Protection contre la perte de données dans Exchange Server

La protection contre la perte de données (DLP) est importante dans Exchange Server, car la communication par e-mail critique pour l’entreprise inclut souvent des données sensibles. Les fonctionnalités DLP facilitent plus que jamais la gestion des données sensibles dans les e-mails en équilibrant les exigences de conformité sans nuire inutilement à la productivité des employés. Pour obtenir une vue d’ensemble conceptuelle de la protection contre la perte de données, regardez la vidéo suivante.

Les stratégies DLP sont des packages simples qui sont des collections de règles de flux de courrier (également appelées règles de transport) qui contiennent des conditions, des actions et des exceptions spécifiques qui filtrent les messages et les pièces jointes en fonction de leur contenu. Vous pouvez créer une stratégie DLP, mais choisir de ne pas l’activer. Cela vous permet de tester vos stratégies sans affecter le flux de messagerie. Pour plus d’informations, consultez Tester une règle de flux de messagerie.

Les stratégies DLP peuvent utiliser toute la puissance des règles de flux de courrier pour détecter et agir sur les messages en transit. Par exemple, une règle de flux de messagerie peut effectuer une analyse approfondie du contenu par le biais de correspondances de mots clés, de correspondances de dictionnaire, de correspondances de modèle de texte via des expressions régulières et d’autres techniques d’examen du contenu pour détecter le contenu qui enfreint les stratégies DLP de votre organisation. Les empreintes digitales des documents sont également disponibles pour vous aider à détecter les informations sensibles dans les formulaires standard. Pour plus d’informations, voir les rubriques suivantes :

• Empreintes digitales des documents

• Règles de flux de messagerie dans Exchange Server

• Intégration de règles de classification avec des règles de flux de messagerie

En plus des stratégies DLP personnalisables elles-mêmes, vous pouvez également informer les expéditeurs d’e-mails lorsqu’ils sont sur le point de violer l’une de vos stratégies, avant même qu’ils envoient un message contenant des informations sensibles. Pour ce faire, vous devez configurer des conseils de stratégie. Les conseils de stratégie présentent une brève note sur les violations de stratégie possibles dans Outlook 2013 ou version ultérieure, Outlook sur le web (anciennement Appelé Outlook Web App) et Outlook sur le web pour les appareils. Pour plus d'informations, consultez la rubrique Conseils de stratégie.

Remarques :

• La protection contre la perte de données est une fonctionnalité étendue qui nécessite une licence d’accès client (CAL) Exchange Enterprise. Pour plus d’informations sur les licences d’accès client et les licences de serveur, consultez FAQ sur les licences Exchange.

• Dans les environnements hybrides où certaines boîtes aux lettres se trouvent dans Exchange local et d’autres en Exchange Online, les stratégies DLP sont appliquées uniquement dans Exchange Online. Les messages envoyés entre les utilisateurs locaux n’ont pas de stratégies DLP appliquées, car les messages ne quittent pas l’environnement local.

Recherchez-vous les tâches de gestion relatives à la protection contre la perte de données ? Consultez Procédures DLP.

Établir des stratégies visant à protéger les données sensibles

Les fonctions de protection contre la perte de données peuvent vous aider à identifier et surveiller de nombreuses catégories d'informations sensibles que vous avez définies dans les conditions de vos stratégies, comme les numéros d'identification privée ou les numéros de carte de crédit. Vous avez la possibilité de définir vos propres stratégies personnalisées et règles de flux de courrier, ou vous pouvez utiliser les modèles de stratégie DLP inclus dans Exchange pour commencer rapidement. Un modèle de stratégie est un modèle qui inclut une plage de conditions, de règles et d’actions parmi lesquelles vous pouvez choisir pour créer et enregistrer une stratégie DLP réelle qui vous aidera à inspecter les messages. Pour plus d’informations sur les modèles de stratégie inclus, consultez Modèles de stratégie DLP fournis dans Exchange.

Il existe trois méthodes différentes que vous pouvez utiliser pour implémenter DLP :

• Appliquer un modèle prête à l’emploi fourni dans Exchange : le moyen le plus rapide de commencer à utiliser des stratégies DLP consiste à créer et à implémenter une stratégie à l’aide d’un modèle. Cela vous évite de devoir créer intégralement un nouveau groupe de règles. Vous devez connaître le type de données que vous souhaitez vérifier ou la réglementation de conformité que vous essayez de traiter. Vous devez également connaître les attentes de votre organisation pour le traitement de ces données. Pour plus d’informations, consultez Modèles de stratégie DLP fournis dans Exchange et Créer une stratégie DLP à partir d’un modèle.

• Importer un fichier de stratégie prédéfini à partir de l’extérieur de votre organisation : vous pouvez importer des stratégies qui ont été créées par des éditeurs de logiciels indépendants. De cette façon, vous pouvez étendre la solution DLP pour répondre aux besoins de votre entreprise. Pour plus d’informations, consultez Définir vos propres modèles DLP et types d’informations et Importer une stratégie DLP à partir d’un fichier.

• Créer une stratégie personnalisée sans conditions préexistantes : votre entreprise peut avoir ses propres exigences pour la surveillance de certains types de données connues dans un système de messagerie. Vous pouvez créer une stratégie personnalisée entièrement par vous-même pour rechercher et agir sur vos propres données de message uniques. Vous devez connaître les exigences et les contraintes de l’environnement dans lequel la stratégie DLP sera appliquée pour créer des stratégies personnalisées efficaces. Pour plus d’informations, consultez Créer une stratégie DLP personnalisée.

Après avoir ajouté une stratégie, vous pouvez examiner et modifier ses règles, la désactiver ou la supprimer complètement. Pour plus d’informations, consultez Gérer les stratégies DLP.

Types d'informations sensibles dans les stratégies DLP

Lorsque vous créez ou modifiez des stratégies DLP, vous pouvez inclure des règles qui recherchent des informations sensibles. Les types d’informations sensibles répertoriés dans la rubrique Types d’informations sensibles dans Exchange Server peuvent être utilisés dans vos stratégies. Vous pouvez personnaliser les conditions au sein d’une stratégie, par exemple le nombre de fois qu’un élément doit être trouvé avant qu’une action soit effectuée, ou l’action à entreprendre. Pour plus d'informations sur la création de stratégies DLP, consultez la rubrique Create a Custom DLP Policy. Pour plus d’informations sur les règles de flux de messagerie, consultez Règles de flux de messagerie dans Exchange Server.

Pour faciliter l’utilisation de règles qui recherchent des informations sensibles, Exchange est fourni avec des modèles de stratégie qui incluent déjà certains des types d’informations sensibles. Vous ne pouvez pas ajouter de conditions pour tous les types d’informations sensibles, car les modèles sont conçus pour vous aider à vous concentrer sur les types les plus courants de données liées à la conformité au sein de votre organisation. Pour plus d’informations sur les modèles prédéfinis, consultez Modèles de stratégie DLP fournis dans Exchange.

Vous pouvez créer de nombreuses stratégies DLP pour votre organisation et les activer toutes afin que de nombreux types d’informations différents soient recherchés. Vous pouvez également créer une stratégie DLP qui n’est pas basée sur un modèle existant. Pour créer une telle stratégie, consultez Créer une stratégie DLP personnalisée. Pour plus d’informations sur les types d’informations sensibles disponibles, consultez Types d’informations sensibles dans Exchange Server.

Détection de données de formulaire sensibles avec l’empreinte numérique de document

Exchange vous permet d’utiliser l’empreinte digitale de document pour créer facilement un type d’informations sensibles basé sur un formulaire standard.

Les conseils de stratégie indiquent aux utilisateurs les attentes en termes de contenu sensible

Vous pouvez utiliser les messages de notification de conseils de stratégie pour informer les expéditeurs de messages de possibles problèmes de conformité lorsqu'ils composent un message électronique. Lorsque vous configurez un conseil de stratégie dans une stratégie DLP, le message de notification s’affiche uniquement si quelque chose dans le message électronique de l’expéditeur correspond aux conditions décrites dans votre stratégie. Les conseils de stratégie sont similaires aux infos-courrier introduites dans Exchange 2010. Pour plus d'informations, consultez la rubrique Conseils de stratégie.

Détection des informations sensibles avec la classification des messages traditionnelle

L’un des facteurs clés de la force d’une solution DLP est la capacité à identifier correctement le contenu confidentiel ou sensible qui peut être propre à votre organisation, aux besoins réglementaires, à la zone géographique ou à d’autres besoins de votre entreprise. L’architecture DLP Exchange utilise une analyse approfondie du contenu associée à des critères de détection que vous établissez par le biais de règles dans vos stratégies DLP. Pour éviter la perte de données dans Exchange, vous devez configurer l’ensemble approprié de règles d’informations sensibles qui fournissent un haut niveau de protection tout en réduisant les interruptions du flux de courrier provoquées par des faux positifs et négatifs. Ces types de règles ( appelées détection d’informations sensibles dans les informations DLP) fonctionnent dans le cadre des règles de flux de messagerie pour activer les fonctionnalités DLP. Pour en savoir plus sur ces fonctionnalités, consultez Intégration de règles d’informations sensibles avec des règles de flux de messagerie.

Vous pouvez toujours appliquer des classifications de messages traditionnelles aux messages, et vous pouvez combiner ces classifications avec la détection des informations sensibles. Vous pouvez utiliser ces fonctionnalités ensemble au sein d’une seule stratégie DLP ou les utiliser indépendamment (simultanément). Pour en savoir plus sur les classifications de messages Exchange 2010 traditionnelles, consultez Présentation des classifications de messages.

Informations sur les messages traités par DLP

Pour afficher des informations sur les messages qui contiennent des détections de stratégie DLP dans votre environnement, consultez Afficher les rapports de détection de stratégie DLP et Créer des rapports d’incident pour les détections de stratégie DLP. Les données liées aux détections DLP sont hautement intégrées dans les rapports de remise.

Pour plus d'informations

• Stratégie de messagerie et conformité dans Exchange Server

• DLP Procedures

• Afficher les rapports de détection de stratégie DLP)

• Création d’une empreinte numérique de document