Principales considérations en matière de conformité et de sécurité pour les marchés bancaires et des capitaux américains

Introduction

Les institutions de services financiers surpassent presque toutes les entreprises commerciales dans leur demande de contrôles stricts en matière de sécurité, de conformité et de gouvernance. La protection des données, des identités, des appareils et des applications n’est pas seulement essentielle à leur activité, elle est soumise aux exigences de conformité et aux directives des organismes de réglementation tels que la Securities and Exchange Commission (SEC), la FinRA (Financial Industry Regulatory Authority), le Federal Financial Institutions Examination Council (FFIEC) et la Commodity Futures Trading Commission (CFTC). De plus, les institutions financières sont soumises à des lois telles que la loi Dodd-Frank et la loi Sarbanes-Oxley de 2002.

Dans le climat actuel de vigilance accrue en matière de sécurité, de préoccupations liées aux risques internes et de violations de données publiques, les clients exigent également de leurs institutions financières des niveaux de sécurité élevés afin de pouvoir leur confier leurs données personnelles et leurs avoirs bancaires.

Historiquement, la nécessité de contrôles complets a eu un impact direct sur les systèmes et les plateformes informatiques que les institutions financières utilisées pour permettre la collaboration en interne et en externe. Aujourd’hui, les employés des services financiers ont besoin d’une plateforme de collaboration moderne facile à adopter et facile à utiliser. Cependant, les services financiers ne peuvent pas commercialiser la flexibilité de collaborer entre les utilisateurs, les équipes et les services avec des contrôles de sécurité et de conformité qui appliquent des stratégies pour protéger les utilisateurs et les systèmes informatiques contre les menaces.

Dans le secteur des services financiers, une attention particulière est requise pour la configuration et le déploiement des outils de collaboration et des contrôles de sécurité, notamment :

  • Évaluation des risques liés aux scénarios de processus commerciaux et de collaboration organisationnelle courants
  • Configuration requise pour la protection des informations et la gouvernance des données
  • Sécurité sur Internet et menaces internes
  • Exigences de conformité réglementaire
  • Autres risques opérationnels

Microsoft 365 est un environnement cloud d’espace de travail moderne qui peut répondre aux défis actuels auxquels les organisations de services financiers sont confrontées. La collaboration sécurisée et flexible au sein de l’entreprise est combinée à des contrôles et à l’application de stratégies pour respecter des frameworks de conformité réglementaire stricts. Cette article décrit comment la plateforme Microsoft 365 aide les services financiers à passer à une plateforme de collaboration moderne, tout en assurant la sécurité et la conformité des données et des systèmes avec les réglementations :

  • Permettre la productivité de l'organisation et des employés à l'aide de Microsoft 365 et de Microsoft Teams
  • Protéger la collaboration moderne à l'aide de Microsoft 365
  • Identifier les données sensibles et empêcher la perte de données
  • Défendre la forteresse
  • Régir les données et respecter les réglementations en gérant efficacement les enregistrements
  • Établir des séparations déontologiques avec des obstacles aux informations
  • Protéger contre le risque d’exfiltration des données et interne

En sa qualité de partenaire Microsoft, Protiviti a contribué et fourni des commentaires importants sur le contenu de cet article.

Les illustrations téléchargeables suivantes complètent cet article. La Woodgrove Bank et Contoso sont utilisées pour illustrer la manière dont les fonctionnalités décrites dans cet article peuvent être appliquées pour répondre aux exigences réglementaires habituelles des services financiers. N’hésitez pas à les adapter à votre usage personnel.

Illustrations sur la conformité et la protection des informations Microsoft 365

Élément Description
Poster du modèle : fonctionnalités de la conformité et de la protection des informations Microsoft 365
Anglais : Télécharger au format PDF | en tant que Visio
Japonais : Télécharger au format PDF | En tant que Visio
Mise à jour : novembre 2020
Inclus :
  • Protection des données Microsoft Purview et Protection contre la perte de données Microsoft Purview
  • Stratégies de rétention et étiquettes de rétention
  • Obstacles aux informations
  • Conformité des communications
  • Gestion des risques internes
  • Réception de données tierces

Renforcer la productivité de l’organisation et des employés à l'aide de Microsoft 365 et Teams

En règle générale, la collaboration nécessite plusieurs formes de communication, la possibilité de stocker des documents/données et d’y accéder, ainsi que la possibilité d’intégrer d’autres applications au besoin. Les employés des services financiers doivent généralement collaborer et communiquer avec les membres d’autres services ou équipes, et parfois avec des entités externes. Par conséquent, il n’est pas souhaitable d’utiliser des systèmes qui créent des silos ou qui rendent difficile le partage d'informations. Au lieu de cela, il est préférable d’utiliser des plateformes et des applications qui permettent aux employés de communiquer, de collaborer et de partager des informations en toute sécurité et conformément à la stratégie de l’entreprise.

Fournir aux employés une plateforme de collaboration moderne, basée sur le cloud, leur permet de choisir et d'intégrer des outils qui les rendent plus productifs et leur donnent les moyens de trouver des méthodes de travail flexibles. L'utilisation de Teams conjointement avec des contrôles de sécurité et des stratégies de gouvernance de l'information qui protègent l'organisation peut aider votre personnel à communiquer et à collaborer efficacement.

Teams offre une plateforme de collaboration pour l’organisation. Il contribue à rassembler les gens pour qu'ils travaillent de manière productive sur des initiatives et des projets courants. Teams permet aux membres d'une équipe de mener des conversations 1:1 et multipartites, de collaborer et de co-créer des documents, et de stocker et partager des fichiers. Teams facilite également les réunions en ligne grâce à l'intégration de la voix et de la vidéo d'entreprise. Teams peut également être personnalisé avec des applications Microsoft telles que Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI, et des applications métier tierces. Teams est conçu pour être utilisé à la fois par les membres internes de l’équipe et les utilisateurs externes autorisés qui peuvent rejoindre des canaux d’équipe, participer à des conversations de conversation, accéder aux fichiers stockés et utiliser d’autres applications

Chaque équipe Microsoft s’appuie sur un groupe Microsoft 365. Ce groupe est considéré comme le service d'adhésion pour de nombreux services Office 365, y compris Teams. Les groupes Microsoft 365 sont utilisés pour faire la distinction entre « propriétaires » et « membres » de façon sécurisée et pour contrôler l’accès aux différentes fonctionnalités au sein de Teams. Lorsqu’il est associé à des contrôles de gouvernance appropriés et à des révisions d’accès régulièrement administrées, Teams permet uniquement aux membres et aux propriétaires d'utiliser les canaux et les fonctionnalités autorisés.

Teams bénéficie souvent de services financiers lors de la gestion de projets ou de programmes internes. Par exemple, de nombreuses institutions financières, notamment les banques, les sociétés de gestion de patrimoine, les coopératives de crédit et les compagnies d'assurance, sont tenues de mettre en place des programmes de lutte contre le blanchiment d'argent et d'autres programmes de conformité. Une équipe inter-fonctionnelle composée de l'informatique, de secteurs d'activité tels que la vente au détail et la gestion de patrimoine, et d'une unité de criminalité financière peut être amenée à partager des données entre elle et à communiquer sur le programme ou des enquêtes spécifiques. Ces programmes ont généralement utilisé des lecteurs réseau partagés, mais cette approche peut présenter plusieurs défis, notamment :

  • Une seule personne peut modifier un document à la fois.
  • La gestion de la sécurité prend du temps, car l'ajout ou la suppression de personnes implique généralement l'utilisation des technologies de l'information.
  • Les données restent sur les lecteurs de réseau partagés beaucoup plus longtemps que nécessaire ou souhaité.

Teams peut fournir un espace de collaboration pour stocker en toute sécurité les données sensibles des clients et mener des conversations entre les membres de l'équipe où des sujets sensibles peuvent être abordés. Plusieurs membres de l’équipe peuvent modifier ou collaborer sur un même document en même temps. Le propriétaire ou le coordinateur du programme peut être configuré en tant que propriétaire de l'équipe et peut ensuite ajouter et supprimer des membres selon les besoins.

Vous pouvez également utiliser des équipes comme « salle de données virtuelle » pour collaborer de façon sécurisée, y compris le stockage et la gestion des documents. Les membres de l'équipe et les syndicats au sein des banques d'investissement, des sociétés de gestion d'actifs ou des sociétés de capital-investissement peuvent collaborer en toute sécurité sur une transaction ou un investissement. Les équipes fonctionnelles interactives sont souvent impliquées dans la planification et l’exécution de ces transaction, et la possibilité de partager des données et de mener des conversations de façon sécurisée est une exigence essentielle. Le partage sécurisé de documents associés avec des investisseurs externes constitue également une condition essentielle. Teams fournit un lieu sécurisé et entièrement contrôlable à partir duquel les données d'investissement sont stockées, protégées et partagées de manière centralisée.

Un groupe d'employés de bureau lors d'une réunion discute d'images sur grand écran.

Teams : améliorer la collaboration et réduire les risques en matière de conformité

Microsoft 365 fournit d’autres fonctionnalités de stratégie courantes pour Teams via l’utilisation de groupes Microsoft 365 comme service d’appartenance sous-jacent. Ces stratégies peuvent contribuer à améliorer la collaboration et à respecter les exigences de conformité.

Les stratégies d’attribution de nom de groupe Microsoft 365 permettent de s’assurer que les groupes Microsoft 365, et par conséquent, les équipes, sont nommés selon la stratégie de l’entreprise. Les noms peuvent être problématiques s’ils ne sont pas appropriés. Par exemple, les employés peuvent ne pas savoir avec quelles équipes travailler ou partager des informations si les noms ne sont pas correctement appliqués. Les stratégies de noms de groupes (notamment la prise en charge des stratégies basées sur les préfixes/suffixe et les mots bloqués personnalisés) peuvent renforcer « l’hygiène » et empêcher l’utilisation de mots spécifiques, tels que les mots réservés ou la terminologie inappropriée.

Les stratégies d’expiration de groupe Microsoft 365 garantissent que les groupes Microsoft 365 et, par conséquent, les équipes, ne sont pas conservés au-delà des délai requis ou nécessaires pour l’organisation. Cette fonctionnalité permet d’éviter deux problèmes de gestion des informations clés :

  • Prolifération des équipes qui ne sont pas nécessaires ou qui ne sont pas utilisées.
  • Dépassement de la rétention des données qui ne sont plus nécessaires ou utilisées par l’organisation (sauf en cas de conservation ou de conservation légale).

Les administrateurs peuvent spécifier une période d’expiration pour les groupes Microsoft 365. Par exemple : 90, 180 ou 365 jours. Si un service qui s’appuie sur un groupe Microsoft 365 est inactif pendant la période d’expiration, les propriétaires du groupe sont avertis. Si aucune action n’est entreprise, le groupe Microsoft 365 et tous les services associés, y compris Teams, sont supprimés.

La conservation des données stockées dans Teams et les autres services basés sur les groupes peut poser des risques aux organisations de services financiers. Les stratégies d’expiration de groupe Microsoft 365 constituent une méthode recommandée pour empêcher la conservation des données qui ne sont plus nécessaires. Combiné aux étiquettes et stratégies de rétention intégrées, Microsoft 365 permet de garantir aux organisations qu’elles conservent uniquement les données nécessaires pour respecter les stratégies d’entreprise et respecter les obligations réglementaires.

Teams : intégrer facilement les besoins personnalisés

Teams permet de créer des équipes en libre-service par défaut. Toutefois, de nombreuses organisations réglementées souhaitent contrôler et comprendre les canaux de collaboration actuellement utilisés par leurs employés, les canaux susceptibles de contenir des données sensibles et la propriété des canaux organisationnels. Pour faciliter ces contrôles de gouvernance, Microsoft 365 permet aux organisations de désactiver la création d'équipes en libre-service. En utilisant des outils d'automatisation des processus d'entreprise tels que Microsoft Power Apps et Power Automate, les organisations peuvent créer et déployer des formulaires et des processus d'approbation simples permettant aux employés de demander la création d'une équipe. Une fois approuvée, l'équipe peut être automatiquement provisionnée et un lien envoyé au demandeur. Ainsi, les organisations peuvent concevoir et intégrer leurs contrôles de conformité et leurs besoins personnalisés dans le processus de création d’équipe.

Canaux de communication numériques acceptables

La FINRA insiste sur le fait que les communications numériques des entreprises réglementées répondent aux exigences de tenue de registres des règles 17a-3 et 17a-4 de l'Exchange Act, ainsi que de la série de règles 4510 de la FINRA. FINRA publie un rapport annuel contenant les résultats, observations et pratiques efficaces pour aider les organisations à améliorer la conformité et la gestion des risques. Dans son 2019 rapport sur les résultats et observations d’examen, FINRA a identifié les communications numériques comme une zone clé dans laquelle les entreprises rencontrent des difficultés à respecter les exigences en matière de surveillance et de tenue de registres.

Si une organisation autorise ses employés à utiliser une application spécifique, telle qu’un service de messagerie basé sur l’application ou une plateforme de collaboration, l’entreprise doit archiver les enregistrements professionnels et contrôler les activités et les communications de ces employés dans cette application. Les organisations sont responsables du respect de la diligence pour se conformer aux règles FINRA et aux lois sur les titres, et pour suivre les violations potentielles des règles relatives à l’utilisation de ces applications par les employés.

Les pratiques recommandées par FINRA sont les suivantes :

  • Créer un programme de gouvernance complet pour les canaux de communication numérique. Gérer les décisions de l’organisation concernant les canaux de communication numériques autorisés et définir les processus de conformité pour chaque canal numérique. Contrôler étroitement le paysage changeant rapidement des canaux de communication numériques et maintenir les processus de conformité à jour.
  • Définir et contrôler clairement les canaux numériques approuvés. Définir les canaux numériques approuvés et interdits. Bloquer ou restreindre l'utilisation de canaux numériques interdits, ou de fonctions interdites dans les canaux numériques, qui limitent la capacité de l'organisme à se conformer aux exigences de gestion des documents et de supervision.
  • Fournir une formation aux communications numériques. Implémenter des programmes de formation obligatoire avant d’octroyer aux délégués enregistrés l’accès à des canaux numériques approuvés. Une formation permet de clarifier les attentes d’une organisation en matière de communications numériques professionnelles et personnelles, et guide l’utilisateur à l’aide des fonctionnalités autorisées de chaque canal de façon conforme.

Les résultats et observations de FINRA pour les communications numériques concernent directement la capacité d’une organisation à se conformer à la règle SEC 17A -4 pour conserver toutes les communications professionnelles, FINRA règles 3110 et 3120 pour la supervision et la révision des communications, ainsi que les séries de règles 4510 pour la conservation des enregistrements. La Commodity Futures Trading Commission (CFTC) promulgue des exigences similaires dans le cadre du 17 CFR 131. Ces réglementations sont étudiées en détail plus loin dans cet article.

Teams, ainsi que la suite complète d’offres de sécurité et de conformité Microsoft 365, fournit un canal de communication numérique d’entreprise permettant aux institutions de services financiers de mener efficacement leurs activités et de se conformer aux réglementations. Le reste de cet article décrit comment les fonctionnalités intégrées de Microsoft 365 pour la gestion des enregistrements, la protection des informations, les obstacles à l’information et le contrôle de surveillance donnent à Teams un ensemble d’outils robuste pour répondre à ces obligations réglementaires.

Protéger la collaboration moderne avec Microsoft 365

Sécuriser les identités des utilisateurs et contrôler l'accès

La protection de l’accès aux informations client, aux documents financiers et aux applications commence par sécuriser fortement les identités des utilisateurs. Cela nécessite une plateforme sécurisée permettant à l’entreprise de stocker et de gérer les identités, de fournir un moyen fiable d’authentification et de contrôler dynamiquement l’accès à ces applications.

Au fur et à mesure que les employés travaillent, ils peuvent passer d’une application à l’autre ou entre plusieurs emplacements et appareils. L’accès aux données doit être authentifié à chaque étape du processus. Le processus d’authentification doit prendre en charge un protocole fort et plusieurs facteurs d’authentification (par exemple, code d’accès unique SMS, application d’authentificateur et certificat) pour s’assurer que les identités ne sont pas compromises. L'application de politiques d'accès basées sur les risques est essentielle pour protéger les données et les applications financières contre les menaces d'initiés, les fuites de données involontaires et l'exfiltration de données.

Microsoft 365 fournit une plateforme d’identité sécurisée dans Microsoft Entra ID, où les identités sont stockées de manière centralisée et gérées de manière sécurisée. Microsoft Entra ID, ainsi qu’une multitude de services de sécurité Microsoft 365 associés, constitue la base pour fournir aux employés l’accès dont ils ont besoin pour travailler en toute sécurité tout en protégeant les organization contre les menaces.

Microsoft Entra l’authentification multifacteur (MFA) est intégrée à la plateforme et fournit une preuve d’authentification supplémentaire pour vous aider à confirmer l’identité de l’utilisateur lorsqu’il accède à des applications et des données financières sensibles. Azure MFA requiert au moins deux formes d’authentification, telles qu’un mot de passe et un appareil mobile connu. Il prend en charge plusieurs options d’authentification de deuxième facteur, notamment :

  • L’application Microsoft Authenticator
  • Code secret unique fourni par SMS
  • Appel téléphonique dans lequel un utilisateur doit entrer un code confidentiel

Si le mot de passe est compromis, un pirate potentiel pourrait avoir besoin du téléphone de l’utilisateur pour accéder aux données de l’organisation. De plus, Microsoft 365 utilise l'authentification moderne comme protocole clé, ce qui confère aux outils de collaboration que les employés utilisent au quotidien, y compris Microsoft Outlook et les autres applications de Microsoft Office, la même expérience d'authentification forte et riche des navigateurs web.

Sans mot de passe

Les mots de passe sont le maillon le plus faible dans une chaîne de sécurité. Il peut s’agir d’un point d’échec unique s’il n’y a pas de vérification supplémentaire. Microsoft prend en charge un large éventail d'options d'authentification pour répondre aux besoins des institutions financières.

Les méthodes Sans mot de passe permettent aux utilisateurs de gagner en efficacité. Bien que l’authentification multifacteur ne soit pas toutes sans mot de passe, les technologies sans mot de passe utilisent l’authentification multifacteur. Microsoft, Google et d’autres leaders du secteur ont mis au point des normes pour offrir une expérience d’authentification simplifiée et renforcée sur le web et les appareils mobiles dans un groupe appelé Fast Identity Online (FIDO). La norme FIDO2 développée permet aux utilisateurs de s’authentifier aisément et en toute sécurité sans avoir besoin d’un mot de passe pour éliminer le hameçonnage.

Les méthodes d’authentification multifacteur de Microsoft qui n’ont pas de mot de passe incluent :

  • Microsoft Authenticator : pour plus de flexibilité, de confort et de coût, nous vous recommandons d’utiliser l’application mobile Microsoft Authenticator. Microsoft Authenticator prend en charge la biométrie, les notifications Push et les codes secrets à usage unique pour n’importe quelle application connectée Microsoft Entra. Il est disponible dans les app stores Apple et Android.
  • Windows Hello : pour une expérience intégrée sur l’ordinateur, nous vous recommandons d’utiliser Windows Hello. Il utilise des informations biométriques (par exemple, face ou empreinte digitale) pour se connecter automatiquement.
  • Clés de sécurité FIDO2 sont désormais disponibles auprès de plusieurs partenaires Microsoft : Yubico, Feitian technologies et HID global dans une clé de badge ou de biométrie compatible USB, NFC.

Microsoft Entra l’accès conditionnel fournit une solution robuste pour automatiser les décisions de contrôle d’accès et appliquer des stratégies organisationnelles pour protéger les ressources de l’entreprise. Il s’agit d’un exemple classique dans lequel un planificateur financier souhaite accéder à une application qui contient des données client sensibles. Ils sont automatiquement tenus d’effectuer une authentification multifacteur pour accéder spécifiquement à cette application, et l’accès doit provenir d’un appareil géré par l’entreprise. L’accès conditionnel d’Azure réunit les signaux relatifs à la demande d’accès d’un utilisateur, tels que des propriétés sur l’utilisateur, l’appareil, l’emplacement et le réseau, et l’application à laquelle l’utilisateur tente d’accéder. Il évalue dynamiquement les tentatives d’accès à l’application par rapport aux stratégies configurées. Si le risque de l’utilisateur ou de l’appareil est élevé ou si d’autres conditions ne sont pas remplies, Microsoft Entra ID pouvez appliquer automatiquement des stratégies telles que l’exigence de l’authentification multifacteur, l’exigence d’une réinitialisation de mot de passe sécurisée ou la restriction ou le blocage de l’accès. Cela permet de s’assurer que les ressources sensibles de l’organisation sont protégées dans les environnements changeant de façon dynamique.

Microsoft Entra ID, ainsi que les services de sécurité Microsoft 365 associés, fournissent la base sur laquelle une plateforme de collaboration cloud moderne peut être déployée auprès des institutions financières afin que l’accès aux données et aux applications puisse être sécurisé et que les obligations de conformité des régulateurs puissent être respectées. Ces outils offrent les fonctionnalités clés suivantes :

  • Stocker et gérer de façon sécurisée les identités des utilisateurs.
  • Utilisez un protocole d’authentification fort, y compris l’authentification multifacteur, pour authentifier les utilisateurs sur les demandes d’accès et fournir une expérience d’authentification cohérente et robuste dans toutes les applications.
  • Valider dynamiquement les stratégies sur toutes les demandes d'accès, en intégrant de multiples signaux dans le processus de décision de la politique, notamment l'identité, l'appartenance à un utilisateur/groupe, l'application, le dispositif, le réseau, l'emplacement et le score de risque en temps réel.
  • Valider des stratégies granulaires basées sur le comportement des utilisateurs et les propriétés des fichiers et appliquer de manière dynamique des mesures de sécurité supplémentaires si nécessaire.
  • Identifier les « informatique fantôme » dans l'organisation, et permettre aux équipes InfoSec de sanctionner ou de bloquer les applications cloud.
  • Surveiller et contrôler l’accès aux applications cloud Microsoft et non Microsoft.
  • Protéger de manière proactive contre l'hameçonnage du courrier électronique et les attaques de logiciels de rançon.

Protection Microsoft Entra ID

Bien que l’accès conditionnel protège les ressources contre les demandes suspectes, la protection des identités est renforcée en offrant une détection continue des risques et une correction des comptes d’utilisateurs suspects. La protection des identités vous informe de l’accès des utilisateurs suspects et du comportement de connexion de votre environnement à l’heure. Sa réponse automatique empêche proactivement le détournement des identités compromises.

La protection des identités est un outil qui permet aux organisations d’accomplir trois tâches clés :

  • Automatiser la détection et la correction des risques basés sur l’identité.
  • Examiner les risques à l'aide des données du portail.
  • Exporter les données de détection des risques vers des utilitaires tiers pour effectuer une analyse plus approfondie.

Identity Protection utilise les connaissances acquises par Microsoft dans les organisations disposant de Microsoft Entra ID, dans l’espace grand public avec des comptes Microsoft et dans les jeux avec Xbox pour protéger vos utilisateurs. Microsoft analyse 65 billions de signaux par jour pour identifier et protéger ses clients contre les menaces. Les signaux générés et acheminés vers la protection des identités peuvent également être intégrés à des outils comme l’accès conditionnel pour prendre des décisions d’accès. Ils peuvent également être retransmis à un outil de gestion des informations et des événements de sécurité (SIEM) pour vous familiariser avec les stratégies appliquées de votre organisation.

La protection des identités permet aux organisations de se protéger automatiquement contre la compromission d’identités en tirant parti de l’intelligence cloud optimisée par la détection avancée basée sur l’heuristique, l’analyse du comportement des utilisateurs et des entités (UEBA) et les formations d’ordinateurs (ML) au sein de l’écosystème Microsoft.

Cinq collaborateurs d’informations assistent à une présentation.

Identifier les données sensibles et empêcher la perte de données

Microsoft 365 permet à toutes les organisations d’identifier les données sensibles au sein de l’organisation en combinant des fonctionnalités puissantes, notamment :

  • Microsoft Purview Information Protection pour la classification basée sur l’utilisateur et la classification automatisée des données sensibles.
  • Protection contre la perte de données Microsoft Purview (DLP) permettant d’identifier automatiquement les données sensibles à l’aide de types de données sensibles (en d’autres termes, expressions régulières) et de mots clés et de l’application des stratégies.

Microsoft Purview Information Protection permet aux organisations de classifier des documents et des courriers électroniques de façon intelligente à l’aide d’étiquettes de confidentialité. Les étiquettes de confidentialité peuvent être appliquées manuellement par les utilisateurs aux documents dans les applications Microsoft Office et aux courriels dans Outlook. Les étiquettes peuvent automatiquement appliquer des marquages de documents, une protection par chiffrement et l’application de la gestion des droits. Vous pouvez également appliquer des étiquettes de confidentialité automatiquement en configurant des stratégies qui utilisent des mots clés et des types de données sensibles (par exemple, numéros de carte de crédit, numéros d’identification et numéros d’identification) pour rechercher et classer automatiquement les données sensibles.

En outre, Microsoft fournit des « classificateurs pouvant être formés » qui utilisent des modèles d'apprentissage machine pour identifier les données sensibles en fonction du contenu, et non pas simplement par le biais de la correspondance de modèles ou par les éléments du contenu. Un classifieur apprend à identifier un type de contenu en examinant de nombreux exemples de contenu à classer. La formation d’un classifieur commence par offrir des exemples de contenu dans une catégorie particulière. Après avoir pris connaissance de ces exemples, le modèle est testé en lui fournissant un mélange d’exemples correspondants et non correspondants. Le classifieur prévoit si un exemple donné est inclus dans la catégorie. Une personne confirme ensuite les résultats, en triant les positifs, les négatifs, les faux positifs et les faux négatifs pour améliorer la précision des prévisions du classifieur. Lors de la publication du classifieur, celui-ci traite le contenu dans Microsoft SharePoint Online, Exchange Online et OneDrive Entreprise, et classifie automatiquement le contenu.

L’application d’étiquettes de confidentialité aux documents et messages électroniques intègre les métadonnées qui identifient le critère de diffusion choisi dans l’objet. La sensibilité est alors acheminée avec les données. Ainsi, même si un document étiqueté est stocké sur le bureau d'un utilisateur ou dans un système sur site, il est toujours protégé. Cette fonctionnalité permet à d’autres solutions Microsoft 365, telles que Microsoft Defender for Cloud Apps ou les périphériques Edge réseau, d’identifier les données sensibles et d’appliquer automatiquement les contrôles de sécurité. Les étiquettes de confidentialité présentent l’avantage supplémentaire d’éduquer les employés sur les données à l’intérieur d’une organisation qui sont considérées comme sensibles et comment gérer ces données à leur réception.

Protection contre la perte de données Microsoft Purview (DLP) identifie automatiquement les documents, les messages électroniques et les conversations qui contiennent des données sensibles en les recherchant dans des données sensibles, puis en appliquant une stratégie sur ces objets. Les stratégies sont appliquées sur les documents dans SharePoint et OneDrive Entreprise. Celles-ci sont également appliquées lorsque les utilisateurs envoient des messages électroniques, ainsi que des conversations Teams et des conversations de canal. Les stratégies peuvent être configurées pour rechercher des mots-clés, des types de données sensibles, des étiquettes de conservation, et si des données sont partagées au sein de l'organisation ou à l'extérieur. Des contrôles sont fournis pour aider les organisations à optimiser les stratégies DLP pour réduire le nombre de faux positifs. Lorsque des données sensibles sont détectées, des conseils de stratégie personnalisables peuvent être affichés aux utilisateurs au sein des applications Microsoft 365 pour les informer que leur contenu contient des données sensibles, puis proposer des actions correctives. Les stratégies peuvent également empêcher les utilisateurs d’accéder aux documents, de partager des documents ou d’envoyer des messages électroniques qui contiennent certains types de données sensibles. Microsoft 365 prend en charge plus de 100 types de données sensibles intégrées. Les organisations peuvent configurer des types de données sensibles personnalisés pour satisfaire leur stratégie.

Le déploiement des politiques Microsoft Purview Information Protection et DLP aux organisations nécessite une planification minutieuse et un programme de formation des utilisateurs pour que les employés comprennent le schéma de classification des données de l'organisation et quels types de données sont considérés comme sensibles. Fournir aux employés des outils et des programmes éducatifs qui leur permettent d'identifier les données sensibles et de comprendre comment les gérer leur permet de faire partie de la solution pour atténuer les risques liés à la sécurité des informations.

Les signaux générés par la protection de l'identité et transmis à celle-ci peuvent également être intégrés à des outils tels que l'accès conditionnel pour prendre des décisions en matière d'accès ou à un outil de gestion des informations et des événements de sécurité (SIEM) pour les examens basés sur les politiques appliquées par une organisation.

La protection des identités permet aux organisations de se protéger automatiquement contre la compromission d’identités en tirant parti de l’intelligence cloud optimisée par la détection avancée basée sur l’heuristique, l’analyse du comportement des utilisateurs et des entités et les formations d’ordinateurs au sein de l’écosystème Microsoft.

Un collaborateur d’informations est illustré devant une grande gamme de moniteurs.

Défendre la forteresse

Microsoft a récemment lancé la solution Microsoft Defender XDR, conçue pour sécuriser les organization modernes contre l’évolution du paysage des menaces. En tirant parti de la fonction de sécurité intelligente, la solution protection contre les menaces offre une sécurité intégrée et complète contre les vecteurs d’attaque multiples.

L’intelligent Security Graph

Les services de sécurité de Microsoft 365 sont optimisés par le graphique de sécurité intelligent. Pour lutter contre les cybermenaces, l'Intelligent Security Graph utilise des analyses avancées pour relier les renseignements sur les menaces et les signaux de sécurité de Microsoft et de ses partenaires. Microsoft gère les services mondiaux à grande échelle, rassemblant des milliards de signaux de sécurité qui alimentent les couches de protection de la pile. Des modèles d'apprentissage automatique évaluent cette intelligence, et les informations sur les signaux et les menaces sont largement partagées dans nos produits et services. Cela nous permet de détecter les menaces et d’y répondre rapidement, et d’apporter des alertes et des informations exploitables aux clients pour la correction. Nos modèles d’apprentissage automatique sont formés et mis à jour en permanence avec de nouvelles perspectives, ce qui nous permet de créer des produits plus sécurisés et de renforcer la sécurité.

Microsoft Defender pour Office 365 fournit un service Microsoft 365 intégré qui protège les organisations contre les liens malveillants et les programmes malveillants transmis par e-mails et documents Office. L’un des vecteurs d’attaque les plus courants qui affecte les utilisateurs aujourd’hui est le hameçonnage par e-mail. Ces attaques peuvent être ciblées sur des utilisateurs spécifiques et peuvent être très convaincantes, avec un appel à l’action qui invite l’utilisateur à sélectionner un lien malveillant ou à ouvrir une pièce jointe contenant des programmes malveillants. Une fois l’ordinateur infecté, l’agresseur peut soit voler les informations d’identification de l’utilisateur et se déplacer ultérieurement au sein de l’organisation, soit extraire les messages électroniques et les données afin de rechercher des informations sensibles. Defender pour Office 365 prend en charge les pièces jointes fiables et les liens sécurisés en évaluant les documents et liens au moment du clic pour détecter les intentions potentiellement malveillantes et bloquer l’accès. Les pièces jointes aux courriels sont ouvertes dans un bac à sable protégé avant d'être envoyées dans la boîte aux lettres d'un utilisateur. Il évalue également les liens dans les documents Office pour les URL malveillantes. Defender pour Office 365 protège également les liens et fichiers dans SharePoint Online, OneDrive Entreprise et Teams. Si un fichier malveillant est détecté, Defender for Office 365 verrouille automatiquement ce fichier pour réduire les dommages potentiels.

Microsoft Defender pour point de terminaison est une plateforme de sécurité de point de terminaison unifiée pour la protection préventive, la détection après effraction, l’examen automatisé et la réponse. Defender pour point de terminaison offre des fonctionnalités intégrées pour la découverte et la protection des données sensibles sur les points de terminaison d’entreprise.

Microsoft Defender for Cloud Apps permet aux organisations d’appliquer des stratégies à un niveau granulaire et de détecter des anomalies comportementales basées sur des profils utilisateur individuels qui sont automatiquement définis à l’aide de l’apprentissage automatique. Les stratégies de Defender for Cloud Apps peuvent s’appuyer sur les stratégies d’accès conditionnel Azure pour protéger les ressources sensibles de l’entreprise en évaluant les signaux supplémentaires liés au comportement des utilisateurs et aux propriétés des documents accessibles. Au fil du temps, Defender for Cloud Apps apprend le comportement typique de chaque employé en ce qui concerne les données qu’il accède et les applications qu’il utilise. Sur la base des modèles de comportement appris, les stratégies peuvent automatiquement appliquer les contrôles de sécurité si un employé agit en dehors de ce profil de comportement. Par exemple, si un employé accède généralement à une application de comptabilité entre 9 h 00 et 17 h du lundi au vendredi, mais commence soudainement à accéder à cette application de manière lourde le dimanche soir, Defender for Cloud Apps peut appliquer dynamiquement des stratégies pour exiger que l’utilisateur se réauthentifier. Cela permet de s’assurer que les informations d’identification de l’utilisateur n’ont pas été compromises. Defender for Cloud Apps peut également aider à identifier les « services informatiques de secours » dans l’organisation, ce qui permet aux équipes de sécurité des informations de s’assurer que les employés utilisent des outils avec sanction lorsqu’ils travaillent avec des données sensibles. Enfin, Defender for Cloud Apps peut protéger les données sensibles n’importe où dans le Cloud, même en dehors Microsoft 365 plateforme. Il permet aux organisations de sanctionner (ou de désapprouver) des applications cloud externes spécifiques, en contrôlant l'accès et en surveillant l'utilisation.

Microsoft Defender pour Identity est une solution de sécurité basée sur le cloud qui utilise vos signaux Active Directory local pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre votre organization. L'AATP permet aux analystes du SecOp et aux professionnels de la sécurité de détecter des attaques avancées dans des environnements hybrides :

  • Surveiller les utilisateurs, le comportement des entités et les activités à l’aide d’une analyse basée sur l’apprentissage.
  • Protéger les identités des utilisateurs et informations d’identification stockées dans Active Directory.
  • Identifier et examiner les activités suspectes des utilisateurs et les attaques avancées tout au long de la chaîne de terminaison.
  • Fournir des informations claires sur les incidents reposant sur une chronologie simple pour un triage rapide.

Les employés de bureau se réunissent dans une petite salle de conférence. L'un d'eux fait une présentation.

Contrôler les données et gérer les enregistrements

Les institutions financières doivent conserver leurs enregistrements et leurs informations conformément à leurs obligations réglementaires, légales et commerciales telles que représentées dans leur planning de conservation. Par exemple, la SEC impose des périodes de rétention de trois à six ans, en fonction du type d’enregistrement, avec une accessibilité immédiate pour les deux premières années. Les organisations doivent se conformer aux risques juridiques et réglementaires en matière de conformité si les données sont sous-conservées (éliminées prématurément avant), et gèrent désormais les réglementations qui autorisent une destruction lorsque les informations ne sont plus nécessaires. Des stratégies efficaces de gestion des documents mettent l’accent sur une approche pratique et cohérente afin que l’information soit éliminée de manière appropriée tout en réduisant les coûts et les risques pour les organization.

De plus, les obligations réglementaires du Département des services financiers de l'État de New York exigent que les entités couvertes adoptent des stratégies et des procédures relatives à la suppression des informations non publiques. 23 NYCRR 500, section 500,13, les limitations en matière de conservation des données nécessite que «dans le cadre de son programme Cyber-sécurité, chaque entité couverte inclut les stratégies et procédures pour l’élimination sécurisée à intervalles réguliers de toute information non publique identifiée dans section 500.01(g)(2)-(3) de cette partie qui n’est plus nécessaire pour les opérations d’entreprise ou pour les besoins professionnels légitimes de l’entité couverte, sauf si ces informations sont normalement conservées en vertu d’une loi ou d’une réglementation ».

Les institutions financières gèrent de grandes quantités de données. Certaines périodes de rétention sont déclenchées par des événements, tels qu’un contrat qui arrive à expiration ou un employé quittant l’organisation. Dans cette atmosphère, il peut être difficile d’appliquer des stratégies de rétention des enregistrements. Les approches permettant d’attribuer des périodes de rétention aux enregistrements de façon précise dans les documents organisationnels peuvent varier. Certains appliquent des stratégies de rétention à grande échelle ou utilisent des techniques de classification automatique et d’apprentissage automatique. D’autres identifient une approche nécessitant un processus plus granulaire qui attribue des périodes de rétention uniques à des documents individuels.

Microsoft 365 fournit des fonctionnalités flexibles pour définir des étiquettes et des stratégies de rétention afin d’implémenter intelligemment les exigences de gestion des enregistrements. Un gestionnaire d’enregistrements définit une étiquette de rétention, qui représente un « type d’enregistrement » dans une planification de rétention traditionnelle. L’étiquette de rétention contient les paramètres qui définissent les informations suivantes :

  • Durée de conservation d’un enregistrement
  • Ce qui se produit à l’expiration de la période de rétention (supprimer le document, commencer une révision de destruction ou ne pas effectuer d’action)
  • Ce qui déclenche le début de la période de rétention (date de création, date de dernière modification, date étiquetée ou événement) et marque le document ou le courriel en tant qu'enregistrement (ce qui signifie qu'il ne peut pas être modifié ou supprimé)

Les étiquettes de conservation sont ensuite publiées sur les sites SharePoint ou OneDrive, les boîtes aux lettres Exchange et les groupes Microsoft 365. Les utilisateurs peuvent appliquer les étiquettes de rétention manuellement aux documents et messages électroniques. Les responsables des enregistrements peuvent utiliser une intelligence pour appliquer automatiquement les étiquettes. Les fonctionnalités intelligentes peuvent être basées sur plus de 90 types d’informations sensibles intégrés (par exemple, numéro de compte ABA, numéro de compte bancaire américain ou numéro de sécurité sociale des États-Unis). Ils peuvent également être personnalisés en fonction de mots clés ou de données sensibles figurant dans des documents ou des courriers électroniques, tels que des numéros de carte de crédit ou d’autres informations d’identification personnelle ou sur la base des métadonnées SharePoint. Pour les données qui ne sont pas facilement identifiées par un filtrage manuel ou automatisé, les classifieurs présentant une capacité d’apprentissage pouvant être mis en forme peuvent être utilisés pour classer les documents de façon intelligente sur la base des techniques d’apprentissage automatique.

Le Securities and Exchange Commission (SEC) exige des courtiers et autres institutions financières réglementées de conserver toutes les communications liées à leur activité. Ces exigences s'appliquent à de nombreux types de communications et de données, notamment les courriers électroniques, les documents, les messages instantanés, les télécopies, etc. La règle 17a-4 de la SEC définit les critères que ces organisations doivent remplir pour stocker des enregistrements dans un système de stockage électronique de données. En 2003, la SEC a publié une version qui a clarifié ces exigences. Elle comprenait les critères suivants :

  • Les données conservées par un système de stockage électronique doivent être non réinscriptibles et non effaçables. Il s’agit de la configuration requise pour les vers informatiques (écriture unique, lecture de plusieurs).
  • Le système de stockage doit être en mesure de stocker des données au-delà de la période de rétention requise par la règle, en cas d’assignation ou d’autre ordre juridique.
  • Une organisation ne violerait pas la prescription énoncée au paragraphe (f)(2) (II) (A) de la règle si elle utilisé un système de stockage électronique qui empêche l’écrasement, l’effacement ou toute altération d’un enregistrement pendant la période de rétention requise à l’aide de codes de contrôle matériels et logiciels intégrés.
  • Les systèmes de stockage électronique qui « atténuent » le risque d’écrasement ou d’effacement d’un enregistrement (par exemple, en utilisant le contrôle d’accès), ne répondent pas aux exigences de la règle.

Pour aider les institutions financières à respecter les exigences de la norme SEC 17a-4, Microsoft 365 fournit une combinaison de fonctionnalités liées au mode de conservation des données, aux stratégies configurées et aux données stockées dans le service. Cela inclut ce qui suit :

  • La conservation des données (règle 17a-4(a), (b)(4)) : les étiquettes et stratégies de rétention sont flexibles pour répondre aux besoins organisationnels et peuvent être appliquées automatiquement ou manuellement à différents types de données, documents et informations. Une grande variété de types de données et de communications est prise en charge, notamment les documents dans SharePoint et OneDrive Entreprise, les données dans les boîtes aux lettres Exchange Online et Teams.

  • Format non réinscriptible et non effaçable (Règle 17a-4(f)(2)(ii)(A)) : la fonction de verrouillage de la conservation pour les stratégies de rétention permet aux responsables et aux administrateurs de configurer les stratégies de rétention de façon restrictive, de sorte qu’elles ne peuvent plus être modifiées. Cela interdit à quiconque de supprimer, désactiver ou modifier la politique de conservation de quelque manière que ce soit. Cela signifie qu’une fois que le verrou de conservation est activé, il ne peut pas être désactivé et qu’il n’existe aucune méthode par laquelle les données auxquelles la stratégie de rétention a été appliquée peuvent être remplacées, modifiées ou supprimées pendant la période de rétention. De plus, la période de rétention ne peut pas être raccourcie. Toutefois, la période de rétention peut être allongée, en cas de nécessité légale de continuer la conservation des données.

    Lorsqu’un verrou de conservation est appliqué à une stratégie de rétention, les actions suivantes sont restreintes :

    • La période de rétention de la stratégie peut uniquement être accrue. Elle ne peut pas être raccourcie.
    • Les utilisateurs peuvent être ajoutés à la stratégie, mais les utilisateurs existants configurés dans la stratégie ne peuvent pas être supprimés.
    • La stratégie de rétention ne peut pas être supprimée par les administrateurs au sein de l’organisation.

    Le verrouillage de conservation permet de s’assurer qu’aucun utilisateur, pas même les administrateurs disposant des plus hauts niveaux d’accès privilégié, ne peut modifier les paramètres, modifier, remplacer ou supprimer les données stockées, la mise en archive dans Microsoft 365 est conforme aux instructions fournies dans la version 2003 (SEC).

  • Qualité, précision et vérification de l’espace de stockage, de la sérialisation et de l’indexation des données (règle 17a-4(f)(2) (ii)(B) et (C)) : les charges de travail Office 365 contiennent des fonctionnalités de vérification automatique de la qualité et de l’exactitude du processus d’enregistrement des données sur les supports de stockage. De plus, les données sont stockées en utilisant des métadonnées et des horodatages pour garantir une indexation suffisante afin de permettre la recherche et la récupération des données.

  • Stockage séparé pour les copies doubles (règle 17a-4(f)(3(iii)) : le service cloud Office 365 stocke des copies de données en double comme un aspect essentiel de sa haute disponibilité. Pour ce faire, l’implémentation de la redondance à tous les niveaux du service, y compris au niveau physique sur tous les serveurs, au niveau du serveur dans le centre de données et au niveau du service pour les centres de données dispersés géographiquement.

  • Données accessibles et téléchargeables (règle 17a-4(f)(2)(ii)(D)) : Office 365 autorise généralement les données étiquetées pour la rétention, leur accès et leur téléchargement sur place. De plus, il permet de rechercher des données dans les archives Exchange Online à l’aide des fonctionnalités intégrées d’eDiscovery. Les données peuvent ensuite être téléchargées selon les besoins dans des formats standard, notamment EDRML et PST.

  • Exigences d’audit (règle 17a-4(f)(3)(v)) : Office 365 fournit une journalisation d’audit pour chaque action d’administration et d’utilisateur qui modifie les objets de données, configure ou modifie les stratégies de rétention, effectue des recherches eDiscovery ou modifie les autorisations d’accès. Office 365 gère une piste d’audit complète, y compris les données relatives aux personnes qui ont effectué une action, au moment de l’exécution, aux détails sur l’action et aux commandes effectuées. Le journal d’audit peut ensuite être généré et inclus dans le cadre de processus d’audit formels, le cas échéant.

Enfin, la règle 17a-4 impose aux organisations de conserver les enregistrements de plusieurs types de transactions afin d’être immédiatement accessibles pendant deux ans. Les enregistrements doivent être conservés pour trois à six ans avec accès non immédiat. Les enregistrements en double doivent également être conservés pour la même période sur un emplacement hors site. Les fonctionnalités de gestion des enregistrements de Microsoft 365 permettent de conserver les enregistrements de manière à ce qu’ils ne puissent pas être modifiés ou supprimés, mais qu’ils soient facilement accessibles pendant une période contrôlée par le gestionnaire d’enregistrements. Ces périodes peuvent couvrir plusieurs jours, mois ou années, en fonction des obligations de conformité réglementaire de l’organisation.

Sur demande, Microsoft fournira une lettre d'attestation de conformité avec la SEC 17a-4 si une organisation l'exige.

De plus, ces fonctionnalités aident également Microsoft 365 à respecter les exigences en matière de stockage pour Règle CFTC 1.31(c)-(d) de la Commodity Futures Trading Commission des États-Unis et FINRA série de règles 4510 de la Financial Industry Regulatory Authority. Collectivement, ces règles constituent le guide le plus normatif du monde pour la conservation d’enregistrements par les institutions financières.

Des détails supplémentaires sur la conformité de Microsoft 365 avec la règle SEC 17a-4 et d’autres réglementations sont disponibles dans le document de téléchargement Office 365 - Cohasset Assessment - SEC Rule 17a-4(f) - Stockage immuable pour SharePoint, OneDrive, Exchange, Teams et Viva Engage (2022).

Établir des séparations déontologiques avec des obstacles aux informations

Les institutions financières peuvent être soumises à des réglementations qui empêchent les employés occupant certains rôles d'échanger des informations ou de collaborer avec d'autres rôles. Par exemple, la FINRA a publié les règles 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) et (b)(2)(H)(iii) qui obligent les membres à :

« (G) établir des cloisonnements de l’information ou d'autres mesures de protection institutionnelles raisonnablement conçues pour garantir que les analystes de recherche sont à l'abri de la révision, de la pression ou de la surveillance par des personnes exerçant des activités de services bancaires d'investissement ou d'autres personnes, y compris le personnel de vente et de négociation, qui pourraient être biaisées dans leur jugement ou leur supervision ; "et" (H) établir des barrières à l'information ou d'autres mesures de protection institutionnelles raisonnablement conçues pour garantir que les analystes de la recherche sur la dette sont à l'abri de la révision, de la pression ou de la surveillance des personnes qui y participent : (i) services de banque d’investissement ; (II) principales activités de commerce ou de vente et d'échange ; et (III) les autres personnes susceptibles d’être déchargées de leur jugement ou de leur supervision ;»

Enfin, ces règles exigent que les organisations établissent des stratégies et mettent en place des cloisonnements de l’information entre les rôles impliqués dans les services bancaires, les ventes ou les transactions, pour éviter l'échange d'informations et les communications avec les analystes.

Cloisonnements de l’information permettent d’établir des murs éthiques au sein de votre environnement Office 365, ce qui permet aux administrateurs de conformité ou à d’autres administrateurs autorisés de définir des stratégies qui autorisent ou bloquent les communications entre les groupes d’utilisateurs dans Teams. Les cloisonnements de l’information effectuent des contrôles sur des actions spécifiques pour empêcher la communication non autorisée. Les cloisonnements de l’information peuvent également restreindre la communication dans les scénarios dans lesquels des équipes internes travaillent sur des fusions, des acquisitions ou des offres sensibles, ou sur l’utilisation d’informations internes sensibles qui doivent être fortement limitées.

Les cloisonnements de l’information prennent en charge les conversations et fichiers dans Teams. Ils peuvent empêcher les types suivants d’actions liées aux communications de respecter les réglementations FINRA :

  • Rechercher un utilisateur
  • Ajouter un membre à une équipe ou continuer à participer à un autre membre d’une équipe
  • Démarrer ou poursuivre une session de conversation
  • Démarrer ou poursuivre une conversation de groupe
  • Inviter une personne à participer à une réunion
  • Partager un écran
  • Passer un appel

Implémenter un contrôle de surveillance

Les institutions financières sont généralement tenues d'établir et de maintenir une fonction de surveillance au sein de leur organisation afin de contrôler les activités des employés et de l'aider à se conformer aux lois sur les valeurs mobilières applicables. Plus précisément, FINRA a mis en place les conditions de supervision suivantes :

  • La règle 3110 de la FINRA (Surveillance) impose aux entreprises de faire part de procédures de contrôle rédigées (WSP) aux activités de surveillance de ses employés et de leurs types d’entreprises. Outre les autres conditions requises, les procédures doivent comprendre les éléments suivants :

    • Surveillance des membres du personnel de supervision
    • Examen des activités de banque d'investissement, des opérations sur titres, des communications internes et des examens internes d'une entreprise
    • Examen des transactions pour délit d'initié
    • Examen de la correspondance et des plaintes

    Les procédures doivent décrire les personnes responsables des révisions, l’activité de surveillance de chaque personne, la fréquence de révision et les types de documents ou communications examinés.

  • La règle 3120 de FINRA (système de contrôle de surveillance) impose aux entreprises de disposer d’un système de stratégies et procédures de contrôle prudentiel (SCP) qui valide leur procédure de contrôle écrite telle que définie par la règle 3110. Les entreprises sont tenues non seulement d'avoir des FSSF mais aussi d'avoir des stratégies qui testent ces procédures chaque année pour valider leur capacité à assurer la conformité aux lois et règlements applicables en matière de valeurs mobilières. Des méthodologies et des échantillonnages basés sur risque peuvent être utilisés pour définir l’étendue des tests. Parmi les autres conditions requises, cette règle impose aux entreprises de fournir un rapport annuel aux cadres dirigeants qui inclut un résumé des résultats des tests ainsi que des exceptions importantes ou des procédures modifiées en réponse aux résultats des tests.

Un collaborateur Office affiche un graphique et des tableaux à l’écran tandis que d'autres se réunissent en arrière-plan.

Conformité des communications

La conformité de Microsoft Purview Communication est une solution de conformité qui permet de minimiser les risques de communication en vous aidant à détecter, enquêter et agir sur les messages inappropriés dans votre organisation. Les stratégies prédéfinies et personnalisées vous permettent d’analyser les communications relatives aux correspondances de stratégie internes et externes pour les examiner par des réviseurs désignés. Les réviseurs peuvent examiner les e-mails analysés, Microsoft Teams, Viva Engage ou les communications tierces dans votre organization et prendre les mesures appropriées pour s’assurer qu’ils sont conformes aux normes de message de votre organization.

La conformité des communications fournit des rapports qui permettent d’auditer les activités de révision de stratégie en fonction de la stratégie et du réviseur. Des rapports sont disponibles pour valider que les stratégies fonctionnent comme défini par les stratégies écrites d'une organisation. Ils peuvent également être utilisés pour identifier les communications qui nécessitent une révision et celles qui ne sont pas conformes à la stratégie d’entreprise. Enfin, toutes les activités liées à la configuration des stratégies et à la consultation des communications sont auditées dans le journal d’audit unifié d’Office 365. Par conséquent, la conformité des communications aide également les institutions financières à se conformer à la règle 3120 de la FINRA.

En plus de se conformer aux règles de la FINRA, la conformité des communications permet aux organisations de détecter et d'agir sur les communications qui peuvent être affectées par d'autres exigences légales, des stratégies d'entreprise et des normes éthiques. La conformité des communications fournit des classificateurs intégrés de menace, de harcèlement et de blasphème qui aident à réduire les faux positifs lors de l'examen des communications, ce qui permet aux examinateurs de gagner du temps pendant le processus d'examen et de correction. Il permet également aux organisations de réduire les risques en détectant les communications lorsqu'elles subissent des changements organisationnels sensibles, tels que des fusions et acquisitions ou des changements de direction.

Un collaborateur d’informations se concentre sur un écran.

Protéger contre le risque d’exfiltration des données et interne

Une menace courante pour les entreprises est l'exfiltration de données, ou l'opération consistant à extraire des données d'une organisation. Ce risque peut être une préoccupation majeure pour les institutions financières en raison de la nature sensible des informations auxquelles on peut accéder au jour le jour. Avec le nombre croissant de canaux de communication disponibles et la prolifération des outils de transfert de données, des fonctionnalités avancées sont généralement nécessaires pour atténuer les risques de fuites de données, de violations des politiques et de risques internes.

Gestion des risques internes

L’activation d’employés disposant d’outils de collaboration en ligne accessibles en tout lieu, peut avoir un risque pour l’organisation. Les employés peuvent, par inadvertance ou par malveillance, divulguer des données à des attaquants ou à des concurrents. Ils peuvent également exfiltrer des données à des fins personnelles ou utiliser celles-ci auprès d’un futur employeur. Ces scénarios présentent des risques sérieux pour les institutions de services financiers, tant du point de vue de la sécurité que de la conformité. L’identification de ces risques lorsqu’ils se produisent et leur atténuation rapide nécessite des outils intelligents pour la collecte de données et la collaboration au sein des différents services tels que les services juridiques, les ressources humaines et la sécurité des informations.

La gestion des risques liés aux initiés Microsoft Purview est une solution de conformité qui contribue à minimiser les risques internes en vous permettant de détecter, d'enquêter et d'agir sur les activités malveillantes et involontaires au sein de votre organisation. Les stratégies relatives aux risques d'initiés vous permettent de définir les types de risques à identifier et à détecter dans votre organisation, y compris les mesures à prendre et l'escalade des cas vers Microsoft eDiscovery (Premium) si nécessaire. Les analystes de risques de votre organisation peuvent rapidement prendre les mesures appropriées pour s'assurer que les utilisateurs respectent les normes de conformité de votre organisation.

Par exemple, la gestion du risque d'initié peut corréler les signaux provenant des appareils d'un utilisateur, comme la copie de fichiers sur une clé USB ou l'envoi d'un e-mail à un compte de messagerie personnel, avec les activités des services en ligne tels que la messagerie Office 365, SharePoint Online, Microsoft Teams ou OneDrive for Business, afin d'identifier les modèles d'exfiltration de données. Elle peut également mettre en corrélation ces activités avec des employés quittant une organisation (modèle d’exfiltration de données courant). Il peut détecter de multiples activités et comportements potentiellement risqués au fil du temps. Lorsque des modèles courants émergent, ils peuvent déclencher des alertes et aider les examinateurs à se concentrer sur les activités clés afin de vérifier une violation de stratégie avec un haut niveau de confiance. La gestion des risques internes peut permettre de pseudo-anonymiser les données des enquêteurs pour les aider à respecter la réglementation sur la protection des données, tout en faisant apparaître les activités clés qui les aident à mener efficacement leurs examens. Il permet aux enquêteurs de regrouper et d'envoyer en toute sécurité les données d'activités clés aux services des ressources humaines et juridiques, en suivant des procédures de flux de travail d'escalade communes pour le déclenchement d’actions de correction.

La gestion du risque d'initié augmente considérablement les capacités des organisations à détecter et à enquêter sur les risques d'initiés, tout en permettant aux organisations de respecter les réglementations en matière de confidentialité des données et de suivre les voies d'escalade établies lorsque les cas nécessitent une action de plus haut niveau.

Un collaborateur d’un centre d’appels dans les types d’emplacements de bureau pendant l’affichage d’un écran.

Restrictions de locataire

Les organisations qui traitent des données sensibles et insistent strictement sur la sécurité veulent généralement contrôler les ressources en ligne auxquelles les utilisateurs peuvent accéder. En même temps, ils veulent activer la collaboration sécurisée via des services en ligne tels qu’Office 365. Par conséquent, le contrôle des environnements Office 365 auxquels les utilisateurs peuvent accéder devient un jeu d’enfant, car les environnements Office 365 non corporatifs peuvent être utilisés pour effectuer des opérations malveillantes ou accidentelles pour les données provenant d’appareils d’entreprise. En règle générale, les organisations restreignent les domaines ou adresses IP auxquels les utilisateurs peuvent accéder à partir d’appareils d’entreprise. Mais cela ne fonctionne pas dans un monde « cloud-first », où les utilisateurs doivent accéder légitimement aux services Office 365.

Microsoft 365 fournit aux locataires desrestrictions la possibilité de résoudre ce problème. Les restrictions de client peuvent être configurées pour restreindre l’accès des employés aux locataires Office 365 Entreprise externes à l’aide d’identités non autorisées (les identités qui ne font pas partie de votre annuaire d’entreprise). Aujourd’hui, les restrictions client s’appliquent au locataire, ce qui permet d’accéder uniquement aux locataires qui apparaissent dans la liste que vous configurez. Microsoft continue à développer cette solution pour renforcer la granularité du contrôle et améliorer les protections qu'elle offre.

GRAPHIQUE.

Conclusion

Microsoft 365 et Teams fournissent une solution intégrée et complète pour les entreprises de services financiers, permettant une collaboration et des capacités de communication basées sur le cloud, simples mais performantes, au sein de l’entreprise. En utilisant les technologies de sécurité et de conformité de Microsoft 365, les institutions peuvent fonctionner de manière plus sécurisée et conforme avec des contrôles de sécurité robustes pour protéger les données, les identités, les appareils et les applications contre divers risques opérationnels, notamment la cybersécurité et les risques internes. Microsoft 365 fournit une plateforme sécurisée de façon fondamentale sur laquelle les organisations de services financiers peuvent obtenir davantage tout en protégeant leur entreprise, leurs employés et leurs clients.