Protection contre la perte de données dans Exchange Online

Notes

La protection contre la perte de données Exchange Online héritée dans le centre d’administration Exchange est en cours de dépréciation. Nous vous recommandons de créer des stratégies DLP dans le portail de conformité Microsoft Purview. Pour plus d’informations sur cette protection contre la perte de données, consultez En savoir plus sur la protection contre la perte de données.

  • À compter du 1er avril 2022, les administrateurs ne pourront plus apporter de modifications de configuration aux stratégies DLP dans le centre d’administration Exchange classique. Les règles existantes continueront de fonctionner telles quelle.
  • À compter du 1er août 2022, l’expérience de gestion des stratégies DLP dans le Centre d’administration Exchange classique sera mise hors service. Les administrateurs pourront toujours afficher les règles associées en mode lecture seule à l’aide de l’expérience de règle de flux de courrier (règle de transport).

Vous pouvez facilement migrer vos stratégies DLP Exchange Online héritées à l’aide de l’Assistant Migration. Pour plus d’informations, consultez Migrer Exchange Online stratégies de protection contre la perte de données vers le portail de conformité Microsoft Purview.

Des chronologies détaillées pour les clouds spéciaux Cloud de la communauté du secteur public-H et DoD seront communiquées séparément.

Découvrez les stratégies DLP dans Exchange Online, notamment ce qu’elles contiennent et comment les tester. Vous allez également découvrir une nouvelle fonctionnalité dans Exchange DLP.

La protection contre la perte de données (Data loss prevention, DLP) est un élément important des systèmes de messagerie d'entreprise, en raison de l'utilisation massive du courrier électronique dans les communications stratégiques pour l'entreprise qui incluent des données sensibles. Afin de respecter les exigences de conformité liées à ces données et de gérer leur utilisation dans le courrier électronique sans diminuer la productivité des utilisateurs, les fonctions DLP rendent la gestion des données sensibles plus simple qu'elle ne l'a jamais été. Pour obtenir une vue d’ensemble conceptuelle de la protection contre la perte de données, regardez la vidéo suivante.

Les stratégies DLP sont des packages simples qui contiennent des ensembles de conditions, qui sont constitués de règles de flux de messagerie (également appelées règles de transport), d’exceptions et d’actions que vous créez dans le centre d’administration Exchange (EAC), puis qui sont activées pour filtrer les messages électroniques et les pièces jointes. Vous pouvez créer une stratégie DLP, mais choisir de ne pas l'activer. Cela vous permet de tester vos stratégies sans affecter le flux de messagerie. Les stratégies DLP peuvent utiliser toute la puissance des règles de flux de messagerie existantes. En fait, un certain nombre de nouveaux types de règles de flux de messagerie ont été créés dans Exchange Online afin d’accomplir de nouvelles fonctionnalités DLP. Une nouvelle fonctionnalité importante des règles de flux de messagerie est une nouvelle approche de classification des informations sensibles qui peuvent être incorporées dans le traitement des flux de messagerie. Cette nouvelle fonctionnalité DLP effectue une analyse en profondeur du contenu via des correspondances de mot clé, des correspondances de dictionnaire, l'évaluation d'expressions standard et d'autres examens de contenu en vue de détecter le contenu non conforme aux stratégies DLP de l'organisation. Pour plus d’informations sur les règles de flux de messagerie, consultez les règles de flux de courrier (règles de transport) dans Exchange Online et l’intégration de règles d’informations sensibles avec des règles de flux de messagerie dans Exchange Online. Vous pouvez également gérer vos stratégies DLP à l’aide Exchange Online applets de commande PowerShell sur Exchange PowerShell.

En plus des stratégies DLP personnalisables elles-mêmes, vous pouvez également informer les expéditeurs de courrier électronique qu’ils peuvent être sur le point de violer l’une de vos stratégies, même avant qu’ils envoient un message incriminé. Pour ce faire, configurez les conseils de stratégie. Les conseils de stratégie sont similaires aux infos-courrier et peuvent être configurés pour présenter une courte note dans le client Microsoft Outlook 2013 qui fournit des informations sur les violations de stratégie possibles à une personne créant un message. Dans Exchange Online, les Astuces de stratégie sont également affichées dans Outlook sur le web (anciennement Outlook Web App) et OWA pour appareils. Pour plus d'informations, consultez la rubrique Conseils de stratégie.

Notes

Exchange Online DLP est une fonctionnalité premium. Pour plus d’informations, consultez Exchange Online Licences, Exchange Online Description du service et Exchange Online Protection Description du service.

Les messages envoyés entre des utilisateurs locaux dans un déploiement hybride n’ont pas Exchange Online stratégies DLP appliquées, car les messages ne quittent pas l’infrastructure locale.

Établir des stratégies visant à protéger les données sensibles

Les fonctions de protection contre la perte de données peuvent vous aider à identifier et surveiller de nombreuses catégories d'informations sensibles que vous avez définies dans les conditions de vos stratégies, comme les numéros d'identification privée ou les numéros de carte de crédit. Vous avez la possibilité de définir vos propres stratégies personnalisées et règles de flux de messagerie ou d’utiliser les modèles de stratégie DLP prédéfinis fournis par Microsoft pour commencer rapidement. Pour plus d'informations sur les modèles de stratégie inclus, consultez la rubrique Modèles de stratégies DLP fournis dans Exchange. Un modèle de stratégie inclut un ensemble de conditions, de règles et d'actions que vous pouvez choisir pour créer et enregistrer une stratégie DLP qui vous aidera à inspecter les messages. Les modèles de stratégie sont des modèles à partir desquels vous pouvez sélectionner ou créer vos propres règles spécifiques, de façon à créer une stratégie répondant à vos besoins en matière de protection contre la perte de données.

Il existe trois différentes méthodes pour commencer à utiliser DLP :

  1. Appliquer un modèle out-of-the-box fourni par Microsoft : Le moyen le plus rapide de commencer à utiliser des stratégies DLP consiste à créer et implémenter une nouvelle stratégie à l’aide d’un modèle. Cela vous évite de devoir créer intégralement un nouveau groupe de règles. Vous devez déterminer le type de données à contrôler ou la règle de conformité à vérifier. Vous devez également connaître les attentes de votre organisation en matière de traitement de ces données. Pour plus d'informations, consultez les rubriques Modèles de stratégies DLP fournis dans Exchange et Création d'une stratégie DLP à partir d'un modèle.

  2. Importer un fichier de stratégie prédéfagé en dehors de votre organisation : vous pouvez importer des stratégies qui ont déjà été créées en dehors de votre environnement de messagerie par des éditeurs de logiciels indépendants. De cette façon, vous pouvez étendre les solutions DLP qui répondent aux besoins de votre entreprise.

  3. Créez une stratégie personnalisée sans conditions préexistantes : votre entreprise peut avoir ses propres exigences pour la surveillance de certains types de données connus pour exister dans un système de messagerie. Vous pouvez créer intégralement une stratégie personnalisée afin de commencer à vérifier vos propres données de messages uniques et à agir sur ces dernières. Afin de créer la stratégie personnalisée, vous devrez connaître les exigences et les contraintes de l'environnement dans lequel la stratégie DLP sera appliquée. Pour plus d'informations, consultez les rubriques Création d'une stratégie personnalisée de protection contre la perte de données (DLP).

Après avoir ajouté une stratégie, vous pouvez vérifier et modifier ses règles, la désactiver ou la supprimer complètement.

Types d'informations sensibles dans les stratégies DLP

Lorsque vous créez ou modifiez des stratégies DLP, vous pouvez inclure des règles qui comportent des vérifications d'informations sensibles. Les types d’informations sensibles répertoriés dans la rubrique Définitions d’entités de type Informations sensibles peuvent être utilisés dans vos stratégies. Les conditions que vous établissez dans une stratégie, comme le nombre de fois qu'un élément doit être trouvé pour réaliser une action ou encore le contenu exact de cette action, peuvent être personnalisées dans vos nouvelles stratégies personnalisées afin de répondre à vos exigences de stratégies spécifiques. Pour plus d’informations sur la création de stratégies DLP, consultez Créer une stratégie DLP personnalisée. Pour plus d’informations sur les règles de flux de messagerie de suite complètes, consultez les règles de flux de courrier (règles de transport) dans Exchange Online.

Pour que vous puissiez utiliser facilement les règles associées aux informations sensibles, Microsoft a fourni des modèles de stratégie qui incluent déjà certains types d'informations sensibles. Toutefois, vous ne pouvez pas ajouter de conditions pour tous les types d’informations sensibles répertoriés ici aux modèles de stratégie, car les modèles sont conçus pour vous aider à vous concentrer sur les types les plus courants de données liées à la conformité au sein de votre organisation. Pour plus d'informations sur les modèles prégénérés, consultez la rubrique Modèles de stratégies DLP fournis dans Exchange. Vous pouvez créer de nombreuses stratégies DLP pour votre organisation et les activer toutes de façon à examiner divers types d'informations. Vous pouvez aussi créer une stratégie DLP qui n'est pas basée sur un modèle existant. Pour commencer la création de cette stratégie, consultez la rubrique Création d'une stratégie personnalisée de protection contre la perte de données (DLP). Pour plus d’informations sur les types d’informations sensibles, consultez Définitions d’entités de type d’informations sensibles.

Les conseils de stratégie indiquent aux utilisateurs les attentes en termes de contenu sensible

Vous pouvez utiliser les messages de notification de conseils de stratégie pour informer les expéditeurs de messages de possibles problèmes de conformité lorsqu'ils composent un message électronique. Lorsque vous configurez un conseil de stratégie dans une stratégie DLP, le message de notification ne s'affiche que si un élément dans le message électronique de l'expéditeur répond aux conditions décrites dans votre stratégie. Les conseils de stratégie sont semblables aux infos-courrier introduites dans Microsoft Exchange 2010. Pour plus d'informations, consultez la rubrique Conseils de stratégie.

Détection des informations sensibles avec la classification des messages traditionnelle

Exchange Online présente une nouvelle méthode pour vous aider à gérer les données des messages et des pièces jointes par rapport à la classification traditionnelle des messages. Un facteur essentiel de la puissance d'une solution DLP est la possibilité d'identifier correctement le contenu confidentiel ou sensible pouvant être spécifique à l'organisation, aux exigences réglementaires, à la géographie ou à d'autres exigences métier. Exchange Online pouvez y parvenir à l’aide d’une nouvelle architecture pour une analyse de contenu approfondie associée à des critères de détection que vous établissez par le biais de règles dans vos stratégies DLP. Aider à empêcher la perte de données dans Exchange Online repose sur la configuration de l’ensemble correct de règles d’informations sensibles afin qu’elles fournissent un degré élevé de protection tout en réduisant les interruptions de flux de messagerie inappropriées avec les faux positifs et les négatifs. Ces types de règles, appelés détection d’informations sensibles dans l’ensemble des informations DLP, fonctionnent dans l’infrastructure offerte par les règles de flux de messagerie afin d’activer les fonctionnalités DLP.

Pour en savoir plus sur ces nouvelles fonctionnalités, consultez Intégration de règles d’informations sensibles avec des règles de flux de messagerie dans Exchange Online. Les champs de la classification des messages traditionnelle peuvent toujours être appliqués aux messages dans Exchange et peuvent être combinés avec la nouvelle détection des informations sensibles, soit ensemble dans une stratégie DLP unique, soit simultanément afin d'être évalués indépendamment dans Exchange. Pour en savoir plus sur les classifications de messages héritées Exchange 2010, consultez Understanding Message Classifications.

Conditions préalables à l'installation

Pour pouvoir utiliser les fonctionnalités DLP, vous devez disposer d’au moins une boîte aux lettres avec une licence plan 2 Exchange Online configurée. Pour plus d’informations, consultez Exchange Online description du service.

Pour plus d'informations

Exchange Online