Protéger vos données d’entreprise à l’aide de la Protection des informationsWindows (WIP)

S’applique à:

  • Windows10, version 1607 et ultérieures
  • Windows10 Mobile, version 1607 et ultérieures

Découvrez les fonctionnalités prises en charge dans chaque édition de Windows en consultant la page Comparer les éditions de Windows10.

Un nombre croissant d’appareils d’employés se traduit par une augmentation des risques de fuites via les applications et services qui échappent au contrôle. Par exemple, lorsqu’un employé envoie les dernières photos d’ingénierie depuis son compte de messagerie personnel, copie et colle des informations sur un produit dans un tweet ou enregistre un rapport commercial en cours dans son stockage cloud public.

La fonctionProtection des informationsWindows (WIP), auparavant appelée Protection des données d’entreprise (PDE), protège les systèmes contre la fuite potentielle de données sans interférer davantage avec l’expérience de l’employé. Cette fonctionnalité contribue également à protéger les applications et données d’entreprise contre les fuites accidentelles sur les appareils appartenant à l’entreprise et les appareils personnels que les employés apportent au travail sans nécessiter de modification de l’environnement ou d’autres applications. Enfin, une autre technologie de protection des données, Azure Rights Management, est également compatible avec la fonctionnalité WIP afin d’étendre la protection des données aux données quittant l’appareil, par exemple lorsque des pièces jointes sont envoyées à partir d’une version d’entreprise d’un client de messagerie de gestion des droits.

Prérequis

Vous aurez besoin des logiciels suivants pour exécuter la fonctionnalitéWIP dans votre entreprise:

Système d’exploitation Solution de gestion
Windows10, version1607 ou ultérieure MicrosoftIntune

-OU-

System Center Configuration Manager

-OU-

Solution actuelle de gestion des périphériques mobiles (GPM) tierce à l’échelle de l’entreprise. Pour plus d’informations sur les solutions GPM tierces, voir la documentation fournie avec votre produit. Si votreGPM tiers ne fournit pas de prise en charge de l’interface utilisateur pour ces stratégies, reportez-vous à la documentation relative à CSPEnterpriseDataProtection.

Qu’est-ce que le contrôle des données d’entreprise?

Pour assurer une collaboration efficace, vous devez partager les données avec d’autres utilisateurs au sein de l’entreprise. Il existe des situations extrêmes: soit tous les utilisateurs ont accès à toutes les données, sans aucune sécurité, soit personne ne peut rien partager et tous les systèmes sont hautement sécurisés. La plupart des entreprises se situent à un certain niveau entre ces deux extrêmes, leur réussite reposant sur un équilibre entre la fourniture d’un accès aux données requise et le risque de divulgation inadéquate des données.

En tant qu’administrateur, vous pouvez déterminer quels utilisateurs seront autorisés à accéder à vos données grâce au contrôle des accès (via des informations d’identification d’employé, par exemple). Cependant, le fait que l’utilisateur qui accède à vos données soit autorisé à le faire ne garantit pas que ces dernières resteront dans les emplacements sécurisés de l’entreprise. En un mot comme en cent, le contrôle des accès est un très bon début, mais il ne suffit pas.

Au final, toutes ces mesures de sécurité ont une chose en commun: les employés supportent assez mal les désagréments liés aux restrictions de sécurité et recherchent assez vite un moyen de les contourner. Par exemple, si vous n’autorisez pas les employés à partager des fichiers par le biais d’un système protégé, ils font appel à une application externe, qui n’est généralement pas aussi bien sécurisée.

Utilisation des systèmes de protection contre la perte de données

Pour résoudre ce problème de sécurité insuffisante, les entreprises mettent en place des systèmes de protection contre la perte de données (ou DLP). Ces systèmes nécessitent les éléments suivants:

  • Un ensemble de règles définissant le mode d’identification et de classement des données à protéger adopté par le système. Par exemple, un ensemble de règles peut contenir une règle qui identifie les numéros de carte de crédit et une autre, qui identifie les numéros de Sécurité sociale.

  • Une méthode d’analyse des données de l’entreprise, visant à déterminer si elles répondent à l’une ou l’autre des règles que vous avez définies. Actuellement, MicrosoftExchangeServer et ExchangeOnline fournissent ce service pour les e-mails en transit, alors que MicrosoftSharePoint et SharePointOnline le fournissent pour le contenu stocké dans des bibliothèques de documents.

  • La possibilité de spécifier le comportement appliqué lorsque les données correspondent à une règle, notamment si les employés peuvent contourner la mise en œuvre. Par exemple, dans MicrosoftSharePoint et SharePointOnline, le système de protection contre la perte de données de Microsoft vous permet d’avertir vos employés que les données partagées incluent des informations sensibles, tout en autorisant ce partage (avec une entrée facultative dans le journal d’audit).

Malheureusement, les systèmes de protection contre la perte de données présentent leurs propres problèmes. Ainsi, plus l’ensemble de règles est détaillé, plus le nombre de faux positifs créés est important, ce qui pousse les employés à penser que ces règles les ralentissent et qu’ils doivent les contourner pour rester productifs. Ainsi, il se peut que des données légitimes soient bloquées, alors que d’autres informations sont diffusées à tort. Autre problème majeur: les systèmes de protection contre la perte de données doivent être implémentés à grande échelle pour être efficaces. Par exemple, si votre entreprise utilise un système de protection contre la perte de données pour protéger la messagerie, mais non le partage de fichiers ou le stockage de documents, il se peut qu’une fuite des données survienne au niveau des canaux non protégés. Cependant, ces systèmes présentent un problème encore plus important: une expérience utilisateur inégale, qui interrompt le workflow normal des employés suite au blocage de certaines opérations (envoi d’un message avec une pièce jointe que les balises du système considèrent comme sensible, par exemple), alors que d’autres sont autorisées à s’exécuter à cause de règles subtiles, que l’employé ne voit pas et qu’il ne comprend pas.

Utilisation de systèmes de gestion des droits relatifs à l’information

Pour résoudre les éventuels problèmes liés aux systèmes de protection contre la perte de données, les entreprises ont mis en place des mécanismes de gestion des droits relatifs à l’information (ouIRM). Ces mécanismes intègrent des fonctions de protection directement dans les documents. Ainsi, lorsqu’un employé crée un document, il détermine le type de protection à appliquer. Par exemple, un employé peut choisir d’empêcher tout transfert, toute impression ou tout partage du document en dehors de l’organisation.

Une fois que le type de protection est défini, l’application de création chiffre le document afin que seules les personnes autorisées puissent l’ouvrir et ce, uniquement dans des applications compatibles. Lorsqu’un employé ouvre le document, l’application est chargée de mettre en œuvre les protections spécifiées. Si une personne autorisée envoie le document à un tiers non autorisé, ce dernier ne peut ni le lire, ni le modifier, car le mécanisme de protection transite avec le document. Toutefois, pour que les systèmes de gestion des droits relatifs à l’information fonctionnent correctement, vous devez les déployer et les configurer dans un environnement de serveur et dans un environnement de client. Comme les clients compatibles sont les seuls à pouvoir manipuler des documents protégés, il se peut que la tâche d’un employé soit interrompue de manière impromptue s’il tente d’utiliser une application non compatible.

Par ailleurs, que se passe-t-il lorsqu’un employé quitte l’entreprise ou désinscrit un appareil?

Enfin, il existe un risque de fuite des données de votre entreprise lorsqu’un employé quitte l’entreprise ou désinscrit un appareil. Auparavant, il suffisait d’effacer toutes les données de l’appareil, ainsi que les autres données personnelles éventuelles.

Avantages de la fonctionnalitéWIP

La fonctionnalitéWIP offre les avantages suivants:

  • Séparation évidente entre les données personnelles et les données d’entreprise, sans que les employés aient besoin de basculer entre les environnements ou les applications.

  • Protection des données supplémentaire pour les applications métiers existantes, sans mise à jour nécessaire des applications.

  • Possibilité d’effacer les données d’entreprise des appareils tout en conservant les données personnelles.

  • Utilisation des rapports d’audit pour le suivi des problèmes et les mesures correctives.

  • Intégration à votre système de gestion existant (Microsoft Intune, System Center Configuration Manager ou système de gestion des appareils mobiles (GPM) actuel) pour configurer, déployer et gérer la fonctionnalitéWIP au sein de votre société.

Pourquoi utiliser la fonctionnalitéWIP?

La fonctionnalitéWIP offre un nouveau moyen de gérer l’application de la stratégie de données pour les applications et les documents, et permet de supprimer l’accès aux données d’entreprise sur les appareils professionnels et personnels (après l’inscription dans une solution de gestion d’entreprise comme Intune).

  • Modifiez votre approche de l’application de la stratégie de données. En tant qu’administrateur d’entreprise, vous devez maintenir la conformité de votre stratégie de données et d’accès aux données. La fonctionnalitéWIP permet de s’assurer que vos données d’entreprise sont protégées sur les appareils appartenant à l’entreprise et aux employés, même quand ces derniers ne les utilisent pas. Lorsque les employés créent du contenu sur un appareil protégé d’entreprise, ils peuvent choisir de l’enregistrer sous un document de travail. S’il s’agit d’un document de travail, celui-ci est alors géré localement en tant que données d’entreprise.

  • Gérez vos documents d’entreprise, applications et modes de chiffrement.

    • Copie ou téléchargement de données d’entreprise. Lorsqu’un employé ou une application télécharge du contenu à partir d’un emplacement tel que SharePoint, un partage réseau ou un site web d’entreprise, tout en utilisant un appareil protégé par la fonctionnalitéWIP, la fonctionnalitéWIP chiffre les données sur l’appareil.

    • Utilisation d’applications autorisées. Les applications gérées (applications incluses dans la liste d’applications autorisées dans votre stratégieWIP) peuvent accéder à vos données d’entreprise et fonctionnent différemment selon qu’elles sont utilisées avec d’autres applications non autorisées, non d’entreprise ou personnelles uniquement. Par exemple, si la gestion WIP est définie sur Masquer les contournements, vos employés peuvent copier et coller à partir d’une application protégée vers une autre application autorisée, mais pas vers des applications personnelles. Imaginez une personne des RH souhaitant copier une description de poste à partir d’une application autorisée vers le site web de recherche d’emploi interne (emplacement protégé par l’entreprise). Malheureusement, elle tente de coller par inadvertance le contenu dans une application personnelle. Le copier-coller échoue et une notification s’affiche, indiquant que l’erreur est due à une restriction de stratégie. Lorsque cette personne colle correctement le contenu sur le site web de recherche d’emploi, cela fonctionne sans problème.

    • Applications gérées et restrictions. La fonctionnalitéWIP vous permet de contrôler quelles applications peuvent accéder aux données d’entreprise et les utiliser. Après l’ajout d’une application à votre liste d’applications autorisées, l’application est approuvée avec des données d’entreprise. L’accès à vos données d’entreprise est interdit aux applications qui ne figurent pas dans cette liste, selon votre mode de gestionWIP.

      Vous n’êtes pas tenu de modifier les applications métier qui ne touchent pas aux données personnelles pour les répertorier en tant qu’applications autorisées. Il suffit de les inclure dans la liste d’applications autorisées.

    • Choix du niveau d’accès aux données. La fonctionnalité WIP vous permet de masquer ou d’autoriser les remplacements ou d’auditer les actions de partage des données des employés. Le masquage des remplacements interrompt l’action immédiatement. Le fait d’autoriser les remplacements permet d’indiquer à l’employé qu’il existe un risque, tout en le laissant continuer à partager les données lors de l’enregistrement et de l’audit de l’action. Le mode silencieux enregistre simplement l’action sans bloquer ce que l’employé aurait pu remplacer lors de l’utilisation de ce paramètre. Il collecte des informations qui peuvent vous aider à détecter des modèles de partage inappropriés afin de prendre les mesures éducatives nécessaires ou de trouver les applications à ajouter à votre liste des applications autorisées. Pour en savoir plus sur les méthodes de collecte de vos journaux d’audit, consultez Comment collecter des journaux des événements d’audit de Protection des informations Windows (WIP).

    • Chiffrement des données au repos. La fonctionnalité WIP vous aide à protéger les données d’entreprise sur les fichiers locaux et sur les supports amovibles.

      Les applications telles que Microsoft Word fonctionnent avec WIP pour assurer la continuité de la protection des données sur les fichiers locaux et les médias amovibles. Ces applications sont ici désignées d’entreprise. Par exemple, si un employé ouvre du contenu chiffré par WIP dans Word, modifie le contenu, puis tente d’enregistrer la version modifiée sous un autre nom, Word applique automatiquement la fonctionnalité WIP au nouveau document.

    • Protection contre la divulgation accidentelle de données en espaces publics. La fonctionnalitéWIP empêche le partage accidentel de vos données d’entreprise dans les espaces publics, comme le cloud public. Par exemple, si Dropbox™ ne figure pas dans votre liste d’applications autorisées, les employés ne peuvent pas synchroniser des fichiers chiffrés sur leur stockage cloud personnel. À la place, si l’employé stocke le contenu dans une application figurant dans votre liste d’applications autorisées, tel que MicrosoftOneDriveEntreprise, les fichiers chiffrés peuvent être synchronisés librement sur le cloud d’entreprise. Le chiffrement en local est conservé.

    • Protection contre la divulgation accidentelle de données sur des médias amovibles. WIP permet d’empêcher la fuite des données d’entreprise lors de leur copie ou de leur transfert sur un support amovible. Par exemple, si un employé place des données d’entreprise sur un lecteur USB (Universal Serial Bus) qui contient également des données personnelles, les données d’entreprise restent chiffrées, ce qui n’est pas le cas des données personnelles.

  • Suppression de l’accès aux données d’entreprise sur des appareils protégés d’entreprise. La fonctionnalitéWIP permet aux administrateurs de révoquer les données d’entreprise d’un ou plusieurs appareils enregistrés dans le GPM, tout en conservant les données personnelles. Cela peut s’avérer utile lorsqu’un employé quitte votre entreprise ou en cas de vol d’un appareil. Après avoir déterminé que l'accès aux données doit être supprimé, vous pouvez utiliser MicrosoftIntune pour désinscrire l'appareil. Ainsi, lorsque ce dernier se connecte au réseau, la clé de chiffrement de l'utilisateur de l'appareil est révoquée et les données d'entreprise deviennent illisibles.

    Note

    Pour la gestion des appareils Surface, nous vous recommandons d'utiliser la branche active de SystemCenter ConfigurationManager.
    System Center Configuration Manager vous permet également de révoquer des données d'entreprise. Toutefois, il procède pour cela à une réinitialisation aux paramètres d’usine de l’appareil.

Fonctionnement deWIP

La fonctionnalité WIP vous aide à relever les défis quotidiens dans l’entreprise. Notamment:

  • Prévention contre la fuite de données d’entreprise, même sur les appareils appartenant à un employé ne pouvant pas être verrouillé.

  • Réduction des frustrations pour l’employé en raison de stratégies de gestion des données restrictives sur les appareils appartenant à l’entreprise.

  • Préservation de la propriété et du contrôle de vos données d’entreprise.

  • Contrôle de l’accès au réseau et aux données et du partage des données des applications non d’entreprise.

Scénarios d’entreprise

La fonctionnalitéWIP s’applique actuellement aux scénarios d’entreprise suivants:

  • Vous pouvez chiffrer les données de l’entreprise sur les appareils personnels et professionnels.

  • Vous pouvez effacer à distance les données d’entreprise sur les ordinateurs gérés, y compris les ordinateurs appartenant à un employé, sans affecter les données personnelles.

  • Vous pouvez sélectionner des applications spécifiques capables d’accéder aux données d’entreprise, appelées «applications autorisées», que les employés peuvent facilement identifier. Vous pouvez également empêcher des applications non protégées d’accéder aux données d’entreprise.

  • Vos employés ne sont plus interrompus dans leur tâche lors du basculement entre les applications personnelles et les applications d’entreprise lorsque les stratégies d’entreprise sont en place. Il n’est pas nécessaire de changer d’environnements ou de vous connecter plusieurs fois.

Modes de protectionWIP

Les données d’entreprise sont automatiquement chiffrées une fois chargées sur l’appareil à partir d’une source d’entreprise, ou lorsqu’un employé signale ces données comme appartenant à l’entreprise. Ensuite, lorsque les données d’entreprise sont écrites sur le disque, la fonctionnalitéWIP utilise le système de fichiersEFS fourni par Windows pour les protéger et les associer à votre identitéentreprise.

La stratégieWIP inclut une liste des applications approuvées qui sont autorisées à accéder et à traiter les données d’entreprise. Cette liste d’applications est implémentée par le biais de la fonctionnalité AppLocker. Elle contrôle les applications autorisées à s’exécuter et informe le système d’exploitationWindows que certaines applications peuvent modifier les données d’entreprise. Les applications incluses dans cette liste n’ont pas besoin d’être modifiées pour pouvoir ouvrir les données d’entreprise, car leur présence sur cette liste permet à Windows de déterminer si elles doivent bénéficier d’un accès. Toutefois, les développeurs d’applications peuvent désormais utiliser un nouvel ensemble d’interfaces de programmation d’applications (API) pour créer des applications compatibles, capables d’utiliser et de modifier des données d’entreprise et des données personnelles. Il s’agit là d’une nouveauté de Windows10. Les applications compatibles présentent un avantage majeur: vous pouvez utiliser des applications à double usage comme MicrosoftWord sans craindre de chiffrer par erreur des données personnelles, car les API autorisent l’application à déterminer si les données appartiennent à l’entreprise ou sont personnelles.

Note

Pour en savoir plus sur les méthodes de collecte de vos journaux d’audit, consultez Comment collecter des journaux des événements d’audit de Protection des informations Windows (WIP).

Vous pouvez définir la stratégieWIP de manière à utiliser l’un des quatre modes de gestion et de protection disponibles:

Mode Description
Masquer les remplacements La fonctionnalitéWIP recherche les pratiques de partage inapproprié des données et empêche l’employé de terminer son action. Il peut s’agir du partage de données d’entreprise sur des applications non protégées par l’entreprise en plus du partage de données d’entreprise entre des applications ou du partage en dehors du réseau de votre organisation.
Autoriser les remplacements La fonctionnalitéWIP recherche les partages de données inappropriés et avertit les employés s’ils effectuent des opérations potentiellement dangereuses. Toutefois, ce mode de gestion permet à l’employé de remplacer la stratégie et de partager les données, en consignant l’action dans le journal d’audit.
Silencieux La fonctionnalité WIP s’exécute en mode silencieux. Elle consigne les partages inappropriés de données, sans bloquer les invites impliquant des interactions avec les employés en mode Autoriser les remplacements. Les actions non autorisées, comme des applications tentant d’accéder de manière inappropriée à une ressource réseau ou à des données protégées par WIP, sont toujours bloquées.
Désactivé La fonctionnalitéWIP est désactivée et ne permet pas de protéger ou d’auditer vos données.

Une fois que vous avez désactivé la fonctionnalitéWIP, une tentative de déchiffrement des fichiers balisésWIP sur les disques connectés localement est effectuée. Sachez que vos précédentes informations de stratégie et de déchiffrement ne sont pas automatiquement appliquées à nouveau si vous réactivez la protectionWIP.

Remarque
Pour en savoir plus sur la définition des modes de protectionWIP, voir Créer une stratégie de protection des informations Windows (WIP) à l’aide d’Intune ou Créer et déployer une stratégie de protection des informations Windows (WIP) à l’aide de Configuration Manager, en fonction de votre solution de gestion.

Désactiver la fonctionnalitéWIP

Vous pouvez désactiver la Protection des informations Windows et les restrictions afin de déchiffrer tous les appareils gérés par la fonctionnalitéWIP et de rétablir les paramètres pré-WIP et ce, sans aucune perte de données. Ce n’est toutefois pas recommandé. Si vous choisissez de désactiver la fonctionnalitéWIP, vous pourrez toujours la réactiver ultérieurement, mais vos informations de stratégie et de déchiffrement ne seront pas automatiquement appliquées à nouveau.

Étapes suivantes

Après avoir décidé d'utiliser la fonctionnalitéWIP dans votre entreprise, vous devez effectuer les opérations suivantes:

Note

Aidez-nous à améliorer cet article en nous soumettant des commentaires, ainsi que des suggestions d'ajouts et de modifications. Pour plus d’informations sur la façon d’apporter votre contribution à notre documentation TechNet destinée aux professionnels de l’informatique, consultez cette page.