Stratégies de protection des informationsInformation protection policies

S’applique à : Microsoft Cloud App SecurityApplies to: Microsoft Cloud App Security

Important

Les noms des produits Microsoft de protection contre les menaces changent.Threat protection product names from Microsoft are changing. Vous trouverez ici plus d’informations sur ce sujet et sur les autres mises à jour.Read more about this and other updates here. Nous allons très prochainement mettre à jour les noms des produits et des documents.We'll be updating names in products and in the docs in the near future.

Cloud App Security les stratégies de fichiers vous permettent d’appliquer un large éventail de processus automatisés.Cloud App Security file policies allow you to enforce a wide range of automated processes. Les stratégies peuvent être définies de manière à fournir une protection des informations, notamment des analyses de conformité continue, des tâches eDiscovery juridiques et la protection contre la perte de contenu sensible partagée publiquement.Policies can be set to provide information protection, including continuous compliance scans, legal eDiscovery tasks, and DLP for sensitive content shared publicly.

Cloud App Security pouvez surveiller n’importe quel type de fichier en fonction de plus de 20 filtres de métadonnées, par exemple, le niveau d’accès et le type de fichier.Cloud App Security can monitor any file type based on more than 20 metadata filters, for example, access level, and file type. Pour plus d’informations, consultez stratégies de fichier.For more information, see File policies.

Détecter et empêcher le partage externe de données sensiblesDetect and prevent external sharing of sensitive data

Détectez le moment où les fichiers contenant des informations d’identification personnelle ou d’autres données sensibles sont stockés dans un service Cloud et partagés avec des utilisateurs externes à votre organisation qui enfreignent la stratégie de sécurité de votre entreprise et créent une violation potentielle de la conformité.Detect when files with personally identifying information or other sensitive data are stored in a Cloud service and shared with users who are external to your organization that violates your company's security policy and creates a potential compliance breach.

PrérequisPrerequisites

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’application.You must have at least one app connected using app connectors.

ÉtapesSteps

  1. Dans la page stratégies , créez une stratégie de fichier.On the Policies page, create a new File policy.

  2. Définissez le niveau d’accès du filtre sur public (Internet)/public/External.Set the filter Access Level equals Public (Internet) / Public / External.

  3. Sous méthode d’inspection, sélectionnez service de classification des données (DC), puis sous sélectionner un type , sélectionnez le type d’informations sensibles que vous voulez que les contrôleurs de service inspectent.Under Inspection method, select Data Classification Service (DCS), and under Select type select the type of sensitive information you want DCS to inspect.

  4. Configurez les actions de gouvernance à entreprendre lorsqu’une alerte est déclenchée.Configure the Governance actions to be take when an alert is triggered. Par exemple, vous pouvez créer une action de gouvernance qui s’exécute sur les violations de fichiers détectés dans l’espace de travail Google dans lequel vous sélectionnez l’option permettant de Supprimer les utilisateurs externes et de Supprimer l’accès public.For example, you can create a governance action that runs on detected file violations in Google Workspace in which you select the option to Remove external users and Remove public access.

  5. Créez la stratégie de fichier.Create the file policy.

Détecter les données confidentielles partagées en externeDetect externally shared confidential data

Détecte quand les fichiers étiquetés comme confidentiels et stockés dans un service Cloud sont partagés avec des utilisateurs externes, enfreignant ainsi les stratégies de l’entreprise.Detect when files that are labeled Confidential and are stored in a cloud service are shared with external users, violating company policies.

PrérequisPrerequisites

ÉtapesSteps

  1. Dans la page stratégies , créez une stratégie de fichier.On the Policies page, create a new File policy.

  2. Définissez l' étiquette de classification de filtre sur Azure information protection est égal à l’étiquette confidentiel ou à l’équivalent de votre entreprise.Set the filter Classification label to Azure Information Protection equals the Confidential label, or your company's equivalent.

  3. Définissez le niveau d’accès du filtre sur public (Internet)/public/External.Set the filter Access Level equals Public (Internet) / Public / External.

  4. Facultatif : définissez les actions de gouvernance à effectuer sur les fichiers lorsqu’une violation est détectée.Optional: Set the Governance actions to be taken on files when a violation is detected. Les actions de gouvernance disponibles varient d’un service à l’autre.The governance actions available vary between services.

  5. Créez la stratégie de fichier.Create the file policy.

Détecter et chiffrer les données sensibles au reposDetect and encrypt sensitive data at rest

Détectez les fichiers contenant des informations d’identification personnelle et d’autres données sensibles qui sont partagées dans une application Cloud et appliquez des étiquettes de classification pour limiter l’accès aux employés de votre entreprise.Detect files containing personally identifying information and other sensitive data that is share in a cloud app and apply classification labels to limit access only to employees in your company.

PrérequisPrerequisites

ÉtapesSteps

  1. Dans la page stratégies , créez une stratégie de fichier.On the Policies page, create a new File policy.

  2. Sous méthode d’inspection, sélectionnez service de classification des données (DC) et sous sélectionner un type , sélectionnez le type d’informations sensibles que vous voulez que les contrôleurs de service inspectent.Under Inspection method, select Data Classification Service (DCS) and under Select type select the type of sensitive information you want DCS to inspect.

  3. Sous alerte, activez la case à cocher appliquer la gouvernance des étiquettes de classification et sélectionnez l’étiquette de classification que votre entreprise utilise pour limiter l’accès aux employés de l’entreprise.Under Alert, check Apply classification label governance and select the classification label that your company uses to restrict access to company employees.

  4. Créez la stratégie de fichier.Create the file policy.

Notes

La possibilité d’appliquer une étiquette de classification directement dans Cloud App Security n’est actuellement prise en charge que pour Box, Google Workspace, SharePoint Online et OneDrive entreprise.The ability to apply a classification label directly in Cloud App Security is currently only supported for Box, Google Workspace, SharePoint online and OneDrive for business.

Détecter les données partagées en externe obsolètesDetect stale externally shared data

Détectez les fichiers inutilisés et obsolètes, les fichiers qui n’ont pas été mis à jour récemment, qui sont accessibles publiquement via un lien public direct, une recherche Web ou des utilisateurs externes spécifiques.Detect unused and stale files, files that were not updated recently, that are accessible publicly via direct public link, web search, or to specific external users.

PrérequisPrerequisites

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’application.You must have at least one app connected using app connectors.

ÉtapesSteps

  1. Dans la page stratégies , créez une stratégie de fichier.On the Policies page, create a new File policy.

  2. Sélectionnez et appliquez le modèle de stratégie anciens fichiers partagés en externe.Select and apply the policy template Stale externally shared files.

  3. Personnaliser le filtre modifié pour qu’il corresponde à la stratégie de votre organisation.Customize the filter Last modified to match your organization's policy.

  4. Facultatif : définissez des actions de gouvernance à effectuer sur les fichiers lorsqu’une violation est détectée.Optional: Set Governance actions to be taken on files when a violation is detected. Les actions de gouvernance disponibles varient d’un service à l’autre.The governance actions available vary between services. Par exemple :For example:

    • Google Workspace : rendre le fichier privé et notifier le dernier éditeur de fichierGoogle Workspace: Make the file private and notify the last file editor

    • Box : notifier le dernier éditeur de fichierBox: Notify the last file editor

    • SharePoint Online : rendre le fichier privé et envoyer un condensé de correspondance de stratégie au propriétaire du fichierSharePoint online: Make the file private and send a policy-match digest to the file owner

  5. Créez la stratégie de fichier.Create the file policy.

Détecter l’accès aux données à partir d’un emplacement non autoriséDetect data access from an unauthorized location

Détectez le moment où les fichiers sont accessibles à partir d’un emplacement non autorisé, en fonction des emplacements communs de votre organisation, afin d’identifier une fuite de données potentielle ou un accès malveillant.Detect when files are accessed from an unauthorized location, based on your organization's common locations, to identify a potential data leak or malicious access.

PrérequisPrerequisites

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’application.You must have at least one app connected using app connectors.

ÉtapesSteps

  1. Dans la page stratégies , créez une nouvelle stratégie d’activité.On the Policies page, create a new Activity policy.

  2. Définissez le type d’activité de filtre sur les activités de fichier et de dossier qui vous intéressent, telles que l' affichage, le Téléchargement, l’accès et la modification.Set the filter Activity type to the file and folder activities that interest you, such as View, Download, Access, and Modify.

  3. Définissez l' emplacement du filtre n’est pas égal à, puis entrez les pays ou les régions à partir desquels votre organisation attend une activité.Set the filter Location does not equal, and then enter the countries/regions from which your organization expects activity.

    1. Facultatif : vous pouvez utiliser l’approche opposée et définir le filtre sur emplacement égal si votre organisation bloque l’accès à partir de pays ou régions spécifiques.Optional: You can use the opposite approach and set the filter to Location equals if your organization blocks access from specific countries/regions.
  4. Facultatif : créez des actions de gouvernance à appliquer à une violation détectée (la disponibilité varie d’un service à l’autre), par exemple suspendre l’utilisateur.Optional: Create Governance actions to be applied to detected violation (availability varies between services), such as Suspend user.

  5. Créez la stratégie d’activité.Create the Activity policy.

Détecter et protéger la Banque de données confidentielles dans un site SP non conformeDetect and protect confidential data store in a non-compliant SP site

Détectez les fichiers qui sont étiquetés comme confidentiels et qui sont stockés dans un site SharePoint non compatible.Detect files that are labeled as confidential and are stored in a non-compliant SharePoint site.

PrérequisPrerequisites

Azure Information Protection étiquettes sont configurées et utilisées au sein de l’organisation.Azure Information Protection labels are configured and used inside the organization.

ÉtapesSteps

  1. Dans la page stratégies , créez une stratégie de fichier.On the Policies page, create a new File policy.

  2. Définissez l' étiquette de classification de filtre sur Azure information protection est égal à l’étiquette confidentiel ou à l’équivalent de votre entreprise.Set the filter Classification label to Azure Information Protection equals the Confidential label, or your company's equivalent.

  3. Définir le dossier parent du filtre n’est pas égal à, puis sous Sélectionner un dossier , choisissez tous les dossiers conformes dans votre organisation.Set the filter Parent folder does not equal, and then under Select a folder choose all the compliant folders in your organization.

  4. Sous alertes , sélectionnez créer une alerte pour chaque fichier correspondant.Under Alerts select Create an alert for each matching file.

  5. Facultatif : définissez les actions de gouvernance à effectuer sur les fichiers lorsqu’une violation est détectée.Optional: Set the Governance actions to be taken on files when a violation is detected. Les actions de gouvernance disponibles varient d’un service à l’autre.The governance actions available vary between services. Par exemple, définissez Box sur Envoyer la stratégie de correspondance de la stratégie au propriétaire du fichier et mettez-la en quarantaine administrateur.For example, Set Box to Send policy-match digest to file owner and Put in admin quarantine.

  6. Créez la stratégie de fichier.Create the file policy.

Détection du code source partagé en externeDetect externally shared source code

Détectez quand des fichiers contenant du contenu pouvant être du code source sont partagés publiquement ou partagés avec des utilisateurs en dehors de votre organisation.Detect when files that contain content that might be source code are shared publicly or are shared with users outside of your organization.

PrérequisPrerequisites

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’application.You must have at least one app connected using app connectors.

ÉtapesSteps

  1. Dans la page stratégies , créez une stratégie de fichier.On the Policies page, create a new File policy.

  2. Sélectionner et appliquer le code source partagé en externe du modèle de stratégieSelect and apply the policy template Externally shared source code

  3. Facultatif : Personnalisez la liste des Extensions de fichier pour qu’elles correspondent aux extensions de fichier de code source de votre organisation.Optional: Customize the list of file Extensions to match your organization's source code file extensions.

  4. Facultatif : définissez les actions de gouvernance à effectuer sur les fichiers lorsqu’une violation est détectée.Optional: Set the Governance actions to be taken on files when a violation is detected. Les actions de gouvernance disponibles varient d’un service à l’autre.The governance actions available vary between services. Par exemple, dans Box, Envoyer une stratégie-faire correspondre le condensé au propriétaire du fichier et mettre en quarantaine administrateur.For example, in Box, Send policy-match digest to file owner and Put in admin quarantine.

  5. Sélectionner et appliquer le modèle de stratégieSelect and apply the policy template

Détecter les accès non autorisés aux données de groupeDetect unauthorized access to group data

Détecte lorsque certains fichiers appartenant à un groupe d’utilisateurs spécifique sont accessibles de façon excessive par un utilisateur qui ne fait pas partie du groupe, ce qui peut constituer une menace Insider potentielle.Detect when certain files that belong to a specific user group are being accessed excessively by a user who is not part of the group, which could be a potential insider threat.

PrérequisPrerequisites

Vous devez disposer d’au moins une application connectée à l’aide de connecteurs d’application.You must have at least one app connected using app connectors.

ÉtapesSteps

  1. Dans la page stratégies , créez une nouvelle stratégie d’activité.On the Policies page, create a new Activity policy.

  2. Sous agir sur sélectionner une activité répétée et personnaliser les activités répétitives minimales et définir une plage de temps conforme à la stratégie de votre organisation.Under Act on select Repeated activity and customize the Minimum repeated activities and set a Timeframe to comply with your organization's policy.

  3. Définissez le type d’activité de filtre sur les activités de fichier et de dossier qui vous intéressent, telles que l' affichage, le Téléchargement, l’accès et la modification.Set the filter Activity type to the file and folder activities that interest you, such as View, Download, Access, and Modify.

  4. Affectez à l' utilisateur du filtre la valeur à partir du groupe égal, puis sélectionnez les groupes d’utilisateurs appropriés.Set the filter User to From group equals and then select the relevant user groups.

    Notes

    Les groupes d’utilisateurs peuvent être importés manuellement à partir d’applications prises en charge.User groups can be imported manually from supported apps.

  5. Définissez les fichiers et les dossiers de filtre sur des fichiers ou dossiers spécifiques , puis choisissez les fichiers et les dossiers qui appartiennent au groupe d’utilisateurs audités.Set the filter Files and folders to Specific files or folders equals and then choose the files and folders that belong to the audited user group.

  6. Définissez les actions de gouvernance à effectuer sur les fichiers lorsqu’une violation est détectée.Set the Governance actions to be taken on files when a violation is detected. Les actions de gouvernance disponibles varient d’un service à l’autre.The governance actions available vary between services. Par exemple, vous pouvez choisir de suspendre l’utilisateur.For example, you can choose to Suspend user.

  7. Créez la stratégie de fichier.Create the file policy.

Détecter les compartiments S3 accessibles publiquementDetect publicly accessible S3 buckets

Détectez et protégez-vous contre les fuites de données potentielles provenant de compartiments AWS S3.Detect and protect against potential data leaks from AWS S3 buckets.

PrérequisPrerequisites

Vous devez disposer d’une instance AWS connectée à l’aide de connecteurs d’application.You must have an AWS instance connected using app connectors.

ÉtapesSteps

  1. Dans la page stratégies , créez une stratégie de fichier.On the Policies page, create a new File policy.

  2. Sélectionnez et appliquez le modèle de stratégie S3 compartiments (AWS).Select and apply the policy template Publicly accessible S3 buckets (AWS).

  3. Définissez les actions de gouvernance à effectuer sur les fichiers lorsqu’une violation est détectée.Set the Governance actions to be taken on files when a violation is detected. Les actions de gouvernance disponibles varient d’un service à l’autre.The governance actions available vary between services. Par exemple, définissez AWS pour rendre privé , ce qui rend les compartiments S3 privés.For example, set AWS to Make private which would make the S3 buckets private.

  4. Créez la stratégie de fichier.Create the file policy.

Détectez les fichiers qui sont partagés dans les applications de stockage cloud et qui contiennent des informations d’identification personnelle et d’autres données sensibles qui sont liées par une stratégie de conformité RGPD.Detect files that are shared in cloud storage apps and contain personally identifying information and other sensitive data that is bound by a GDPR compliance policy. Ensuite, appliquez automatiquement des étiquettes de classification pour limiter l’accès uniquement au personnel autorisé.Then, automatically apply classification labels to limit access only to authorized personnel.

PrérequisPrerequisites

ÉtapesSteps

  1. Dans la page stratégies , créez une stratégie de fichier.On the Policies page, create a new File policy.

  2. Sous méthode d’inspection, sélectionnez service de classification des données (DC), puis sous sélectionner un type , sélectionnez un ou plusieurs types d’informations conformes à la conformité RGPD, par exemple : numéro de carte de débit UE, numéro de licence des pilotes de l’UE, numéro d’identification nationale de l’UE, numéro de passeport UE, numéro d’identification de taxe de l’Union européenne.Under Inspection method, select Data Classification Service (DCS), and under Select type select one or more information types that comply with the GDPR compliance, for example: EU debit card number, EU drivers license number, EU national identification number, EU passport number, EU SSN, SU tax identification number.

  3. Définissez les actions de gouvernance à effectuer sur les fichiers lors de la détection d’une violation, en sélectionnant appliquer la gouvernance des étiquettes de classification pour chaque application prise en charge.Set the Governance actions to be taken on files when a violation is detected, by selecting Apply Classification label governance for each supported app.

  4. Créer la stratégie de fichierCreate the file policy

Notes

Actuellement, l' étiquette de classification appliquer est uniquement prise en charge pour Box, Google Workspace, SharePoint Online et OneDrive entreprise.Currently, Apply classification label is only supported for Box, Google Workspace, SharePoint online and OneDrive for business.

Bloquer les téléchargements pour les utilisateurs externes en temps réelBlock downloads for external users in real time

Empêchez les données d’entreprise d’être défiltrées par des utilisateurs externes, en bloquant les téléchargements de fichiers en temps réel, en utilisant les contrôles de sessionde Cloud App Security.Prevent company data from being exfiltrated by external users, by blocking file downloads in real time, utilizing Cloud App Security's session controls.

PrérequisPrerequisites

ÉtapesSteps

  1. Dans la page stratégies , créez une stratégie de session.On the Policies page, create a new Session policy.

  2. Sous type de contrôle de session, sélectionnez contrôler le téléchargement du fichier (avec inspection).Under Session control type, select Control file download (with inspection).

  3. Sous filtres d’activité, Sélectionnez utilisateur et affectez-lui la valeur à partir du groupe est égal à utilisateurs externes.Under Activity filters, select User and set it to From group equals External users.

    Notes

    Vous n’avez pas besoin de définir de filtres d’application pour permettre à cette stratégie de s’appliquer à toutes les applications.You don't need to set any app filters to enable this policy to apply to all apps.

  4. Vous pouvez utiliser le filtre de fichiers pour personnaliser le type de fichier.You can use the File filter to customize the file type. Vous bénéficiez ainsi d’un contrôle plus granulaire sur le type de fichiers contrôlés par la stratégie de session.This gives you more granular control over what type of files the session policy controls.

  5. Sous actions, sélectionnez bloquer.Under Actions, select Block. Vous pouvez sélectionner personnaliser le message de blocage pour définir un message personnalisé à envoyer à vos utilisateurs afin qu’ils comprennent la raison pour laquelle le contenu est bloqué et comment il peut l’activer en appliquant l’étiquette de classification appropriée.You can select Customize block message to set a custom message to be sent to your users so they understand the reason the content is blocked and how they can enable it by applying the right classification label.

  6. Cliquez sur Créer.Click Create.

Appliquer le mode lecture seule pour les utilisateurs externes en temps réelEnforce read-only mode for external users in real time

Empêchez les données d’entreprise d’être défiltrées par des utilisateurs externes, en bloquant les activités d’impression et de copie/collage en temps réel, en utilisant les contrôles de sessionde Cloud App Security.Prevent company data from being exfiltrated by external users, by blocking print and copy/paste activities in real-time, utilizing Cloud App Security's session controls.

PrérequisPrerequisites

ÉtapesSteps

  1. Dans la page stratégies , créez une stratégie de session.On the Policies page, create a new Session policy.

  2. Sous type de contrôle de session, sélectionnez bloquer les activités.Under Session control type, select Block activities.

  3. Dans le filtre de la source d’activité :In the Activity source filter:

    1. Sélectionnez utilisateur et définissez les utilisateurs externes dans groupe .Select User and set From group to External users.

    2. Sélectionnez le type d’activité est égal à Imprimer et couper/copier l’élément.Select Activity type equals Print and Cut/copy item.

    Notes

    Vous n’avez pas besoin de définir de filtres d’application pour permettre à cette stratégie de s’appliquer à toutes les applications.You don't need to set any app filters to enable this policy to apply to all apps.

  4. Facultatif : sous méthode d’inspection, sélectionnez le type d’inspection à appliquer et définissez les conditions requises pour l’analyse DLP.Optional: Under Inspection method, select the type of inspection to apply and set the necessary conditions for the DLP scan.

  5. Sous actions, sélectionnez bloquer.Under Actions, select Block. Vous pouvez sélectionner personnaliser le message de blocage pour définir un message personnalisé à envoyer à vos utilisateurs afin qu’ils comprennent la raison pour laquelle le contenu est bloqué et comment il peut l’activer en appliquant l’étiquette de classification appropriée.You can select Customize block message to set a custom message to be sent to your users so they understand the reason the content is blocked and how they can enable it by applying the right classification label.

  6. Cliquez sur Créer.Click Create.

Bloquer le téléchargement de documents non classifiés en temps réelBlock upload of unclassified documents in real time

Empêchez les utilisateurs de charger des données non protégées dans le Cloud, en utilisant les contrôles de sessionde Cloud App Security.Prevent users from uploading unprotected data to the cloud, by utilizing Cloud App Security's session controls.

PrérequisPrerequisites

ÉtapesSteps

  1. Dans la page stratégies , créez une stratégie de session.On the Policies page, create a new Session policy.

  2. Sous type de contrôle de session, sélectionnez contrôler le téléchargement du fichier (avec inspection) ou Télécharger le fichier de contrôle (avec inspection).Under Session control type, select Control file upload (with inspection) or Control file download (with inspection).

    Notes

    Vous n’avez pas besoin de définir de filtres pour permettre l’application de cette stratégie à tous les utilisateurs et applications.You don't need to set any filters to enable this policy to apply to all users and apps.

  3. Sélectionnez l’étiquette de classification de filtre de fichier n’est pas égale, puis sélectionnez les étiquettes que votre entreprise utilise pour baliser les fichiers classifiés.Select the file filter Classification label does not equal and then select the labels your company uses to tag classified files.

  4. Facultatif : sous méthode d’inspection, sélectionnez le type d’inspection à appliquer et définissez les conditions requises pour l’analyse DLP.Optional: Under Inspection method, select the type of inspection to apply and set the necessary conditions for the DLP scan.

  5. Sous actions, sélectionnez bloquer.Under Actions, select Block. Vous pouvez sélectionner personnaliser le message de blocage pour définir un message personnalisé à envoyer à vos utilisateurs afin qu’ils comprennent la raison pour laquelle le contenu est bloqué et comment il peut l’activer en appliquant l’étiquette de classification appropriée.You can select Customize block message to set a custom message to be sent to your users so they understand the reason the content is blocked and how they can enable it by applying the right classification label.

  6. Cliquez sur Créer.Click Create.

Notes

Pour obtenir la liste des types de fichiers actuellement pris en charge par Cloud App Security pour Azure Information Protection des étiquettes de classification, voir conditions préalablesà l’intégration de Azure information protection.For the list of file types that Cloud App Security currently supports for Azure Information Protection classification labels, see Azure Information Protection integration prerequisites.

Étapes suivantesNext steps

Si vous rencontrez des problèmes, nous sommes là pour vous aider.If you run into any problems, we're here to help. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.To get assistance or support for your product issue, please open a support ticket.