Vue d’ensemble de la protection contre la perte de donnéesOverview of data loss prevention

Notes

Des fonctionnalités de protection contre la perte de données ont récemment été ajoutées aux messages de discussion et de canal Microsoft Teams pour les utilisateurs titulaires d’une licence de Conformité avancée Office 365, disponible sous la forme d’une option autonome et incluse dans Office 365 E5 et Microsoft 365 E5 Conformité.Data loss prevention capabilities were recently added to Microsoft Teams chat and channel messages for users licensed for Office 365 Advanced Compliance, which is available as a standalone option and is included in Office 365 E5 and Microsoft 365 E5 Compliance. Pour en savoir plus sur les conditions d’octroi de licences, consultez Conseils sur la gestion des licences des services de niveau client de Microsoft 365.To learn more about licensing requirements, see Microsoft 365 Tenant-Level Services Licensing Guidance.

Pour respecter les normes de l'entreprise et les réglementations du secteur, les organisations doivent protéger les informations sensibles et empêcher leur divulgation accidentelle.To comply with business standards and industry regulations, organizations must protect sensitive information and prevent its inadvertent disclosure. Les informations sensibles peuvent être des données financières ou des informations d’identification personnelle (PII) telles que les numéros de carte de crédit, les numéros de sécurité sociale ou les dossiers médicaux.Sensitive information can include financial data or personally identifiable information (PII) such as credit card numbers, social security numbers, or health records. Les stratégies de protection contre la perte de données (DLP) disponibles dans le Centre de sécurité et conformité Office 365 vous permettent d’identifier, de surveiller et de protéger automatiquement des informations sensibles dans Office 365.With a data loss prevention (DLP) policy in the Office 365 Security & Compliance Center, you can identify, monitor, and automatically protect sensitive information across Office 365.

Avec une stratégie DLP, vous pouvez :With a DLP policy, you can:

  • Identifier les informations sensibles à de nombreux emplacements, comme Exchange Online, SharePoint Online, OneDrive Entreprise et Microsoft Teams.Identify sensitive information across many locations, such as Exchange Online, SharePoint Online, OneDrive for Business, and Microsoft Teams.

    Par exemple, vous pouvez identifier un document contenant un numéro de carte de crédit stocké sur un site OneDrive Entreprise ou vous pouvez surveiller uniquement les sites OneDrive de personnes spécifiques.For example, you can identify any document containing a credit card number that's stored in any OneDrive for Business site, or you can monitor just the OneDrive sites of specific people.

  • Empêcher le partage accidentel d’informations sensibles.Prevent the accidental sharing of sensitive information.

    Par exemple, vous pouvez identifier un document ou un message électronique contenant un dossier médical partagé avec des personnes extérieures à votre organisation, puis bloquer automatiquement l’accès à ce document ou bloquer l’envoi du message.For example, you can identify any document or email containing a health record that's shared with people outside your organization, and then automatically block access to that document or block the email from being sent.

  • Surveiller et protéger les informations sensibles dans les versions de bureau d’Excel, de PowerPoint et de Word.Monitor and protect sensitive information in the desktop versions of Excel, PowerPoint, and Word.

    Comme dans Exchange Online, SharePoint Online et OneDrive Entreprise, ces programmes de bureau Office incluent les mêmes fonctionnalités pour identifier les informations sensibles et appliquer les stratégies DLP.Just like in Exchange Online, SharePoint Online, and OneDrive for Business, these Office desktop programs include the same capabilities to identify sensitive information and apply DLP policies. DLP assure une surveillance continue en cas de partage de contenu dans ces programmes Office.DLP provides continuous monitoring when people share content in these Office programs.

  • Aider les utilisateurs à découvrir comment assurer la conformité sans interrompre leur flux de travail.Help users learn how to stay compliant without interrupting their workflow.

    Vous pouvez informer vos utilisateurs sur les stratégies DLP et les aider à maintenir la conformité sans bloquer leur travail.You can educate your users about DLP policies and help them remain compliant without blocking their work. Par exemple, si un utilisateur tente de partager un document contenant des informations sensibles, une stratégie DLP peut lui envoyer une notification par courrier électronique et afficher un conseil de stratégie dans le contexte de la bibliothèque de documents, qui lui permet de remplacer la stratégie s’il a une raison professionnelle de le faire.For example, if a user tries to share a document containing sensitive information, a DLP policy can both send them an email notification and show them a policy tip in the context of the document library that allows them to override the policy if they have a business justification. Les mêmes conseils de stratégie s’affichent également dans Outlook sur le web, Outlook, Excel, PowerPoint et Word.The same policy tips also appear in Outlook on the web, Outlook, Excel, PowerPoint, and Word.

  • Consulter les rapports DLP présentant le contenu qui correspond aux stratégies DLP de votre organisation.View DLP reports showing content that matches your organization's DLP policies.

    Pour évaluer la manière dont votre organisation se conforme à une stratégie DLP, vous pouvez voir le nombre de correspondances obtenues par chaque stratégie et chaque règle.To assess how your organization is complying with a DLP policy, you can see how many matches each policy and rule has over time. Si une stratégie DLP autorise les utilisateurs à remplacer un conseil de stratégie et signaler un faux positif, vous pouvez également afficher ce que les utilisateurs ont signalé.If a DLP policy allows users to override a policy tip and report a false positive, you can also view what users have reported.

Vous créez et gérez des stratégies DLP sur la page Protection contre la perte de données dans le Centre de conformité et sécurité d’Office 365.You create and manage DLP policies on the Data loss prevention page in the Office 365 Security & Compliance Center.

Page Protection contre la perte de données dans le Centre de conformité et sécurité Office 365

Contenu d’une stratégie DLPWhat a DLP policy contains

Une stratégie DLP contient quelques éléments de base :A DLP policy contains a few basic things:

  • Emplacements de protection du contenu : emplacements comme Exchange Online, SharePoint Online et sites OneDrive Entreprise, ainsi que conversations et messages du canal Microsoft Teams.Where to protect the content: locations such as Exchange Online, SharePoint Online, and OneDrive for Business sites, as well as Microsoft Teams chat and channel messages.

  • Circonstances de protection du contenu en appliquant des règles comprenant les éléments suivants :When and how to protect the content by enforcing rules comprised of:

    • Conditions auxquelles le contenu doit correspondre avant que la règle ne soit appliquée.Conditions the content must match before the rule is enforced. Par exemple, une règle doit être configurée pour rechercher uniquement du contenu incluant des numéros de sécurité sociale partagés avec des personnes extérieures à votre organisation.For example, a rule might be configured to look only for content containing Social Security numbers that's been shared with people outside your organization.

    • Actions que la règle doit effectuer automatiquement lorsque du contenu correspondant aux conditions est trouvé.Actions that you want the rule to take automatically when content matching the conditions is found. Par exemple, une règle peut être configurée pour bloquer l’accès à un document et envoyer à l’utilisateur et au responsable de la conformité une notification par courrier électronique.For example, a rule might be configured to block access to a document and send both the user and compliance officer an email notification.

Vous pouvez utiliser une règle pour répondre à une exigence de protection particulière, puis utiliser une stratégie DLP pour regrouper des spécifications requises communes en matière de protection, par exemple l’ensemble des règles requises pour se conformer à une réglementation spécifique.You can use a rule to meet a specific protection requirement, and then use a DLP policy to group together common protection requirements, such as all of the rules needed to comply with a specific regulation.

Par exemple, vous pouvez avoir une stratégie DLP qui vous aide à détecter la présence d’informations visées par la loi américaine sur l’assurance maladie (Health Insurance Portability Accountability Act, ou HIPAA).For example, you might have a DLP policy that helps you detect the presence of information subject to the Health Insurance Portability and Accountability Act (HIPAA). Cette stratégie DLP peut contribuer à protéger les données HIPAA (quoi) sur tous les sites SharePoint Online et tous les sites OneDrive Entreprise (où) en recherchant les documents contenant ces informations sensibles partagées avec des personnes extérieures à votre organisation (conditions), et en bloquant l’accès au document et en envoyant une notification (actions).This DLP policy could help protect HIPAA data (the what) across all SharePoint Online sites and all OneDrive for Business sites (the where) by finding any document containing this sensitive information that's shared with people outside your organization (the conditions) and then blocking access to the document and sending a notification (the actions). Ces conditions sont stockées en tant que règles individuelles et regroupées sous la forme d’une stratégie DLP pour simplifier la gestion et la création de rapports.These requirements are stored as individual rules and grouped together as a DLP policy to simplify management and reporting.

Diagramme montrant que la stratégie DLP contient les règles et les emplacements

EmplacementsLocations

Une stratégie DLP peut rechercher et protéger les informations sensibles dans Microsoft 365, que ces informations se trouvent sur Exchange Online, SharePoint Online, OneDrive Entreprise ou Microsoft Teams.A DLP policy can find and protect sensitive information across Microsoft 365, whether that information is located in Exchange Online, SharePoint Online, OneDrive for Business, or Microsoft Teams. Vous pouvez choisir de protéger le contenu dans le courrier Exchange, les conversations et les messages de canal de Microsoft Teams, ainsi que toutes les bibliothèques SharePoint ou OneDrive, ou de sélectionner des emplacements spécifiques pour une stratégie.You can choose to protect content in Exchange email, Microsoft Teams chats and channel messages, and all SharePoint or OneDrive libraries, or select specific locations for a policy.

Options pour les emplacements dans lesquels une stratégie DLP peut être appliquée

Si vous décidez d’inclure des groupes de distribution particuliers dans Exchange, la stratégie DLP est uniquement étendue aux membres de ceux-ci.If you choose to include specific distribution groups in Exchange, the DLP policy will be scoped only to the members of that group. De manière identique, l’exclusion d’un groupe de distribution exclut tous ses membres de l’évaluation de la stratégie.Similarly excluding a distribution group will exclude all the members of that distribution group from policy evaluation. Vous pouvez choisir de limiter une stratégie aux membres des listes de distribution, aux groupes de distribution dynamiques et aux groupes de sécurité.You can choose to scope a policy to the members of distribution lists, dynamic distribution groups, and security groups. Une stratégie DLP ne peut pas contenir plus de 50 inclusions et exclusions de ce genre.A DLP policy can contain no more than 50 such inclusions and exclusions.

Si vous optez pour l’inclusion ou l’exclusion de sites SharePoint ou de comptes OneDrive spécifiques, notez qu’une stratégie DLP ne peut pas contenir plus de 100 inclusions et exclusions.If you choose to include or exclude specific SharePoint sites or OneDrive accounts, a DLP policy can contain no more than 100 such inclusions and exclusions. Vous pouvez néanmoins contourner cette limite en appliquant une stratégie mise en place à l’échelle de l’organisation ou une stratégie qui s’applique aux emplacements entiers.Although this limit exists, you can exceed this limit by applying either an org-wide policy or a policy that applies to entire locations.

RèglesRules

Notes

Le comportement par défaut d’une stratégie DLP, lorsque aucune alerte n’est configurée, n’est pas une alerte, ni un déclenchement.The default behavior of a DLP policy, when there is no alert configured, is not to alert or trigger. Cela s’applique uniquement aux types d’informations par défaut.This applies only to default information types. Pour les types d’informations personnalisés, le système émet une alerte même si aucune action n’est définie dans la stratégie.For custom information types, the system will alert even if there is no action defined in the policy.

Les règles appliquent vos exigences professionnelles au contenu de votre organisation.Rules are what enforce your business requirements on your organization's content. Une stratégie contient une ou plusieurs règles et chaque règle se compose de conditions et d’actions.A policy contains one or more rules, and each rule consists of conditions and actions. Pour chaque règle, lorsque les conditions sont remplies, les actions sont exécutées automatiquement.For each rule, when the conditions are met, the actions are taken automatically. Les règles sont exécutées de façon séquentielle, en commençant par la règle de priorité la plus élevée dans chaque stratégie.Rules are executed sequentially, starting with the highest-priority rule in each policy.

Une règle fournit également des options pour informer les utilisateurs (avec des conseils de stratégie et des notifications par courrier électronique) et les administrateurs (avec des rapports d’incident de courrier) que le contenu satisfait à la règle.A rule also provides options to notify users (with policy tips and email notifications) and admins (with email incident reports) that content has matched the rule.

Les différents composants d’une règle sont décrits ci-dessous.Here are the components of a rule, each explained below.

Sections de l’éditeur de règles DLP

ConditionsConditions

Les conditions sont importantes car elles déterminent les types d’informations que vous recherchez, et le moment auquel effectuer une action.Conditions are important because they determine what types of information you're looking for, and when to take an action. Par exemple, vous pouvez choisir d’ignorer les documents contenant des numéros de passeport, sauf si le document contient plus de 10 numéros et est partagé avec des personnes extérieures à votre organisation.For example, you might choose to ignore content containing passport numbers unless the content contains more than 10 such numbers and is shared with people outside your organization.

Les conditions concernent le contenu, par exemple les types d’informations sensibles que vous recherchez et aussi le contexte, par exemple les personnes avec lesquelles le document est partagé.Conditions focus on the content, such as what types of sensitive information you're looking for, and also on the context, such as who the document is shared with. Vous pouvez utiliser les conditions pour affecter différentes actions à différents niveaux de risque.You can use conditions to assign different actions to different risk levels. Par exemple, un contenu sensible partagé en interne peut être moins risqué et nécessiter moins d’actions qu’un contenu sensible partagé avec des personnes extérieures à l’organisation.For example, sensitive content shared internally might be lower risk and require fewer actions than sensitive content shared with people outside the organization.

Liste affichant les conditions DLP disponibles

Les conditions actuellement disponibles peuvent déterminer si :The conditions now available can determine if:

  • Le contenu comporte un type d’informations sensibles.Content contains a type of sensitive information.

  • Le contenu comporte une étiquette.Content contains a label. Pour plus d’informations, reportez-vous à la section ci-dessous, Utilisation d’une étiquette comme condition dans une stratégie DLP.For more information, see the below section Using a retention label as a condition in a DLP policy.

  • Le contenu est partagé avec des personnes extérieures ou internes à votre organisation.Content is shared with people outside or inside your organization.

    Notes

    Les utilisateurs qui ont des comptes non invités dans le client Active Directory ou Azure Active Directory d’une organisation hôte sont considérés comme des personnes internes à l’organisation.Users who have non-guest accounts in a host organization's Active Directory or Azure Active Directory tenant are considered as people inside the organization.

Types d’informations sensiblesTypes of sensitive information

Une stratégie DLP peut contribuer à protéger les informations sensibles, définies selon des types d’informations sensibles.A DLP policy can help protect sensitive information, which is defined as a sensitive information type. Microsoft 365 inclut les définitions de nombreux types d’informations sensibles courants dans diverses régions, prêtes pour utilisation, comme les numéros de carte de crédit, numéros de compte bancaire, numéros de carte d’identité et numéros de passeport.Microsoft 365 includes definitions for many common sensitive information types across many different regions that are ready for you to use, such as a credit card number, bank account numbers, national ID numbers, and passport numbers.

Liste des types d’informations sensibles disponibles

Lorsqu’une stratégie DLP recherche un type d’informations sensibles tel qu’un numéro de carte de crédit, il ne recherche pas simplement un nombre à 16 chiffres.When a DLP policy looks for a sensitive information type such as a credit card number, it doesn't simply look for a 16-digit number. Chaque type d’information sensible est défini et détecté en utilisant une combinaison de :Each sensitive information type is defined and detected by using a combination of:

  • Mots clés.Keywords.

  • Fonctions internes pour valider les sommes de contrôle ou la composition.Internal functions to validate checksums or composition.

  • Évaluation des expressions régulières pour trouver des correspondances au modèle.Evaluation of regular expressions to find pattern matches.

  • Autres analyses de contenu.Other content examination.

La détection DLP peut ainsi atteindre un haut niveau de précision tout en réduisant le nombre de faux positifs susceptibles d’interrompre le travail.This helps DLP detection achieve a high degree of accuracy while reducing the number of false positives that can interrupt peoples' work.

ActionsActions

Lorsque le contenu remplit une condition stipulée dans une règle, vous pouvez y appliquer des mesures de protection automatiques.When content matches a condition in a rule, you can apply actions to automatically protect the content.

Liste des actions DLP disponibles

Avec les actions désormais disponibles, vous pouvez :With the actions now available, you can:

  • Restreindre l’accès au contenu Selon vos besoins, vous pouvez restreindre l’accès au contenu de trois façons :Restrict access to the content Depending on your need, you can restrict access to content in three ways:

    1. Restreindre l’accès au contenu pour tout le monde.Restrict access to content for everyone.
    2. Restreindre l’accès au contenu pour les personnes extérieures à l’organisation.Restrict access to content for people outside the organization.
    3. Restreindre l’accès à « toute personne disposant du lien ».Restrict access to "Anyone with the link."

    Pour le contenu d’un site, cela signifie que les autorisations pour le document sont limitées pour tout le monde, sauf pour l’administrateur principal de la collection de sites, le propriétaire du document et la personne qui a modifié le document pour la dernière fois.For site content, this means that permissions for the document are restricted for everyone except the primary site collection administrator, document owner, and person who last modified the document. Ces personnes peuvent supprimer les informations sensibles du document ou prendre des mesures correctives.These people can remove the sensitive information from the document or take other remedial action. Lorsque le document est conforme, les autorisations d’origine sont automatiquement restaurées.When the document is in compliance, the original permissions are automatically restored. Lorsque l’accès à un document est bloqué, le document s’affiche avec une icône de conseil de stratégie spéciale dans la bibliothèque sur le site.When access to a document is blocked, the document appears with a special policy tip icon in the library on the site.

    Conseil de stratégie montrant que l’accès au document est bloqué

    Pour le contenu des messages électroniques, cette action bloque l’envoi du message.For email content, this action blocks the message from being sent. Selon la configuration de la règle DLP, l’expéditeur voit une notification d’échec de remise ou (si la règle utilise une notification) un conseil de stratégie et/ou une notification de messagerie.Depending on how the DLP rule is configured, the sender sees an NDR or (if the rule uses a notification) a policy tip and/or email notification.

    Avertissement indiquant que les destinataires non autorisés doivent être supprimés du message

Notifications de l’utilisateur et remplacements de l’utilisateurUser notifications and user overrides

Vous pouvez utiliser les notifications et les remplacements pour informer vos utilisateurs sur les stratégies DLP et les aider à respecter les règles de conformité sans bloquer leur travail.You can use notifications and overrides to educate your users about DLP policies and help them remain compliant without blocking their work. Par exemple, si un utilisateur tente de partager un document contenant des informations sensibles, une stratégie DLP peut lui envoyer une notification par courrier électronique et afficher un conseil de stratégie dans le contexte de la bibliothèque de documents, qui lui permet de remplacer la stratégie s’il a une raison professionnelle de le faire.For example, if a user tries to share a document containing sensitive information, a DLP policy can both send them an email notification and show them a policy tip in the context of the document library that allows them to override the policy if they have a business justification.

Sections Notifications de l’utilisateur et Remplacements de l’utilisateur de l’éditeur de règles DLP

Le message électronique permet de notifier les personnes qui ont envoyé, partagé ou modifié le contenu en dernier et, pour le contenu de site, l’administrateur de la collection de sites et le propriétaire du document.The email can notify the person who sent, shared, or last modified the content and, for site content, the primary site collection administrator and document owner. De plus, vous pouvez ajouter ou supprimer les destinataires de votre choix du courrier électronique de notification.In addition, you can add or remove whomever you choose from the email notification.

En plus d’envoyer une notification par courrier électronique, une notification utilisateur affiche un conseil de stratégie :In addition to sending an email notification, a user notification displays a policy tip:

  • Dans Outlook et Outlook sur le web.In Outlook and Outlook on the web.

  • Pour un document sur SharePoint Online ou un site OneDrive Entreprise.For the document on a SharePoint Online or OneDrive for Business site.

  • Dans Excel, PowerPoint et Word, lorsque le document est stocké sur un site inclus dans une stratégie DLP.In Excel, PowerPoint, and Word, when the document is stored on a site included in a DLP policy.

La notification par courrier électronique et le conseil de stratégie expliquent pourquoi un contenu est en conflit avec une stratégie DLP.The email notification and policy tip explain why content conflicts with a DLP policy. Si vous le choisissez, la notification par courrier électronique et le conseil de stratégie peuvent permettre aux utilisateurs de remplacer une règle en signalant un faux positif ou en fournissant une justification professionnelle.If you choose, the email notification and policy tip can allow users to override a rule by reporting a false positive or providing a business justification. Cela peut vous aider à informer les utilisateurs de vos stratégies DLP et à les appliquer sans interrompre le travail.This can help you educate users about your DLP policies and enforce them without preventing people from doing their work. Les informations sur les remplacements et les faux positifs sont également enregistrées pour la création de rapports (consultez la rubrique ci-dessous sur les rapports DLP) et incluses dans les rapports d’incident (section suivante), afin que le responsable de la mise en conformité puisse les consulter régulièrement.Information about overrides and false positives is also logged for reporting (see below about the DLP reports) and included in the incident reports (next section), so that the compliance officer can regularly review this information.

Dans un compte OneDrive Entreprise, un conseil de stratégie se présente comme ceci.Here's what a policy tip looks like in a OneDrive for Business account.

Conseil de stratégie pour un document dans un compte OneDrive

Pour en savoir plus sur les notifications utilisateur et les conseils de stratégie en matière de stratégie DLP, voir Utilisation des notifications et des conseils de stratégie.To learn more about user notifications and policy tips in DLP policies, see Use notifications and policy tips.

Rapports d’incidentIncident reports

Lorsqu’une règle est satisfaite, vous pouvez envoyer un rapport d’incident contenant les détails de l’événement à votre responsable de la mise en conformité (ou une autre personne de votre choix).When a rule is matched, you can send an incident report to your compliance officer (or any people you choose) with details of the event. Ce rapport comprend des informations sur l’élément qui a fait l’objet d’une correspondance, le contenu qui a satisfait à la règle ainsi que le nom de la personne qui a modifié le contenu en dernier.This report includes information about the item that was matched, the actual content that matched the rule, and the name of the person who last modified the content. Pour les messages électroniques, le rapport inclut également sous forme de pièce jointe le message d’origine qui correspond à une stratégie DLP.For email messages, the report also includes as an attachment the original message that matches a DLP policy.

Page de configuration de rapports d’incident

DLP n’analyse pas les messages électronique de la même façon que les éléments dans SharePoint Online ou OneDrive Entreprise.DLP scans email differently from items in SharePoint Online or OneDrive for Business. Dans SharePoint Online et OneDrive Entreprise, DLP analyse les éléments existants, ainsi que les nouveaux et génère un rapport d’incident chaque fois qu’une correspondance est trouvée.In SharePoint Online and OneDrive for Business, DLP scans existing items as well as new ones and generates an incident report whenever a match is found. Dans Exchange Online, DLP analyse uniquement les nouveaux messages électroniques et génère un rapport en cas de correspondance de stratégie.In Exchange Online, DLP only scans new email messages and generates a report if there is a policy match. DLP ne peut pas analyser ou mettre en correspondance les éléments de messagerie existants qui sont stockés dans une boîte aux lettres ou une archive.DLP does not scan or match previously existing email items that are stored in a mailbox or archive.

Opérateurs logiques et opérateurs de regroupementGrouping and logical operators

Votre stratégie de protection contre la perte de données a souvent une exigence simple, par exemple, celle d’identifier tout contenu avec un numéro de sécurité sociale.Often your DLP policy has a straightforward requirement, such as to identify all content that contains a U.S. Social Security Number. Toutefois, dans d’autres scénarios, votre stratégie de protection contre la perte de données devra identifier des données plus vagues.However, in other scenarios, your DLP policy might need to identify more loosely defined data.

Par exemple, pour identifier le contenu soumis à la réglementation des États-Unis sur le Health Insurance Act (HIPAA), vous devez rechercher :For example, to identify content subject to the U.S. Health Insurance Act (HIPAA), you need to look for:

  • Le contenu qui contient certains types d’informations sensibles, par exemple un numéro de sécurité sociale ou le numéro émis par l’agence du médicament (DEA).Content that contains specific types of sensitive information, such as a U.S. Social Security Number or Drug Enforcement Agency (DEA) Number.

    ANDAND

  • Le contenu plus difficile à identifier, comme les communications relatives aux soins du patient ou la description des services médicaux fournis.Content that's more difficult to identify, such as communications about a patient's care or descriptions of medical services provided. L’identification de ce contenu nécessite une correspondance de mots clés d’une très importante liste de mots clés, telle que la classification internationale des maladies (ICD-9-CM ou ICD-10-CM).Identifying this content requires matching keywords from very large keyword lists, such as the International Classification of Diseases (ICD-9-CM or ICD-10-CM).

Vous pouvez facilement identifier ces données vaguement définies à l’aide d’opérateurs logiques et d’opérateurs de regroupement (ET, OU).You can easily identify such loosely defined data by using grouping and logical operators (AND, OR). Lorsque vous créez une stratégie de protection contre la perte de données, vous pouvez :When you create a DLP policy, you can:

  • Regrouper les types d’informations sensiblesGroup sensitive information types.

  • Choisir l’opérateur logique dans les types d’informations sensibles au sein d’un groupe et entre les groupes eux-mêmes.Choose the logical operator between the sensitive information types within a group and between the groups themselves.

Choisir l’opérateur au sein d’un groupeChoosing the operator within a group

Dans un groupe, vous pouvez choisir si tout ou partie des conditions dans ce groupe doivent être satisfaites pour que le contenu corresponde à la règle.Within a group, you can choose whether any or all of the conditions in that group must be satisfied for the content to match the rule.

Groupes avec l’opérateur dans le groupe

Ajout d’un groupeAdding a group

Vous pouvez rapidement ajouter un groupe, qui peut avoir ses propres conditions et son propre opérateur au sein de ce groupe.You can quickly add a group, which can have its own conditions and operator within that group.

Bouton Ajouter un groupe

Choix de l’opérateur entre les groupesChoosing the operator between groups

Entre les groupes, vous pouvez choisir si les conditions dans un seul groupe ou tous les groupes doivent être satisfaites pour que le contenu corresponde à la règle.Between groups, you can choose whether the conditions in just one group or all of the groups must be satisfied for the content to match the rule.

Par exemple, le type d’informations sensibles intégrées pour la réglementation des États-Unis sur le HIPAA a une règle qui utilise un opérateur ET entre les groupes, de sorte qu’elle identifie le contenu qui contient :For example, the built-in U.S. HIPAA policy has a rule that uses an AND operator between the groups so that it identifies content that contains:

  • le groupe identificateurs de données personnelles (au moins un numéro de sécurité sociale OU numéro DEA)from the group PII Identifiers (at least one SSN number OR DEA number)

    ETAND

  • le groupe termes médicaux (au moins un mot-clé ICD-9-CM OU mot clé ICD-10-CM)from the group Medical Terms (at least one ICD-9-CM keyword OR ICD-10-CM keyword)

Groupes avec l’opérateur entre les groupes

La priorité de traitement des règlesThe priority by which rules are processed

Lorsque vous créez des règles dans une stratégie, chaque règle se voit attribuer une priorité en fonction de son ordre de création. Cela signifie que la première règle créée a priorité sur la deuxième et ainsi de suite.When you create rules in a policy, each rule is assigned a priority in the order in which it's created — meaning, the rule created first has first priority, the rule created second has second priority, and so on.

Règles dans l’ordre de priorité

Une fois que vous avez configuré plusieurs stratégies DLP, vous pouvez modifier la priorité d’une ou plusieurs stratégies.After you have set up more than one DLP policy, you can change the priority of one or more policies. Pour ce faire, sélectionnez une stratégie, sélectionnez Modifier la stratégie, puis utilisez la liste Priorité pour préciser sa priorité.To do that, select a policy, choose Edit policy, and use the Priority list to specify its priority.

Définition d’une priorité pour une stratégie

Lorsque des règles sont appliquées au contenu, elles sont traitées dans l’ordre de priorité.When content is evaluated against rules, the rules are processed in priority order. Si le contenu correspond à plusieurs règles, celles-ci sont traitées dans l’ordre de priorité et l’action la plus restrictive est appliquée.If content matches multiple rules, the rules are processed in priority order and the most restrictive action is enforced. Par exemple, si le contenu correspond à toutes les règles suivantes, la règle 3 est appliquée, car c’est celle qui a la priorité la plus élevée et est la plus restrictive :For example, if content matches all of the following rules, Rule 3 is enforced because it's the highest priority, most restrictive rule:

  • Règle 1 : informe seulement les utilisateursRule 1: only notifies users

  • Règle 2 : informe les utilisateurs, limite l’accès et permet le remplacement de l’utilisateurRule 2: notifies users, restricts access, and allows user overrides

  • Règle 3 : informe les utilisateurs, limite l’accès et ne permet pas le remplacement de l’utilisateurRule 3: notifies users, restricts access, and does not allow user overrides

  • Règle 4 : informe seulement les utilisateursRule 4: only notifies users

  • Règle 5 : limite l’accèsRule 5: restricts access

  • Règle 6 : informe les utilisateurs, limite l’accès et ne permet pas le remplacement de l’utilisateurRule 6: notifies users, restricts access, and does not allow user overrides

Dans cet exemple, notez que les correspondances de toutes les règles sont enregistrées dans les journaux d’audit et apparaissent dans les rapports DLP, même si seule la règle la plus restrictive est appliquée.In this example, note that matches for all of the rules are recorded in the audit logs and shown in the DLP reports, even though only the most restrictive rule is enforced.

En ce qui concerne les conseils de stratégie, veuillez noter les éléments suivants :Regarding policy tips, note that:

  • Uniquement le conseil de stratégie de la priorité la plus élevée, la règle la plus restrictive est affichée.Only the policy tip from the highest priority, most restrictive rule will be shown. Par exemple, un conseil de stratégie à partir d’une règle qui bloque l’accès au contenu est affiché sur un conseil de stratégie à partir d’une règle qui envoie simplement une notification.For example, a policy tip from a rule that blocks access to content will be shown over a policy tip from a rule that simply sends a notification. Cela évite que les personnes voient une cascade de conseils de stratégie.This prevents people from seeing a cascade of policy tips.

  • Si les conseils de stratégie de la règle la plus restrictive autorisent les utilisateurs à remplacer la règle, toute autre règle également mise en correspondance avec le contenu est aussi remplacée.If the policy tips in the most restrictive rule allow people to override the rule, then overriding this rule also overrides any other rules that the content matched.

Optimisation des règles pour une correspondance plus facile ou plus difficileTuning rules to make them easier or harder to match

Lorsque les utilisateurs créent et activent leurs stratégies DLP, ils rencontrent parfois les problèmes suivants :After people create and turn on their DLP policies, they sometimes run into these issues:

  • Trop de contenu qui ne constitue pas des informations sensibles correspond aux règles. Autrement dit, le nombre de faux positifs est trop élevé.Too much content that is not sensitive information matches the rules — in other words, too many false positives.

  • Trop peu de contenu qui constitue des informations sensibles correspond aux règles.Too little content that is sensitive information matches the rules. En d’autres termes, les mesures de protection ne sont pas appliquées aux informations sensibles.In other words, the protective actions aren't being enforced on the sensitive information.

Pour résoudre ces problèmes, vous pouvez optimiser vos règles en ajustant le nombre d’instances et la précision de correspondance pour que le contenu corresponde plus ou moins aux règles.To address these issues, you can tune your rules by adjusting the instance count and match accuracy to make it harder or easier for content to match the rules. Chaque type d’informations sensibles utilisé dans une règle a un nombre d’instances et une précision de correspondance.Each sensitive information type used in a rule has both an instance count and match accuracy.

Nombre d’instancesInstance count

Le nombre d’instances indique simplement combien d’occurrences d’un type spécifique d’informations sensibles doivent être présentes pour que le contenu corresponde à la règle.Instance count means simply how many occurrences of a specific type of sensitive information must be present for content to match the rule. Par exemple, le contenu correspond à la règle illustrée ci-dessous si les valeurs entre 1 et 9 sont uniques dans un pays donné.For example, content matches the rule shown below if between 1 and 9 unique U.S. or U.K. les numéros de passeport sont identifiés.passport numbers are identified.

Notez que le nombre d’instances inclut uniquement le nombre de correspondances uniques avec des mots clés et des types d’informations sensibles.Note that the instance count includes only unique matches for sensitive information types and keywords. Par exemple, si un courrier contient 10 occurrences du même numéro de carte de paiement, ces 10 occurrences comptent pour une seule instance d’un numéro de carte de paiement.For example, if an email contains 10 occurrences of the same credit card number, those 10 occurrences count as a single instance of a credit card number.

L’optimisation des règles à l’aide du nombre d’instances est simple :To use instance count to tune rules, the guidance is straightforward:

  • Pour que la règle corresponde plus facilement, diminuez la valeur min et/ou augmentez la valeur max.To make the rule easier to match, decrease the min count and/or increase the max count. Vous pouvez également donner à max une valeur quelconque en supprimant la valeur numérique.You can also set max to any by deleting the numerical value.

  • Pour que la règle corresponde plus difficilement, augmentez la valeur min.To make the rule harder to match, increase the min count.

En règle générale, les actions moins restrictives, telles que l’envoi de notifications à l’utilisateur, s’utilisent dans une règle avec un nombre d’instances inférieur (par exemple, 1 à 9).Typically, you use less restrictive actions, such as sending user notifications, in a rule with a lower instance count (for example, 1-9). Quant aux actions plus restrictives, telles que la limitation de l’accès au contenu sans autoriser les remplacements de l’utilisateur, elles s’utilisent dans une règle avec un nombre d’instances supérieur (par exemple, entre 10 et une valeur supérieure).And you use more restrictive actions, such as restricting access to content without allowing user overrides, in a rule with a higher instance count (for example, 10-any).

Nombre d’instances dans l’éditeur de règles

Précision de correspondanceMatch accuracy

Comme décrit ci-dessus, un type d’informations sensibles est défini et détecté en utilisant une combinaison de différents types de critères.As described above, a sensitive information type is defined and detected by using a combination of different types of evidence. En règle générale, un type d’informations sensibles est défini par plusieurs de ces combinaisons, appelés modèles.Commonly, a sensitive information type is defined by multiple such combinations, called patterns. Un modèle qui nécessite moins de critères a une précision de correspondance (ou niveau de confiance) inférieure, alors qu’un modèle qui nécessite plus de critères a une précision de correspondance (ou niveau de confiance) supérieure.A pattern that requires less evidence has a lower match accuracy (or confidence level), while a pattern that requires more evidence has a higher match accuracy (or confidence level). Pour en savoir plus sur les modèles et les niveaux de confiance réels utilisés par chaque type d’informations sensibles, consultez Définitions d’entités des types d’informations sensibles.To learn more about the actual patterns and confidence levels used by every sensitive information type, see Sensitive information type entity definitions.

Par exemple, le type d’informations sensibles Numéro de carte bancaire est défini par deux modèles :For example, the sensitive information type named Credit Card Number is defined by two patterns:

  • Un modèle avec une confiance de 65 % qui nécessite :A pattern with 65% confidence that requires:

    • Un nombre dans le format d’un numéro de carte bancaire.A number in the format of a credit card number.

    • Un nombre qui passe la somme de contrôle.A number that passes the checksum.

  • Un modèle avec une confiance de 85 % qui nécessite :A pattern with 85% confidence that requires:

    • Un nombre dans le format d’un numéro de carte bancaire.A number in the format of a credit card number.

    • Un nombre qui passe la somme de contrôle.A number that passes the checksum.

    • Un mot clé ou une date d’expiration dans le bon format.A keyword or an expiration date in the right format.

Vous pouvez utiliser ces niveaux de confiance (ou précision de correspondance) dans vos règles.You can use these confidence levels (or match accuracy) in your rules. En règle générale, les actions moins restrictives, telles que l’envoi de notifications à l’utilisateur, s’utilisent dans une règle avec une précision de correspondance inférieure.Typically, you use less restrictive actions, such as sending user notifications, in a rule with lower match accuracy. Quant aux actions plus restrictives, telles que la limitation de l’accès au contenu sans autoriser les remplacements de l’utilisateur, elles s’utilisent dans une règle avec une précision de correspondance supérieure.And you use more restrictive actions, such as restricting access to content without allowing user overrides, in a rule with higher match accuracy.

Il est essentiel de comprendre que lorsqu’un type spécifique d’informations sensibles, comme un numéro de carte bancaire, est identifié dans le contenu, un seul niveau de confiance est renvoyé :It's important to understand that when a specific type of sensitive information, such as a credit card number, is identified in content, only a single confidence level is returned:

  • Si toutes les correspondances correspondent à un seul modèle, le niveau de confiance de ce modèle est renvoyé.If all of the matches are for a single pattern, the confidence level for that pattern is returned.

  • En cas de correspondances à plusieurs modèles (par exemple, des correspondances à deux niveaux de confiance différents), un niveau de confiance supérieur à celui de chacun des modèles est renvoyé.If there are matches for more than one pattern (that is, there are matches with two different confidence levels), a confidence level higher than any of the single patterns alone is returned. Il s’agit de la partie délicate.This is the tricky part. Par exemple, pour une carte bancaire, si les modèles à 65 % et 85 % correspondent, le niveau de confiance renvoyé pour ce type d’informations sensibles est supérieur à 90 %, car plus de critères signifie plus de confiance.For example, for a credit card, if both the 65% and 85% patterns are matched, the confidence level returned for that sensitive information type is greater than 90% because more evidence means more confidence.

Par conséquent si vous voulez créer deux règles mutuellement exclusives pour les cartes bancaires, une pour la précision de correspondance de 65 % et une pour la précision de correspondance de 85 %, les plages de précision de correspondance se présenteraient comme suit.So if you want to create two mutually exclusive rules for credit cards, one for the 65% match accuracy and one for the 85% match accuracy, the ranges for match accuracy would look like this. La première règle ne prend que les correspondances au modèle à 65 %.The first rule picks up only matches of the 65% pattern. La deuxième règle prend les correspondances avec au moins une correspondance à 85 % et peut éventuellement avoir d’autres correspondances de confiance inférieure.The second rule picks up matches with at least one 85% match and can potentially have other lower-confidence matches.

Deux règles avec des plages différentes de précision de correspondance

Pour ces raisons, les conseils pour la création de règles avec des précisions de correspondance différentes sont les suivants :For these reasons, the guidance for creating rules with different match accuracies is:

  • En général, le niveau de confiance le plus faible utilise la même valeur pour min et max (pas un intervalle).The lowest confidence level typically uses the same value for min and max (not a range).

  • Le niveau de confiance le plus élevé est généralement un intervalle commençant juste au-dessus du niveau de confiance inférieur et allant jusqu’à 100.The highest confidence level is typically a range from just above the lower confidence level to 100.

  • Tous les niveaux de confiance intermédiaires commencent généralement juste au-dessus du niveau de confiance inférieur pour finir juste en dessous du niveau de confiance supérieur.Any in-between confidence levels typically range from just above the lower confidence level to just below the higher confidence level.

Utilisation d’une étiquette de rétention comme condition dans une stratégie DLPUsing a retention label as a condition in a DLP policy

Lorsque vous utilisez une étiquette de rétention précédemment créée et publiée comme condition dans une stratégie DLP, vous devez tenir compte des éléments suivants :When you use a previously created and published retention label as a condition in a DLP policy, there are some things to be aware of:

  • Vous devez avoir déjà créé, publié et appliqué l’étiquette de rétention avant de tenter de l’utiliser en tant que condition dans une stratégie DLP.You have to have previously created, published and applied the retention label before you attempt to use it as a condition in a DLP policy.

  • La synchronisation d’étiquettes de rétention peut prendre jusqu’à une journée et il faut compter jusqu’à sept jours pour qu’elles s’appliquent automatiquement après leur création et leur publication.Retention labels can take up to a day to sync and up to seven days to auto-apply after they have been created and published. Voir le Délai d’activation des étiquettes de rétention pour plus d’informations.See, How long it takes for retention labels to take effect for detailed information.

  • L’utilisation d’une étiquette de rétention dans une stratégie est prise en charge uniquement pour des éléments SharePoint Online et OneDrive Entreprise.Using a retention label in a policy is only supported for items in SharePoint Online and OneDrive for Business.

    Étiquettes comme condition

    Vous souhaitez peut-être utiliser une étiquette de rétention dans une stratégie DLP si vous avez des éléments sous rétention et suppression auxquels vous voulez appliquer des contrôles supplémentaires, par exemple :You might want to use a retention label in a DLP policy if you have items that are under retention and disposition, and you also want to apply other controls to them, for example:

    • Vous avez publié une étiquette de rétention nommée année fiscale 2018 qui, lorsqu’elle est appliquée à des documents fiscaux de 2018 stockés dans SharePoint, les conserve pendant 10 ans, puis les supprime.You published a retention label named tax year 2018, which when applied to tax documents from 2018 that are stored in SharePoint retains them for 10 years then disposes of them. Vous ne souhaitez pas non plus que ces éléments soient partagés à l’extérieur de votre organisation, ce que vous pouvez faire grâce à une stratégie DLP.You also don't want those items being shared outside your organization, which you can do with a DLP policy.

    Important

    L’erreur ci-après s’affiche si vous spécifiez une étiquette de rétention comme condition dans une stratégie DLP et que vous incluez également Exchange et/ou Teams comme emplacement : « La protection du contenu étiqueté dans les messages électroniques et d’équipe n’est pas prise en charge. Supprimez l’étiquette ci-dessous ou désactivez Exchange ou Teams en tant qu’emplacement. »You'll get this error if you specify a retention label as a condition in a DLP policy and you also include Exchange and/or Teams as a location: "Protecting labeled content in email and teams messages isn't supported. Either remove the label below or turn off Exchange and Teams as a location." Cela est dû au fait qu’Exchange transport n’évalue pas les métadonnées d’étiquette lors de l’envoi et de la distribution des messages.This is because Exchange transport does not evaluate the label metadata during message submission and delivery.

La prise en charge des étiquettes de confidentialité est pour bientôtSupport for sensitivity labels is coming

Vous pouvez actuellement utiliser uniquement une étiquette de rétention comme condition, et non une étiquette de confidentialité.You can currently use only a retention label as a condition, not a sensitivity label. Nous travaillons actuellement à l’utilisation d’une étiquette de confidentialité dans cette condition.We're currently working on support for using a sensitivity label in this condition.

Relations entre cette fonctionnalité et d’autres fonctionnalitésHow this feature relates to other features

Plusieurs fonctionnalités peuvent être appliquées à du contenu comportant des informations sensibles :Several features can be applied to content containing sensitive information:

  • Une étiquette de rétention et une stratégie de rétention peuvent toutes deux permettre d’appliquer des mesures de rétention à ce type de contenu.A retention label and a retention policy can both enforce retention actions on this content.

  • Et une stratégie DLP peut permettre d’y appliquer des mesures de protection.A DLP policy can enforce protection actions on this content. Avant l’application de ces mesures, une stratégie DLP peut exiger que d’autres conditions soient remplies en plus du contenu comportant une étiquette.And before enforcing these actions, a DLP policy can require other conditions to be met in addition to the content containing a label.

Diagramme illustrant des fonctionnalités applicables aux informations sensibles

Notez qu’une stratégie DLP offre des capacités de détection plus approfondies qu’une étiquette ou qu’une stratégie de rétention appliquées à des informations sensibles.Note that a DLP policy has a richer detection capability than a label or retention policy applied to sensitive information. Une stratégie DLP peut déclencher l’application de mesures de protection sur du contenu comportant des informations sensibles, et si les informations sensibles sont supprimées du contenu, ces mesures de protection sont annulées lors de l’analyse de contenu suivante.A DLP policy can enforce protective actions on content containing sensitive information, and if the sensitive information is removed from the content, those protective actions are undone the next time the content's scanned. Mais si une stratégie de rétention ou une étiquette est appliquée au contenu comportant des informations sensibles, il s’agit d’une mesure unique qui ne peut pas être annulée, même si les informations sensibles sont supprimées.But if a retention policy or label is applied to content containing sensitive information, that's a one-time action that won't be undone even if the sensitive information is removed.

L’utilisation d’une étiquette comme condition dans une stratégie DLP vous permet d’appliquer des mesures de rétention et de protection au contenu associé à cette étiquette.By using a label as a condition in a DLP policy, you can enforce both retention and protection actions on content with that label. Un contenu comportant une étiquette et un contenu comportant des informations sensibles sont semblables : l’étiquette et les informations sensibles sont des propriétés utilisées pour classifier le contenu dans le but d’y appliquer des mesures.You can think of content containing a label exactly like content containing sensitive information - both a label and a sensitive information type are properties used to classify content, so that you can enforce actions on that content.

Diagramme illustrant une stratégie DLP qui utilise une étiquette comme condition

Paramètres simples et paramètres avancésSimple settings vs. advanced settings

Lorsque vous créez une stratégie DLP, vous devez choisir entre les paramètres simples ou avancés :When you create a DLP policy, you'll choose between simple or advanced settings:

  • Les paramètres simples permettent de créer le type le plus courant de stratégie DLP sans utiliser l’éditeur de règles pour créer ou modifier des règles.Simple settings make it easy to create the most common type of DLP policy without using the rule editor to create or modify rules.

  • Les paramètres avancés utilisent l’éditeur de règles pour vous donner un contrôle total sur chaque paramètre de votre stratégie DLP.Advanced settings use the rule editor to give you complete control over every setting for your DLP policy.

Soyez rassuré, en réalité, les paramètres simples et avancés fonctionnent de la même manière : ils appliquent des règles composées de conditions et d’actions. La seule différence est que l’éditeur de règles n’apparaît pas avec les paramètres simples.Don't worry, under the covers, simple settings and advanced settings work exactly the same, by enforcing rules comprised of conditions and actions -- only with simple settings, you don't see the rule editor. C’est un moyen rapide de créer une stratégie DLP.It's a quick way to create a DLP policy.

Paramètres simplesSimple settings

Le scénario de protection contre la perte de données (DLP) de loin le plus courant consiste à créer une stratégie pour empêcher le partage de contenu comportant des informations sensibles avec des personnes extérieures à votre organisation, et à exécuter des actions de correction automatiques telles que la restriction de l’accès au contenu, l’envoi de notifications aux utilisateurs finaux ou à l’administrateur, et l’audit de l’événement en vue d’un examen ultérieur.By far, the most common DLP scenario is creating a policy to help protect content containing sensitive information from being shared with people outside your organization, and taking an automatic remediating action such as restricting who can access the content, sending end-user or admin notifications, and auditing the event for later investigation. Les stratégies de protection contre la perte de données (DLP) permettent d’empêcher la divulgation accidentelle d’informations sensibles.People use DLP to help prevent the inadvertent disclosure of sensitive information.

Pour atteindre cet objectif plus facilement, vous pouvez choisir d’utiliser les paramètres simples lorsque vous créez une stratégie DLP.To simplify achieving this goal, when you create a DLP policy, you can choose Use simple settings. Ces paramètres proposent toutes les options nécessaires pour implémenter les stratégies DLP les plus courantes, sans avoir à ouvrir l’éditeur de règles.These settings provide everything you need to implement the most common DLP policy, without having to go into the rule editor.

Options DLP pour les paramètres simples et avancés

Paramètres avancésAdvanced settings

Si vous devez créer des stratégies DLP plus personnalisées, vous pouvez choisir d’utiliser les paramètres avancés.If you need to create more customized DLP policies, you can choose Use advanced settings.

Les paramètres avancés présentent l’éditeur de règles, où vous contrôlez entièrement chaque option, y compris le nombre d’instances et la précision des correspondances (niveau de confiance) pour chaque règle.The advanced settings present you with the rule editor, where you have full control over every possible option, including the instance count and match accuracy (confidence level) for each rule.

Pour accéder rapidement à une section, cliquez sur un élément de la navigation supérieure de l’éditeur de règles.To jump to a section quickly, click an item in the top navigation of the rule editor to go to that section below.

Menu de navigation supérieur de l’éditeur de règles DLP

Modèles de stratégie de protection contre la perte de données (DLP)DLP policy templates

La première étape de la création d’une stratégie DLP consiste à choisir les informations à protéger.The first step in creating a DLP policy is choosing what information to protect. En utilisant un modèle DLP, vous n’avez alors pas à faire l’effort de créer intégralement un ensemble de règles et d’identifier les types d’informations à inclure par défaut.By starting with a DLP template, you save the work of building a new set of rules from scratch, and figuring out which types of information should be included by default. Vous pouvez ensuite ajouter des éléments à ces exigences ou modifier ces dernières pour ajuster la règle afin de répondre aux besoins spécifiques de votre organisation.You can then add to or modify these requirements to fine tune the rule to meet your organization's specific requirements.

Un modèle de stratégie DLP préconfiguré peut vous aider à détecter des types spécifiques d’informations sensibles, comme des données HIPAA, des données PCI-DSS, des données Gramm-Leach-Bliley Act ou même des informations d’identification personnelle propres aux paramètres régionaux.A preconfigured DLP policy template can help you detect specific types of sensitive information, such as HIPAA data, PCI-DSS data, Gramm-Leach-Bliley Act data, or even locale-specific personally identifiable information (P.I.). Pour faciliter la recherche et la protection des types d’informations sensibles courants, les modèles de stratégie inclus dans Microsoft 365 contiennent déjà les types d’informations sensibles les plus courants, nécessaires pour commencer.To make it easy for you to find and protect common types of sensitive information, the policy templates included in Microsoft 365 already contain the most common sensitive information types necessary for you to get started.

Liste des modèles de stratégies de protection contre la perte de données avec focus sur le modèle pour le Patriot Act des États-Unis

Votre organisation peut également avoir ses exigences propres, auquel cas vous pouvez créer entièrement une stratégie DLP en choisissant l’option Stratégie personnalisée.Your organization may also have its own specific requirements, in which case you can create a DLP policy from scratch by choosing the Custom policy option. Une stratégie personnalisée est vide et ne contient aucune règle prédéfinie.A custom policy is empty and contains no premade rules.

Déployer progressivement des stratégies DLP avec le mode testRoll out DLP policies gradually with test mode

Lorsque vous créez vos stratégies DLP, vous devez envisager de les déployer progressivement pour évaluer leur impact et tester leur efficacité avant de les appliquer pleinement.When you create your DLP policies, you should consider rolling them out gradually to assess their impact and test their effectiveness before fully enforcing them. Par exemple, vous ne voulez pas qu’une nouvelle stratégie DLP bloque involontairement l’accès à des milliers de documents auxquels les utilisateurs doivent accéder pour effectuer leur travail.For example, you don't want a new DLP policy to unintentionally block access to thousands of documents that people require access to in order to get their work done.

Si vous créez des stratégies DLP susceptibles d’avoir un impact important, nous vous recommandons de suivre l’ordre suivant :If you're creating DLP policies with a large potential impact, we recommend following this sequence:

  1. Démarrez en mode test sans conseils de stratégie, puis utilisez les rapports DLP et les rapports d’incident pour évaluer l’impact.Start in test mode without Policy Tips and then use the DLP reports and any incident reports to assess the impact. Vous pouvez utiliser les rapports DLP pour connaître le nombre, l’emplacement, le type et la gravité des correspondances de stratégie.You can use DLP reports to view the number, location, type, and severity of policy matches. En fonction des résultats, vous pouvez affiner les règles selon vos besoins.Based on the results, you can fine tune the rules as needed. En mode test, les stratégies DLP n’auront aucun impact sur la productivité des personnes qui travaillent dans votre organisation.In test mode, DLP policies will not impact the productivity of people working in your organization.

  2. Move to Test mode with notifications and Policy Tips so that you can begin to teach users about your compliance policies and prepare them for the rules that are going to be applied.Move to Test mode with notifications and Policy Tips so that you can begin to teach users about your compliance policies and prepare them for the rules that are going to be applied. At this stage, you can also ask users to report false positives so that you can further refine the rules.At this stage, you can also ask users to report false positives so that you can further refine the rules.

  3. Démarrez l’application complète des stratégies afin que les actions dans les règles soient appliquées et le contenu protégé.Start full enforcement on the policies so that the actions in the rules are applied and the content's protected. Continuez de surveiller les rapports DLP et tous les rapports ou notifications d’incident pour vous assurer que les résultats correspondent à ce que vous aviez prévu.Continue to monitor the DLP reports and any incident reports or notifications to make sure that the results are what you intend.

    Options pour l’utilisation du mode de test et l’activation de la stratégie

    Vous pouvez désactiver une stratégie DLP à tout moment, ce qui a une incidence sur toutes les règles de la stratégie.You can turn off a DLP policy at any time, which affects all rules in the policy. Toutefois, chaque règle peut également être désactivée individuellement en basculant son état dans l’éditeur de règles.However, each rule can also be turned off individually by toggling its status in the rule editor.

    Options de désactivation d’une règle dans une stratégie

    Vous pouvez également modifier la priorité de plusieurs règles dans une stratégie.You can also change the priority of multiple rules in a policy. Pour ce faire, ouvrez une stratégie pour modification.To do that, open a policy for editing. Dans une ligne de règle, sélectionnez les points de suspension (...), puis choisissez une option, comme, par exemple, Descendre ou Mettre à la fin.In a row for a rule, choose the ellipses (...), and then choose an option, such as Move down or Bring to last.

    Définition d’une priorité de règle

Rapports DLPDLP reports

Après avoir créé et activé vos stratégies DLP, vous voudrez vérifier qu’elles fonctionnent comme prévu et vous aident à assurer la conformité.After you create and turn on your DLP policies, you'll want to verify that they're working as you intended and helping you stay compliant. Avec les rapports DLP, vous pouvez rapidement consulter le nombre de correspondances de stratégie DLP et de règle dans le temps, ainsi que le nombre de faux positifs et de remplacements.With DLP reports, you can quickly view the number of DLP policy and rule matches over time, and the number of false positives and overrides. Pour chaque rapport, vous pouvez filtrer ces correspondances par emplacement, par période et même affiner le filtrage sur une stratégie, règle ou action spécifique.For each report, you can filter those matches by location, time frame, and even narrow it down to a specific policy, rule, or action.

Grâce aux rapports DLP, vous pouvez obtenir une vue d’ensemble des activités et :With the DLP reports, you can get business insights and:

  • Vous concentrer sur des périodes de temps spécifiques et comprendre les raisons des pics et des tendances.Focus on specific time periods and understand the reasons for spikes and trends.

  • Découvrir les processus d’entreprise qui enfreignent les stratégies de conformité de votre organisation.Discover business processes that violate your organization's compliance policies.

  • Comprendre l’incidence des stratégies DLP sur l’entreprise.Understand any business impact of the DLP policies.

En outre, vous pouvez utiliser les rapports DLP pour affiner vos stratégies DLP lorsque vous les exécutez.In addition, you can use the DLP reports to fine tune your DLP policies as you run them.

Tableau de bord des rapports dans le Centre de sécurité et conformité

Fonctionnement des stratégies DLPHow DLP policies work

DLP detects sensitive information by using deep content analysis (not just a simple text scan).DLP detects sensitive information by using deep content analysis (not just a simple text scan). This deep content analysis uses keyword matches, dictionary matches, the evaluation of regular expressions, internal functions, and other methods to detect content that matches your DLP policies.This deep content analysis uses keyword matches, dictionary matches, the evaluation of regular expressions, internal functions, and other methods to detect content that matches your DLP policies. Potentially only a small percentage of your data is considered sensitive.Potentially only a small percentage of your data is considered sensitive. A DLP policy can identify, monitor, and automatically protect just that data, without impeding or affecting people who work with the rest of your content.A DLP policy can identify, monitor, and automatically protect just that data, without impeding or affecting people who work with the rest of your content.

Synchronisation des stratégiesPolicies are synced

Une fois qu’une stratégie DLP est créée dans le centre de conformité et de sécurité, elle est stockée dans un magasin central de stratégies, puis synchronisée avec différentes sources de contenu, notamment les suivantes :After you create a DLP policy in the Security & Compliance Center, it's stored in a central policy store, and then synced to the various content sources, including:

  • Depuis Exchange Online vers Outlook sur le web et Outlook.Exchange Online, and from there to Outlook on the web and Outlook.

  • Sites OneDrive Entreprise.OneDrive for Business sites.

  • Sites SharePoint Online.SharePoint Online sites.

  • Programmes de bureau Office (Excel, PowerPoint et Word).Office desktop programs (Excel, PowerPoint, and Word).

  • Canaux et messages de conversations Microsoft Teams.Microsoft Teams channels and chat messages.

Une fois la stratégie synchronisée avec les emplacements adéquats, elle commence à évaluer le contenu et à mettre en place des actions.After the policy's synced to the right locations, it starts to evaluate content and enforce actions.

Évaluation des stratégies dans les sites OneDrive Entreprise et SharePoint OnlinePolicy evaluation in OneDrive for Business and SharePoint Online sites

Dans l’ensemble de vos sites SharePoint Online et OneDrive Entreprise, les documents changent constamment : ils sont continuellement créés, modifiés, partagés, etc.Across all of your SharePoint Online sites and OneDrive for Business sites, documents are constantly changing — they're continually being created, edited, shared, and so on. Cela signifie que les documents peuvent à tout moment soit être en conflit, soit être conformes à la stratégie DLP.This means documents can conflict or become compliant with a DLP policy at any time. Par exemple, une personne peut télécharger un document ne contenant aucune information sensible sur le site de son équipe mais une autre personne peut ensuite modifier le même document et y ajouter des informations sensibles.For example, a person can upload a document that contains no sensitive information to their team site, but later, a different person can edit the same document and add sensitive information to it.

Pour cette raison, les stratégies DLP vérifient les correspondances de stratégie fréquemment dans les documents en arrière-plan.For this reason, DLP policies check documents for policy matches frequently in the background. Vous pouvez considérer ceci comme une évaluation asynchrone des stratégies.You can think of this as asynchronous policy evaluation.

Mode de fonctionnementHow it works

Au fur et à mesure de l’ajout ou de la modification de documents dans ses sites, le moteur de recherche analyse le contenu de sorte que vous puissiez le rechercher ultérieurement.As people add or change documents in their sites, the search engine scans the content, so that you can search for it later. Pendant ce temps, le contenu est également analysé pour vérifier s’il présente des informations sensibles et s’il est partagé.While this is happening, the content's also scanned for sensitive information and to check if it's shared. Les informations sensibles trouvées sont stockées en toute sécurité dans l’index de recherche, afin que seule l’équipe de conformité puisse y accéder, et pas les utilisateurs standard.Any sensitive information that's found is stored securely in the search index, so that only the compliance team can access it, but not typical users. Chaque stratégie DLP que vous avez activée s’exécute en arrière-plan (de façon asynchrone), en vérifiant fréquemment le contenu qui correspond à une stratégie et en appliquant des actions pour le protéger de toute divulgation accidentelle.Each DLP policy that you've turned on runs in the background (asynchronously), checking search frequently for any content that matches a policy, and applying actions to protect it from inadvertent leaks.

Diagramme montrant comment la stratégie de protection contre la perte de données (DLP) évalue le contenu de façon asynchrone

Finally, documents can conflict with a DLP policy, but they can also become compliant with a DLP policy.Finally, documents can conflict with a DLP policy, but they can also become compliant with a DLP policy. For example, if a person adds credit card numbers to a document, it might cause a DLP policy to block access to the document automatically.For example, if a person adds credit card numbers to a document, it might cause a DLP policy to block access to the document automatically. But if the person later removes the sensitive information, the action (in this case, blocking) is automatically undone the next time the document is evaluated against the policy.But if the person later removes the sensitive information, the action (in this case, blocking) is automatically undone the next time the document is evaluated against the policy.

La protection contre la perte de données évalue le contenu pouvant être indexé.DLP evaluates any content that can be indexed. Pour plus d’informations sur les types de fichiers analysés par défaut, consultez la rubrique Extensions de nom de fichier et types de fichier analysés par défaut dans SharePoint Server.For more information on what file types are crawled by default, see Default crawled file name extensions and parsed file types in SharePoint Server.

Notes

Par défaut, le partage externe de nouveaux fichiers dans SharePoint peut être bloqué jusqu’à ce qu’au moins une stratégie DLP analyse le nouvel élément.External sharing of new files in SharePoint can be blocked by default until at least one DLP policy scans the new item. Pour plus d’informations, consultez Marquer les nouveaux fichiers comme sensibles par défaut.See, Mark new files as sensitive by default for detailed information.

Évaluation des stratégies dans Exchange Online, Outlook et Outlook sur le webPolicy evaluation in Exchange Online, Outlook, and Outlook on the web

Lorsque vous créez une stratégie DLP incluant Exchange Online en tant qu’emplacement, celle-ci est synchronisée à partir du centre de conformité et de sécurité Office 365 avec Exchange Online, puis d’Exchange Online vers Outlook sur le web et Outlook.When you create a DLP policy that includes Exchange Online as a location, the policy's synced from the Office 365 Security & Compliance Center to Exchange Online, and then from Exchange Online to Outlook on the web and Outlook.

Lors de la rédaction d’un message dans Outlook, l’utilisateur peut voir les conseils de stratégie, puisque le contenu en cours de création est évalué par rapport aux stratégies DLP.When a message is being composed in Outlook, the user can see policy tips as the content being created is evaluated against DLP policies. Une fois le message envoyé, il est évalué par rapport aux stratégies DLP comme élément normal du flux de messagerie, en même temps que les règles de flux de courrier Exchange (règles de transport) et les stratégies DLP créées dans le centre d’administration Exchange.And after a message is sent, it's evaluated against DLP policies as a normal part of mail flow, along with Exchange mail flow rules (also known as transport rules) and DLP policies created in the Exchange admin center. Les stratégies DLP analysent le message ainsi que les éventuelles pièces jointes.DLP policies scan both the message and any attachments.

Évaluation des stratégies dans les programmes de bureau OfficePolicy evaluation in the Office desktop programs

Excel, PowerPoint et Word incluent la même capacité à identifier les informations sensibles et à appliquer les stratégies DLP que SharePoint Online et OneDrive Entreprise.Excel, PowerPoint, and Word include the same capability to identify sensitive information and apply DLP policies as SharePoint Online and OneDrive for Business. Ces programmes Office synchronisent leurs stratégies DLP directement à partir du magasin central de stratégies, puis évaluent en permanence le contenu par rapport aux stratégies DLP lorsque les utilisateurs travaillent avec des documents ouverts à partir d’un site inclus dans une stratégie DLP.These Office programs sync their DLP policies directly from the central policy store, and then continuously evaluate the content against the DLP policies when people work with documents opened from a site that's included in a DLP policy.

L’évaluation des stratégies DLP dans Office est conçue pour ne pas avoir d’incidence sur les performances des programmes ou la productivité des personnes qui travaillent sur le contenu.DLP policy evaluation in Office is designed not to affect the performance of the programs or the productivity of people working on content. Si elles travaillent sur un document volumineux ou que l’ordinateur de l’utilisateur est occupé, l’affichage d’un conseil de stratégie peut prendre quelques secondes.If they're working on a large document, or the user's computer is busy, it might take a few seconds for a policy tip to appear.

Évaluation des stratégies dans Microsoft TeamsPolicy evaluation in Microsoft Teams

Lorsque vous créez une stratégie DLP qui inclut Microsoft Teams comme emplacement, celle-ci est synchronisée à partir du centre de conformité et de sécurité Office 365 avec les comptes utilisateurs et les canaux et messages de conversation Microsoft Teams.When you create a DLP policy that includes Microsoft Teams as a location, the policy's synced from the Office 365 Security & Compliance Center to user accounts and Microsoft Teams channels and chat messages. Selon la configuration des stratégies DLP, lorsque quelqu’un tente de partager des informations sensibles dans une conversation ou un message de canal Microsoft Teams, le message peut être bloqué ou révoqué.Depending on how DLP policies are configured, when someone attempts to share sensitive information in a Microsoft Teams chat or channel message, the message can be blocked or revoked. Les documents qui contiennent des informations sensibles et qui sont partagés avec des invités (utilisateurs externes) ne s’ouvrent pas pour ces utilisateurs.And, documents that contain sensitive information and that are shared with guests (external users) won't open for those users. Consultez l’article sur la protection contre la perte de données et Microsoft Teams pour obtenir plus d’informations à ce sujet.To learn more, see Data loss prevention and Microsoft Teams.

AutorisationsPermissions

Les membres de votre équipe de mise en conformité qui créeront des stratégies DLP ont besoin des autorisations d’accès au Centre de conformité et de sécurité.Members of your compliance team who will create DLP policies need permissions to the Security & Compliance Center. Par défaut, votre administrateur de client a accès à cet emplacement et peut autoriser des agents de conformité et d’autres personnes à accéder au Centre de sécurité et conformité, sans pour autant leur octroyer toutes les autorisations d’un administrateur de client. Pour cela, nous vous recommandons de :By default, your tenant admin will have access to this location and can give compliance officers and other people access to the Security & Compliance Center, without giving them all of the permissions of a tenant admin. To do this, we recommend that you:

  1. Créer un groupe dans Microsoft 365 et d’y ajouter des responsables de la mise en conformité.Create a group in Microsoft 365 and add compliance officers to it.

  2. Créer un groupe de rôles sur la page Autorisations du Centre de sécurité et de conformité.Create a role group on the Permissions page of the Security & Compliance Center.

  3. Lors de la création du groupe de rôles, utilisez la section Choisir des rôles pour ajouter le rôle suivant au groupe de rôles : Gestion de la conformité DLP.While creating the role group, use the Choose Roles section to add the following role to the Role Group: DLP Compliance Management.

  4. Utilisez la section Choisir des membres pour ajouter le groupe Microsoft 365 que vous avez créé précédemment au groupe de rôles.Use the Choose Members section to add the Microsoft 365 group you created before to the role group.

Vous pouvez également créer un groupe de rôles avec des privilèges en affichage seul vers les stratégies DLP et les rapports DLP en accordant au rôle Gestion de la conformité DLP en affichage seul.You can also create a role group with view-only privileges to the DLP policies and DLP reports by granting the View-Only DLP Compliance Management role.

Pour plus d’informations, voir Give users access to the Office 365 Compliance Center.For more information, see Give users access to the Office 365 Compliance Center.

Ces autorisations sont requises uniquement pour créer et appliquer une stratégie DLP.These permissions are required only to create and apply a DLP policy. L’application d’une stratégie ne nécessite pas d’accès au contenu.Policy enforcement does not require access to the content.

Trouver les applets de commande DLPFind the DLP cmdlets

Pour utiliser la plupart des applets de commande du Centre de conformité et de sécurité, vous devez :To use most of the cmdlets for the Security & Compliance Center, you need to:

  1. Vous connecter au Centre de sécurité & conformité Office 365 à l’aide de PowerShell à distance.Connect to the Office 365 Security & Compliance Center using remote PowerShell.

  2. Utiliser l’une de ces applets de commande de stratégie et de conformité DLP.Use any of these policy-and-compliance-dlp cmdlets.

Toutefois, les rapports DLP doivent extraire des données de Microsoft 365, y compris Exchange Online.However, DLP reports need pull data from across Microsoft 365, including Exchange Online. Pour cette raison, les applets de commande des rapports DLP sont disponibles dans Exchange Online Powershell (et non dans le centre de conformité & sécurité Powershell).For this reason, the cmdlets for the DLP reports are available in Exchange Online Powershell -- not in Security & Compliance Center Powershell. Par conséquent, pour utiliser les applets de commande pour les rapports DLP, vous devez :Therefore, to use the cmdlets for the DLP reports, you need to:

  1. Vous connecter à Exchange Online à l'aide de Remote PowerShell.Connect to Exchange Online using remote PowerShell.

  2. Utilisez l’une de ces applets de commande pour les rapports DLP :Use any of these cmdlets for the DLP reports:

Plus d’informationsMore information