Informations de référence sur la protection contre la perte de données

Important

Il s’agit d’une rubrique de référence qui n’est plus la ressource principale pour les informations Protection contre la perte de données Microsoft Purview (DLP). Le jeu de contenu DLP est mis à jour et restructuré. Les rubriques traitées dans cet article passeront aux articles nouveaux et mis à jour. Pour plus d’informations sur la protection contre la perte de données, consultez En savoir plus sur la protection contre la perte de données.

Notes

Des fonctionnalités de protection contre la perte de données ont récemment été ajoutées aux messages de discussion et de canal Microsoft Teams pour les utilisateurs titulaires d’une licence de Conformité avancée Office 365, disponible sous la forme d’une option autonome et incluse dans Office 365 E5 et Microsoft 365 E5 Conformité. Pour en savoir plus sur les conditions d’octroi de licences, consultez Conseils sur la gestion des licences des services de niveau client de Microsoft 365.

Créer et gérer des stratégies DLP

Vous créez et gérez des stratégies DLP sur la page de protection contre la perte de données du portail de conformité Microsoft Purview.

Page de protection contre la perte de données dans le portail de conformité Microsoft Purview

Optimisation des règles pour une correspondance plus facile ou plus difficile

Lorsque les utilisateurs créent et activent leurs stratégies DLP, ils rencontrent parfois les problèmes suivants :

  • Trop de contenu qui ne constitue pas des informations sensibles correspond aux règles. Autrement dit, le nombre de faux positifs est trop élevé.

  • Trop peu de contenu qui constitue des informations sensibles correspond aux règles. En d’autres termes, les mesures de protection ne sont pas appliquées aux informations sensibles.

Pour résoudre ces problèmes, vous pouvez optimiser vos règles en ajustant le nombre d’instances et la précision de correspondance pour que le contenu corresponde plus ou moins aux règles. Chaque type d’informations sensibles utilisé dans une règle a un nombre d’instances et une précision de correspondance.

Nombre d’instances

Le nombre d’instances indique simplement combien d’occurrences d’un type spécifique d’informations sensibles doivent être présentes pour que le contenu corresponde à la règle. Par exemple, le contenu correspond à la règle illustrée ci-dessous si les valeurs entre 1 et 9 sont uniques dans un pays donné. les numéros de passeport sont identifiés.

Notes

Le nombre d’instances inclut uniquement le nombre de correspondances Uniques avec des types d’informations confidentielles et des mots clés. Par exemple, si un courrier contient 10 occurrences du même numéro de carte de paiement, ces 10 occurrences comptent pour une seule instance d’un numéro de carte de paiement.

L’optimisation des règles à l’aide du nombre d’instances est simple :

  • Pour que la règle corresponde plus facilement, diminuez la valeur min et/ou augmentez la valeur max. Vous pouvez également donner à max une valeur quelconque en supprimant la valeur numérique.

  • Pour que la règle corresponde plus difficilement, augmentez la valeur min.

En règle générale, les actions moins restrictives, telles que l’envoi de notifications à l’utilisateur, s’utilisent dans une règle avec un nombre d’instances inférieur (par exemple, 1 à 9). Quant aux actions plus restrictives, telles que la limitation de l’accès au contenu sans autoriser les remplacements de l’utilisateur, elles s’utilisent dans une règle avec un nombre d’instances supérieur (par exemple, entre 10 et une valeur supérieure).

Nombre d’instances dans l’éditeur de règles.

Précision de correspondance

Comme décrit ci-dessus, un type d’informations sensibles est défini et détecté en utilisant une combinaison de différents types de critères. En règle générale, un type d’informations sensibles est défini par plusieurs de ces combinaisons, appelés modèles. Un modèle qui nécessite moins de critères a une précision de correspondance (ou niveau de confiance) inférieure, alors qu’un modèle qui nécessite plus de critères a une précision de correspondance (ou niveau de confiance) supérieure. Pour en savoir plus sur les modèles et les niveaux de confiance réels utilisés par chaque type d’informations sensibles, consultez Définitions d’entités des types d’informations sensibles.

Par exemple, le type d’informations sensibles Numéro de carte bancaire est défini par deux modèles :

  • Un modèle avec une confiance de 65 % qui nécessite :

    • Un nombre dans le format d’un numéro de carte bancaire.

    • Un nombre qui passe la somme de contrôle.

  • Un modèle avec une confiance de 85 % qui nécessite :

    • Un nombre dans le format d’un numéro de carte bancaire.

    • Un nombre qui passe la somme de contrôle.

    • Un mot clé ou une date d’expiration dans le bon format.

Vous pouvez utiliser ces niveaux de confiance (ou précision de correspondance) dans vos règles. En règle générale, les actions moins restrictives, telles que l’envoi de notifications à l’utilisateur, s’utilisent dans une règle avec une précision de correspondance inférieure. Quant aux actions plus restrictives, telles que la limitation de l’accès au contenu sans autoriser les remplacements de l’utilisateur, elles s’utilisent dans une règle avec une précision de correspondance supérieure.

Il est essentiel de comprendre que lorsqu’un type spécifique d’informations sensibles, comme un numéro de carte bancaire, est identifié dans le contenu, un seul niveau de confiance est renvoyé :

  • Si toutes les correspondances correspondent à un seul modèle, le niveau de confiance de ce modèle est renvoyé.

  • En cas de correspondances à plusieurs modèles (par exemple, des correspondances à deux niveaux de confiance différents), un niveau de confiance supérieur à celui de chacun des modèles est renvoyé. Il s’agit de la partie délicate. Par exemple, pour une carte bancaire, si les modèles à 65 % et 85 % correspondent, le niveau de confiance renvoyé pour ce type d’informations sensibles est supérieur à 90 %, car plus de critères signifie plus de confiance.

Par conséquent si vous voulez créer deux règles mutuellement exclusives pour les cartes bancaires, une pour la précision de correspondance de 65 % et une pour la précision de correspondance de 85 %, les plages de précision de correspondance se présenteraient comme suit. La première règle ne prend que les correspondances au modèle à 65 %. La deuxième règle prend les correspondances avec au moins une correspondance à 85 % et peut éventuellement avoir d’autres correspondances de confiance inférieure.

Deux règles avec des plages différentes pour la précision des correspondances.

Pour ces raisons, les conseils pour la création de règles avec des précisions de correspondance différentes sont les suivants :

  • En général, le niveau de confiance le plus faible utilise la même valeur pour min et max (pas un intervalle).

  • Le niveau de confiance le plus élevé est généralement un intervalle commençant juste au-dessus du niveau de confiance inférieur et allant jusqu’à 100.

  • Tous les niveaux de confiance intermédiaires commencent généralement juste au-dessus du niveau de confiance inférieur pour finir juste en dessous du niveau de confiance supérieur.

Utilisation d’une étiquette de rétention comme condition dans une stratégie DLP

Lorsque vous utilisez une étiquette de rétention précédemment créée et publiée comme condition dans une stratégie DLP, vous devez tenir compte des éléments suivants :

  • L’étiquette de rétention doit être déjà créée et publiée avant de tenter de l’utiliser en tant que condition dans une stratégie DLP.

  • La synchronisation des étiquettes de rétention publiées peut prendre de un à sept jours. Pour plus d’informations, voir Lorsque les étiquettes de rétention sont disponibles à l’application pour les étiquettes de rétention publiées dans une stratégie de rétention, et Temps nécessaire pour la prise d’effet des étiquettes de rétention pour les étiquettes de rétention publiées automatiquement.

  • L’utilisation d’une étiquette de rétention dans une stratégie est prise en charge uniquement pour des éléments SharePoint et OneDrive.

    Étiquettes en tant que condition.

    Vous souhaitez peut-être utiliser une étiquette de rétention dans une stratégie DLP si vous avez des éléments sous rétention et suppression auxquels vous voulez appliquer des contrôles supplémentaires, par exemple :

    • Vous avez publié une étiquette de rétention nommée année fiscale 2018 qui, lorsqu’elle est appliquée à des documents fiscaux de 2018 stockés dans SharePoint, les conserve pendant 10 ans, puis les supprime. Vous ne souhaitez pas non plus que ces éléments soient partagés à l’extérieur de votre organisation, ce que vous pouvez faire grâce à une stratégie DLP.

    Important

    L’erreur ci-après s’affiche si vous spécifiez une étiquette de rétention comme condition dans une stratégie DLP et que vous incluez également Exchange et/ou Teams comme emplacement : « La protection du contenu étiqueté dans les messages électroniques et d’équipe n’est pas prise en charge. Supprimez l’étiquette ci-dessous ou désactivez Exchange ou Teams en tant qu’emplacement. » Cela est dû au fait qu’Exchange transport n’évalue pas les métadonnées d’étiquette lors de l’envoi et de la distribution des messages.

Utilisation d’une étiquette de confidentialité comme condition dans une stratégie DLP

En savoir plus sur l’utilisation de l’étiquette de confidentialité comme condition dans les stratégies DLP.

Relations entre cette fonctionnalité et d’autres fonctionnalités

Plusieurs fonctionnalités peuvent être appliquées à du contenu comportant des informations sensibles :

  • Une étiquette de rétention et une stratégie de rétention peuvent toutes deux permettre d’appliquer des mesures de rétention à ce type de contenu.

  • Et une stratégie DLP peut permettre d’y appliquer des mesures de protection. Avant l’application de ces mesures, une stratégie DLP peut exiger que d’autres conditions soient remplies en plus du contenu comportant une étiquette.

Diagramme des fonctionnalités qui peuvent s’appliquer aux informations sensibles.

Notez qu’une stratégie DLP offre des capacités de détection plus approfondies qu’une étiquette ou qu’une stratégie de rétention appliquées à des informations sensibles. Une stratégie DLP peut déclencher l’application de mesures de protection sur du contenu comportant des informations sensibles, et si les informations sensibles sont supprimées du contenu, ces mesures de protection sont annulées lors de l’analyse de contenu suivante. Mais si une stratégie de rétention ou une étiquette est appliquée au contenu comportant des informations sensibles, il s’agit d’une mesure unique qui ne peut pas être annulée, même si les informations sensibles sont supprimées.

L’utilisation d’une étiquette comme condition dans une stratégie DLP vous permet d’appliquer des mesures de rétention et de protection au contenu associé à cette étiquette. Un contenu comportant une étiquette et un contenu comportant des informations sensibles sont semblables : l’étiquette et les informations sensibles sont des propriétés utilisées pour classifier le contenu dans le but d’y appliquer des mesures.

Diagramme de la stratégie DLP utilisant l’étiquette comme condition.

Paramètres simples et paramètres avancés

Lorsque vous créez une stratégie DLP, vous devez choisir entre les paramètres simples ou avancés :

  • Les paramètres simples permettent de créer le type le plus courant de stratégie DLP sans utiliser l’éditeur de règles pour créer ou modifier des règles.

  • Les paramètres avancés utilisent l’éditeur de règles pour vous donner un contrôle total sur chaque paramètre de votre stratégie DLP.

Soyez rassuré, en réalité, les paramètres simples et avancés fonctionnent de la même manière, en appliquant des règles composées de conditions et d’actions, uniquement avec les paramètres simples, vous ne pouvez pas afficher l’éditeur de règle. C’est un moyen rapide de créer une stratégie DLP.

Paramètres simples

Le scénario de protection contre la perte de données (DLP) de loin le plus courant consiste à créer une stratégie pour empêcher le partage de contenu comportant des informations sensibles avec des personnes extérieures à votre organisation, et à exécuter des actions de correction automatiques telles que la restriction de l’accès au contenu, l’envoi de notifications aux utilisateurs finaux ou à l’administrateur, et l’audit de l’événement en vue d’un examen ultérieur. Les stratégies de protection contre la perte de données (DLP) permettent d’empêcher la divulgation accidentelle d’informations sensibles.

Pour atteindre cet objectif plus facilement, vous pouvez choisir d’utiliser les paramètres simples lorsque vous créez une stratégie DLP. Ces paramètres proposent toutes les options nécessaires pour implémenter les stratégies DLP les plus courantes, sans avoir à ouvrir l’éditeur de règles.

Options DLP pour les paramètres simples et avancés.

Paramètres avancés

Si vous devez créer des stratégies DLP plus personnalisées, vous pouvez choisir d’utiliser les paramètres avancés.

Les paramètres avancés présentent l’éditeur de règles, où vous contrôlez entièrement chaque option, y compris le nombre d’instances et la précision des correspondances (niveau de confiance) pour chaque règle.

Pour accéder rapidement à une section, cliquez sur un élément de la navigation supérieure de l’éditeur de règles.

Menu de navigation supérieur de l’éditeur de règles DLP.

Modèles de stratégie de protection contre la perte de données (DLP)

La première étape de la création d’une stratégie DLP consiste à choisir les informations à protéger. En utilisant un modèle DLP, vous n’avez alors pas à faire l’effort de créer intégralement un ensemble de règles et d’identifier les types d’informations à inclure par défaut. Vous pouvez ensuite ajouter des éléments à ces exigences ou modifier ces dernières pour ajuster la règle afin de répondre aux besoins spécifiques de votre organisation.

Un modèle de stratégie DLP préconfiguré peut vous aider à détecter des types spécifiques d’informations sensibles, comme des données HIPAA, des données PCI-DSS, des données Gramm-Leach-Bliley Act ou même des informations d’identification personnelle propres aux paramètres régionaux. Pour faciliter la recherche et la protection des types d’informations sensibles courants, les modèles de stratégie inclus dans Microsoft 365 contiennent déjà les types d’informations sensibles les plus courants, nécessaires pour commencer.

Liste des modèles pour les stratégies de protection contre la perte de données, avec l’accent mis sur le modèle pour le Patriot Act des États-Unis.

Votre organisation peut également avoir ses exigences propres, auquel cas vous pouvez créer entièrement une stratégie DLP en choisissant l’option Stratégie personnalisée. Une stratégie personnalisée est vide et ne contient aucune règle prédéfinie.

Rapports DLP

Après avoir créé et activé vos stratégies DLP, vous voudrez vérifier qu’elles fonctionnent comme prévu et vous aident à assurer la conformité. Avec les rapports DLP, vous pouvez rapidement consulter le nombre de correspondances de stratégie DLP et de règle dans le temps, ainsi que le nombre de faux positifs et de remplacements. Pour chaque rapport, vous pouvez filtrer ces correspondances par emplacement, par période et même affiner le filtrage sur une stratégie, règle ou action spécifique.

Grâce aux rapports DLP, vous pouvez obtenir une vue d’ensemble des activités et :

  • Vous concentrer sur des périodes de temps spécifiques et comprendre les raisons des pics et des tendances.

  • Découvrir les processus d’entreprise qui enfreignent les stratégies de conformité de votre organisation.

  • Comprendre l’incidence des stratégies DLP sur l’entreprise.

En outre, vous pouvez utiliser les rapports DLP pour affiner vos stratégies DLP lorsque vous les exécutez.

Tableau de bord rapports dans le Centre de sécurité et de conformité.

Fonctionnement des stratégies DLP

DLP détecte les informations sensibles à l’aide d’une analyse approfondie du contenu (et pas d’une simple analyse de texte). Cette analyse approfondie utilise les correspondances de mots clés, les correspondances de dictionnaire, l’évaluation des expressions régulières, les fonctions internes et d’autres méthodes pour détecter le contenu qui correspond à vos stratégies DLP. Seul un petit pourcentage de vos données peut être considéré comme sensible. Une stratégie DLP peut identifier, surveiller et protéger automatiquement ces données uniquement, sans gêner ou affecter les personnes travaillant avec le reste de votre contenu.

Synchronisation des stratégies

Après avoir créé une stratégie DLP dans le portail de conformité Microsoft Purview, elle est stockée dans un magasin de stratégies central, puis synchronisée avec les différentes sources de contenu, notamment :

  • Depuis Exchange Online vers Outlook sur le web et Outlook.

  • Sites OneDrive Entreprise.

  • Sites SharePoint Online.

  • Programmes de bureau Office (Excel, PowerPoint et Word).

  • Canaux et messages de conversations Microsoft Teams.

Une fois la stratégie synchronisée avec les emplacements adéquats, elle commence à évaluer le contenu et à mettre en place des actions.

Évaluation des stratégies dans les sites OneDrive Entreprise et SharePoint Online

Dans l’ensemble de vos sites SharePoint Online et OneDrive Entreprise, les documents changent constamment : ils sont continuellement créés, modifiés, partagés, etc. Cela signifie que les documents peuvent à tout moment soit être en conflit, soit être conformes à la stratégie DLP. Par exemple, une personne peut télécharger un document ne contenant aucune information sensible sur le site de son équipe mais une autre personne peut ensuite modifier le même document et y ajouter des informations sensibles.

Pour cette raison, les stratégies DLP vérifient les correspondances de stratégie fréquemment dans les documents en arrière-plan. Vous pouvez considérer ceci comme une évaluation asynchrone des stratégies.

Mode de fonctionnement

Au fur et à mesure de l’ajout ou de la modification de documents dans ses sites, le moteur de recherche analyse le contenu de sorte que vous puissiez le rechercher ultérieurement. Pendant ce temps, le contenu est également analysé pour vérifier s’il présente des informations sensibles et s’il est partagé. Les informations sensibles trouvées sont stockées en toute sécurité dans l’index de recherche, afin que seule l’équipe de conformité puisse y accéder, et pas les utilisateurs standard. Chaque stratégie DLP que vous avez activée s’exécute en arrière-plan (de façon asynchrone), en vérifiant fréquemment le contenu qui correspond à une stratégie et en appliquant des actions pour le protéger de toute divulgation accidentelle.

Diagramme montrant comment la stratégie DLP évalue le contenu de façon asynchrone.

Enfin, les documents peuvent entrer en conflit avec une stratégie DLP, mais ils peuvent également y devenir conformes. Par exemple, si une personne ajoute des numéros de carte de crédit à un document, une stratégie DLP peut alors bloquer l’accès au document automatiquement. Toutefois, si cette personne supprime ensuite les informations sensibles, l’action (dans ce cas, le blocage) est annulée automatiquement à la prochaine évaluation du document par rapport à la stratégie.

La protection contre la perte de données évalue le contenu pouvant être indexé. Pour plus d’informations sur les types de fichiers analysés par défaut, consultez la rubrique Extensions de nom de fichier et types de fichier analysés par défaut dans SharePoint Server.

Notes

Afin d’empêcher le partage de documents avant que les stratégies DLP aient eu la possibilité de les analyser, le partage de nouveaux fichiers dans SharePoint peut être bloqué jusqu’à ce que son contenu ait été indexé. Pour plus d’informations, consultez Marquer les nouveaux fichiers comme sensibles par défaut.

Évaluation des stratégies dans Exchange Online, Outlook et Outlook sur le web

Lorsque vous créez une stratégie DLP qui inclut Exchange Online en tant qu’emplacement, la stratégie est synchronisée entre le portail de conformité Microsoft Purview et Exchange Online, puis de Exchange Online à Outlook sur le web et Outlook.

Lors de la rédaction d’un message dans Outlook, l’utilisateur peut voir les conseils de stratégie, puisque le contenu en cours de création est évalué par rapport aux stratégies DLP. Une fois qu’un message est envoyé, il est évalué par rapport aux stratégies DLP dans le cadre normal du flux de messagerie, ainsi que les règles de flux de messagerie Exchange (également appelées règles de transport) et les stratégies DLP créées dans le centre d’administration Exchange. Les stratégies DLP analysent le message ainsi que les éventuelles pièces jointes.

Évaluation des stratégies dans les programmes de bureau Office

Excel, PowerPoint et Word incluent la même capacité à identifier les informations sensibles et à appliquer les stratégies DLP que SharePoint Online et OneDrive Entreprise. Ces programmes Office synchronisent leurs stratégies DLP directement à partir du magasin central de stratégies, puis évaluent en permanence le contenu par rapport aux stratégies DLP lorsque les utilisateurs travaillent avec des documents ouverts à partir d’un site inclus dans une stratégie DLP.

L’évaluation des stratégies DLP dans Office est conçue pour ne pas avoir d’incidence sur les performances des programmes ou la productivité des personnes qui travaillent sur le contenu. Si elles travaillent sur un document volumineux ou que l’ordinateur de l’utilisateur est occupé, l’affichage d’un conseil de stratégie peut prendre quelques secondes.

Évaluation des stratégies dans Microsoft Teams

Lorsque vous créez une stratégie DLP qui inclut Microsoft Teams comme emplacement, la stratégie est synchronisée entre le portail de conformité Microsoft Purview et les comptes d’utilisateur, les canaux et les messages de conversation Microsoft Teams. Selon la configuration des stratégies DLP, lorsque quelqu’un tente de partager des informations sensibles dans une conversation ou un message de canal Microsoft Teams, le message peut être bloqué ou révoqué. Les documents qui contiennent des informations sensibles et qui sont partagés avec des invités (utilisateurs externes) ne s’ouvrent pas pour ces utilisateurs. Consultez l’article sur la protection contre la perte de données et Microsoft Teams pour obtenir plus d’informations à ce sujet.

Autorisations

Par défaut, les administrateurs généraux, les administrateurs de sécurité et les administrateurs de conformité ont accès à la création et à l’application d’une stratégie DLP. Les autres membres de votre équipe de conformité qui créeront des stratégies DLP ont besoin d’autorisations sur le portail de conformité Microsoft Purview. Par défaut, votre administrateur de locataire a accès à cet emplacement et peut accorder aux agents de conformité et à d’autres personnes l’accès au portail de conformité Microsoft Purview, sans leur accorder toutes les autorisations d’un administrateur de locataire. Pour ce faire, nous vous recommandons d’effectuer les opérations suivantes :

  1. Créer un groupe dans Microsoft 365 et d’y ajouter des responsables de la mise en conformité.

  2. Créez un groupe de rôles sur la page Autorisations du portail de conformité Microsoft Purview.

  3. Lors de la création du groupe de rôles, utilisez la section Choisir des rôles pour ajouter le rôle suivant au groupe de rôles : Gestion de la conformité DLP.

  4. Utilisez la section Choisir des membres pour ajouter le groupe Microsoft 365 que vous avez créé précédemment au groupe de rôles.

Vous pouvez également créer un groupe de rôles avec des privilèges en affichage seul vers les stratégies DLP et les rapports DLP en accordant au rôle Gestion de la conformité DLP en affichage seul.

Pour plus d’informations, voir Give users access to the Office 365 Compliance Center.

Ces autorisations sont requises uniquement pour créer et appliquer une stratégie DLP. L’application d’une stratégie ne nécessite pas d’accès au contenu.

Trouver les applets de commande DLP

Pour utiliser la plupart des applets de commande pour le portail de conformité Microsoft Purview, vous devez :

  1. Se connecter à Security & Compliance PowerShell.

  2. Utiliser l’une de ces applets de commande de stratégie et de conformité DLP.

Toutefois, les rapports DLP doivent extraire des données de Microsoft 365, y compris Exchange Online. Pour cette raison, les applets de commande des rapports DLP sont disponibles dans Exchange Online PowerShell, et non dans portail de conformité Microsoft Purview PowerShell. Par conséquent, pour utiliser les applets de commande pour les rapports DLP, vous devez :

  1. Connectez-vous à Exchange Online PowerShell.

  2. Utilisez l’une de ces applets de commande pour les rapports DLP :

Plus d’informations