Établir une stratégie DLP

Les stratégies de protection contre la perte de données (DLP) peuvent agir comme des barrières de sécurité pour empêcher les utilisateurs d’exposer involontairement des données de l’organisation pour protéger la sécurité des informations dans le client. Les stratégies DLP appliquent des règles pour lesquelles les connecteurs sont activés pour chaque environnement et les connecteurs qui peuvent être utilisés ensemble. Les connecteurs sont classés comme données commerciales uniquement, aucune donnée commerciale autorisée, ou bloqué. Un connecteur dans le groupe de données métier uniquement, il ne peut être utilisé qu’avec d’autres connecteurs de ce groupe dans la même application ou le même flux. Plus d’informations : Administrer Microsoft Power Platform : Stratégies de protection contre la perte de données

L’établissement de vos stratégies DLP ira de pair avec votre stratégie environnementale.

Faits rapides

• Les stratégies de protection contre la perte de données (DLP) agissent comme des barrières de sécurité qui empêchent les utilisateurs d’exposer involontairement les données.
• Les stratégies DLP peuvent être limitées au niveau de l’environnement et du locataire, offrant ainsi toute la flexibilité requise pour élaborer des stratégies pertinentes, sans sacrifier la productivité.
• Les stratégies DLP de l’environnement ne peuvent pas remplacer les stratégies DLP à l’échelle du client.
• Si plusieurs stratégies sont configurées pour un environnement, la stratégie la plus restrictive s’applique à la combinaison de connecteurs.
• Par défaut, aucune stratégie DLP n’est implémentée dans le client.
• Les stratégies ne peuvent pas être appliquées au niveau de l’utilisateur, uniquement au niveau de l’environnement ou du locataire.
• Les stratégies DLP prennent en charge les connecteurs, mais ne contrôlent pas les connexions établies à l’aide du connecteur. En d’autres termes, les stratégies DLP ne savent pas si vous utilisez le connecteur pour vous connecter à un environnement de développement, de test ou de production.
• PowerShell et les connecteurs d’administration peuvent gérer les stratégies.
• Les utilisateurs de ressources dans les environnements peuvent afficher les stratégies qui s’appliquent.

Classification des connecteurs

Les classifications métier et hors métier dessinent des limites autour des connecteurs qui peuvent être utilisés ensemble dans une application ou un flux donné. Les connecteurs peuvent être classés dans les groupes suivants à l’aide de stratégies DLP :

• Métier : Une ressource Power Apps ou Power Automate donnée peut utiliser un ou plusieurs connecteurs d’un groupe métier. Si une ressource Power Apps ou Power Automate utilise un connecteur métier, elle ne peut utiliser aucun connecteur hors métier.
• Hors métier : Une ressource Power Apps ou Power Automate donnée peut utiliser un ou plusieurs connecteurs d’un groupe hors métier. Si une ressource Power Apps ou Power Automate utilise un connecteur hors métier, elle ne peut utiliser aucun connecteur hors métier.
• Bloqué : Aucune ressource Power Apps ou Power Automate peut utiliser un connecteur d’un groupe bloqué. Tous les connecteurs premium appartenant à Microsoft et les connecteurs tiers (standard et premium) peuvent être bloqués. Aucun des connecteurs standard appartenant à Microsoft et des connecteurs Common Data Service ne peuvent être bloqués.

Les désignations « métier » et « hors métier » n’ont pas de signification particulière ; ce sont simplement des étiquettes. Le regroupement des connecteurs eux-mêmes est important, pas le nom du groupe dans lequel ils sont placés.

Plus d’information : Administrer Microsoft Power Platform : Classification des connecteurs

Stratégies pour créer des stratégies DLP

En tant qu’administrateur prenant le contrôle d’un environnement ou commençant à prendre en charge l’utilisation de Power Apps et Power Automate, les stratégies DLP doivent être l’une des premières choses que vous configurez. Cela garantit qu’un ensemble de stratégies de base est en place, et vous pouvez alors vous concentrer sur la gestion des exceptions et la création de stratégies DLP ciblées qui implémentent ces exceptions une fois approuvées.

Nous recommandons le point de départ suivant pour les stratégies DLP pour les environnements de productivité partagés des utilisateurs et des équipes :

• Créez une stratégie couvrant tous les environnements à l’exception de ceux sélectionnés (par exemple, vos environnements de production), conservez les connecteurs disponibles dans cette stratégie limités à Office 365 et autres microservices standard, et bloquez l’accès à tout le reste. Cette stratégie s’appliquera à l’environnement par défaut et aux environnements de formation dont vous disposez pour exécuter des événements de formation internes. En outre, cette stratégie s’appliquera également à tous les environnements qui seront créés.
• Créez des stratégies DLP appropriées et plus permissives pour vos environnements de productivité partagés des utilisateurs et des équipes. Ces stratégies pourraient permettre aux fabricants d’utiliser des connecteurs, tels que les services Azure en plus des services Office 365. Les connecteurs disponibles dans ces environnements dépendent de votre organisation et de l’emplacement où votre organisation stocke les données commerciales.

Nous recommandons le point de départ suivant pour les stratégies DLP pour les environnements de productivité (divisions et projet) :

• Excluez ces environnements des stratégies de productivité partagées des utilisateurs et des équipes.
• Travaillez avec la division et le projet pour déterminer les connecteurs et les combinaisons de connecteurs qu’ils utiliseront et créer une stratégie de client pour inclure uniquement les environnements sélectionnés.
• Les administrateurs d’environnement de ces environnements peuvent utiliser des stratégies d’environnement pour classer les connecteurs personnalisés en tant que données commerciales uniquement, si nécessaire.

En plus de ce qui précède, nous recommandons également :

• La création d’un nombre minimal de stratégies par environnement. Il n’y a pas de hiérarchie stricte entre les stratégies de client et d’environnement, et à la conception et à l’exécution, toutes les stratégies applicables à l’environnement dans lequel l’application ou le flux réside sont évaluées ensemble pour décider si la ressource est conforme ou non aux stratégies DLP. Plusieurs stratégies DLP appliquées à un environnement fragmenteront votre espace de connexion de manière compliquée et pourraient rendre difficile la compréhension des problèmes auxquels vos créateurs sont confrontés.
• La gestion centralisée des stratégies DLP à l’aide de stratégies au niveau du client et l’utilisation des stratégies d’environnement uniquement pour classer les connecteurs personnalisés ou dans des cas exceptionnels.

Une fois cela en place, planifiez comment gérer les exceptions. Vous pouvez :

• Refuser la demande.
• Ajouter le connecteur à la stratégie DLP par défaut.
• Ajouter les environnements à la liste Tous sauf pour la DLP globale par défaut et créez une stratégie DLP spécifique au cas d’utilisation avec l’exception incluse.

Exemple : Stratégie DLP de Contoso

Voyons comment Contoso Corporation, notre exemple d’organisation pour ces conseils, a configuré ses stratégies DLP. La configuration de leurs stratégies DLP est étroitement liée à leur stratégie environnementale.

Les administrateurs de Contoso souhaitent prendre en charge les scénarios de productivité des utilisateurs et des équipes et les application métier, en plus de la gestion des activités du centre d’excellence (CoE).

L’environnement et la stratégie DLP que les administrateurs Contoso ont appliqués ici sont les suivants :

1. Une stratégie DLP restrictive à l’échelle du client qui s’applique à tous les environnements du client, à l’exception de certains environnements spécifiques qu’ils ont exclus de l’étendue de la stratégie. Les administrateurs ont l’intention de limiter les connecteurs disponibles dans cette stratégie à Office 365 et autres micro-services standard en bloquant l’accès à tout le reste. Cette stratégie s’appliquera également à l’environnement par défaut.

2. Les administrateurs de Contoso ont créé un autre environnement partagé permettant aux utilisateurs de créer des applications pour les cas d’utilisation de productivité des utilisateurs et des équipes. Cet environnement a une stratégie DLP au niveau du client associée qui n’est pas aussi averse au risque qu’une stratégie par défaut et permet aux créateurs d’utiliser des connecteurs, tels que les services Azure en plus des services Office 365. Comme il ne s’agit pas d’un environnement par défaut, les administrateurs peuvent contrôler activement la liste de création d’environnement pour celui-ci. Il s’agit d’une approche à plusieurs niveaux de l’environnement de productivité partagé des utilisateurs et des équipes et des paramètres DLP associés.

3. En outre, pour que les unités commerciales puissent créer des applications métier, elles ont créé des environnements de développement, de test et de production pour leurs filiales fiscales et d’audit dans divers pays/régions. L’accès du créateur d’environnement à ces environnements est soigneusement géré, et les connecteurs propriétaires et tiers appropriés sont mis à disposition à l’aide de stratégies DLP au niveau du locataire en consultation avec les parties prenantes de la division.

4. De même, les environnements de développement/test/production sont créés pour être utilisés par le service informatique central pour développer et déployer des applications pertinentes ou appropriées. Ces scénarios d’application métier ont généralement un ensemble bien défini de connecteurs qui doivent être mis à la disposition des créateurs, des testeurs et des utilisateurs dans ces environnements. L’accès à ces connecteurs est géré à l’aide d’une stratégie de niveau client dédiée.

5. Contoso dispose également d’un environnement dédié à ses activités de Center of Excellence (CoE). À Contoso, la stratégie DLP pour l’environnement à usage spécial restera très pertinente étant donné la nature expérimentale du livre des équipes théoriques. Dans ce cas, les administrateurs de clients ont délégué la gestion DLP pour cet environnement directement à un administrateur d’environnement approuvé de l’équipe CoE et l’ont exclu d’une école de toutes les stratégies au niveau du client. Cet environnement est géré uniquement par la stratégie DLP au niveau de l’environnement, qui est une exception plutôt que la règle de Contoso.

Comme prévu, tous les environnements créés dans Contoso seront mappés à la stratégie d’origine de tous les environnements.

Cette configuration de stratégies DLP centrées sur le client n’empêche pas les administrateurs d’environnement de proposer leurs propres stratégies DLP au niveau de l’environnement, s’ils souhaitent introduire des restrictions supplémentaires ou classer les connecteurs personnalisés.

Configurer les stratégies de données

1. Créez votre stratégie dans le centre d’administration Power Platform. Plus d’informations : Gérer les stratégies de données

2. Utilisez le Kit de développement logiciel (SDK) DLP pour ajouter des connecteurs personnalisés à une stratégie DLP.

Communiquez clairement les stratégies DLP de votre organisation aux créateurs

Mettez en place un site ou un wiki SharePoint qui communique clairement :

• Des stratégies DLP au niveau du locataire et au niveau de l’environnement clé (par exemple, environnement par défaut, environnement d’essai) appliquées dans l’organisation, y compris les listes de connecteurs classés comme métier, hors métier et bloqués.
• L’ID de messagerie de votre groupe d’administrateurs afin que les créateurs puissent prendre contact pour des scénarios d’exception. Par exemple, les administrateurs peuvent aider les créateurs à se remettre en conformité en modifiant une stratégie DLP existante, en déplaçant la solution vers un environnement différent, en créant un environnement et une stratégie DLP, et en déplaçant le créateur et la ressource vers ce nouvel environnement.

Communiquez également clairement la stratégie environnementale de votre organisation aux créateurs.