Superposer les stratégies de protection contre la perte de données

  • 10 minutes

Le module Présentation de la sécurité et de la gouvernance dans Microsoft Power Platform a décrit les stratégies de protection contre la perte de données (DLP), qui limitent les connecteurs pouvant être utilisés conjointement dans un même flux ou une même application. Le module a également présenté l’étendue d’application d’une stratégie DLP. Par exemple, vous pouvez créer une stratégie DLP qui s’applique uniquement à un environnement. En outre, vous pouvez créer une stratégie DLP qui s’applique à l’ensemble du client, ce qui signifie que lorsque des environnements sont créés, ils héritent automatiquement de cette stratégie DLP à l’échelle du client.

Les sections suivantes présentent la superposition de stratégies DLP. Une organisation peut décider de mettre en œuvre une approche à plusieurs couches qui prend en charge des scénarios spécifiques mais en bloque d’autres. Lorsque des stratégies contradictoires coexistent, Microsoft applique toujours la stratégie la plus restrictive.

Scénario 1 : Microsoft 365 Outlook et OneDrive Entreprise

Dans ce cas d’utilisation, un service informatique souhaite permettre aux utilisateurs de copier automatiquement les pièces jointes de leurs e-mails vers leur compte Microsoft OneDrive Entreprise. Par conséquent, un administrateur d’environnement crée une stratégie DLP qui inclut les connecteurs Office 365 Outlook et OneDrive Entreprise dans le groupe de données Métier et conserve tous les connecteurs restants dans le groupe de données Non métier.

Capture d’écran de la stratégie DLP.

Une fois cette stratégie DLP enregistrée, les créateurs d’applications peuvent créer des flux leur permettant de copier les pièces jointes d’e-mail dans OneDrive.

Capture d’écran de l’exemple de flux avec l’action Appliquer à chacun ouverte.

Les stratégies DLP sont appliquées dès que les créateurs enregistrent un flux. Si votre flux est activé ou dans un état activé, vous savez que vous n’avez enfreint aucune stratégie. Vous découvrirez comment se comporte un flux qui enfreint une stratégie DLP plus loin dans ce module.

Capture d’écran du flux Power Automate activé.

Scénario 2 : SharePoint et Teams

Le second scénario consiste à publier des notifications dans un canal Microsoft Teams chaque fois qu’un élément est créé dans une liste Microsoft. Pour permettre ce scénario, vous allez créer une autre stratégie DLP. Dans ce scénario, vous n’aurez que les connecteurs SharePoint et Microsoft Teams dans le groupe de données Métier. Tous les connecteurs restants sont placés dans le groupe de données Non métier.

Capture d’écran de la configuration de la stratégie DLP.

Après avoir enregistré cette stratégie DLP, vous pouvez créer un flux qui implémentera la fonctionnalité que vous avez conçue et qui inclut la publication d’un message dans un canal Teams chaque fois qu’un élément est créé dans une liste Microsoft.

Capture d’écran de l’exemple de flux Power Automate.

Lorsque vous enregistrez ce flux, vous découvrez qu’il a été activé. Autrement dit, il est conforme à vos stratégies DLP.

Capture d’écran du flux Power Automate avec l’option Activer.

Scénario 3 : Microsoft 365 Outlook et SharePoint

Dans ce scénario, vous découvrirez ce qui se passe lorsque des stratégies DLP entrent en conflit les unes avec les autres. Ce scénario comprend la consignation d’e-mails entrants dans une liste Microsoft afin de suivre les actions entreprises à partir de cette boîte aux lettres.

Actuellement, vous disposez de stratégies DLP uniques qui incluent ces connecteurs dans les groupes de données Métier. Cependant, ces connecteurs sont répartis entre deux stratégies DLP différentes. Pour rappel, dans le premier scénario, vous avez inclus vos connecteurs Office 365 Outlook et OneDrive Entreprise. Dans le second scénario, vous avez inclus les connecteurs SharePoint et Microsoft Teams dans la même stratégie. Actuellement, il n’existe aucune stratégie permettant d’inclure les deux connecteurs Office 365 Outlook et SharePoint dans le même flux ou la même application.

Vous pouvez créer une troisième stratégie DLP qui inclut les connecteurs Office 365 Outlook et SharePoint dans le groupe de données Métier. Tous les autres connecteurs sont placés dans l’environnement de groupe de données Non métier.

Capture d’écran de la page Stratégies de données Power Automate.

Vous allez maintenant construire un flux qui comprend un déclencheur Office 365 Outlook et une action SharePoint.

Capture d’écran de l’exemple de flux Power Automate avec SharePoint.

Lorsque vous enregistrez ce flux, vous rencontrez l’erreur suivante indiquant que vous avez enfreint une stratégie DLP et que, par conséquent, votre flux a été suspendu :

Capture d’écran de l’erreur indiquant une violation d’une stratégie DLP.

Vous vous demandez peut-être pourquoi cette erreur s’est produite, étant donné que vous avez créé une stratégie DLP qui permet explicitement d’inclure les connecteurs Office 365 Outlook et SharePoint dans le même flux. Bien que vous ayez créé cette stratégie DLP, Microsoft continue d’appliquer la stratégie la plus restrictive. Microsoft ne permet pas de contourner les stratégies DLP précédentes en introduisant de nouvelles stratégies. Sinon, des fuites de données non intentionnelles pourraient se produire si les organisations incluent de nouvelles stratégies DLP.

Vous vous demanderez donc peut-être comment permettre à Office 365 Outlook de communiquer avec SharePoint. Dans ce cas, vous devrez mettre à jour vos stratégies existantes pour inclure ces connecteurs dans les groupes de données métier. Une fois cette tâche effectuée, vous devez activer explicitement vos flux actuellement suspendus par vos stratégies DLP.