Stratégies de gestion des risques internesInsider risk management policies

Les stratégies de gestion des risques internes déterminent quels utilisateurs sont dans l’étendue et quels types d’indicateurs de risque sont configurés pour les alertes.Insider risk management policies determine which users are in-scope and which types of risk indicators are configured for alerts. Vous pouvez rapidement créer une stratégie qui s’applique à tous les utilisateurs de votre organisation ou définir des utilisateurs individuels ou des groupes à gérer dans une stratégie.You can quickly create a policy that applies to all users in your organization or define individual users or groups for management in a policy. Les stratégies de prise en charge des priorités de contenu pour concentrer les conditions de stratégie sur plusieurs Microsoft Teams, sites SharePoint, types de confidentialité des données et étiquettes de données spécifiques ou multiples.Policies support content priorities to focus policy conditions on multiple or specific Microsoft Teams, SharePoint sites, data sensitivity types, and data labels. À l’aide de modèles, vous pouvez sélectionner des indicateurs de risque spécifiques et personnaliser les seuils d’événement pour les indicateurs de stratégie, en personnalisant efficacement les scores de risque, ainsi que le niveau et la fréquence des alertes.Using templates, you can select specific risk indicators and customize event thresholds for policy indicators, effectively customizing risk scores, and level and frequency of alerts. En outre, les détections de score de risque et d’anomalies permettent d’identifier l’activité des utilisateurs qui est plus importante ou plus inhabituelle.Additionally, risk score boosters and anomaly detections help identify user activity that is of higher importance or more unusual. Les fenêtres de stratégie vous permettent de définir le délai d’application de la stratégie aux activités d’alerte et sont utilisées pour déterminer la durée de la stratégie une fois activée.Policy windows allow you to define the time frame to apply the policy to alert activities and are used to determine the duration of the policy once activated.

Consultez la vidéo configuration des stratégies de gestion des risques internes pour obtenir une vue d’ensemble de la façon dont les stratégies créées à l’aide de modèles de stratégie intégrés peuvent vous aider à prendre rapidement des mesures sur les risques potentiels.Check out the Insider Risk Management Policies Configuration video for an overview of how policies created with built-in policy templates can help you to quickly take action on potential risks.

Tableau de bord de stratégiePolicy dashboard

Le tableau de bord de stratégie vous permet de voir rapidement les stratégies de votre organisation, l’état de la stratégie, d’ajouter manuellement des utilisateurs aux stratégies et d’afficher l’état des alertes associées à chaque stratégie.The Policy dashboard allows you to quickly see the policies in your organization, the health of the policy, manually add users to policies, and the view the status of alerts associated with each policy.

  • Nom de la stratégie : nom attribué à la stratégie dans l’Assistant Stratégie.Policy name: The name assigned to the policy in the policy wizard.
  • État: état d’état d’santé de chaque stratégie.Status: The health status for each policy. Affiche le nombre d’avertissements et de recommandations de stratégie, ou un état Sain pour les stratégies sans problèmes.Displays number of policy warnings and recommendations, or a status of Healthy for policies without issues. Vous pouvez cliquer sur la stratégie pour voir les détails de l’état d’état d’état des avertissements ou recommandations.You can click on the policy to see the health status details for any warnings or recommendations.
  • Alertes actives: nombre d’alertes actives pour chaque stratégie.Active alerts: The number of active alerts for each policy.
  • Alertes confirmées: nombre total d’alertes résultant de cas de la stratégie au cours des 365 derniers jours.Confirmed alerts: The total number of alerts the resulted in cases from the policy in the last 365 days.
  • Actions prises sur les alertes: nombre total d’alertes qui ont été confirmées ou rejetées au cours des 365 derniers jours.Actions taken on alerts: The total number of alerts that were confirmed or dismissed for the last 365 days.
  • Efficacité des alertes de stratégie : pourcentage déterminé par le nombre total d’alertes confirmées divisé par le nombre total d’actions entreprises sur les alertes (c’est-à-dire la somme des alertes confirmées ou rejetées au cours de l’année précédente).Policy alert effectiveness: The percentage determined by total confirmed alerts divided by total actions taken on alerts (which is the sum of alerts that were confirmed or dismissed over the past year).

Tableau de bord de la stratégie de gestion des risques internes

Recommandations de stratégie à partir de l’analyse (aperçu)Policy recommendations from analytics (preview)

L’analyse des risques internes vous permet d’effectuer une évaluation des risques internes potentiels dans votre organisation sans configurer de stratégies de risque internes.Insider risk analytics enables you to conduct an evaluation of potential insider risks in your organization without configuring any insider risk policies. Cette évaluation peut aider votre organisation à identifier les zones potentielles à haut risque pour les utilisateurs et à déterminer le type et l’étendue des stratégies de gestion des risques internes que vous pouvez envisager de configurer.This evaluation can help your organization identify potential areas of higher user risk and help determine the type and scope of insider risk management policies you may consider configuring.

Pour en savoir plus sur l’analyse des risques internes et les recommandations de stratégie, voir Paramètres de gestion des risques internes : Analyse (prévisualisation).To learn more about insider risk analytics and policy recommendations, see Insider risk management settings: Analytics (preview).

Modèles de stratégiePolicy templates

Les modèles de gestion des risques internes sont des conditions de stratégie prédéfinëes qui définissent les types d’indicateurs de risque et le modèle d’évaluation des risques utilisés par la stratégie.Insider risk management templates are pre-defined policy conditions that define the types of risk indicators and risk scoring model used by the policy. Chaque stratégie doit avoir un modèle affecté dans l’Assistant de création de stratégie avant la création de celle-ci.Each policy must have a template assigned in the policy creation wizard before the policy is created. La gestion des risques internes prend en charge jusqu’à cinq stratégies pour chaque modèle de stratégie.Insider risk management supports up to five policies for each policy template. Lorsque vous créez une stratégie de risque interne avec l’Assistant Stratégie, vous avez le choix entre l’un des modèles de stratégie suivants :When you create a new insider risk policy with the policy wizard, you'll choose from one of the following policy templates:

Vol de données par des utilisateurs qui quittent le siteData theft by departing users

Lorsque des utilisateurs quittent votre organisation, des indicateurs de risque spécifiques sont généralement associés au vol de données par les utilisateurs qui quittent l’organisation.When users leave your organization, there are specific risk indicators typically associated with data theft by departing users. Ce modèle de stratégie utilise des indicateurs d’exfiltration pour le score de risque et se concentre sur la détection et les alertes dans ce domaine de risque.This policy template uses exfiltration indicators for risk scoring and focuses on detection and alerts in this risk area. Le vol de données pour les utilisateurs qui quittent l’entreprise peut inclure le téléchargement de fichiers à partir de SharePoint Online, l’impression de fichiers et la copie de données dans des services de messagerie et de stockage cloud personnels près de leur lieu de travail et de leur date de fin.Data theft for departing users may include downloading files from SharePoint Online, printing files, and copying data to personal cloud messaging and storage services near their employment resignation and end dates. À l’aide du connecteur Microsoft 365 HR ou de l’option de surveillance automatique de la suppression de compte d’utilisateur dans Azure Active Directory pour votre organisation, ce modèle démarre l’évaluation des indicateurs de risque relatifs à ces activités et leur corrélation avec l’état d’emploi des utilisateurs.By using either the Microsoft 365 HR connector or the option to automatically monitor for user account deletion in Azure Active Directory for your organization, this template starts scoring for risk indicators relating to these activities and how they correlate with user employment status.

Important

Lorsque vous utilisez ce modèle, vous pouvez configurer un connecteur Microsoft 365 HR pour importer régulièrement les informations de date de résiliation et de résiliation pour les utilisateurs de votre organisation.When using this template, you can configure a Microsoft 365 HR connector to periodically import resignation and termination date information for users in your organization. Consultez l’article Importer des données avec le connecteur RH pour obtenir des instructions pas à pas pour configurer le connecteur RH Microsoft 365 pour votre organisation.See the Import data with the HR connector article for step-by-step guidance to configure the Microsoft 365 HR connector for your organization. Si vous choisissez de ne pas utiliser le connecteur RH, vous devez sélectionner le compte d’utilisateur supprimé de l’option Azure AD lors de la configuration des événements de déclencheur dans l’Assistant Stratégie.If you choose not to use the HR connector, you must select the User account deleted from Azure AD option when configuring trigger events in the policy wizard.

Fuites générales de donnéesGeneral data leaks

La protection des données et la prévention des fuites de données sont un défi constant pour la plupart des organisations, en particulier avec la croissance rapide des nouvelles données créées par les utilisateurs, les appareils et les services.Protecting data and preventing data leaks is a constant challenge for most organizations, particularly with the rapid grow of new data created by users, devices, and services. Les utilisateurs sont habilités à créer, stocker et partager des informations sur les services et les appareils, ce qui rend la gestion des fuites de données de plus en plus complexe et difficile.Users are empowered to create, store, and share information across services and devices that make managing data leaks increasingly more complex and difficult. Les fuites de données peuvent inclure un partage accidentel d’informations en dehors de votre organisation ou un vol de données à des fins malveillantes.Data leaks can include accidental oversharing of information outside your organization or data theft with malicious intent. Avec une stratégie de protection contre la perte de données (DLP) affectée ou l’événement déclencheur intégré, ce modèle commence à détecter en temps réel les téléchargements de données SharePoint Online suspects, le partage de fichiers et de dossiers, l’impression de fichiers et la copie des données dans les services de messagerie et de stockage cloud personnels.With an assigned Data Loss Prevention (DLP) policy or the built-in triggering event, this template starts scoring real-time detections of suspicious SharePoint Online data downloads, file and folder sharing, printing files, and copying data to personal cloud messaging and storage services.

Lorsque vous utilisez un modèle de fuites de données, vous pouvez affecter une stratégie DLP pour déclencher des indicateurs dans la stratégie de risque interne pour les alertes de gravité élevée dans votre organisation.When using a Data leaks template, you can assign a DLP policy to trigger indicators in the insider risk policy for high severity alerts in your organization. Chaque fois qu’une alerte de gravité élevée est générée par une règle de stratégie DLP est ajoutée au journal d’audit Office 365, les stratégies de risque interne créées avec ce modèle examinent automatiquement l’alerte DLP de gravité élevée.Whenever a high severity alert is generated by a DLP policy rule is added to the Office 365 audit log, insider risk policies created with this template automatically examine the high severity DLP alert. Si l’alerte contient un utilisateur dans l’étendue défini dans la stratégie de risque interne, l’alerte est traitée par la stratégie de risque interne comme une nouvelle alerte et est affectée à une gravité de risque interne et à un score de risque.If the alert contains an in-scope user defined in the insider risk policy, the alert is processed by the insider risk policy as a new alert and assigned an insider risk severity and risk score. Cette stratégie vous permet d’évaluer cette alerte en contexte avec d’autres activités incluses dans le cas.This policy allows you to evaluate this alert in context with other activities included in the case. Si vous ne choisissez pas de stratégie DLP, vous devez sélectionner l’événement déclencheur intégré.If you don't choose a DLP policy, you must select the built-in triggering event.

Recommandations en matière de stratégie de fuite de donnéesData leaks policy guidelines

Lorsque vous créez ou modifiez des stratégies DLP à utiliser avec des stratégies de gestion des risques internes, prenons en compte les recommandations suivantes :When creating or modifying DLP policies for use with insider risk management policies, consider the following guidelines:

  • Hiérarchisez les événements d’exfiltration de données et soyez sélectif lors de l’affectation des paramètres de rapports d’incident à Élevé lors de la configuration des règles dans vos stratégies DLP.Prioritize data exfiltration events and be selective when assigning Incident reports settings to High when configuring rules in your DLP policies. Par exemple, l’envoi par courrier électronique de documents sensibles à un concurrent connu doit être un événement d’exfiltration de niveau d’alerte élevé.For example, emailing sensitive documents to a known competitor should be a High alert level exfiltration event. La sur-affectation du niveau élevé dans les paramètres des rapports d’incident dans d’autres règles de stratégie DLP peut augmenter le bruit dans le flux de travail d’alerte de gestion des risques internes et rendre plus difficile pour vos enquêteurs et analystes de données d’évaluer correctement ces alertes.Over-assigning the High level in the Incident reports settings in other DLP policy rules can increase the noise in the insider risk management alert workflow and make it more difficult for your data investigators and analysts to properly evaluate these alerts. Par exemple, l’attribution de niveaux d’alerte élevés pour accéder aux activités par déni dans les stratégies DLP complique l’évaluation du comportement et des activités des utilisateurs réellement risqués.For example, assigning High alert levels to access denial activities in DLP policies makes it more challenging to evaluate truly risky user behavior and activities.

  • Assurez-vous que vous comprenez et configurez correctement les utilisateurs dans l’étendue dans les stratégies de gestion des risques internes et DLP.Make sure you understand and properly configure the in-scope users in both the DLP and insider risk management policies. Seuls les utilisateurs définis en tant que stratégies de gestion des risques internes à l’aide du modèle fuites de données auront des alertes de stratégie DLP de gravité élevée traitées.Only users defined as in-scope for insider risk management policies using the Data leaks template will have high severity DLP policy alerts processed. En outre, seuls les utilisateurs définis comme étant dans l’étendue d’une règle pour une alerte DLP de gravité élevée seront examinés par la stratégie de gestion des risques internes pour examen.Additionally, only users defined as in-scope in a rule for a high severity DLP alert will be examined by the insider risk management policy for consideration. Il est important de ne pas configurer inconsciemment les utilisateurs dans l’étendue dans vos stratégies DLP et de risques internes de manière conflictuelle.It is important that you don't unknowingly configure in-scope users in both your DLP and insider risk policies in a conflicting manner.

    Par exemple, si vos règles de stratégie DLP sont limitées aux utilisateurs de l’équipe commerciale et que la stratégie de risque interne créée à partir du modèle de fuites de données a défini tous les utilisateurs comme étant dans l’étendue, la stratégie de risque interne traitera uniquement les alertes DLP de gravité élevée pour les utilisateurs de l’équipe commerciale.For example, if your DLP policy rules are scoped to only users on the Sales Team and the insider risk policy created from the Data leaks template has defined all users as in-scope, the insider risk policy will only actually process high severity DLP alerts for the users on the Sales Team. La stratégie de risque interne ne reçoit aucune alerte DLP haute priorité que les utilisateurs doivent traiter et qui ne sont pas définies dans les règles DLP de cet exemple.The insider risk policy won't receive any high priority DLP alerts for users to process that aren't defined in the DLP rules in this example. À l’inverse, si votre stratégie de gestion des risques internes créée à partir de modèles de fuites de données s’étendue uniquement aux utilisateurs de l’équipe commerciale et que la stratégie DLP affectée est étendue à tous les utilisateurs, la stratégie de risque interne traitera uniquement les alertes DLP de gravité élevée pour les membres de l’équipe commerciale.Conversely, if your insider risk management policy created from Data leaks templates is scoped to only users on the Sales Team and the assigned DLP policy is scoped to all users, the insider risk policy will only process high severity DLP alerts for members of the Sales Team. La stratégie de gestion des risques internes ignorera les alertes DLP de gravité élevée pour tous les utilisateurs qui ne sont pas membres de l’équipe commerciale.The insider risk management policy will ignore high severity DLP alerts for all users not on the Sales Team.

  • Assurez-vous que le paramètre de règle de rapports d’incident dans la stratégie DLP utilisée pour ce modèle de gestion des risques internes est configuré pour les alertes de niveau de gravité élevé.Make sure the Incident reports rule setting in the DLP policy used for this insider risk management template is configured for High severity level alerts. Le niveau de gravité élevé est le déclenchement des événements et les alertes de gestion des risques internes ne sont pas générées à partir des règles dans les stratégies DLP avec le champ Rapports d’incidents définie sur Faible ou Moyen.The High severity level is the triggering events and insider risk management alerts won't be generated from rules in DLP policies with the Incident reports field set at Low or Medium.

    Paramètre d’alerte de stratégie DLP

    Notes

    Lorsque vous créez une stratégie DLP à l’aide des modèles intégrés, vous devez sélectionner l’option Créer ou personnaliser des règles DLP avancées pour configurer le paramètre rapports d’incident pour le niveau de gravité élevé.When creating a new DLP policy using the built-in templates, you'll need to select the Create or customize advanced DLP rules option to configure the Incident reports setting for the High severity level.

Une seule stratégie DLP peut être affectée à chaque stratégie de gestion des risques internes créée à partir du modèle de fuites de données.Each insider risk management policy created from the Data leaks template can only have one DLP policy assigned. Envisagez de créer une stratégie DLP dédiée qui combine les différentes activités que vous souhaitez détecter et agir en tant que déclencheurs d’événements pour les stratégies de risques internes qui utilisent le modèle de fuites de données.Consider creating a dedicated DLP policy that combines the different activities you want to detect and act as triggering events for insider risk policies that use the Data leaks template.

Consultez l’article Créer, tester et régler une stratégie DLP pour obtenir des instructions pas à pas pour configurer des stratégies DLP pour votre organisation.See the Create, test, and tune a DLP policy article for step-by-step guidance to configure DLP policies for your organization.

Fuites de données par les utilisateurs prioritaires (aperçu)Data leaks by priority users (preview)

La protection des données et la prévention des fuites de données pour les utilisateurs de votre organisation peuvent dépendre de leur position, du niveau d’accès aux informations sensibles ou de l’historique des risques.Protecting data and preventing data leaks for users in your organization may depend on their position, level of access to sensitive information, or risk history. Les fuites de données peuvent inclure le partage accidentel d’informations hautement sensibles en dehors de votre organisation ou le vol de données à des fins malveillantes.Data leaks can include accidental oversharing of highly sensitive information outside your organization or data theft with malicious intent. Avec une stratégie de protection contre la perte de données (DLP) affectée, ce modèle démarre l’évaluation en temps réel des détections d’activité suspecte et augmente la probabilité d’alertes et d’alertes à risque interne avec des niveaux de gravité plus élevés.With an assigned Data Loss Prevention (DLP) policy, this template starts scoring real-time detections of suspicious activity and result in an increased likelihood of insider risk alerts and alerts with higher severity levels. Les utilisateurs prioritaires sont définis dans les groupes d’utilisateurs prioritaires configurés dans la zone des paramètres de gestion des risques internes.Priority users are defined in priority user groups configured in the insider risk management settings area.

Comme avec le modèle Fuites générales de données, vous devez affecter une stratégie DLP pour déclencher des indicateurs dans la stratégie de risque interne pour les alertes de gravité élevée dans votre organisation.As with the General data leaks template, you must assign a DLP policy to trigger indicators in the insider risk policy for high severity alerts in your organization. Suivez les instructions de stratégie de fuite de données ci-dessus lors de la création d’une stratégie à l’aide de ce modèle.Follow the Data leaks policy guidelines above when creating a policy using this template. En outre, vous devez affecter à la stratégie des groupes d’utilisateurs prioritaires créés dans les > paramètres de gestion des risques > internes.Additionally, you will need to assign priority user groups created in Insider risk management > Settings > Priority user groups to the policy.

Fuites de données par des utilisateurs disgrunts (aperçu)Data leaks by disgruntled users (preview)

Lorsque les utilisateurs font face à des contraintes d’emploi, ils peuvent devenir indisciplinés, ce qui peut augmenter les risques internes.When users experience employment stressors, they may become disgruntled, which may increase the chances of insider risk activity. Ce modèle démarre l’score de l’activité de l’utilisateur lorsqu’un indicateur associé à disgruntlement est identifié.This template starts scoring user activity when an indicator associated with disgruntlement is identified. Les notifications d’amélioration des performances, les révisions de performances médiocres ou les modifications apportées à l’état du niveau de travail en sont des exemples.Examples include performance improvement notifications, poor performance reviews, or changes to job level status. Les fuites de données pour les utilisateurs non régrunts peuvent inclure le téléchargement de fichiers à partir de SharePoint Online et la copie de données dans des services de messagerie et de stockage cloud personnels proches des événements de contrainte d’emploi.Data leaks for disgruntled users may include downloading files from SharePoint Online and copying data to personal cloud messaging and storage services near employment stressor events.

Lorsque vous utilisez ce modèle, vous devez également configurer un connecteur RH Microsoft 365 pour importer régulièrement des notifications d’amélioration des performances, un état d’évaluation des performances médiocres ou des informations de modification du niveau de travail pour les utilisateurs de votre organisation.When using this template, you must also configure a Microsoft 365 HR connector to periodically import performance improvement notifications, poor performance review status, or job level change information for users in your organization. Consultez l’article Importer des données avec le connecteur RH pour obtenir des instructions pas à pas pour configurer le connecteur RH Microsoft 365 pour votre organisation.See the Import data with the HR connector article for step-by-step guidance to configure the Microsoft 365 HR connector for your organization.

Violations générales de la stratégie de sécurité (aperçu)General security policy violations (preview)

Dans de nombreuses organisations, les utilisateurs sont autorisés à installer des logiciels sur leurs appareils ou à modifier les paramètres de l’appareil pour faciliter leurs tâches.In many organizations, users have permission to install software on their devices or to modify device settings to help with their tasks. Par inadvertance ou avec une intention malveillante, les utilisateurs peuvent installer des programmes malveillants ou désactiver des fonctionnalités de sécurité importantes qui aident à protéger les informations sur leur appareil ou sur vos ressources réseau.Either inadvertently or with malicious intent, users may install malware or disable important security features that help protect information on their device or on your network resources. Ce modèle de stratégie utilise les alertes de sécurité de Microsoft Defender pour le point de terminaison pour commencer à marquer ces activités, ainsi que la détection de focus et les alertes sur cette zone de risque.This policy template uses security alerts from Microsoft Defender for Endpoint to start scoring these activities and focus detection and alerts to this risk area. Utilisez ce modèle pour fournir des informations sur les violations de stratégie de sécurité dans les scénarios où les utilisateurs peuvent avoir un historique de violations de stratégie de sécurité qui peuvent être un indicateur de risque interne.Use this template to provide insights for security policy violations in scenarios when users may have a history of security policy violations that may be an indicator of insider risk.

Microsoft Defender pour point de terminaison doit être configuré dans votre organisation et activer Defender pour le point de terminaison pour l’intégration de la gestion des risques internes dans le Centre de sécurité Defender pour importer les alertes de violation de sécurité.You'll need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Pour plus d’informations sur la configuration de Defender pour Endpoint pour l’intégration de la gestion des risques internes, voir Configurer des fonctionnalités avancées dans Defender pour Endpoint.For more information on configuring Defender for Endpoint for insider risk management integration, see Configure advanced features in Defender for Endpoint.

Violations de stratégie de sécurité par les utilisateurs qui quittent le site (aperçu)Security policy violations by departing users (preview)

Les utilisateurs sortants, qu’ils s’en vont dans des conditions positives ou négatives, peuvent être plus à risque pour les violations de stratégie de sécurité.Departing users, whether leaving on positive or negative terms, may be higher risks for security policy violations. Pour vous protéger contre les violations de sécurité accidentelles ou malveillantes pour les utilisateurs qui quittent l’entreprise, ce modèle de stratégie utilise les alertes Defender for Endpoint pour fournir des informations sur les activités liées à la sécurité.To help protect against inadvertent or malicious security violations for departing users, this policy template uses Defender for Endpoint alerts to provide insights into security-related activities. Ces activités incluent l’installation de programmes malveillants ou d’autres applications potentiellement dangereuses par l’utilisateur et la désactivation des fonctionnalités de sécurité sur leurs appareils.These activities include the user installing malware or other potentially harmful applications and disabling security features on their devices. À l’aide du connecteur Microsoft 365 HR ou de l’option de surveillance automatique de la suppression de compte d’utilisateur dans Azure Active Directory pour votre organisation, ce modèle démarre l’évaluation des indicateurs de risque relatifs à ces activités de sécurité et leur corrélation avec l’état d’emploi des utilisateurs.By using either the Microsoft 365 HR connector or the option to automatically monitor for user account deletion in Azure Active Directory for your organization, this template starts scoring for risk indicators relating to these security activities and how they correlate with user employment status.

Microsoft Defender pour point de terminaison doit être configuré dans votre organisation et activer Defender pour le point de terminaison pour l’intégration de la gestion des risques internes dans le Centre de sécurité Defender pour importer les alertes de violation de sécurité.You'll need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Pour plus d’informations sur la configuration de Defender pour Endpoint pour l’intégration de la gestion des risques internes, voir Configurer des fonctionnalités avancées dans Defender pour Endpoint.For more information on configuring Defender for Endpoint for insider risk management integration, see Configure advanced features in Defender for Endpoint.

Violations de stratégie de sécurité par les utilisateurs prioritaires (aperçu)Security policy violations by priority users (preview)

La protection contre les violations de sécurité pour les utilisateurs de votre organisation peut dépendre de leur position, du niveau d’accès aux informations sensibles ou de l’historique des risques.Protecting against security violations for users in your organization may depend on their position, level of access to sensitive information, or risk history. Étant donné que les violations de sécurité par les utilisateurs prioritaires peuvent avoir un impact significatif sur les zones critiques de votre organisation, ce modèle de stratégie commence à marquer ces indicateurs et utilise les alertes microsoft Defender pour les points de terminaison pour fournir des informations sur les activités liées à la sécurité pour ces utilisateurs.Because security violations by priority users may have a significant impact on your organization's critical areas, this policy template starts scoring on these indicators and uses Microsoft Defender for Endpoint alerts to provide insights into security-related activities for these users. Ces activités peuvent inclure la priorité des utilisateurs qui installent des programmes malveillants ou d’autres applications potentiellement dangereuses et désactivent les fonctionnalités de sécurité sur leurs appareils.These activities may include the priority users installing malware or other potentially harmful applications and disabling security features on their devices. Les utilisateurs prioritaires sont définis dans les groupes d’utilisateurs prioritaires configurés dans la zone des paramètres de gestion des risques internes.Priority users are defined in priority user groups configured in the insider risk management settings area.

Microsoft Defender pour point de terminaison doit être configuré dans votre organisation et activer Defender pour le point de terminaison pour l’intégration de la gestion des risques internes dans le Centre de sécurité Defender pour importer les alertes de violation de sécurité.You'll need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Pour plus d’informations sur la configuration de Defender pour Endpoint pour l’intégration de la gestion des risques internes, voir Configurer des fonctionnalités avancées dans Defender pour Endpoint.For more information on configuring Defender for Endpoint for insider risk management integration, see Configure advanced features in Defender for Endpoint. En outre, vous devez affecter à la stratégie des groupes d’utilisateurs prioritaires créés dans les > paramètres de gestion des risques > internes.Additionally, you will need to assign priority user groups created in Insider risk management > Settings > Priority user groups to the policy.

Violations de stratégie de sécurité par les utilisateurs non résusés (aperçu)Security policy violations by disgruntled users (preview)

Les utilisateurs qui sont exposés à des contraintes d’emploi peuvent être plus à risque de violations accidentelles ou malveillantes de la stratégie de sécurité.Users that experience employment stressors may be at a higher risk for inadvertent or malicious security policy violations. Ces stresseurs peuvent inclure l’utilisateur placé sur un plan d’amélioration des performances, l’état de l’évaluation des performances médiocres ou le fait d’être rétrogradé de sa position actuelle.These stressors may include the user being placed on a performance improvement plan, poor performance review status, or being demoted from their current position. Ce modèle de stratégie démarre l’évaluation des risques en fonction de ces indicateurs et activités associés à ces événements pour ces utilisateurs.This policy template starts risk scoring based on these indicators and activities associated with these events for these users.

Lorsque vous utilisez ce modèle, vous devez également configurer un connecteur RH Microsoft 365 pour importer régulièrement des notifications d’amélioration des performances, un état d’évaluation des performances médiocres ou des informations de modification du niveau de travail pour les utilisateurs de votre organisation.When using this template, you must also configure a Microsoft 365 HR connector to periodically import performance improvement notifications, poor performance review status, or job level change information for users in your organization. Consultez l’article Importer des données avec le connecteur RH pour obtenir des instructions pas à pas pour configurer le connecteur RH Microsoft 365 pour votre organisation.See the Import data with the HR connector article for step-by-step guidance to configure the Microsoft 365 HR connector for your organization.

Microsoft Defender pour point de terminaison doit également être configuré dans votre organisation et activer Defender pour endpoint pour l’intégration de la gestion des risques internes dans le Centre de sécurité Defender pour importer les alertes de violation de la sécurité.You'll also need to have Microsoft Defender for Endpoint configured in your organization and enable Defender for Endpoint for insider risk management integration in the Defender Security Center to import security violation alerts. Pour plus d’informations sur la configuration de Defender pour Endpoint pour l’intégration de la gestion des risques internes, voir Configurer des fonctionnalités avancées dans Defender pour Endpoint.For more information on configuring Defender for Endpoint for insider risk management integration, see Configure advanced features in Defender for Endpoint.

Conditions préalables du modèle de stratégie et déclenchement d’événementsPolicy template prerequisites and triggering events

Selon le modèle que vous choisissez pour une stratégie de gestion des risques internes, les événements de déclenchement et les conditions préalables à la stratégie varient.Depending on the template you choose for an insider risk management policy, the triggering events and policy prerequisites vary. Le déclenchement d’événements est une condition préalable qui détermine si un utilisateur est actif pour une stratégie de gestion des risques internes.Triggering events are prerequisites that determine if a user is active for an insider risk management policy. Si un utilisateur est ajouté à une stratégie de gestion des risques internes mais n’a pas d’événement déclencheur, l’activité de l’utilisateur n’est pas évaluée par la stratégie, sauf s’il est ajouté manuellement dans le tableau de bord Utilisateurs.If a user is added to an insider risk management policy but does not have a triggering event, the user activity is not evaluated by the policy unless they are manually added in the Users dashboard. Les conditions préalables à la stratégie sont des éléments obligatoires afin que la stratégie reçoine les signaux ou les activités nécessaires pour évaluer les risques.Policy prerequisites are required items so that the policy receives the signals or activities necessary to evaluate risk.

Le tableau suivant répertorie les événements déclencheurs et les conditions préalables pour les stratégies créées à partir de chaque modèle de stratégie de gestion des risques internes :The following table lists the triggering events and prerequisites for policies created from each insider risk management policy template:

Modèle de stratégiePolicy template Déclenchement d’événements pour des stratégiesTriggering events for policies Configuration requisePrerequisites
Vol de données par des utilisateurs qui quittent le siteData theft by departing users Indicateur de date de départ ou de résiliation à partir d’un connecteur RHResignation or termination date indicator from HR connector (facultatif) Connecteur Microsoft 365 HR configuré pour les indicateurs de date de résiliation et d’anniversaire ou l’intégration Azure Active Directory activée(optional) Microsoft 365 HR connector configured for termination and resignation date indicators or Azure Active Directory integration enabled
Fuites générales de donnéesGeneral data leaks Activité de stratégie de fuite de données qui crée une alerte de gravité élevéeData leak policy activity that creates a High severity alert (facultatif) Stratégie DLP configurée pour les alertes de gravité élevée ou l’événement déclencheur d’exfiltration de données intégrées(optional) DLP policy configured for High severity alerts or built-in data exfiltration triggering event
Fuites de données par utilisateurs prioritairesData leaks by priority users Activité de stratégie de fuite de données qui crée une alerte de gravité élevée ou des déclencheurs d’événements d’exfiltration intégrésData leak policy activity that creates a High severity alert or built-in exfiltration event triggers (facultatif) Stratégie DLP configurée pour les alertes de gravité élevée(optional) DLP policy configured for High severity alerts

Groupes d’utilisateurs prioritaires configurés dans les paramètres de risque internesPriority user groups configured in insider risk settings
Fuites de données par des utilisateurs non régruntsData leaks by disgruntled users Amélioration des performances, performances médiocres ou indicateurs de changement de niveau de travail à partir du connecteur RHPerformance improvement, poor performance, or job level change indicators from HR connector Connecteur Microsoft 365 HR configuré pour les indicateurs de désgruntlementMicrosoft 365 HR connector configured for disgruntlement indicators
Violations générales de la stratégie de sécuritéGeneral security policy violations Défense de contrôles de sécurité ou de logiciels indésirables détectés par Microsoft Defender pour le point de terminaisonDefensive evasion of security controls or unwanted software detected by Microsoft Defender for Endpoint Abonnement Microsoft Defender pour point de terminaison actifActive Microsoft Defender for Endpoint subscription

Intégration de Microsoft Defender for Endpoint au Centre de conformité Microsoft 365 configuréMicrosoft Defender for Endpoint integration with Microsoft 365 compliance center configured
Violations de la stratégie de sécurité par les utilisateurs qui quittent le siteSecurity policy violations by departing users Indicateurs de date de départ ou de résiliation à partir d’un connecteur RH ou d’une suppression de compte Azure Active DirectoryResignation or termination date indicators from HR connector or Azure Active Directory account deletion (facultatif) Connecteur Microsoft 365 HR configuré pour les indicateurs de date de résiliation et d’avant-première(optional) Microsoft 365 HR connector configured for termination and resignation date indicators

Abonnement Microsoft Defender pour point de terminaison actifActive Microsoft Defender for Endpoint subscription

Intégration de Microsoft Defender for Endpoint au Centre de conformité Microsoft 365 configuréMicrosoft Defender for Endpoint integration with Microsoft 365 compliance center configured
Violations de stratégie de sécurité par les utilisateurs prioritairesSecurity policy violations by priority users Défense de contrôles de sécurité ou de logiciels indésirables détectés par Microsoft Defender pour le point de terminaisonDefensive evasion of security controls or unwanted software detected by Microsoft Defender for Endpoint Abonnement Microsoft Defender pour point de terminaison actifActive Microsoft Defender for Endpoint subscription

Intégration de Microsoft Defender for Endpoint au Centre de conformité Microsoft 365 configuréMicrosoft Defender for Endpoint integration with Microsoft 365 compliance center configured

Groupes d’utilisateurs prioritaires configurés dans les paramètres de risque internesPriority user groups configured in insider risk settings
Violations de la stratégie de sécurité par un utilisateur non régruntSecurity policy violations by disgruntled user Amélioration des performances, performances médiocres ou indicateurs de changement de niveau de travail à partir du connecteur RHPerformance improvement, poor performance, or job level change indicators from HR connector Connecteur Microsoft 365 HR configuré pour les indicateurs de désgruntlementMicrosoft 365 HR connector configured for disgruntlement indicators

Abonnement Microsoft Defender pour point de terminaison actifActive Microsoft Defender for Endpoint subscription

Intégration de Microsoft Defender for Endpoint au Centre de conformité Microsoft 365 configuréMicrosoft Defender for Endpoint integration with Microsoft 365 compliance center configured

Hiérarchiser le contenu dans les stratégiesPrioritize content in policies

Les stratégies de gestion des risques internes prendre en charge la spécification d’une priorité plus élevée pour le contenu en fonction de l’endroit où il est stocké ou de la façon dont il est classé.Insider risk management policies support specifying a higher priority for content depending on where it is stored or how it is classified. La spécification du contenu comme priorité augmente le score de risque pour toute activité associée, ce qui augmente à son tour le risque de génération d’une alerte de gravité élevée.Specifying content as a priority increases the risk score for any associated activity, which in turn increases the chance of generating a high severity alert. Toutefois, certaines activités ne génèrent aucune alerte, sauf si le contenu associé contient des types d’informations sensibles intégrés ou personnalisés ou a été spécifié en tant que priorité dans la stratégie.However, some activities won't generate an alert at all unless the related content contains built-in or custom sensitive info types or was specified as a priority in the policy.

Par exemple, votre organisation dispose d’un site SharePoint dédié pour un projet hautement confidentiel.For example, your organization has a dedicated SharePoint site for a highly confidential project. Les fuites de données pour les informations dans ce site SharePoint peuvent compromettre le projet et avoir un impact significatif sur son succès.Data leaks for information in this SharePoint site could compromise the project and would have a significant impact on its success. En hiér donc sur ce site SharePoint dans une stratégie de fuites de données, les scores de risque pour les activités éligibles sont automatiquement augmentés.By prioritizing this SharePoint site in a Data leaks policy, risk scores for qualifying activities are automatically increased. Cette hiér donc augmente la probabilité que ces activités génèrent une alerte de risque interne et augmente le niveau de gravité de l’alerte.This prioritization increases the likelihood that these activities generate an insider risk alert and raises the severity level for the alert.

Lorsque vous créez une stratégie de gestion des risques internes dans l’Assistant Stratégie, vous pouvez choisir parmi les priorités suivantes :When you create an insider risk management policy in the policy wizard, you can choose from the following priorities:

  • Sites SharePoint: toute activité associée à tous les types de fichiers dans les sites SharePoint définis se voit attribuer un score de risque plus élevé.SharePoint sites: Any activity associated with all file types in defined SharePoint sites is assigned a higher risk score.
  • Types d’informations sensibles: toute activité associée au contenu qui contient des types d’informations sensibles se voit attribuer un score de risque plus élevé.Sensitive information types: Any activity associated with content that contains sensitive information types are assigned a higher risk score.
  • Étiquettes de sensibilité: toute activité associée à du contenu avec des étiquettes de sensibilité spécifiques est affectée d’un score de risque plus élevé.Sensitivity labels: Any activity associated with content that has specific sensitivity labels applied are assigned a higher risk score.

Détection de séquence (aperçu)Sequence detection (preview)

Les activités risquées peuvent ne pas se produire en tant qu’événements isolés.Risky activities may not occur as isolated events. Ces risques font souvent partie d’une séquence d’événements plus importante.These risks are frequently part of a larger sequence of events. Une séquence est un groupe d’au moins deux activités utilisateur effectuées l’une après l’autre et qui peut suggérer un risque élevé.A sequence is a group of two or more user activities performed one after the other that might suggest an elevated risk. L’identification de ces activités connexes est une partie importante de l’évaluation du risque global.Identifying these related activities is an important part of evaluating overall risk. Lorsque la détection de séquence est activée pour le vol de données ou les stratégies de fuite de données, les informations provenant des activités d’informations de séquence sont affichées sous l’onglet Activité de l’utilisateur dans un cas de gestion des risques internes.When sequence detection is enabled for data theft or data leaks policies, insights from sequence information activities are displayed on the User activity tab within an insider risk management case. Les modèles de stratégie suivants prise en charge la détection de séquence :The following policy templates support sequence detection:

  • Vol de données par des utilisateurs qui quittent le siteData theft by departing users
  • Fuites générales de donnéesGeneral data leaks
  • Fuites de données par utilisateurs prioritairesData leaks by priority users
  • Fuites de données par des utilisateurs non régruntsData leaks by disgruntled users

Ces stratégies de gestion des risques internes peuvent utiliser des indicateurs spécifiques et l’ordre où elles se produisent pour détecter chaque étape dans une séquence de risques.These insider risk management policies can use specific indicators and the order that they occur to detect each step in a sequence of risk. Les noms de fichiers sont utilisés lors du mappage d’activités sur une séquence.File names are used when mapping activities across a sequence. Ces risques sont organisés en quatre catégories principales d’activité :These risks are organized into four main categories of activity:

  • Collection : ces signaux de catégorie se concentrent sur les activités de téléchargement par les utilisateurs de stratégies dans l’étendue.Collection: These category signals focus on download activities by in-scope policy users. Un exemple d’activité dans cette catégorie serait le téléchargement de fichiers à partir de sites SharePoint.An example activity in this category would be downloading files from SharePoint sites.
  • Exfiltration : ces signaux de catégorie se concentrent sur les activités de partage ou d’extraction à des sources internes et externes par les utilisateurs de stratégies dans l’étendue.Exfiltration: These category signals focus on sharing or extraction activities to internal and external sources by in-scope policy users. Un exemple d’activité dans cette catégorie serait l’envoi de messages électroniques avec des pièces jointes de votre organisation à des destinataires externes.An example activity in this category would be sending emails with attachments from your organization to external recipients.
  • Obfuscation: ces signaux de catégorie se concentrent sur le masquage des activités risquées par les utilisateurs de stratégies dans l’étendue.Obfuscation: These category signals focus on the masking of risky activities by in-scope policy users. Un exemple d’activité dans cette catégorie serait le changement de nom des fichiers sur un appareil.An example activity in this category would be renaming files on a device.
  • Nettoyage : ces signaux de catégorie se concentrent sur les activités de suppression par les utilisateurs de stratégies dans l’étendue.Clean-up: These category signals focus on deletion activities by in-scope policy users. Un exemple d’activité dans cette catégorie serait la suppression de fichiers d’un appareil.An example activity in this category would be deleting files from a device.

Notes

La détection de séquences utilise des indicateurs activés dans les paramètres globaux pour la gestion des risques internes et les indicateurs sélectionnés dans une stratégie.Sequence detection uses indicators that are enabled in the global settings for insider risk management and indicators that are selected in a policy. Si les indicateurs appropriés ne sont pas sélectionnés, la détection de séquence ne fonctionne pas.If appropriate indicators are not selected, sequence detection will not work.

Vous pouvez personnaliser les paramètres de seuil individuels pour chaque type de détection de séquence lorsqu’il est configuré dans la stratégie.You can customize individual threshold settings for each sequence detection type when configured in the policy. Ces paramètres de seuil ajustent les alertes en fonction du volume de fichiers associé à la séquence.These threshold settings adjust alerts based on the volume of files associated with the sequence.

Pour en savoir plus sur la gestion de la détection de séquences dans l’affichage Activité de l’utilisateur, consultez Les cas de gestion des risques internes : activité de l’utilisateur.To learn more about sequence detection management in the User activity view, see Insider risk management cases: User activity.

Détection d’exfiltration cumulative (aperçu)Cumulative exfiltration detection (preview)

Les indicateurs de risque interne permettent d’identifier les niveaux inhabituels d’activités à risque lorsqu’ils sont évalués quotidiennement pour les utilisateurs qui sont dans le cadre de stratégies de risque internes.Insider risk indicators help identify unusual levels of risk activities when evaluated daily for users that are in-scope for insider risk policies. La détection d’exfiltration cumulative utilise des modèles d’apprentissage automatique pour vous aider à identifier quand les activités d’exfiltration des utilisateurs dépassent les moyennes organisationnelles mesurées au fil du temps et sur plusieurs types d’activité d’exfiltration.Cumulative exfiltration detection uses machine learning models to help you identify when user exfiltration activities exceed the organizational averages when measured over time and over multiple exfiltration activity types. Les analystes et enquêteurs de la gestion des risques internes peuvent utiliser les informations de détection d’exfiltration cumulatives pour vous aider à identifier les activités d’exfiltration qui ne génèrent généralement pas d’alertes, mais qui sont au-dessus de ce qui est typique pour leur organisation.Insider risk management analysts and investigators may use cumulative exfiltration detection insights to help identify exfiltration activities that may not typically generate alerts but are above what is typical for their organization. Certains exemples peuvent être les utilisateurs qui quittent lentement l’exfiltrate de données sur une plage de jours, ou lorsque les utilisateurs partagent à plusieurs reprises des données sur plusieurs canaux plus que d’habitude pour le partage de données pour votre organisation.Some examples may be departing users slowly exfiltrate data across a range of days, or when users repeatedly share data across multiple channels more than usual for data sharing for your organization.

La détection d’exfiltration cumulative est activée par défaut lorsque vous utilisez les modèles de stratégie suivants :Cumulative exfiltration detection is enabled by default when using the following policy templates:

  • Vol de données par des utilisateurs qui quittent le siteData theft by departing users
  • Fuites générales de donnéesGeneral data leaks
  • Fuites de données par utilisateurs prioritairesData leaks by priority users
  • Fuites de données par des utilisateurs non régruntsData leaks by disgruntled users

Notes

La détection d’exfiltration cumulative utilise des indicateurs d’exfiltration activés dans les paramètres globaux pour la gestion des risques internes et les indicateurs d’exfiltration sélectionnés dans une stratégie.Cumulative exfiltration detection uses exfiltration indicators that are enabled in the global settings for insider risk management and exfiltration indicators that are selected in a policy. En tant que tel, la détection d’exfiltration cumulative n’est évaluée que pour les indicateurs d’exfiltration nécessaires sélectionnés.As such, cumulative exfiltration detection is only evaluated for the necessary exfiltration indicators selected.

Lorsque la détection d’exfiltration cumulative est activée pour le vol de données ou les stratégies de fuite de données, les informations des activités d’exfiltration cumulatives sont affichées sous l’onglet Activité de l’utilisateur dans un cas de gestion des risques internes.When cumulative exfiltration detection is enabled for data theft or data leak policies, insights from cumulative exfiltration activities are displayed on the User activity tab within an insider risk management case.

Pour en savoir plus sur la gestion des activités des utilisateurs, consultez les cas de gestion des risques internes : activités des utilisateurs.To learn more about the User activity management, see Insider risk management cases: User activities.

État de la stratégie (aperçu)Policy health (preview)

L’état d’état de la stratégie vous donne des informations sur les problèmes potentiels avec vos stratégies de gestion des risques internes.The policy health status gives you insights into potential issues with your insider risk management policies. La colonne État de l’onglet Stratégies peut vous alerter sur les problèmes de stratégies qui peuvent empêcher les activités des utilisateurs d’être signalées ou sur la raison pour laquelle le nombre d’alertes d’activité est inhabituel.The Status column on the Policies tab can alert you to policies issues that may prevent user activity from being reported or why the number of activity alerts is unusual. L’état d’état de la stratégie peut également confirmer que la stratégie est saine et n’a pas besoin d’attention ou de modifications de configuration.The policy health status can also confirm that the policy is healthy and doesn't need attention or configuration changes.

S’il existe des problèmes avec une stratégie, l’état d’état d’état de la stratégie affiche des avertissements de notification et des recommandations pour vous aider à prendre des mesures pour résoudre les problèmes de stratégie.If there are issues with a policy, the policy health status displays notification warnings and recommendations to help you take action to resolve policy issues. Ces notifications peuvent vous aider à résoudre les problèmes suivants :These notifications can help you resolve the following issues:

  • Stratégies avec configuration incomplète.Policies with incomplete configuration. Ces problèmes peuvent inclure des utilisateurs ou des groupes manquants dans la stratégie ou d’autres étapes de configuration de stratégie incomplètes.These issues may include missing users or groups in the policy or other incomplete policy configuration steps.
  • Stratégies avec des problèmes de configuration des indicateurs.Policies with indicator configuration issues. Les indicateurs sont une partie importante de chaque stratégie.Indicators are an important part of each policy. Si les indicateurs ne sont pas configurés ou si trop peu d’indicateurs sont sélectionnés, la stratégie risque de ne pas évaluer les activités risquées comme prévu.If indicators aren't configured, or if too few indicators are selected, the policy may not evaluate risky activities as expected.
  • Les déclencheurs de stratégie ne fonctionnent pas ou les exigences de déclencheur de stratégie ne sont pas correctement configurées.Policy triggers aren't working, or policy trigger requirements aren't properly configured. La fonctionnalité de stratégie peut dépendre d’autres services ou exigences de configuration pour détecter efficacement les événements déclenchant l’attribution du score de risque aux utilisateurs de la stratégie.Policy functionality may depend on other services or configuration requirements to effectively detect triggering events to activate risk score assignment to users in the policy. Ces dépendances peuvent inclure des problèmes avec la configuration du connecteur, le partage d’alertes Microsoft Defender for Endpoint ou les paramètres de configuration de stratégie de protection contre la perte de données.These dependencies may include issues with connector configuration, Microsoft Defender for Endpoint alert sharing, or data loss prevention policy configuration settings.
  • Les limites de volume sont proches ou au-dessus des limites.Volume limits are nearing or over limits. Les stratégies de gestion des risques internes utilisent de nombreux services et points de terminaison Microsoft 365 pour agréger les signaux d’activité de risque.Insider risk management policies use numerous Microsoft 365 services and endpoints to aggregate risk activity signals. Selon le nombre d’utilisateurs dans vos stratégies, les limites de volume peuvent retarder l’identification et la signalement des activités de risque.Depending on the number of users in your policies, volume limits may delay identification and reporting of risk activities. En savoir plus sur ces limites dans la section Limites des modèles de stratégie de cet article.Learn more about these limits in the Policy template limits section of this article.

Pour afficher rapidement l’état d’état d’une stratégie, accédez à l’onglet Stratégie et à la colonne État.To quickly view the health status for a policy, navigate the Policy tab and the Status column. Vous verrez ici les options d’état d’état de stratégie suivantes pour chaque stratégie :Here you will see the following policy health status options for each policy:

  • Sain : aucun problème n’a été identifié avec la stratégie.Healthy: No issues have been identified with the policy.
  • Recommandations : il existe certains problèmes avec la stratégie qui peuvent empêcher le fonctionnement de la stratégie comme prévu.Recommendations: There are some issues with the policy that may prevent the policy from operating as expected.
  • Avertissements : il existe des problèmes avec la stratégie qui l’empêchent d’identifier les activités à risque.Warnings: There are issues with the policy that will prevent it from identifying risky activities.

Pour plus d’informations sur les recommandations ou avertissements, sélectionnez une stratégie sous l’onglet Stratégie pour ouvrir la carte de détails de stratégie.For more details about any recommendations or warnings, select a policy on the Policy tab to open the policy details card. Plus d’informations sur les recommandations et les avertissements, y compris des conseils sur la façon de résoudre ces problèmes, seront affichés dans la section Notifications de la carte de détails.More information about the recommendations and warnings, including guidance on how to address these issues, will be displayed in the Notifications section of the details card.

État de la stratégie de gestion des risques internes

Utilisez le tableau suivant pour en savoir plus sur les recommandations, les notifications d’avertissement et les actions à prendre pour résoudre les problèmes potentiels.Use the following table to learn more about recommendations and warning notifications and actions to take to resolve potential issues.

Les messages de notificationNotification messages Modèles de stratégiePolicy templates Causes / Essayer cette action pour corrigerCauses / Try this action to fix
La stratégie n’affecte pas les scores de risque à l’activitéPolicy isn't assigning risk scores to activity Tous les modèles de stratégieAll policy templates Vous pouvez examiner l’étendue de votre stratégie et déclencher la configuration des événements afin que la stratégie puisse affecter des scores de risque à l’activitéYou may want to review your policy scope and triggering event configuration so that the policy can assign risk scores to activity

1. Examinez les utilisateurs sélectionnés pour la stratégie.1. Review the users that are selected for the policy. Si peu d’utilisateurs sont sélectionnés, vous pouvez sélectionner d’autres utilisateurs.If you have few users selected, you may want to select additional users.
2. Si vous utilisez un connecteur RH, vérifiez que votre connecteur RH envoie les données correctes.2. If you're using an HR connector, check that your HR connector is sending the correct data.
3. Si vous utilisez une stratégie DLP comme événement déclencheur, vérifiez la configuration de votre stratégie DLP pour vous assurer qu’elle est configurée pour être utilisée dans cette stratégie.3. If you're using a DLP policy as your triggering event, check your DLP policy configuration to ensure it is configured to be used in this policy.
4. Pour les stratégies de violation de la sécurité, examinez l’état de triage des alertes microsoft Defender pour le point de terminaison sélectionné dans les paramètres de risques internes > détections intelligentes.4. For security violation policies, review the Microsoft Defender for Endpoint alert triage status selected in Insider risk settings > Intelligent detections. Confirmez que le filtre d’alerte n’est pas trop étroit.Confirm that the alert filter isn't too narrow.
La stratégie n’a généré aucune alertePolicy hasn't generated any alerts Tous les modèles de stratégieAll policy templates Vous souhaitez peut-être passer en revue la configuration de votre stratégie afin d’analyser l’évaluation de l’activité qui vous intéresse.You may want to review your policy configuration so that you are analyzing the scoring the activity that you care about.

1. Confirmez que vous avez sélectionné les indicateurs que vous souhaitez scorer.1. Confirm that you've selected indicators that you want to score. Plus le nombre d’indicateurs sélectionnés est élevé, plus le nombre d’activités affectées est élevé.The more indicators selected, the more activities are assigned risk scores.
2. Examiner la personnalisation du seuil pour la stratégie.2. Review threshold customization for policy. Si les seuils sélectionnés ne s’alignent pas sur la tolérance de risque de votre organisation, ajustez les sélections de sorte que les alertes soient créées en fonction de vos seuils préférés.If the thresholds selected do not align with your organization's risk tolerance, adjust the selections so that alerts are created based on your preferred thresholds.
3. Examinez les utilisateurs et les groupes sélectionnés pour la stratégie.3. Review the users and groups selected for the policy. Confirmez que vous avez sélectionné tous les utilisateurs et groupes applicables.Confirm you've selected all of the applicable users and groups.
4. Pour les stratégies de violation de la sécurité, confirmez que vous avez sélectionné l’état de tri des alertes que vous souhaitez marquer pour les alertes de point de terminaison Microsoft Defender dans détections intelligentes dans les paramètres.4. For security violation policies, confirm you've selected the alert triage status that you want to score for Microsoft Defender for Endpoint alerts in Intelligent Detections in settings.
Aucun utilisateur ou groupe n’est inclus dans cette stratégieNo users or groups are included in this policy Tous les modèles de stratégieAll policy templates Les utilisateurs ou les groupes ne sont pas affectés à la stratégie.Users or groups aren't assigned to the policy.

Modifiez votre stratégie et sélectionnez des utilisateurs ou des groupes pour la stratégie.Edit your policy and select users or groups for the policy.
Aucun indicateur n’a été sélectionné pour cette stratégieNo indicators have been selected for this policy Tous les modèles de stratégieAll policy templates Les indicateurs n’ont pas été sélectionnés pour la stratégieIndicators haven't been selected for the policy

Modifiez votre stratégie et sélectionnez les indicateurs de stratégie appropriés pour la stratégie.Edit your policy and select appropriate policy indicators for the policy.
Aucun groupe d’utilisateurs prioritaires n’est inclus dans cette stratégieNo priority user groups are included in this policy - Fuites de données par les utilisateurs prioritaires- Data leaks by priority users
- Violations de stratégie de sécurité par les utilisateurs prioritaires- Security policy violations by priority users
Les groupes d’utilisateurs prioritaires ne sont pas affectés à la stratégie.Priority user groups aren't assigned to the policy.

Configurez les groupes d’utilisateurs prioritaires dans les paramètres de gestion des risques internes et attribuez des groupes d’utilisateurs prioritaires à la stratégie.Configure priority user groups in Insider risk management settings and assign priority user groups to the policy.
Aucun événement déclencheur n’a été sélectionné pour cette stratégieNo triggering event has been selected for this policy Tous les modèles de stratégieAll policy templates Un événement déclencheur n’est pas configuré pour la stratégieA triggering event isn't configured for the policy

Les scores de risque ne seront pas affectés aux activités de l’utilisateur tant que vous n’avez pas modifié la stratégie et sélectionné un événement déclencheur.Risk scores won't be assigned to user activities until you edit the policy and select a triggering event.
Le connecteur RH n’est pas configuré ou ne fonctionne pas comme prévuHR connector isn't configured or working as expected - Vol de données par un utilisateur qui quitte l’équipe- Data theft by departing user
- Violations de stratégie de sécurité par l’utilisateur qui quitte l’équipe- Security policy violations by departing user
- Fuites de données par des utilisateurs non régrunts- Data leaks by disgruntled users
- Violations de stratégie de sécurité par les utilisateurs non régrunts- Security policy violations by disgruntled users
Il existe un problème avec le connecteur RH.There is an issue with the HR connector.

1. Si vous utilisez un connecteur RH, vérifiez que votre connecteur RH envoie les données correctes1. If you're using an HR connector, check that your HR connector is sending correct data

OUOR

2. Sélectionnez l’événement déclencheur supprimé du compte Azure AD.2. Select the Azure AD account deleted triggering event.
Aucun appareil n’est intégréNo devices are onboarded - Vol de données par des utilisateurs qui quittent le site- Data theft by departing users
- Fuites générales de données- General data leaks
- Fuites de données par des utilisateurs non régrunts- Data leaks by disgruntled users
- Fuites de données par utilisateurs prioritaires- Data Leaks by priority users
Les indicateurs d’appareil sont sélectionnés, mais aucun appareil n’est intégré à Microsoft 365Device indicators are selected but there aren't any devices onboarded to the Microsoft 365

Vérifiez si les appareils sont intégrés et répondent aux exigences.Check whether devices are onboarded and meet requirements.
Le connecteur RH n’a pas téléchargé de données récemmentHR connector hasn't uploaded data recently - Vol de données par un utilisateur qui quitte l’équipe- Data theft by departing user
- Violations de stratégie de sécurité par l’utilisateur qui quitte l’équipe- Security policy violations by departing user
- Fuites de données par des utilisateurs non régrunts- Data leaks by disgruntled users
- Violations de stratégie de sécurité par les utilisateurs non régrunts- Security policy violations by disgruntled users
Le connecteur RH n’a pas importé de données depuis plus de 7 jours.HR connector has not imported data in more than 7 days.

Vérifiez que votre connecteur RH est configuré correctement et envoie des données.Check that your HR connector is configured correctly and sending data.
We are unable to check the status of your HR connector right now, please check again laterWe are unable to check the status of your HR connector right now, please check again later - Vol de données par un utilisateur qui quitte l’équipe- Data theft by departing user
- Violations de stratégie de sécurité par l’utilisateur qui quitte l’équipe- Security policy violations by departing user
- Fuites de données par des utilisateurs non régrunts- Data leaks by disgruntled users
- Violations de stratégie de sécurité par les utilisateurs non régrunts- Security policy violations by disgruntled users
La solution de gestion des risques internes ne peut pas vérifier l’état de votre connecteur RH.The insider risk management solution is unable to check the status of your HR connector.

Vérifiez que votre connecteur RH est configuré correctement et envoie des données, ou revenir et vérifier l’état de la stratégie.Check that your HR connector is configured correctly and sending data, or come back and check the policy status.
La stratégie DLP n’est pas sélectionnée comme événement déclencheurDLP policy isn't selected as the triggering event - Fuites générales de données- General Data leaks
- Fuites de données par les utilisateurs prioritaires- Data leaks by priority users
Une stratégie DLP n’a pas été sélectionnée en tant qu’événement déclencheur ou la stratégie DLP sélectionnée a été supprimée.A DLP policy has not been selected as a triggering event or the selected DLP policy has been deleted.

Modifiez la stratégie et sélectionnez une stratégie DLP active ou « L’utilisateur effectue une activité d’exfiltration » comme événement déclencheur dans la configuration de la stratégie.Edit the policy and either select an active DLP policy or 'User performs an exfiltration activity' as the triggering event in the policy configuration.
La stratégie DLP utilisée dans cette stratégie est désactivéeDLP policy used in this policy is turned off - Fuites générales de données- General Data leaks
- Fuites de données par les utilisateurs prioritaires- Data leaks by priority users
La stratégie DLP utilisée dans cette stratégie est désactivée.DLP policy used in this policy is turned off.

1. Activer la stratégie DLP affectée à cette stratégie.1. Turn the DLP policy assigned to this policy on.

OUOR

2. Modifiez cette stratégie et sélectionnez une nouvelle stratégie DLP ou « L’utilisateur effectue une activité d’exfiltration » comme événement déclencheur dans la configuration de la stratégie.2. Edit this policy and either select a new DLP policy or 'User performs an exfiltration activity' as the triggering event in the policy configuration.
La stratégie DLP ne répond pas aux exigencesDLP policy doesn't meet requirements - Fuites générales de données- General Data leaks
- Fuites de données par les utilisateurs prioritaires- Data leaks by priority users
Les stratégies DLP utilisées comme déclencheurs d’événements doivent être configurées pour générer des alertes de gravité élevée.DLP policies used as triggering events must be configured to generate high severity alerts.

1. Modifiez votre stratégie DLP pour affecter des alertes applicables en tant que gravité élevée.1. Edit your DLP policy to assign applicable alerts as High severity.

OUOR

2. Modifiez cette stratégie et sélectionnez User effectue une activité d’exfiltration en tant qu’événement déclencheur.2. Edit this policy and select User performs an exfiltration activity as the triggering event.
Votre organisation n’a pas d’abonnement Microsoft Defender pour les points de terminaisonYour organization doesn't have a Microsoft Defender for Endpoint subscription - Violations générales de la stratégie de sécurité- General security policy violations
- Violations de stratégie de sécurité par les utilisateurs qui quittent l’équipe- Security policy violations by departing users
- Violations de stratégie de sécurité par les utilisateurs non régrunts- Security policy violations by disgruntled users
- Violations de stratégie de sécurité par les utilisateurs prioritaires- Security policy violations by priority users
Un abonnement Microsoft Defender pour point de terminaison actif n’a pas été détecté pour votre organisation.An active Microsoft Defender for Endpoint subscription wasn't detected for your organization.

Tant qu’un abonnement Microsoft Defender pour point de terminaison n’est pas ajouté, ces stratégies n’affectent pas de scores de risque à l’activité de l’utilisateur.Until a Microsoft Defender for Endpoint subscription is added, these policies won't assign risk scores to user activity.
Les alertes microsoft Defenders pour les points de terminaison ne sont pas partagées avec le centre de conformitéMicrosoft Defenders for Endpoint alerts aren't being shared with the compliance center - Violations générales de la stratégie de sécurité- General security policy violations
- Violations de stratégie de sécurité par les utilisateurs qui quittent l’équipe- Security policy violations by departing users
- Violations de stratégie de sécurité par les utilisateurs non régrunts- Security policy violations by disgruntled users
- Violations de stratégie de sécurité par les utilisateurs prioritaires- Security policy violations by priority users
Les alertes Microsoft Defender pour les points de terminaison ne sont pas partagées avec le centre de conformité.Microsoft Defender for Endpoint alerts aren't being shared with the compliance center.

Configurer le partage de Microsoft Defender pour les alertes de point de terminaison.Configure sharing of Microsoft Defender for Endpoint alerts.
Vous approchez de la limite maximale d’utilisateurs activement marqués pour ce modèle de stratégie.You are approaching the maximum limit of users being actively scored for this policy template. Tous les modèles de stratégieAll policy templates Chaque modèle de stratégie a un nombre maximal d’utilisateurs dans l’étendue.Each policy template has a maximum number of in-scope users. Consultez les détails de la section limite des modèles.See the template limit section details.

Examinez les utilisateurs de l’onglet Utilisateurs et supprimez tous les utilisateurs qui n’ont plus besoin d’être notés.Review the users in the Users tab and remove any users who do not need to be scored anymore.

Limites des modèles de stratégiePolicy template limits

Les modèles de stratégie de gestion des risques internes utilisent des limites pour gérer le volume et le taux de traitement des activités de risque utilisateur dans l’étendue et la façon dont ce processus est intégré à la prise en charge des services Microsoft 365.Insider risk management policy templates use limits to manage the volume and rate of processing for in-scope user risk activities and how this process is integrated with supporting Microsoft 365 services. Chaque modèle de stratégie dispose d’un nombre maximal d’utilisateurs qui peuvent se voir attribuer activement des scores de risque pour la stratégie qu’il peut prendre en charge, traiter et signaler efficacement les activités de risque.Each policy template has a maximum number of users that can be actively assigned risk scores for the policy that it can support and effectively process and report risk activities. Les utilisateurs dans l’étendue sont des utilisateurs qui déclenchent des événements pour la stratégie.In-scope users are users with triggering events for the policy.

La limite pour chaque stratégie est calculée en fonction du nombre total d’utilisateurs uniques recevant des scores de risque par type de modèle de stratégie.The limit for each policy is calculated based on the total number of unique users receiving risk scores per policy template type. Si le nombre d’utilisateurs pour un type de modèle de stratégie est proche ou dépasse la limite utilisateur, les performances de la stratégie seront réduites.If the number of users for a policy template type is near or exceeds the user limit, the policy performance will be reduced. Pour afficher le nombre actuel d’utilisateurs pour une stratégie, accédez à l’onglet Stratégie et à la colonne Utilisateurs dans l’étendue.To view the current number of users for a policy, navigate to the Policy tab and the Users in scope column. Vous pouvez avoir jusqu’à cinq stratégies pour n’importe quel modèle de stratégie.You may have up to five policies for any policy template. Ces limites maximales s’appliquent aux utilisateurs de toutes les stratégies à l’aide d’un modèle de stratégie donné.These maximum limits apply to users across all policies using a given policy template.

Utilisez le tableau suivant pour déterminer le nombre maximal d’utilisateurs dans l’étendue pris en charge pour chaque modèle de stratégie :Use the following table to determine the maximum number of in-scope users supported for each policy template:

Modèle de stratégiePolicy template Nombre maximal d’utilisateurs actuels dans l’étendueCurrent in-scope user maximum
Fuite générale de donnéesGeneral data leak 15 00015,000
Fuite de données par des utilisateurs non régruntsData leak by disgruntled users 7,5007,500
Fuite de données par les utilisateurs prioritairesData leak by priority users 1 0001,000
Vol de données par des utilisateurs qui quittent le siteData theft by departing users 20,00020,000
Violations générales de la stratégie de sécuritéGeneral security policy violations 1 0001,000
Violation de la stratégie de sécurité par les utilisateurs prioritairesSecurity policy violation by priority users 1 0001,000
Violations de la stratégie de sécurité par les utilisateurs qui quittent le siteSecurity policy violations by departing users 15 00015,000
Violations de stratégie de sécurité par les utilisateurs non résusésSecurity policy violations by disgruntled users 7,5007,500

Créer une stratégieCreate a new policy

Pour créer une stratégie de gestion des risques internes, vous allez utiliser l’Assistant Stratégie dans la solution de gestion des risques internes dans le Centre de conformité Microsoft 365.To create a new insider risk management policy, you'll use the policy wizard in Insider risk management solution in the Microsoft 365 compliance center.

Pour créer une stratégie, vous pouvez effectuer les étapes suivantes :Complete the following steps to create a new policy:

  1. Dans le Centre de conformité Microsoft 365,allez à La gestion des risques internes et sélectionnez l’onglet Stratégies.In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.

  2. Sélectionnez Créer une stratégie pour ouvrir l’Assistant Stratégie.Select Create policy to open the policy wizard.

  3. Dans la page Modèle de stratégie, choisissez une catégorie de stratégie, puis sélectionnez le modèle pour la nouvelle stratégie.On the Policy template page, choose a policy category and then select the template for the new policy. Ces modèles sont composés de conditions et d’indicateurs qui définissent les activités de risque que vous souhaitez détecter et examiner.These templates are made up of conditions and indicators that define the risk activities you want to detect and investigate. Examinez les conditions préalables du modèle, le déclenchement d’événements et les activités détectées pour vérifier que ce modèle de stratégie répond à vos besoins.Review the template prerequisites, triggering events, and detected activities to confirm this policy template fits your needs.

    Important

    Certains modèles de stratégie ont des conditions préalables qui doivent être configurées pour que la stratégie génère des alertes pertinentes.Some policy templates have prerequisites that must be configured for the policy to generate relevant alerts. Si vous n’avez pas configuré les conditions préalables de stratégie applicables, consultez l’étape 4 ci-dessus.If you haven't configured the applicable policy prerequisites, see Step 4 above.

  4. Sélectionnez Suivant pour continuer.Select Next to continue.

  5. Dans la page Nom et description, remplissez les champs suivants :On the Name and description page, complete the following fields:

    • Nom (obligatoire): entrez un nom convivial pour la stratégie.Name (required): Enter a friendly name for the policy. Ce nom ne peut pas être modifié après la création de la stratégie.This name cannot be changed after the policy is created.
    • Description (facultative): entrez une description de la stratégie.Description (optional): Enter a description for the policy.
  6. Sélectionnez Suivant pour continuer.Select Next to continue.

  7. Dans la page Utilisateurs et groupes, sélectionnez Inclure tous les utilisateurs et groupes ou Inclure des utilisateurs et des groupes spécifiques pour définir quels utilisateurs ou groupes sont inclus dans la stratégie, ou si vous avez choisi un modèle basé sur les utilisateurs prioritaires . sélectionnez Ajouter ou modifier des groupes d’utilisateurs prioritaires.On the Users and groups page, select Include all users and groups or Include specific users and groups to define which users or groups are included in the policy, or if you've chosen a priority users-based template; select Add or edit priority user groups. La sélection Inclure tous les utilisateurs et groupes recherchera le déclenchement d’événements pour tous les utilisateurs et groupes de votre organisation afin de commencer à attribuer des scores de risque pour la stratégie.Selecting Include all users and groups will look for triggering events for all users and groups in your organization to start assigning risk scores for the policy. La sélection inclure des utilisateurs et des groupes spécifiques vous permet de définir les utilisateurs et les groupes à affecter à la stratégie.Selecting Include specific users and groups allows you to define which users and groups to assign to the policy.

  8. Sélectionnez Suivant pour continuer.Select Next to continue.

  9. Dans la page Contenu à hiérarchiser, vous pouvez affecter (si nécessaire) les sources à hiérarchiser, ce qui augmente le risque de générer une alerte de gravité élevée pour ces sources.On the Content to prioritize page, you can assign (if needed) the sources to prioritize, which increases the chance of generating a high severity alert for these sources. Sélectionnez l’un des choix suivants :Select one of the following choices:

    • Je souhaite spécifier des sites SharePoint, des étiquettes de sensibilité et/ou des types d’informations sensibles en tant que contenu prioritaire.I want to specify SharePoint sites, sensitivity labels, and/or sensitive information types as priority content. La sélection de cette option active les pages de détails de l’Assistant pour configurer ces canaux.Selecting this option will enable detail pages in the wizard to configure these channels.
    • Je ne souhaite pas spécifier de contenu prioritaire pour le moment (vous pourrez le faire une fois la stratégie créée).I don't want to specify priority content right now (you'll be able to do this after the policy is created). La sélection de cette option permet d’ignorer les pages de détails du canal dans l’Assistant.Selecting this option will skip the channel detail pages in the wizard.
  10. Sélectionnez Suivant pour continuer.Select Next to continue.

  11. Si vous avez sélectionné je souhaite spécifier des sites SharePoint, des étiquettes de sensibilité et/ou des types d’informations sensibles comme contenu prioritaire à l’étape précédente, vous verrez les pages de détails pour les sites SharePoint, les types d’informations sensibles et les étiquettes de sensibilité.If you selected I want to specify SharePoint sites, sensitivity labels, and/or sensitive information types as priority content in the previous step, you'll see the detail pages for SharePoint sites, Sensitive info types, and Sensitivity labels. Utilisez ces pages de détails pour définir sharePoint, les types d’informations sensibles et les étiquettes de confidentialité à hiérarchiser dans la stratégie.Use these detail pages to define the SharePoint, sensitive info types, and sensitivity labels to prioritize in the policy.

    • Sites SharePoint: sélectionnez Ajouter un site SharePoint et sélectionnez les sites SharePoint à qui vous avez accès et que vous souhaitez hiérarchiser.SharePoint sites: Select Add SharePoint site and select the SharePoint sites you have access to and want to prioritize. Par exemple, « group1@contoso.sharepoint.com/sites/group1».For example, "group1@contoso.sharepoint.com/sites/group1".
    • Type d’informations sensibles: sélectionnez Ajouter un type d’informations sensibles et sélectionnez les types de sensibilité que vous souhaitez hiérarchiser.Sensitive info type: Select Add sensitive info type and select the sensitivity types you want to prioritize. Par exemple, « Numéro de compte bancaire américain » et « Numéro de carte de crédit».For example, "U.S. Bank Account Number" and "Credit Card Number".
    • Étiquettes de sensibilité: sélectionnez Ajouter une étiquette de sensibilité et sélectionnez les étiquettes que vous souhaitez hiérarchiser.Sensitivity labels: Select Add sensitivity label and select the labels you want to prioritize. Par exemple, « Confidentiel » et « Secret».For example, "Confidential" and "Secret".
  12. Sélectionnez Suivant pour continuer.Select Next to continue.

  13. Dans la page Indicateurs et déclenchement d’événements, vous verrez les indicateurs que vous avez définis comme disponibles dans la page Indicateurs des paramètres de risque > internes.On the Indicators and triggering events page, you'll see the indicators that you've defined as available on the Insider risk settings > Indicators page. Si vous avez sélectionné un modèle de fuites de données au début de l’Assistant, vous devez sélectionner une stratégie DLP dans la liste de listes de listes des stratégies DLP pour activer les indicateurs de déclenchement de la stratégie ou sélectionner l’événement déclencheur intégré.If you selected a Data leaks template at the beginning of the wizard, you must select a DLP policy from the DLP policy dropdown list to enable triggering indicators for the policy or select the built-in triggering event.

    Important

    Si les indicateurs de cette page ne peuvent pas être sélectionnés, vous devez sélectionner les indicateurs que vous souhaitez activer pour toutes les stratégies.If indicators on this page can't be selected, you'll need to select the indicators you want to enable for all policies. Vous pouvez utiliser le bouton Activer les indicateurs dans l’Assistant ou sélectionner des indicateurs dans la page Indicateurs de stratégie des > paramètres de gestion des risques > internes.You can use the Turn on indicators button in the wizard or select indicators on the Insider risk management > Settings > Policy indicators page.

    Sélectionnez les indicateurs que vous souhaitez appliquer à la stratégie.Select the indicators you want to apply to the policy. Si vous préférez ne pas utiliser les paramètres de seuil de stratégie par défaut pour ces indicateurs, désactivez les seuils par défaut recommandés par Microsoft et entrez les valeurs de seuil pour chaque indicateur sélectionné.If you prefer not to use the default policy threshold settings for these indicators, disable the Use default thresholds recommended by Microsoft and enter the threshold values for each selected indicator.

    • Si vous avez sélectionné au moins un indicateur Office ou Appareil, sélectionnez les marqueurs de score de risque selon le cas.If you've selected at least one Office or Device indicator, select the Risk score boosters as appropriate. Les score de risque ne s’appliquent qu’aux indicateurs sélectionnés.Risk score boosters are only applicable for selected indicators.
    • Si vous avez sélectionné un modèle de stratégie de vol de données ou de fuite de données, sélectionnez une ou plusieurs méthodes de détection de séquence et une méthode de détection d’exfiltration cumulative à appliquer à la stratégie.If you've selected a Data theft or Data leaks policy template, select one or more Sequence detection methods and a Cumulative exfiltration detection method to apply to the policy.
  14. Sélectionnez Suivant pour continuer.Select Next to continue.

  15. Dans la page Seuils de l’indicateur, sélectionnez l’option d’utilisation des seuils d’indicateurs par défaut ou de spécifier des seuils personnalisés pour des indicateurs individuels.On the Indicator thresholds page, select the option to use default indicator thresholds or to specify custom thresholds for individual indicators. Pour chaque indicateur, choisissez le niveau approprié pour générer le niveau souhaité d’alertes d’activité.For each indicator, choose the appropriate level to generate the desired level of activity alerts.

  16. Sélectionnez Suivant pour continuer.Select Next to continue.

  17. Dans la page Révision, examinez les paramètres que vous avez choisis pour la stratégie et les suggestions ou avertissements pour vos sélections.On the Review page, review the settings you've chosen for the policy and any suggestions or warnings for your selections. Sélectionnez Modifier pour modifier l’une des valeurs de stratégie ou sélectionnez Envoyer pour créer et activer la stratégie.Select Edit to change any of the policy values or select Submit to create and activate the policy.

Mettre à jour une stratégieUpdate a policy

Pour mettre à jour une stratégie de gestion des risques internes existante, vous utiliserez l’Assistant Stratégie dans la solution de gestion des risques internes dans le Centre de conformité Microsoft 365.To update an existing insider risk management policy, you'll use the policy wizard in Insider risk management solution in the Microsoft 365 compliance center.

Pour gérer une stratégie existante, complétez les étapes suivantes :Complete the following steps to manage an existing policy:

  1. Dans le Centre de conformité Microsoft 365,allez à La gestion des risques internes et sélectionnez l’onglet Stratégies.In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.

  2. Dans le tableau de bord de stratégie, sélectionnez la stratégie à gérer.On the policy dashboard, select the policy you want to manage.

  3. Dans la page détails de la stratégie, sélectionnez Modifier la stratégieOn the policy details page, select Edit policy

  4. Dans l’Assistant Stratégie, vous ne pouvez pas modifier les modifications suivantes :In the policy wizard, you cannot edit the following:

    • Modèle de stratégie: modèle utilisé pour définir les types d’indicateurs de risque surveillés par la stratégie.Policy template: The template used to define the types of risk indicators monitored by the policy.
    • Nom: nom convivial de la stratégieName: The friendly name for the policy
  5. Dans la page Nom et description, mettez à jour la description de la stratégie dans le champ Description.On the Name and description page, update the description for the policy in the Description field.

  6. Sélectionnez Suivant pour continuer.Select Next to continue.

  7. Dans la page Utilisateurs et groupes, sélectionnez Inclure tous les utilisateurs et groupes ou Inclure des utilisateurs et des groupes spécifiques pour définir quels utilisateurs ou groupes sont inclus dans la stratégie, ou si vous avez choisi un modèle basé sur les utilisateurs prioritaires . sélectionnez Ajouter ou modifier des groupes d’utilisateurs prioritaires.On the Users and groups page, select Include all users and groups or Include specific users and groups to define which users or groups are included in the policy, or if you've chosen a priority users-based template; select Add or edit priority user groups. La sélection Inclure tous les utilisateurs et groupes recherchera le déclenchement d’événements pour tous les utilisateurs et groupes de votre organisation afin de commencer à attribuer des scores de risque pour la stratégie.Selecting Include all users and groups will look for triggering events for all users and groups in your organization to start assigning risk scores for the policy. La sélection inclure des utilisateurs et des groupes spécifiques vous permet de définir les utilisateurs et les groupes à affecter à la stratégie.Selecting Include specific users and groups allows you to define which users and groups to assign to the policy.

  8. Sélectionnez Suivant pour continuer.Select Next to continue.

  9. Dans la page Contenu à hiérarchiser, vous pouvez affecter (si nécessaire) les sources à hiérarchiser, ce qui augmente le risque de générer une alerte de gravité élevée pour ces sources.On the Content to prioritize page, you can assign (if needed) the sources to prioritize, which increases the chance of generating a high severity alert for these sources. Sélectionnez l’un des choix suivants :Select one of the following choices:

    • Je souhaite spécifier des sites SharePoint, des étiquettes de sensibilité et/ou des types d’informations sensibles en tant que contenu prioritaire.I want to specify SharePoint sites, sensitivity labels, and/or sensitive information types as priority content. La sélection de cette option active les pages de détails de l’Assistant pour configurer ces canaux.Selecting this option will enable detail pages in the wizard to configure these channels.
    • Je ne souhaite pas spécifier de contenu prioritaire pour le moment (vous pourrez le faire une fois la stratégie créée).I don't want to specify priority content right now (you'll be able to do this after the policy is created). La sélection de cette option permet d’ignorer les pages de détails du canal dans l’Assistant.Selecting this option will skip the channel detail pages in the wizard.
  10. Sélectionnez Suivant pour continuer.Select Next to continue.

  11. Si vous avez sélectionné je souhaite spécifier des sites SharePoint, des étiquettes de sensibilité et/ou des types d’informations sensibles comme contenu prioritaire à l’étape précédente, vous verrez les pages de détails pour les sites SharePoint, les types d’informations sensibles et les étiquettes de sensibilité.If you selected I want to specify SharePoint sites, sensitivity labels, and/or sensitive information types as priority content in the previous step, you'll see the detail pages for SharePoint sites, Sensitive info types, and Sensitivity labels. Utilisez ces pages de détails pour définir sharePoint, les types d’informations sensibles et les étiquettes de confidentialité à hiérarchiser dans la stratégie.Use these detail pages to define the SharePoint, sensitive info types, and sensitivity labels to prioritize in the policy.

    • Sites SharePoint: sélectionnez Ajouter un site SharePoint et sélectionnez les sites SharePoint à qui vous avez accès et que vous souhaitez hiérarchiser.SharePoint sites: Select Add SharePoint site and select the SharePoint sites you have access to and want to prioritize. Par exemple, « group1@contoso.sharepoint.com/sites/group1».For example, "group1@contoso.sharepoint.com/sites/group1".
    • Type d’informations sensibles: sélectionnez Ajouter un type d’informations sensibles et sélectionnez les types de sensibilité que vous souhaitez hiérarchiser.Sensitive info type: Select Add sensitive info type and select the sensitivity types you want to prioritize. Par exemple, « Numéro de compte bancaire américain » et « Numéro de carte de crédit».For example, "U.S. Bank Account Number" and "Credit Card Number".
    • Étiquettes de sensibilité: sélectionnez Ajouter une étiquette de sensibilité et sélectionnez les étiquettes que vous souhaitez hiérarchiser.Sensitivity labels: Select Add sensitivity label and select the labels you want to prioritize. Par exemple, « Confidentiel » et « Secret».For example, "Confidential" and "Secret".
  12. Sélectionnez Suivant pour continuer.Select Next to continue.

  13. Dans la page Indicateurs et déclenchement d’événements, vous verrez les indicateurs que vous avez définis comme disponibles dans la page Indicateurs des paramètres de risque > internes.On the Indicators and triggering events page, you'll see the indicators that you've defined as available on the Insider risk settings > Indicators page. Si vous avez sélectionné un modèle de fuites de données au début de l’Assistant, vous devez sélectionner une stratégie DLP dans la liste de listes de listes des stratégies DLP pour activer les indicateurs de déclenchement de la stratégie ou sélectionner l’événement déclencheur intégré.If you selected a Data leaks template at the beginning of the wizard, you must select a DLP policy from the DLP policy dropdown list to enable triggering indicators for the policy or select the built-in triggering event.

    Important

    Si les indicateurs de cette page ne peuvent pas être sélectionnés, vous devez sélectionner les indicateurs que vous souhaitez activer pour toutes les stratégies.If indicators on this page can't be selected, you'll need to select the indicators you want to enable for all policies. Vous pouvez utiliser le bouton Activer les indicateurs dans l’Assistant ou sélectionner des indicateurs dans la page Indicateurs de stratégie des > paramètres de gestion des risques > internes.You can use the Turn on indicators button in the wizard or select indicators on the Insider risk management > Settings > Policy indicators page.

    Sélectionnez les indicateurs que vous souhaitez appliquer à la stratégie.Select the indicators you want to apply to the policy. Si vous préférez ne pas utiliser les paramètres de seuil de stratégie par défaut pour ces indicateurs, désactivez les seuils par défaut recommandés par Microsoft et entrez les valeurs de seuil pour chaque indicateur sélectionné.If you prefer not to use the default policy threshold settings for these indicators, disable the Use default thresholds recommended by Microsoft and enter the threshold values for each selected indicator.

    • Si vous avez sélectionné au moins un indicateur Office ou Appareil, sélectionnez les marqueurs de score de risque selon le cas.If you've selected at least one Office or Device indicator, select the Risk score boosters as appropriate. Les score de risque ne s’appliquent qu’aux indicateurs sélectionnés.Risk score boosters are only applicable for selected indicators.
    • Si vous avez sélectionné un modèle de stratégie de vol de données ou de fuite de données, sélectionnez une ou plusieurs méthodes de détection de séquence et une méthode de détection d’exfiltration cumulative à appliquer à la stratégie.If you've selected a Data theft or Data leaks policy template, select one or more Sequence detection methods and a Cumulative exfiltration detection method to apply to the policy.
  14. Sélectionnez Suivant pour continuer.Select Next to continue.

  15. Dans la page Seuils de l’indicateur, sélectionnez l’option d’utilisation des seuils d’indicateurs par défaut ou de spécifier des seuils personnalisés pour des indicateurs individuels.On the Indicator thresholds page, select the option to use default indicator thresholds or to specify custom thresholds for individual indicators. Pour chaque indicateur, choisissez le niveau approprié pour générer le niveau souhaité d’alertes d’activité.For each indicator, choose the appropriate level to generate the desired level of activity alerts.

  16. Sélectionnez Suivant pour continuer.Select Next to continue.

  17. Dans la page Révision, examinez les paramètres que vous avez choisis pour la stratégie et les suggestions ou avertissements pour vos sélections.On the Review page, review the settings you've chosen for the policy and any suggestions or warnings for your selections. Sélectionnez Modifier pour modifier l’une des valeurs de stratégie ou sélectionnez Envoyer pour créer et activer la stratégie.Select Edit to change any of the policy values or select Submit to create and activate the policy.

Copier une stratégieCopy a policy

Vous devrez peut-être créer une stratégie similaire à une stratégie existante, mais qui nécessite seulement quelques modifications de configuration.You may need to create a new policy that is similar to an existing policy but needs just a few configuration changes. Au lieu de créer une stratégie à partir de zéro, vous pouvez copier une stratégie existante, puis modifier les zones qui doivent être mises à jour dans la nouvelle stratégie.Instead of creating a new policy from scratch, you can copy an existing policy and then modify the areas that need to be updated in the new policy.

Pour copier une stratégie existante, complétez les étapes suivantes :Complete the following steps to copy an existing policy:

  1. Dans le Centre de conformité Microsoft 365, sélectionnez l’onglet Stratégies sur la gestion des risques internes.In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.
  2. Dans le tableau de bord de stratégie, sélectionnez la stratégie que vous souhaitez copier.On the policy dashboard, select the policy you want to copy.
  3. Dans la page détails de la stratégie, sélectionnez Copier.On the policy details page, select Copy.
  4. Dans l’Assistant Stratégie, nommez la nouvelle stratégie et mettez à jour la configuration de la stratégie selon vos besoins.In the policy wizard, name the new policy and update the policy configuration as needed.

Démarrer immédiatement l’activité de l’utilisateur de notationImmediately start scoring user activity

Dans certains scénarios, vous devrez immédiatement commencer à attribuer des scores de risque aux utilisateurs avec des stratégies de risque internes en dehors de la gestion des risques internes déclenchant le flux de travail d’événement.There may be scenarios where you need to immediately start assigning risk scores to users with insider risk policies outside of the insider risk management triggering event workflow. Utilisez l’activité de score de démarrage pour les utilisateurs de l’onglet Stratégies pour ajouter manuellement un (ou plusieurs utilisateurs) à une ou plusieurs stratégies de risque internes pendant un laps de temps spécifique, pour commencer immédiatement à affecter des scores de risque à leur activité et pour contourner l’obligation pour un utilisateur d’avoir un indicateur de déclenchement (comme une correspondance de stratégie DLP).Use Start scoring activity for users on the Policies tab to manually add a user (or users) to one or more insider risk policies for a specific amount of time, to immediately start assigning risk scores to their activity, and to bypass the requirement for a user to have a triggering indicator (like a DLP policy match). Vous pouvez également ajouter une raison pour l’ajout de l’utilisateur à la stratégie, qui apparaîtra dans la chronologie d’activité des utilisateurs.You can also add a reason for adding the user to the policy, which will appear on the users' activity timeline. Les utilisateurs ajoutés manuellement aux stratégies sont affichés dans le tableau de bord Utilisateurs et des alertes sont créées si l’activité atteint les seuils d’alerte de stratégie.Users manually added to policies are displayed in the Users dashboard and alerts are created if activity meets the policy alert thresholds.

Dans certains scénarios, vous pouvez commencer immédiatement à marquer les activités des utilisateurs :Some scenarios where you may want to immediately start scoring user activities:

  • Lorsque les utilisateurs sont identifiés avec des problèmes de risque et que vous souhaitez commencer immédiatement à affecter des scores de risque à leur activité pour une ou plusieurs de vos stratégiesWhen users are identified with risk concerns and you want to immediately start assigning risk scores to their activity for one or more of your policies
  • En cas d’incident qui peut vous obliger à commencer immédiatement à affecter des scores de risque à l’activité des utilisateurs impliqués pour une ou plusieurs de vos stratégiesWhen there is an incident that may require you to immediately start assigning risk scores to involved users' activity for one or more of your policies
  • Lorsque vous n’avez pas encore configuré votre connecteur RH, mais que vous souhaitez commencer à affecter des scores de risque aux activités des utilisateurs pour les événements RH en téléchargeant un fichier .csv pour les utilisateursWhen you have not configured your HR connector yet, but you want to start assigning risk scores to user activities for HR events by uploading a .csv file for the users

Notes

L’affichage des nouveaux utilisateurs ajoutés manuellement dans le tableau de bord Utilisateurs peut prendre plusieurs heures.It may take several hours for new manually-added users to appear in the Users dashboard. L’affichage des activités des 90 derniers jours de ces utilisateurs peut prendre jusqu’à 24 heures.Activities for the previous 90 days for these users may take up to 24 hours to display. Pour afficher les activités des utilisateurs ajoutés manuellement, accédez à l’onglet Utilisateurs, sélectionnez l’utilisateur dans le tableau de bord Utilisateurs et ouvrez l’onglet Activité de l’utilisateur dans le volet d’informations. To view activities for manually added users, navigate to the Users tab and select the user on the Users dashboard and open the User activity tab on the details pane.

Pour démarrer manuellement l’activité de notation pour les utilisateurs dans une ou plusieurs stratégies de gestion des risques internes, complétez les étapes suivantes :To manually start scoring activity for users in one or more insider risk management policies, complete the following steps:

  1. Dans le Centre de conformité Microsoft 365,allez à La gestion des risques internes et sélectionnez l’onglet Stratégies.In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.

  2. Dans le tableau de bord de stratégie, sélectionnez la ou les stratégies à ajouter aux utilisateurs.On the policy dashboard, select the policy or policies you want to add users to.

  3. Sélectionnez Démarrer l’activité de notation pour les utilisateurs.Select Start scoring activity for users.

  4. Dans le champ Raison du volet Ajouter des utilisateurs à plusieurs stratégies, ajoutez une raison pour ajouter les utilisateurs. In the Reason field in the Add users to multiple policies pane, add a reason for adding the users.

  5. Dans le champ This should last for (choose between 5 and 30 days), définissez le nombre de jours de score de l’activité de l’utilisateur pour la stratégie à ajouterIn the This should last for (choose between 5 and 30 days) field, define the number of days to score the user's activity for the policy they are added to

  6. Pour rechercher des utilisateurs dans Active Directory, utilisez l’utilisateur de recherche pour l’ajouter au champ stratégies.To search your Active Directory for users, use the Search user to add to policies field. Tapez le nom de l’utilisateur que vous souhaitez ajouter aux stratégies.Type the name of the user you want to add to the policies. Sélectionnez le nom d’utilisateur et répétez cette procédure pour affecter d’autres utilisateurs aux stratégies.Select the user name and repeat to assign additional users to the policies. La liste des utilisateurs que vous avez sélectionnés apparaît dans la section Utilisateurs du volet Ajouter des utilisateurs à plusieurs stratégies.The list of users you've selected appear in the users section of the Add users to multiple policies pane.

  7. Pour importer une liste d’utilisateurs à ajouter aux stratégies, sélectionnez Importer pour importer un fichier .csv (valeurs séparées par des virgules).To import a list of users to add to the policies, select Import to import a .csv (comma-separated values) file. Le fichier doit être au format suivant et vous devez lister les noms d’utilisateur principal dans le fichier :The file must be in the following format and you must list the user principal names in the file:

    user principal name
    user1@domain.com
    user2@domain.com
    
  8. Sélectionnez Ajouter des utilisateurs aux stratégies pour accepter les modifications et ajouter des utilisateurs aux stratégies ou sélectionnez Annuler pour ignorer les modifications et fermer la boîte de dialogue.Select the Add users to policies to accept the changes and add users to the policies or select Cancel to discard the changes and close the dialog.

Arrêter de scorer les utilisateurs dans une stratégieStop scoring users in a policy

Pour arrêter de scorer les utilisateurs dans une stratégie, consultez l’article Sur la gestion des risques internes : supprimer les utilisateurs de l’attribution dans l’étendue aux stratégies.To stop scoring users in a policy, see the Insider risk management users: Remove users from in-scope assignment to policies article.

Suppression d’une stratégieDelete a policy

Notes

La suppression d’une stratégie ne supprime pas les alertes actives ou archivées générées à partir de la stratégie.Deleting a policy does not delete active or archived alerts generated from the policy.

Pour supprimer une stratégie de gestion des risques internes existante, complétez les étapes suivantes :To delete an existing insider risk management policy, complete the following steps:

  1. Dans le Centre de conformité Microsoft 365,allez à La gestion des risques internes et sélectionnez l’onglet Stratégies.In the Microsoft 365 compliance center, go to Insider risk management and select the Policies tab.
  2. Dans le tableau de bord de stratégie, sélectionnez la stratégie à supprimer.On the policy dashboard, select the policy you want to delete.
  3. Sélectionnez Supprimer dans la barre d’outils du tableau de bord.Select Delete on the dashboard toolbar.
  4. Dans la boîte de dialogue Supprimer, sélectionnez Oui pour supprimer la stratégie ou sélectionnez Annuler pour fermer la boîte de dialogue.On the Delete dialog, Select Yes to delete the policy, or select Cancel to close the dialog.