Principales considérations en matière de conformité et de sécurité pour les marchés bancaires et des capitaux américains

Introduction

Les institutions de services financiers surpassent presque toutes les entreprises commerciales dans leur demande de contrôles stricts en matière de sécurité, de conformité et de gouvernance. La protection des données, des identités, des appareils et des applications est non seulement cruciale pour les entreprises, mais aussi pour les exigences de conformité et les directives des organismes de réglementation tels que les commissions des États-Unis et les commissions d’échange (SEC), la Financial Industry Regulatory Authority (FINRA), le Conseil d’examen des institutions financières fédérales (FFIEC) et la Commission de négociation des produits de la marchandise (CFTC). De plus, les institutions financières sont soumises à des lois telles que la loi Dodd-Frank et la loi Sarbanes-Oxley de 2002.

Dans le climat actuel de vigilance accrue en matière de sécurité, de préoccupations liées aux risques internes et de violations de données publiques, les clients exigent également de leurs institutions financières des niveaux de sécurité élevés afin de pouvoir leur confier leurs données personnelles et leurs avoirs bancaires.

Historiquement, la nécessité de contrôles complets a eu un impact direct sur les systèmes et les plateformes informatiques que les institutions financières utilisées pour permettre la collaboration en interne et en externe. Aujourd’hui, les employés des services financiers ont besoin d’une plateforme de collaboration moderne facile à adopter et facile à utiliser. Cependant, les services financiers ne peuvent pas commercialiser la flexibilité de collaborer entre les utilisateurs, les équipes et les services avec des contrôles de sécurité et de conformité qui appliquent des stratégies pour protéger les utilisateurs et les systèmes informatiques contre les menaces.

Dans le secteur des services financiers, une attention particulière est requise pour la configuration et le déploiement des outils de collaboration et des contrôles de sécurité, notamment :

  • Évaluation des risques liés aux scénarios de processus commerciaux et de collaboration organisationnelle courants
  • Configuration requise pour la protection des informations et la gouvernance des données
  • Sécurité sur Internet et menaces internes
  • Exigences de conformité réglementaire
  • Autres risques opérationnels

Microsoft 365 est un environnement moderne de travail cloud qui peut répondre aux défis contemporains des organisations de services financiers. Une collaboration sécurisée et flexible dans toute l'entreprise est associée à des contrôles et à l'application de la stratégie afin d'adhérer à des infrastructures strictes de conformité réglementaire. Cette article décrit comment la plateforme Microsoft 365 aide les services financiers à passer à une plateforme de collaboration moderne, tout en assurant la sécurité et la conformité des données et des systèmes avec les réglementations :

  • Permettre la productivité de l'organisation et des employés à l'aide de Microsoft 365 et de Microsoft Teams
  • Protéger la collaboration moderne à l'aide de Microsoft 365
  • Identifier les données sensibles et empêcher la perte de données
  • Défendre la forteresse
  • Régir les données et respecter les réglementations en gérant efficacement les enregistrements
  • Établir des séparations déontologiques avec des obstacles aux informations
  • Protéger contre le risque d’exfiltration des données et interne

En sa qualité de partenaire Microsoft, Protiviti a contribué et fourni des commentaires importants sur le contenu de cet article.

Les illustrations téléchargeables suivantes complètent cet article. La Woodgrove Bank et Contoso sont utilisées pour illustrer la manière dont les fonctionnalités décrites dans cet article peuvent être appliquées pour répondre aux exigences réglementaires habituelles des services financiers. N’hésitez pas à les adapter à votre usage personnel.

Illustrations sur la conformité et la protection des informations Microsoft 365

Élément Description
Poster du modèle : fonctionnalités de la conformité et de la protection des informations Microsoft 365
Anglais : Télécharger au format PDF | Télécharger en tant que Visio
Japonais : Télécharger au format PDF | Télécharger en tant que Visio
Mise à jour : novembre 2020
Inclus :
  • Protection contre la perte de données Information Protection Microsoft Purview et Microsoft Purview
  • Stratégies de rétention et étiquettes de rétention
  • Obstacles aux informations
  • Conformité des communications
  • Gestion des risques internes
  • Réception de données tierces

Renforcer la productivité de l’organisation et des employés à l'aide de Microsoft 365 et Teams

En règle générale, la collaboration nécessite plusieurs formes de communication, la possibilité de stocker des documents/données et d’y accéder, ainsi que la possibilité d’intégrer d’autres applications au besoin. Les employés des services financiers doivent généralement collaborer et communiquer avec les membres d’autres services ou équipes, et parfois avec des entités externes. Par conséquent, il n’est pas souhaitable d’utiliser des systèmes qui créent des silos ou qui rendent difficile le partage d'informations. Il est plutôt préférable d'utiliser des plateformes et des applications qui permettent aux employés de communiquer, de collaborer et de partager des informations en toute sécurité et conformément à la stratégie de l'entreprise.

Fournir aux employés une plateforme de collaboration moderne, basée sur le cloud, leur permet de choisir et d'intégrer des outils qui les rendent plus productifs et leur donnent les moyens de trouver des méthodes de travail flexibles. L'utilisation de Teams conjointement avec des contrôles de sécurité et des stratégies de gouvernance de l'information qui protègent l'organisation peut aider votre personnel à communiquer et à collaborer efficacement.

Teams offre une plateforme de collaboration pour l’organisation. Il contribue à rassembler les gens pour qu'ils travaillent de manière productive sur des initiatives et des projets courants. Teams permet aux membres d'une équipe de mener des conversations 1:1 et multipartites, de collaborer et de co-créer des documents, et de stocker et partager des fichiers. Teams facilite également les réunions en ligne grâce à l'intégration de la voix et de la vidéo d'entreprise. Teams peut également être personnalisé avec des applications Microsoft telles que Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI, et des applications métier tierces. Teams est conçu pour être utilisé par les membres internes de l'équipe et les utilisateurs externes autorisés pouvant rejoindre les canaux de l'équipe, participer à des conversations en ligne, accéder à des fichiers stockés et tirer parti d'autres applications

Chaque équipe Microsoft s’appuie sur un groupe Microsoft 365. Ce groupe est considéré comme le service d'adhésion pour de nombreux services Office 365, y compris Teams. Les groupes Microsoft 365 sont utilisés pour faire la distinction entre « propriétaires » et « membres » de façon sécurisée et pour contrôler l’accès aux différentes fonctionnalités au sein de Teams. Lorsqu’il est associé à des contrôles de gouvernance appropriés et à des révisions d’accès régulièrement administrées, Teams permet uniquement aux membres et aux propriétaires d'utiliser les canaux et les fonctionnalités autorisés.

Teams bénéficie souvent de services financiers lors de la gestion de projets ou de programmes internes. Par exemple, de nombreuses institutions financières, notamment les banques, les sociétés de gestion de patrimoine, les coopératives de crédit et les compagnies d'assurance, sont tenues de mettre en place des programmes de lutte contre le blanchiment d'argent et d'autres programmes de conformité. Une équipe inter-fonctionnelle composée de l'informatique, de secteurs d'activité tels que la vente au détail et la gestion de patrimoine, et d'une unité de criminalité financière peut être amenée à partager des données entre elle et à communiquer sur le programme ou des enquêtes spécifiques. Ces programmes ont généralement utilisé des lecteurs réseau partagés, mais cette approche peut présenter plusieurs défis, notamment :

  • Une seule personne peut modifier un document à la fois.
  • La gestion de la sécurité prend du temps, car l'ajout ou la suppression de personnes implique généralement l'utilisation des technologies de l'information.
  • Les données restent sur les lecteurs de réseau partagés beaucoup plus longtemps que nécessaire ou souhaité.

Teams peut fournir un espace de collaboration pour stocker en toute sécurité les données sensibles des clients et mener des conversations entre les membres de l'équipe où des sujets sensibles peuvent être abordés. Plusieurs membres de l’équipe peuvent modifier ou collaborer sur un même document en même temps. Le propriétaire ou le coordinateur du programme peut être configuré en tant que propriétaire de l'équipe et peut ensuite ajouter et supprimer des membres selon les besoins.

Vous pouvez également utiliser des équipes comme « salle de données virtuelle » pour collaborer de façon sécurisée, y compris le stockage et la gestion des documents. Les membres de l'équipe et les syndicats au sein des banques d'investissement, des sociétés de gestion d'actifs ou des sociétés de capital-investissement peuvent collaborer en toute sécurité sur une transaction ou un investissement. Les équipes fonctionnelles interactives sont souvent impliquées dans la planification et l’exécution de ces transaction, et la possibilité de partager des données et de mener des conversations de façon sécurisée est une exigence essentielle. Le partage sécurisé de documents associés avec des investisseurs externes constitue également une condition essentielle. Teams fournit un lieu sécurisé et entièrement contrôlable à partir duquel les données d'investissement sont stockées, protégées et partagées de manière centralisée.

Un groupe d'employés de bureau lors d'une réunion discute d'images sur grand écran.

Teams : améliorer la collaboration et réduire les risques en matière de conformité

Microsoft 365 fournit d’autres fonctionnalités de stratégie courantes pour Teams via l’utilisation de groupes Microsoft 365 comme service d’appartenance sous-jacent. Ces stratégies peuvent contribuer à améliorer la collaboration et à respecter les exigences de conformité.

Les stratégies d’attribution de nom de groupe Microsoft 365 permettent de s’assurer que les groupes Microsoft 365, et par conséquent, les équipes, sont nommés selon la stratégie de l’entreprise. Les noms peuvent être problématiques s’ils ne sont pas appropriés. Par exemple, les employés peuvent ne pas savoir avec quelles équipes travailler ou partager des informations si les noms ne sont pas correctement appliqués. Les stratégies de noms de groupes (notamment la prise en charge des stratégies basées sur les préfixes/suffixe et les mots bloqués personnalisés) peuvent renforcer « l’hygiène » et empêcher l’utilisation de mots spécifiques, tels que les mots réservés ou la terminologie inappropriée.

Les stratégies d’expiration de groupe Microsoft 365 garantissent que les groupes Microsoft 365 et, par conséquent, les équipes, ne sont pas conservés au-delà des délai requis ou nécessaires pour l’organisation. Cette fonctionnalité permet d’éviter deux importants problèmes de gestion des informations :

  • Prolifération des équipes qui ne sont pas nécessaires ou qui ne sont pas utilisées.
  • Dépassement de la rétention des données qui ne sont plus nécessaires ou utilisées par l’organisation (sauf en cas de conservation ou de conservation légale).

Les administrateurs peuvent spécifier une période d'expiration pour les groupes Microsoft 365, par exemple 90, 180 ou 365 jours. Si un service soutenu par un groupe Microsoft 365 est inactif pendant la période d'expiration, les propriétaires du groupe en sont informés. Si aucune mesure n'est prise, le groupe Microsoft 365 et tous ses services associés, y compris Teams, sont supprimés.

La conservation des données stockées dans Teams et les autres services basés sur les groupes peut poser des risques aux organisations de services financiers. Les stratégies d’expiration de groupe Microsoft 365 constituent une méthode recommandée pour empêcher la conservation des données qui ne sont plus nécessaires. Combiné aux étiquettes et stratégies de rétention intégrées, Microsoft 365 permet de garantir aux organisations qu’elles conservent uniquement les données nécessaires pour respecter les stratégies d’entreprise et respecter les obligations réglementaires.

Teams : intégrer facilement les besoins personnalisés

Teams permet de créer des équipes en libre-service par défaut. Toutefois, de nombreuses organisations réglementées souhaitent contrôler et comprendre les canaux de collaboration actuellement utilisés par leurs employés, les canaux susceptibles de contenir des données sensibles et la propriété des canaux organisationnels. Pour faciliter ces contrôles de gouvernance, Microsoft 365 permet aux organisations de désactiver la création d'équipes en libre-service. En utilisant des outils d'automatisation des processus d'entreprise tels que Microsoft Power Apps et Power Automate, les organisations peuvent créer et déployer des formulaires et des processus d'approbation simples permettant aux employés de demander la création d'une équipe. Une fois approuvée, l'équipe peut être automatiquement provisionnée et un lien envoyé au demandeur. Ainsi, les organisations peuvent concevoir et intégrer leurs contrôles de conformité et leurs besoins personnalisés dans le processus de création d’équipe.

Canaux de communication numériques acceptables

La FINRA insiste sur le fait que les communications numériques des entreprises réglementées répondent aux exigences de tenue de registres des règles 17a-3 et 17a-4 de l'Exchange Act, ainsi que de la série de règles 4510 de la FINRA. FINRA publie un rapport annuel contenant les résultats, observations et pratiques efficaces pour aider les organisations à améliorer la conformité et la gestion des risques. Dans son 2019 rapport sur les résultats et observations d’examen, FINRA a identifié les communications numériques comme une zone clé dans laquelle les entreprises rencontrent des difficultés à respecter les exigences en matière de surveillance et de tenue de registres.

Si une organisation autorise ses employés à utiliser une application spécifique, telle qu’un service de messagerie basé sur l’application ou une plateforme de collaboration, l’entreprise doit archiver les enregistrements professionnels et contrôler les activités et les communications de ces employés dans cette application. Les organisations sont responsables du respect de la diligence pour se conformer aux règles FINRA et aux lois sur les titres, et pour suivre les violations potentielles des règles relatives à l’utilisation de ces applications par les employés.

Les pratiques recommandées par FINRA sont les suivantes :

  • Créer un programme de gouvernance complet pour les canaux de communication numérique. Gérer les décisions de l’organisation concernant les canaux de communication numériques autorisés et définir les processus de conformité pour chaque canal numérique. Contrôler étroitement le paysage changeant rapidement des canaux de communication numériques et maintenir les processus de conformité à jour.
  • Définir et contrôler clairement les canaux numériques approuvés. Définir les canaux numériques approuvés et interdits. Bloquer ou restreindre l'utilisation de canaux numériques interdits, ou de fonctions interdites dans les canaux numériques, qui limitent la capacité de l'organisme à se conformer aux exigences de gestion des documents et de supervision.
  • Fournir une formation aux communications numériques. Implémenter des programmes de formation obligatoire avant d’octroyer aux délégués enregistrés l’accès à des canaux numériques approuvés. Une formation permet de clarifier les attentes d’une organisation en matière de communications numériques professionnelles et personnelles, et guide l’utilisateur à l’aide des fonctionnalités autorisées de chaque canal de façon conforme.

Les résultats et observations de FINRA pour les communications numériques concernent directement la capacité d’une organisation à se conformer à la règle SEC 17A -4 pour conserver toutes les communications professionnelles, FINRA règles 3110 et 3120 pour la supervision et la révision des communications, ainsi que les séries de règles 4510 pour la conservation des enregistrements. La Commodity Futures Trading Commission (CFTC) promulgue des exigences similaires dans le cadre du 17 CFR 131. Ces réglementations sont étudiées en détail plus loin dans cet article.

Teams, ainsi que la suite complète des offres Microsoft 365 en matière de sécurité et de conformité, propose aux établissements de services financiers un canal de communication numérique d’entreprise qui leur permet de mener à bien leurs activités et de respecter les réglementations. La suite de cet article explique comment les fonctionnalités intégrées de Microsoft 365 pour la gestion des enregistrements, la protection des informations, le cloisonnement de l’information et le contrôle de la surveillance offrent à Teams un jeu d’outils fiable pour permettre de respecter les obligations réglementaires.

Protéger la collaboration moderne avec Microsoft 365

Sécuriser les identités des utilisateurs et contrôler l'accès

La protection de l’accès aux informations client, aux documents financiers et aux applications commence par la sécurisation de l’identité des utilisateurs. Cela nécessite une plateforme sécurisée pour permettre aux entreprises de stocker et de gérer les identités, de fournir un moyen fiable d’authentification et de contrôler l’accès de manière dynamique à ces applications.

Au fur et à mesure que les employés travaillent, ils peuvent passer d’une application à l’autre ou entre plusieurs emplacements et appareils. L’accès aux données doit être authentifié à chaque étape du processus. Le processus d’authentification doit prendre en charge un protocole fort et plusieurs facteurs d’authentification (par exemple, code d’accès unique SMS, application d’authentificateur et certificat) pour s’assurer que les identités ne sont pas compromises. L'application de politiques d'accès basées sur les risques est essentielle pour protéger les données et les applications financières contre les menaces d'initiés, les fuites de données involontaires et l'exfiltration de données.

Microsoft 365 fournit une plateforme d’identité sécurisée dans Azure Active Directory (Azure AD), où les identités sont stockées de façon centralisée et gérées de façon sécurisée. Azure AD, avec une série de services de sécurité Microsoft 365 associés, constitue la base pour offrir aux employés l’accès dont ils ont besoin pour travailler en toute sécurité tout en protégeant leur organisation contre les menaces.

Azure AD Multi-Factor Authentication (MFA) est intégré à la plateforme et offre une preuve d’authentification supplémentaire pour vous aider à confirmer l’identité de l’utilisateur lorsqu’il accède à des données financières sensibles et des applications. Azure MFA requiert au moins deux formes d’authentification, telles qu’un mot de passe et un appareil mobile connu. Il prend en charge plusieurs options d’authentification de deuxième facteur, notamment :

  • L’application Microsoft Authenticator
  • Code secret unique fourni par SMS
  • Appel téléphonique dans lequel un utilisateur doit entrer un code confidentiel

Si le mot de passe est compromis, un pirate potentiel pourrait avoir besoin du téléphone de l’utilisateur pour accéder aux données de l’organisation. De plus, Microsoft 365 utilise l'authentification moderne comme protocole clé, ce qui confère aux outils de collaboration que les employés utilisent au quotidien, y compris Microsoft Outlook et les autres applications de Microsoft Office, la même expérience d'authentification forte et riche des navigateurs web.

Sans mot de passe

Les mots de passe sont le maillon le plus faible dans une chaîne de sécurité. Il peut s’agir d’un point d’échec unique s’il n’y a pas de vérification supplémentaire. Microsoft prend en charge un large éventail d'options d'authentification pour répondre aux besoins des institutions financières.

Les méthodes Sans mot de passe permettent aux utilisateurs de gagner en efficacité. Bien que tous les AMF ne soient pas sans mot de passe, les technologies sans mot de passe utilisent une authentification multifacteur. Microsoft, Google et d’autres leaders du secteur ont mis au point des normes pour offrir une expérience d’authentification simplifiée et renforcée sur le web et les appareils mobiles dans un groupe appelé Fast Identity Online (FIDO). La norme FIDO2 développée permet aux utilisateurs de s’authentifier aisément et en toute sécurité sans avoir besoin d’un mot de passe pour éliminer le hameçonnage.

Les méthodes d’authentification multifacteur de Microsoft qui n’ont pas de mot de passe incluent :

  • Microsoft Authenticator : pour plus de flexibilité, de confort et de coût, nous vous recommandons d’utiliser l’application mobile Microsoft Authenticator. Microsoft Authenticator prend en charge la biométrie, les notifications push et les d'accès uniques pour toutes les applications connectées à Azure AD. Il est disponible dans les app stores Apple et Android.
  • Windows Hello : pour une expérience intégrée sur l’ordinateur, nous vous recommandons d’utiliser Windows Hello. Il utilise des informations biométriques (par exemple, face ou empreinte digitale) pour se connecter automatiquement.
  • Clés de sécurité FIDO2 sont désormais disponibles auprès de plusieurs partenaires Microsoft : Yubico, Feitian technologies et HID global dans une clé de badge ou de biométrie compatible USB, NFC.

Accès conditionnel Azure AD fournit une solution robuste pour automatiser les décisions de contrôle d'accès et appliquer des stratégies d'organisation pour protéger les ressources de l'entreprise. Il s’agit d’un exemple classique dans lequel un planificateur financier souhaite accéder à une application qui contient des données client sensibles. Ils sont automatiquement obligés d’effectuer une authentification multifacteur pour accéder spécifiquement à cette application, et l’accès doit être effectué à partir d’un appareil géré dans l’entreprise. L’accès conditionnel d’Azure réunit les signaux relatifs à la demande d’accès d’un utilisateur, tels que des propriétés sur l’utilisateur, l’appareil, l’emplacement et le réseau, et l’application à laquelle l’utilisateur tente d’accéder. Il évalue dynamiquement les tentatives d’accès à l’application par rapport aux stratégies configurées. Si le risque d’un utilisateur ou d’un appareil est élevé ou si d’autres conditions ne sont pas remplies, Azure AD peut appliquer automatiquement des stratégies telles que la nécessité d’une authentification multifacteur, nécessitant une réinitialisation sécurisée du mot de passe, ou la restriction ou le blocage de l’accès. Cela permet de s’assurer que les ressources sensibles de l’organisation sont protégées dans les environnements changeant de façon dynamique.

Azure AD et les services de sécurité Microsoft 365 associés, fournissent la base sur laquelle une plateforme de collaboration cloud moderne peut être déployée dans les institutions financières, de sorte que l’accès aux données et aux applications puisse être sécurisé et les obligations de conformité réglementaire puissent être satisfaites. Ces outils fournissent les fonctionnalités clé suivantes :

  • Stocker et gérer de façon sécurisée les identités des utilisateurs.
  • Utiliser un protocole d’authentification puissant, y compris l’authentification multifacteur, pour authentifier les utilisateurs sur les demandes d’accès et offrir une expérience d’authentification cohérente et fiable pour toutes les applications.
  • Valider dynamiquement les stratégies sur toutes les demandes d'accès, en intégrant de multiples signaux dans le processus de décision de la politique, notamment l'identité, l'appartenance à un utilisateur/groupe, l'application, le dispositif, le réseau, l'emplacement et le score de risque en temps réel.
  • Valider des stratégies granulaires basées sur le comportement des utilisateurs et les propriétés des fichiers et appliquer de manière dynamique des mesures de sécurité supplémentaires si nécessaire.
  • Identifier les « informatique fantôme » dans l'organisation, et permettre aux équipes InfoSec de sanctionner ou de bloquer les applications cloud.
  • Surveiller et contrôler l’accès aux applications cloud Microsoft et non Microsoft.
  • Protéger de manière proactive contre l'hameçonnage du courrier électronique et les attaques de logiciels de rançon.

Azure AD Identity Protection

Bien que l’accès conditionnel protège les ressources contre les demandes suspectes, la protection des identités est renforcée en offrant une détection continue des risques et une correction des comptes d’utilisateurs suspects. La protection des identités vous informe de l’accès des utilisateurs suspects et du comportement de connexion de votre environnement à l’heure. Sa réponse automatique empêche proactivement le détournement des identités compromises.

La protection des identités est un outil qui permet aux organisations d’accomplir trois tâches clés :

  • Automatiser la détection et la correction des risques basés sur l’identité.
  • Examiner les risques à l'aide des données du portail.
  • Exporter les données de détection des risques vers des utilitaires tiers pour effectuer une analyse plus approfondie.

La protection des identités utilise les connaissances que Microsoft a acquise au sein des organisations avec Azure AD, dans l’espace de consommation avec les comptes Microsoft, et dans les jeux avec Xbox pour protéger vos utilisateurs. Microsoft analyse 65 billions de signaux par jour pour identifier et protéger ses clients contre les menaces. Les signaux générés et acheminés vers la protection des identités peuvent également être intégrés à des outils comme l’accès conditionnel pour prendre des décisions d’accès. Ils peuvent également être retransmis à un outil de gestion des informations et des événements de sécurité (SIEM) pour vous familiariser avec les stratégies appliquées de votre organisation.

La protection des identités permet aux organisations de se protéger automatiquement contre la compromission d’identités en tirant parti de l’intelligence cloud optimisée par la détection avancée basée sur l’heuristique, l’analyse du comportement des utilisateurs et des entités (UEBA) et les formations d’ordinateurs (ML) au sein de l’écosystème Microsoft.

Cinq collaborateurs d’informations assistent à une présentation.

Identifier les données sensibles et empêcher la perte de données

Microsoft 365 permet à toutes les organisations d’identifier les données sensibles au sein de l’organisation en combinant des fonctionnalités puissantes, notamment :

  • Microsoft Purview Information Protection pour la classification basée sur l’utilisateur et la classification automatisée des données sensibles.
  • Protection contre la perte de données Microsoft Purview (DLP) permettant d’identifier automatiquement les données sensibles à l’aide de types de données sensibles (en d’autres termes, expressions régulières) et de mots clés et de l’application des stratégies.

Microsoft Purview Information Protection permet aux organisations de classifier des documents et des courriers électroniques de façon intelligente à l’aide d’étiquettes de confidentialité. Les étiquettes de confidentialité peuvent être appliquées manuellement par les utilisateurs aux documents dans les applications Microsoft Office et aux courriels dans Outlook. Les étiquettes peuvent automatiquement appliquer des marquages de documents, une protection par chiffrement et l’application de la gestion des droits. Vous pouvez également appliquer des étiquettes de confidentialité automatiquement en configurant des stratégies qui utilisent des mots clés et des types de données sensibles (par exemple, numéros de carte de crédit, numéros d’identification et numéros d’identification) pour rechercher et classer automatiquement les données sensibles.

En outre, Microsoft fournit des « classificateurs pouvant être formés » qui utilisent des modèles d'apprentissage machine pour identifier les données sensibles en fonction du contenu, et non pas simplement par le biais de la correspondance de modèles ou par les éléments du contenu. Un classifieur apprend à identifier un type de contenu en examinant de nombreux exemples de contenu à classer. La formation d’un classifieur commence par offrir des exemples de contenu dans une catégorie particulière. Après avoir pris connaissance de ces exemples, le modèle est testé en lui fournissant un mélange d’exemples correspondants et non correspondants. Le classifieur prévoit si un exemple donné est inclus dans la catégorie. Une personne confirme ensuite les résultats, en triant les positifs, les négatifs, les faux positifs et les faux négatifs pour améliorer la précision des prévisions du classifieur. Lors de la publication du classifieur, celui-ci traite le contenu dans Microsoft SharePoint Online, Exchange Online et OneDrive Entreprise, et classifie automatiquement le contenu.

L’application d’étiquettes de confidentialité aux documents et messages électroniques intègre les métadonnées qui identifient le critère de diffusion choisi dans l’objet. La sensibilité est alors acheminée avec les données. Ainsi, même si un document étiqueté est stocké sur le bureau d'un utilisateur ou dans un système sur site, il est toujours protégé. Cette fonctionnalité permet à d’autres solutions Microsoft 365, telles que Microsoft Defender for Cloud Apps ou les périphériques Edge réseau, d’identifier les données sensibles et d’appliquer automatiquement les contrôles de sécurité. Les étiquettes de confidentialité présentent l’avantage supplémentaire d’éduquer les employés sur les données à l’intérieur d’une organisation qui sont considérées comme sensibles et comment gérer ces données à leur réception.

Protection contre la perte de données Microsoft Purview (DLP) identifie automatiquement les documents, les messages électroniques et les conversations qui contiennent des données sensibles en les recherchant dans des données sensibles, puis en appliquant une stratégie sur ces objets. Les stratégies sont appliquées sur les documents dans SharePoint et OneDrive Entreprise. Celles-ci sont également appliquées lorsque les utilisateurs envoient des messages électroniques, ainsi que des conversations Teams et des conversations de canal. Les stratégies peuvent être configurées pour rechercher des mots-clés, des types de données sensibles, des étiquettes de conservation, et si des données sont partagées au sein de l'organisation ou à l'extérieur. Des contrôles sont fournis pour aider les organisations à optimiser les stratégies DLP pour réduire le nombre de faux positifs. Lorsque des données sensibles sont détectées, des conseils de stratégie personnalisables peuvent être affichés aux utilisateurs au sein des applications Microsoft 365 pour les informer que leur contenu contient des données sensibles, puis proposer des actions correctives. Les stratégies peuvent également empêcher les utilisateurs d’accéder aux documents, de partager des documents ou d’envoyer des messages électroniques qui contiennent certains types de données sensibles. Microsoft 365 prend en charge plus de 100 types de données sensibles intégrées. Les organisations peuvent configurer des types de données sensibles personnalisés pour satisfaire leur stratégie.

Le déploiement des politiques Microsoft Purview Information Protection et DLP aux organisations nécessite une planification minutieuse et un programme de formation des utilisateurs pour que les employés comprennent le schéma de classification des données de l'organisation et quels types de données sont considérés comme sensibles. Fournir aux employés des outils et des programmes éducatifs qui leur permettent d'identifier les données sensibles et de comprendre comment les gérer leur permet de faire partie de la solution pour atténuer les risques liés à la sécurité des informations.

Les signaux générés par la protection de l'identité et transmis à celle-ci peuvent également être intégrés à des outils tels que l'accès conditionnel pour prendre des décisions en matière d'accès ou à un outil de gestion des informations et des événements de sécurité (SIEM) pour les examens basés sur les politiques appliquées par une organisation.

La protection des identités permet aux organisations de se protéger automatiquement contre la compromission d’identités en tirant parti de l’intelligence cloud optimisée par la détection avancée basée sur l’heuristique, l’analyse du comportement des utilisateurs et des entités et les formations d’ordinateurs au sein de l’écosystème Microsoft.

Un collaborateur d’informations est illustré devant une grande gamme de moniteurs.

Défendre la forteresse

Microsoft a récemment lancé la solution Microsoft 365 Defender, qui est conçue pour sécuriser l’organisation moderne contre les menaces en constante évolution. En tirant parti de la fonction de sécurité intelligente, la solution protection contre les menaces offre une sécurité intégrée et complète contre les vecteurs d’attaque multiples.

L’intelligent Security Graph

Les services de sécurité de Microsoft 365 sont optimisés par le graphique de sécurité intelligent. Pour lutter contre les cybermenaces, l'Intelligent Security Graph utilise des analyses avancées pour relier les renseignements sur les menaces et les signaux de sécurité de Microsoft et de ses partenaires. Microsoft gère les services mondiaux à grande échelle, rassemblant des milliards de signaux de sécurité qui alimentent les couches de protection de la pile. Des modèles d'apprentissage automatique évaluent cette intelligence, et les informations sur les signaux et les menaces sont largement partagées dans nos produits et services. Cela nous permet de détecter les menaces et d’y répondre rapidement, et d’apporter des alertes et des informations exploitables aux clients pour la correction. Nos modèles d’apprentissage automatique sont formés et mis à jour en permanence avec de nouvelles perspectives, ce qui nous permet de créer des produits plus sécurisés et de renforcer la sécurité.

Microsoft Defender pour Office 365 fournit un service Microsoft 365 intégré qui protège les organisations contre les liens malveillants et les programmes malveillants transmis par e-mails et documents Office. L’un des vecteurs d’attaque les plus courants qui affecte les utilisateurs aujourd’hui est le hameçonnage par e-mail. Ces attaques peuvent être ciblées sur des utilisateurs spécifiques et peuvent être convaincantes, avec un appel à une action qui invite l’utilisateur à cliquer sur un lien malveillant ou à ouvrir une pièce jointe contenant un programme malveillant. Une fois l’ordinateur infecté, l’agresseur peut soit voler les informations d’identification de l’utilisateur et se déplacer ultérieurement au sein de l’organisation, soit extraire les messages électroniques et les données afin de rechercher des informations sensibles. Defender pour Office 365 prend en charge les pièces jointes fiables et les liens sécurisés en évaluant les documents et liens au moment du clic pour détecter les intentions potentiellement malveillantes et bloquer l’accès. Les pièces jointes aux courriels sont ouvertes dans un bac à sable protégé avant d'être envoyées dans la boîte aux lettres d'un utilisateur. Il évalue également les liens dans les documents Office pour les URL malveillantes. Defender pour Office 365 protège également les liens et fichiers dans SharePoint Online, OneDrive Entreprise et Teams. Si un fichier malveillant est détecté, Defender pour Office 365 verrouille automatiquement ce fichier pour limiter les dommages potentiels.

Microsoft Defender pour point de terminaison est une plateforme de sécurité de point de terminaison unifiée pour la protection préventive, la détection après effraction, l’examen automatisé et la réponse. Defender pour point de terminaison offre des fonctionnalités intégrées pour la découverte et la protection des données sensibles sur les points de terminaison d’entreprise.

Microsoft Defender for Cloud Apps permet aux organisations d’appliquer des stratégies à un niveau granulaire et de détecter des anomalies comportementales basées sur des profils utilisateur individuels qui sont automatiquement définis à l’aide de l’apprentissage automatique. Les stratégies de Defender for Cloud Apps peuvent s’appuyer sur les stratégies d’accès conditionnel Azure pour protéger les ressources sensibles de l’entreprise en évaluant les signaux supplémentaires liés au comportement des utilisateurs et aux propriétés des documents accessibles. Au fil du temps, Defender for Cloud Apps apprend le comportement typique de chaque employé en ce qui concerne les données qu’il accède et les applications qu’il utilise. Sur la base des modèles de comportement appris, les stratégies peuvent automatiquement appliquer les contrôles de sécurité si un employé agit en dehors de ce profil de comportement. Par exemple, si un employé accède généralement à une application de comptabilité entre 9 h 00 et 17 h du lundi au vendredi, mais commence soudainement à accéder à cette application de manière lourde le dimanche soir, Defender for Cloud Apps peut appliquer dynamiquement des stratégies pour exiger que l’utilisateur se réauthentifier. Cela permet de s’assurer que les informations d’identification de l’utilisateur n’ont pas été compromises. Defender for Cloud Apps peut également aider à identifier les « services informatiques de secours » dans l’organisation, ce qui permet aux équipes de sécurité des informations de s’assurer que les employés utilisent des outils avec sanction lorsqu’ils travaillent avec des données sensibles. Enfin, Defender for Cloud Apps peut protéger les données sensibles n’importe où dans le Cloud, même en dehors Microsoft 365 plateforme. Il permet aux organisations de sanctionner (ou de désapprouver) des applications cloud externes spécifiques, en contrôlant l'accès et en surveillant l'utilisation.

Microsoft Defender pour Identity est une solution de sécurité basée sur le cloud qui exploite vos signaux Active Directory sur site pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions des utilisateurs malveillants ciblant votre organisation. AATP permet aux analystes SecOp et aux professionnels de la sécurité de détecter des attaques avancées dans des environnements hybrides pour :

  • Surveiller les utilisateurs, le comportement des entités et les activités à l’aide d’une analyse basée sur l’apprentissage.
  • Protéger les identités des utilisateurs et informations d’identification stockées dans Active Directory.
  • Identifier et examiner les activités suspectes des utilisateurs et les attaques avancées tout au long de la chaîne de terminaison.
  • Fournir des informations claires sur les incidents reposant sur une chronologie simple pour un triage rapide.

Les employés de bureau se réunissent dans une petite salle de conférence. L'un d'eux fait une présentation.

Contrôler les données et gérer les enregistrements

Les institutions financières doivent conserver leurs enregistrements et leurs informations conformément à leurs obligations réglementaires, légales et commerciales telles que représentées dans leur planning de conservation. Par exemple, la SEC impose des périodes de rétention de trois à six ans, en fonction du type d’enregistrement, avec une accessibilité immédiate pour les deux premières années. Les organisations doivent se conformer aux risques juridiques et réglementaires en matière de conformité si les données sont sous-conservées (éliminées prématurément avant), et gèrent désormais les réglementations qui autorisent une destruction lorsque les informations ne sont plus nécessaires. La stratégie de gestion des enregistrements efficace met l’accent sur une approche pratique et cohérente pour que les informations soient éliminées de façon appropriée tout en réduisant les coûts et les risques pour l’organisation.

En outre, des mandats réglementaires émanant du Département des services financiers de l’État de New-York exigent que les entités couvertes maintiennent des politiques et procédures pour l’élimination d’informations non publiques. 23 NYCRR 500, section 500,13, les limitations en matière de conservation des données nécessite que «dans le cadre de son programme Cyber-sécurité, chaque entité couverte inclut les stratégies et procédures pour l’élimination sécurisée à intervalles réguliers de toute information non publique identifiée dans section 500.01(g)(2)-(3) de cette partie qui n’est plus nécessaire pour les opérations d’entreprise ou pour les besoins professionnels légitimes de l’entité couverte, sauf si ces informations sont normalement conservées en vertu d’une loi ou d’une réglementation ».

Les institutions financières gèrent de grandes quantités de données. Certaines périodes de rétention sont déclenchées par des événements, tels qu’un contrat qui arrive à expiration ou un employé quittant l’organisation. Dans cette atmosphère, il peut être difficile d’appliquer des stratégies de rétention des enregistrements. Les approches permettant d’attribuer des périodes de rétention aux enregistrements de façon précise dans les documents organisationnels peuvent varier. Certains appliquent les stratégies de rétention à grande échelle ou tirent parti des techniques de classification et d'apprentissage automatiques. D’autres identifient une approche nécessitant un processus plus granulaire qui attribue des périodes de rétention uniques à des documents individuels.

Microsoft 365 offre des fonctionnalités flexibles pour définir les étiquettes et stratégies de rétention pour implémenter intelligemment les exigences de gestion des enregistrements. Un gestionnaire d’enregistrements définit une étiquette de rétention, qui représente un « type d’enregistrement » dans un planning de rétention classique. L’étiquette de rétention contient les paramètres qui définissent les informations suivantes :

  • Durée de conservation d’un enregistrement
  • Ce qui se produit à l’expiration de la période de rétention (supprimer le document, commencer une révision de destruction ou ne pas effectuer d’action)
  • Ce qui déclenche le début de la période de rétention (date de création, date de dernière modification, date étiquetée ou événement) et marque le document ou le courriel en tant qu'enregistrement (ce qui signifie qu'il ne peut pas être modifié ou supprimé)

Les étiquettes de conservation sont ensuite publiées sur les sites SharePoint ou OneDrive, les boîtes aux lettres Exchange et les groupes Microsoft 365. Les utilisateurs peuvent appliquer les étiquettes de rétention manuellement aux documents et messages électroniques. Les responsables des enregistrements peuvent utiliser une intelligence pour appliquer automatiquement les étiquettes. Les fonctionnalités intelligentes peuvent être basées sur plus de 90 types d’informations sensibles intégrés (par exemple, numéro de compte ABA, numéro de compte bancaire américain ou numéro de sécurité sociale des États-Unis). Ils peuvent également être personnalisés en fonction de mots clés ou de données sensibles figurant dans des documents ou des courriers électroniques, tels que des numéros de carte de crédit ou d’autres informations d’identification personnelle ou sur la base des métadonnées SharePoint. Pour les données qui ne sont pas facilement identifiées par un filtrage manuel ou automatisé, les classifieurs présentant une capacité d’apprentissage pouvant être mis en forme peuvent être utilisés pour classer les documents de façon intelligente sur la base des techniques d’apprentissage automatique.

Le Securities and Exchange Commission (SEC) exige des courtiers et autres institutions financières réglementées de conserver toutes les communications liées à leur activité. Ces exigences s'appliquent à de nombreux types de communications et de données, notamment les courriers électroniques, les documents, les messages instantanés, les télécopies, etc. La règle 17a-4 de la SEC définit les critères que ces organisations doivent remplir pour stocker des enregistrements dans un système de stockage électronique de données. En 2003, la SEC a publié une version qui a clarifié ces exigences. Elle comprenait les critères suivants :

  • Les données conservées par un système de stockage électronique doivent être non réinscriptibles et non effaçables. Il s’agit de la configuration requise pour les vers informatiques (écriture unique, lecture de plusieurs).
  • Le système de stockage doit être en mesure de stocker des données au-delà de la période de rétention requise par la règle, en cas d’assignation ou d’autre ordre juridique.
  • Une organisation ne violerait pas la prescription énoncée au paragraphe (f)(2) (II) (A) de la règle si elle utilisé un système de stockage électronique qui empêche l’écrasement, l’effacement ou toute altération d’un enregistrement pendant la période de rétention requise à l’aide de codes de contrôle matériels et logiciels intégrés.
  • Les systèmes de stockage électronique qui « atténuent » le risque d’écrasement ou d’effacement d’un enregistrement (par exemple, en utilisant le contrôle d’accès), ne répondent pas aux exigences de la règle.

Pour aider les institutions financières à respecter les exigences de la norme SEC 17a-4, Microsoft 365 fournit une combinaison de fonctionnalités liées au mode de conservation des données, aux stratégies configurées et aux données stockées dans le service. Celles-ci incluent :

  • La conservation des données (règle 17a-4(a), (b)(4)) : les étiquettes et stratégies de rétention sont flexibles pour répondre aux besoins organisationnels et peuvent être appliquées automatiquement ou manuellement à différents types de données, documents et informations. Une grande variété de types de données et de communications est prise en charge, notamment les documents dans SharePoint et OneDrive Entreprise, les données dans les boîtes aux lettres Exchange Online et Teams.

  • Format non réinscriptible et non effaçable (Règle 17a-4(f)(2)(ii)(A)) : la fonction de verrouillage de la conservation pour les stratégies de rétention permet aux responsables et aux administrateurs de configurer les stratégies de rétention de façon restrictive, de sorte qu’elles ne peuvent plus être modifiées. Cela interdit à quiconque de supprimer, désactiver ou modifier la politique de conservation de quelque manière que ce soit. Cela signifie qu’une fois le verrouillage de conservation activé, celui-ci ne peut pas être désactivé et aucune méthode ne permet d’écraser, de modifier ou de supprimer les données auxquelles la stratégie de rétention a été appliquée pendant la période de rétention. De plus, la période de rétention ne peut pas être raccourcie. Toutefois, la période de rétention peut être allongée, en cas de nécessité légale de continuer la conservation des données.

    Lorsqu’un verrou de conservation est appliqué à une stratégie de rétention, les actions suivantes sont restreintes :

    • La période de rétention de la stratégie peut uniquement être augmentée. Elle ne peut pas être réduite.
    • Les utilisateurs peuvent être ajoutés à la stratégie, mais les utilisateurs existants configurés dans la stratégie ne peuvent pas être supprimés.
    • La stratégie de rétention ne peut pas être supprimée par les administrateurs au sein de l’organisation.

    Le verrouillage de conservation permet de s’assurer qu’aucun utilisateur, pas même les administrateurs disposant des plus hauts niveaux d’accès privilégié, ne peut modifier les paramètres, modifier, remplacer ou supprimer les données stockées, la mise en archive dans Microsoft 365 est conforme aux instructions fournies dans la version 2003 (SEC).

  • Qualité, précision et vérification de l’espace de stockage, de la sérialisation et de l’indexation des données (règle 17a-4(f)(2) (ii)(B) et (C)) : les charges de travail Office 365 contiennent des fonctionnalités de vérification automatique de la qualité et de l’exactitude du processus d’enregistrement des données sur les supports de stockage. De plus, les données sont stockées en utilisant des métadonnées et des horodatages pour garantir une indexation suffisante afin de permettre la recherche et la récupération des données.

  • Stockage séparé pour les copies doubles (règle 17a-4(f)(3(iii)) : le service cloud Office 365 stocke des copies de données en double comme un aspect essentiel de sa haute disponibilité. Pour ce faire, l’implémentation de la redondance à tous les niveaux du service, y compris au niveau physique sur tous les serveurs, au niveau du serveur dans le centre de données et au niveau du service pour les centres de données dispersés géographiquement.

  • Données accessibles et téléchargeables (règle 17a-4(f)(2)(ii)(D)) : Office 365 autorise généralement les données étiquetées pour la rétention, leur accès et leur téléchargement sur place. De plus, il permet de rechercher des données dans les archives Exchange Online à l’aide des fonctionnalités intégrées d’eDiscovery. Les données peuvent ensuite être téléchargées selon les besoins dans des formats standard, notamment EDRML et PST.

  • Exigences d’audit (règle 17a-4(f)(3)(v)) : Office 365 fournit une journalisation d’audit pour chaque action d’administration et d’utilisateur qui modifie les objets de données, configure ou modifie les stratégies de rétention, effectue des recherches eDiscovery ou modifie les autorisations d’accès. Office 365 gère une piste d’audit complète, y compris les données relatives aux personnes qui ont effectué une action, au moment de l’exécution, aux détails sur l’action et aux commandes effectuées. Le journal d’audit peut ensuite être généré et inclus dans le cadre de processus d’audit formels, le cas échéant.

Enfin, la règle 17a-4 impose aux organisations de conserver les enregistrements de plusieurs types de transactions afin d’être immédiatement accessibles pendant deux ans. Les enregistrements doivent être conservés pour trois à six ans avec accès non immédiat. Les enregistrements en double doivent également être conservés pour la même période sur un emplacement hors site. Les fonctionnalités de gestion des enregistrements Microsoft 365 permettent de conserver les enregistrements de sorte qu’ils ne puissent pas être modifiés ou supprimés, mais accessibles facilement pendant une période contrôlée par le responsable d’enregistrements. Ces périodes peuvent couvrir plusieurs jours, mois ou années, en fonction des obligations de conformité réglementaire de l’organisation.

Sur demande, Microsoft fournira une lettre d'attestation de conformité avec la SEC 17a-4 si une organisation l'exige.

De plus, ces fonctionnalités aident également Microsoft 365 à respecter les exigences en matière de stockage pour Règle CFTC 1.31(c)-(d) de la Commodity Futures Trading Commission des États-Unis et FINRA série de règles 4510 de la Financial Industry Regulatory Authority. Collectivement, ces règles constituent le guide le plus normatif du monde pour la conservation d’enregistrements par les institutions financières.

Vous trouverez des informations supplémentaires sur la conformité de Microsoft 365 avec les règles SEC 17a-4 et d’autres réglementations sur l’Évaluation de la règles SEC 17a-4(f) / CFTC 1.31(c)-(d) d’Office 365 Exchange Online par Cohasset Associates.

Établir des séparations déontologiques avec des obstacles aux informations

Les institutions financières peuvent être soumises à des réglementations qui empêchent les employés occupant certains rôles d'échanger des informations ou de collaborer avec d'autres rôles. Par exemple, la FINRA a publié les règles 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) et (b)(2)(H)(iii) qui obligent les membres à :

« (G) établir des cloisonnements de l’information ou d'autres mesures de protection institutionnelles raisonnablement conçues pour garantir que les analystes de recherche sont à l'abri de la révision, de la pression ou de la surveillance par des personnes exerçant des activités de services bancaires d'investissement ou d'autres personnes, y compris le personnel de vente et de négociation, qui pourraient être biaisées dans leur jugement ou leur supervision ; "et" (H) établir des barrières à l'information ou d'autres mesures de protection institutionnelles raisonnablement conçues pour garantir que les analystes de la recherche sur la dette sont à l'abri de la révision, de la pression ou de la surveillance des personnes qui y participent : (i) services de banque d’investissement ; (II) principales activités de commerce ou de vente et d'échange ; et (III) les autres personnes susceptibles d’être déchargées de leur jugement ou de leur supervision ;»

Enfin, ces règles exigent que les organisations établissent des stratégies et mettent en place des cloisonnements de l’information entre les rôles impliqués dans les services bancaires, les ventes ou les transactions, pour éviter l'échange d'informations et les communications avec les analystes.

Cloisonnements de l’information permettent d’établir des murs éthiques au sein de votre environnement Office 365, ce qui permet aux administrateurs de conformité ou à d’autres administrateurs autorisés de définir des stratégies qui autorisent ou bloquent les communications entre les groupes d’utilisateurs dans Teams. Les cloisonnements de l’information effectuent des contrôles sur des actions spécifiques pour empêcher la communication non autorisée. Les cloisonnements de l’information peuvent également restreindre la communication dans les scénarios dans lesquels des équipes internes travaillent sur des fusions, des acquisitions ou des offres sensibles, ou sur l’utilisation d’informations internes sensibles qui doivent être fortement limitées.

Les cloisonnements de l’information prennent en charge les conversations et fichiers dans Teams. Ils peuvent empêcher les types suivants d’actions liées aux communications de respecter les réglementations FINRA :

  • Rechercher un utilisateur
  • Ajouter un membre à une équipe ou continuer à participer à un autre membre d’une équipe
  • Démarrer ou poursuivre une session de conversation
  • Démarrer ou poursuivre une conversation de groupe
  • Inviter une personne à participer à une réunion
  • Partager un écran
  • Passer un appel

Implémenter un contrôle de surveillance

Les institutions financières sont généralement tenues d'établir et de maintenir une fonction de surveillance au sein de leur organisation afin de contrôler les activités des employés et de l'aider à se conformer aux lois sur les valeurs mobilières applicables. Plus précisément, la FINRA a établi ces exigences de surveillance :

  • La règle 3110 de la FINRA (Surveillance) impose aux entreprises de faire part de procédures de contrôle rédigées (WSP) aux activités de surveillance de ses employés et de leurs types d’entreprises. Outre d’autres exigences, les procédures doivent inclure :

    • Surveillance des membres du personnel de supervision
    • Examen des activités de banque d'investissement, des opérations sur titres, des communications internes et des examens internes d'une entreprise
    • Examen des transactions pour délit d'initié
    • Examen de la correspondance et des plaintes

    Les procédures doivent décrire les personnes responsables des révisions, l’activité de surveillance de chaque personne, la fréquence de révision et les types de documents ou communications examinés.

  • La règle 3120 de FINRA (système de contrôle de surveillance) impose aux entreprises de disposer d’un système de stratégies et procédures de contrôle prudentiel (SCP) qui valide leur procédure de contrôle écrite telle que définie par la règle 3110. Les entreprises sont tenues non seulement d'avoir des FSSF mais aussi d'avoir des stratégies qui testent ces procédures chaque année pour valider leur capacité à assurer la conformité aux lois et règlements applicables en matière de valeurs mobilières. Des méthodologies et des échantillonnages basés sur risque peuvent être utilisés pour définir l’étendue des tests. Parmi les autres conditions requises, cette règle impose aux entreprises de fournir un rapport annuel aux cadres dirigeants qui inclut un résumé des résultats des tests ainsi que des exceptions importantes ou des procédures modifiées en réponse aux résultats des tests.

Un collaborateur Office affiche un graphique et des tableaux à l’écran tandis que d'autres se réunissent en arrière-plan.

Conformité des communications

La conformité des communications permet aux organisations de préconfigurer des stratégies pour capturer les communications des employés à des fins de surveillance et de révision par des responsables agréés. Les stratégies de conformité en matière de communication peuvent englober les courriers électroniques internes/externes et les pièces jointes, les communications par conversation et par canal des équipes, ainsi que les communications par conversation et les pièces jointes de Skype Entreprise Online. De plus, la conformité des communications peut provenir de communications et de données provenant de services tiers (par exemple, Bloomberg, Thomson Reuters, LinkedIn, Twitter, Facebook, Box et Dropbox). La nature exhaustive des communications qui peuvent être capturées et examinées au sein d'une organisation, et les conditions étendues avec lesquelles les politiques peuvent être configurées, permettent aux stratégies de conformité des communications d'aider les institutions financières à se conformer à la règle 3110 de la FINRA. Il est possible que les stratégies soient configurées pour examiner les communications des individus ou des groupes. Les contrôleurs désignés peuvent être attribués à un niveau individuel ou de groupe. Des conditions complètes peuvent être configurées pour capturer des communications sur la base de messages entrants, de domaines, d’étiquettes de rétention, de mots clés ou d’expressions, de dictionnaires de mots clés, de types de données sensibles, de pièces jointes, de taille de message ou de taille de pièces jointes. Les relecteurs reçoivent un tableau de bord dans lequel ils peuvent examiner les communications avec indicateur, agir sur les communications qui pourraient enfreindre les stratégies et marquer les éléments marqués comme résolus. Ils peuvent également examiner les résultats des révisions et les éléments qui ont été résolus précédemment.

La conformité des communications fournit des rapports qui permettent d’auditer les activités de révision de stratégie en fonction de la stratégie et du réviseur. Des rapports sont disponibles pour vérifier que les stratégies fonctionnent comme définies par les stratégies de surveillance par écrit d’une organisation. Ils peuvent également être utilisés pour identifier les communications qui nécessitent une révision et celles qui ne sont pas compatibles avec la stratégie d’entreprise. Enfin, toutes les activités liées à la configuration des stratégies et à la consultation des communications sont auditées dans le journal d’audit unifié d’Office 365. Par conséquent, la conformité des communications aide également les institutions financières à se conformer à la règle 3120 de la FINRA.

En plus de se conformer aux règles de la FINRA, la conformité des communications permet aux organisations de contrôler la conformité des communications avec les autres exigences légales, les stratégies d'entreprise et les normes éthiques. La conformité des communications fournit des classificateurs intégrés de menace, de harcèlement et de blasphème qui aident à réduire les faux positifs lors de l'examen des communications, ce qui permet aux examinateurs de gagner du temps pendant le processus d'examen et de correction. Elle permet également aux organisations de réduire les risques en surveillant les communications lorsqu'elles subissent des modifications sensibles, telles que des fusions et acquisitions ou des changements de direction.

Un collaborateur d’informations se concentre sur un écran.

Protéger contre le risque d’exfiltration des données et interne

Une menace courante pour les entreprises est l'exfiltration de données, ou l'opération consistant à extraire des données d'une organisation. Ce risque peut être une préoccupation majeure pour les institutions financières en raison de la nature sensible des informations auxquelles on peut accéder au jour le jour. Avec le nombre croissant de canaux de communication disponibles et la prolifération des outils de transfert de données, des fonctionnalités avancées sont généralement nécessaires pour atténuer les risques de fuites de données, de violations des politiques et de risques internes.

Gestion des risques internes

L’activation d’employés disposant d’outils de collaboration en ligne accessibles en tout lieu, peut avoir un risque pour l’organisation. Les employés peuvent, par inadvertance ou par malveillance, divulguer des données à des attaquants ou à des concurrents. Ils peuvent également exfiltrer des données à des fins personnelles ou utiliser celles-ci auprès d’un futur employeur. Ces scénarios présentent des risques sérieux pour les institutions de services financiers, tant du point de vue de la sécurité que de la conformité. L’identification de ces risques lorsqu’ils se produisent et leur atténuation rapide nécessite des outils intelligents pour la collecte de données et la collaboration au sein des différents services tels que les services juridiques, les ressources humaines et la sécurité des informations.

Microsoft 365 a récemment lancé une solution de gestion des risques internes qui met en corrélation les signaux entre les services Microsoft 365 et utilise les modèles d’apprentissage automatique pour analyser le comportement des utilisateurs pour les modèles masqués et les signes de risque internes. Cet outil permet la collaboration entre les opérations de sécurité, les examinateurs internes et les ressources humaines afin de pouvoir résoudre facilement les cas en fonction de flux de travail prédéterminés.

Par exemple, la gestion des risques internes peut corréler les signaux à partir du bureau Windows 10 d’un utilisateur, par exemple, copier des fichiers sur un lecteur USB ou envoyer un courrier électronique à un compte de courrier personnel, avec des activités de services en ligne tels que la messagerie Office 365, SharePoint Online, Microsoft Teams, ou OneDrive Entreprise, pour identifier les modèles d’exfiltration des données. Elle peut également mettre en corrélation ces activités avec des employés quittant une organisation (modèle d’exfiltration de données courant). Elle peut surveiller plusieurs activités et comportements au fil du temps. Lorsque des modèles courants émergent, ils peuvent déclencher des alertes et aider les examinateurs à se concentrer sur les activités clés afin de vérifier une violation de stratégie avec un haut niveau de confiance. La gestion des risques internes peut permettre de pseudo-anonymiser les données des enquêteurs pour les aider à respecter la réglementation sur la protection des données, tout en faisant apparaître les activités clés qui les aident à mener efficacement leurs examens. Il permet aux enquêteurs de regrouper et d'envoyer en toute sécurité les données d'activités clés aux services des ressources humaines et juridiques, en suivant des procédures de flux de travail d'escalade communes pour le déclenchement d’actions de correction.

La gestion des risques internes augmente considérablement les capacités des organisations à surveiller et à identifier les risques internes, tout en permettant aux organisations de respecter les réglementations en matière de confidentialité et de suivre les conditions d’escalade établies dans les cas vous avez besoin d’une action de niveau supérieur. Pour plus d’informations sur la gestion des risques internes, consultez Points de faibles en matière de risques modernes et Flux de travail dans la gestion des risques internes.

Un collaborateur d’un centre d’appels dans les types d’emplacements de bureau pendant l’affichage d’un écran.

Restrictions de locataire

Les organisations qui traitent des données sensibles et insistent strictement sur la sécurité veulent généralement contrôler les ressources en ligne auxquelles les utilisateurs peuvent accéder. En même temps, ils veulent activer la collaboration sécurisée via des services en ligne tels qu’Office 365. Par conséquent, le contrôle des environnements Office 365 auxquels les utilisateurs peuvent accéder devient un jeu d’enfant, car les environnements Office 365 non corporatifs peuvent être utilisés pour effectuer des opérations malveillantes ou accidentelles pour les données provenant d’appareils d’entreprise. En règle générale, les organisations restreignent les domaines ou adresses IP auxquels les utilisateurs peuvent accéder à partir d’appareils d’entreprise. Mais cela ne fonctionne pas dans un monde « cloud-first », où les utilisateurs doivent accéder légitimement aux services Office 365.

Microsoft 365 fournit aux locataires desrestrictions la possibilité de résoudre ce problème. Les restrictions de client peuvent être configurées pour restreindre l’accès des employés aux locataires Office 365 Entreprise externes à l’aide d’identités non autorisées (les identités qui ne font pas partie de votre annuaire d’entreprise). Aujourd’hui, les restrictions client s’appliquent au locataire, ce qui permet d’accéder uniquement aux locataires qui apparaissent dans la liste que vous configurez. Microsoft continue à développer cette solution pour renforcer la granularité du contrôle et améliorer les protections qu'elle offre.

GRAPHIQUE.

Conclusion

Microsoft 365 et Teams fournissent une solution intégrée et complète pour les entreprises de services financiers, permettant une collaboration et des capacités de communication basées sur le cloud, simples mais performantes, au sein de l’entreprise. En utilisant les technologies de sécurité et de conformité de Microsoft 365, les institutions peuvent fonctionner de manière plus sûre et plus conforme avec des contrôles de sécurité robustes pour protéger les données, les identités, les dispositifs et les applications contre divers risques opérationnels, notamment la cybersécurité et les risques internes. Microsoft 365 fournit une plateforme sécurisée de façon fondamentale sur laquelle les organisations de services financiers peuvent obtenir davantage tout en protégeant leur entreprise, leurs employés et leurs clients.