéros de carte de crédit avec quiconque ne faisant pas partie du organization. Il insiste sur l’absence de fuite. Toutefois, dans le cadre de leur examen régulier de l’activité des numéros de carte de crédit, les vérificateurs internes doivent partager certains numéros de carte de crédit avec des auditeurs tiers. Si votre stratégie DLP interdit tout partage de numéros de carte de crédit en dehors du organization, une interruption importante du processus métier s’ensuit. Les organization doivent également entraîner un coût supplémentaire pour atténuer l’interruption afin que les auditeurs internes puissent effectuer leur suivi. Toutefois, ce coût supplémentaire est inacceptable pour les dirigeants exécutifs. Pour résoudre cette situation, il doit y avoir une conversation interne pour déterminer un niveau acceptable de fuite. Une fois qu’un organization accepte ce niveau, la stratégie peut prévoir des exceptions permettant à certaines personnes de partager les informations. Ou le organization peut l’appliquer en mode audit uniquement. |
Planification des prérequis
Avant qu’un organization puisse surveiller les emplacements DLP, il doit d’abord satisfaire aux prérequis DLP. Pour plus d’informations, consultez la section Avant de commencer dans les articles suivants :
- Prise en main du scanneur local de protection contre la perte de données.
- Prise en main de la protection contre la perte de données de point de terminaison.
- Prise en main de l’extension de conformité Microsoft.
- Utilisez des stratégies de protection contre la perte de données pour les applications cloud non-Microsoft.
Déploiement de stratégie
Lorsqu’un organization crée ses stratégies DLP, il doit envisager de les déployer progressivement pour évaluer leur effet. Il devrait également tester leur efficacité avant de les appliquer entièrement. Par exemple, un organization ne souhaite pas qu’une nouvelle stratégie DLP bloque involontairement l’accès à des milliers de documents ou interrompe un processus métier existant.
Certaines organisations créent des stratégies DLP qui peuvent affecter considérablement leurs processus métier. Dans ces situations, Microsoft recommande aux organisations de suivre cette séquence :
Démarrez en mode test sans conseils de stratégie. Ce faisant, le organization peut évaluer l’effet à l’aide des rapports DLP et des rapports d’incident. Il peut utiliser des rapports DLP pour afficher le nombre, l’emplacement, le type et la gravité des correspondances de stratégie. En fonction des résultats, il peut affiner les stratégies en fonction des besoins. En mode test. Les stratégies DLP n’affectent pas la productivité des personnes travaillant dans le organization. Cette étape doit également tester le workflow de l’organization pour la révision des événements DLP et la correction du problème.
Passez en mode test avec des notifications et des conseils de stratégie. Cela permet à un organization de commencer à enseigner aux utilisateurs ses stratégies de conformité. Il les prépare également aux politiques qu’il va appliquer. Il est utile d’avoir un lien vers une page de stratégie organization qui fournit plus de détails sur la stratégie dans le conseil de stratégie. À ce stade, le organization peut également demander aux utilisateurs de signaler des faux positifs afin de pouvoir affiner davantage les stratégies. Une organization doit passer à cette étape une fois qu’elle a la certitude que les résultats de son application de stratégie correspondent à ce que les parties prenantes avaient à l’esprit.
Démarrez l’application complète des stratégies. Ce faisant, le système applique les actions dans les règles pour protéger le contenu. Continuez à surveiller les rapports DLP et tous les rapports ou notifications d’incidents. Dans ce cas, veillez à voir les résultats prévus.
Un organization peut désactiver une stratégie DLP à tout moment, ce qui affecte toutes les règles de la stratégie. Toutefois, vous pouvez désactiver chaque règle individuellement en basculant son État dans l’éditeur de règles.
Un organization peut également modifier la priorité de plusieurs règles dans une stratégie. Pour ce faire, ouvrez une stratégie pour modification. Dans la ligne d’une règle, sélectionnez la flèche vers le haut ou le bas appropriée pour réorganiser l’ordre des règles.
Formation des utilisateurs finaux
Un organization peut configurer ses stratégies DLP pour Envoyer Notifications par e-mail et afficher des conseils de stratégie pour les stratégies DLP aux administrateurs et aux utilisateurs finaux. Les stratégies peuvent envoyer des notifications et afficher des conseils de stratégie lorsqu’une activité utilisateur déclenche une stratégie DLP. Les conseils de stratégie sont des moyens utiles pour sensibiliser aux comportements à risque sur les éléments sensibles et former les utilisateurs à éviter ces comportements à l’avenir. Cette conception est particulièrement vraie lorsque les stratégies d’un organization sont toujours en mode test et avant d’appliquer des actions de blocage.
Passer en revue les exigences DLP et la stratégie de mise à jour
Les règlements, les lois et les normes de l’industrie qu’un organization est susceptible de changer au fil du temps. Les objectifs métier d’un organization en matière de protection contre la perte de données peuvent également changer. Un organization devrait inclure des examens réguliers de tous ces domaines afin qu’il reste en conformité et que sa mise en œuvre DLP continue de répondre à ses besoins métier.
Approches du déploiement
Le tableau suivant identifie des exemples de scénarios pour trois sociétés fictives. Les scénarios décrivent les besoins métier de chaque entreprise. Ces besoins métier sont des exigences réelles issues d’implémentations réelles. Pour chaque entreprise, le tableau identifie également l’approche qu’elle doit prendre en compte lors de l’implémentation de DLP pour répondre à ses besoins métier.
| Description des besoins métier du client | Approche d’implémentation DLP |
|---|---|
|
Woodgrove Bank est dans une industrie hautement réglementée et a de nombreux types différents d’articles sensibles dans de nombreux endroits différents. L’entreprise : - Sait quels types d’informations sensibles sont prioritaires. - Doit réduire l’interruption de l’activité au fur et à mesure du déploiement des stratégies. - Dispose de ressources informatiques et peut embaucher des experts pour vous aider à planifier, concevoir et déployer. - A un contrat de support premier avec Microsoft. |
- Prenez le temps de comprendre les réglementations auxquelles il doit se conformer et comment il va se conformer. -Prenez le temps de comprendre la meilleure valeur de la pile Protection des données Microsoft Purview. - Développez un schéma d’étiquetage de confidentialité pour les éléments classés par ordre de priorité et appliquez-les. - Impliquer les propriétaires de processus métier. - Concevez/codez des stratégies, déployez en mode test et entraînez les utilisateurs. -Répéter. |
| Lucerne Publishing ne sait pas ce qu’elle contient ou où elle se trouve. Il a également peu ou pas de profondeur de ressources. Il utilise largement Teams, OneDrive Entreprise et Exchange. | - Commencez par des stratégies simples sur les emplacements hiérarchisés. - Surveillez ce qui est identifié. - Appliquez les étiquettes de confidentialité en conséquence. - Affiner les stratégies et former les utilisateurs. |
|
Fabrikam est une petite start-up. Elle veut protéger sa propriété intellectuelle, mais elle doit agir rapidement. Il est prêt à consacrer des ressources à l’implémentation de DLP, mais il ne peut pas se permettre d’embaucher des experts externes. Fabrikam rencontre actuellement les problèmes suivants : - Les éléments sensibles sont tous dans Microsoft 365 OneDrive Entreprise/SharePoint. - L’adoption de OneDrive Entreprise et De SharePoint est lente, les employés/l’informatique fantôme utilisent et DropBox et Google se chargent de partager/stocker des éléments. - Les employés apprécient la vitesse de travail plutôt que la discipline de protection des données. - Il a fait des folies et a acheté les 18 employés de nouveaux appareils Windows 11. |
- Tirez parti de la stratégie DLP par défaut dans Microsoft Teams. - Utilisez le paramètre Restreint par défaut pour les éléments SharePoint. - Déployer des stratégies qui empêchent le partage externe. - Déployer des stratégies sur des emplacements hiérarchisés. - Déployer des stratégies sur Windows 11 appareils. - Bloquer les chargements vers un stockage cloud non OneDrive Entreprise. |
Vérification des connaissances
Choisissez la meilleure réponse à chacune des questions ci-dessous.