Concevoir une stratégie de protection contre la perte de données

Prendre le temps de concevoir une stratégie avant de l’implémenter vous permet d’obtenir les résultats souhaités plus rapidement, avec moins de problèmes inattendus, que de la créer, puis de la paramétrer par essai et erreur uniquement. Le fait que vos conceptions de stratégie sont documentées vous aide également dans les communications, les révisions de stratégie, la résolution des problèmes et d’autres réglages.

Si vous débutez avec Microsoft Purview DLP, il est utile de parcourir ces articles avant de commencer à concevoir une stratégie :

Conseil

Commencez à utiliser Microsoft Copilot for Security pour explorer de nouvelles façons de travailler plus intelligemment et plus rapidement à l’aide de la puissance de l’IA. En savoir plus sur Microsoft Copilot pour la sécurité dans Microsoft Purview.

Avant de commencer

Si vous débutez avec Microsoft Purview DLP, voici une liste des principaux articles dont vous aurez besoin lorsque vous implémenterez DLP :

  1. Unités administratives
  2. En savoir plus sur la protection contre la perte de données Microsoft Purview - Cet article vous présente la discipline de protection contre la perte de données et l’implémentation par Microsoft de DLP
  3. Planifier la protection contre la perte de données (DLP) : en suivant cet article, vous allez :
    1. Identifier les parties prenantes
    2. Décrire les catégories d’informations sensibles à protéger
    3. Définir des objectifs et une stratégie
  4. Informations de référence sur la stratégie de protection contre la perte de données : cet article présente tous les composants d’une stratégie DLP et explique comment chacun d’eux influence le comportement d’une stratégie
  5. Concevoir une stratégie DLP : cet article (celui que vous lisez actuellement) vous guide tout au long de la création d’une instruction d’intention de stratégie et de son mappage à une configuration de stratégie spécifique.
  6. Créer et déployer des stratégies de protection contre la perte de données : cet article présente certains scénarios d’intention de stratégie courants que vous mappez aux options de configuration, puis vous guide tout au long de la configuration de ces options.
  7. En savoir plus sur l’examen des alertes de protection contre la perte de données : cet article présente le cycle de vie des alertes depuis la création, jusqu’à la correction finale et au réglage de la stratégie. Il vous présente également les outils que vous utilisez pour examiner les alertes.

Vue d’ensemble de la conception de stratégie

La conception d’une stratégie consiste principalement à définir clairement les besoins de votre entreprise, à les documenter dans une déclaration d’intention de stratégie, puis à les mapper à la configuration de la stratégie. Vous utilisez les décisions que vous avez prises au cours de votre phase de planification pour éclairer certaines de vos décisions de conception de stratégie.

Définir l’intention de la stratégie

Vous devez être en mesure de résumer, dans une seule instruction, l’intention métier de chaque stratégie que vous avez. Le développement de cette instruction stimule les conversations au sein de votre organisation et, lorsqu’elle est entièrement développée, elle lie directement la stratégie à un objectif métier et fournit une feuille de route pour la conception de la stratégie. Les étapes décrites dans l’article Planifier la protection contre la perte de données (DLP) vous aident à commencer votre déclaration d’intention de stratégie.

N’oubliez pas que, comme décrit dans la vue d’ensemble de la configuration de la stratégie DLP, toutes les stratégies DLP vous obligent à :

  • Choisir ce que vous souhaitez surveiller
  • Choisissez l’étendue de la stratégie.
  • Choisissez l’emplacement où vous souhaitez surveiller .
  • Choisissez les conditions qui doivent être mises en correspondance pour qu’une stratégie soit appliquée à un élément.
  • Choisissez l’action à effectuer lorsque les conditions de stratégie sont remplies.

Par exemple, voici un premier brouillon fictif d’une déclaration d’intention qui fournit des réponses aux cinq questions :

« Nous sommes une organisation basée aux États-Unis et nous devons détecter les documents Office qui contiennent des informations de soins de santé sensibles couvertes par HIPAA qui sont stockées dans OneDrive/SharePoint et pour nous protéger contre le partage de ces informations dans les messages de conversation et de canal Teams et empêcher tout le monde de les partager avec des tiers non autorisés ».

À mesure que vous développez une conception de stratégie, vous allez probablement modifier et étendre l’instruction.

Mapper les besoins de l’entreprise à la configuration de la stratégie

Nous allons décomposer l’exemple d’instruction brouillon et le mapper aux points de configuration de stratégie DLP. Cet exemple suppose que vous utilisez un compte d’administrateur DLP illimité et que les unités administratives ne sont pas configurées.

Importante

Veillez à comprendre la différence entre un administrateur sans restriction et un administrateur restreint d’unité administrative en lisant Unités administratives avant de commencer.

Statement Réponse à la question de configuration et mappage de configuration
« Nous sommes une organisation basée aux États-Unis et nous devons détecter les documents Office qui contiennent des informations de soins de santé sensibles couvertes par hipaa... - Éléments à surveiller : Documentation office, utiliser le modèle
- HIPAA (Health Insurance Act) des États-UnisConditions pour une correspondance : (préconfiguré mais modifiable) - l’élément contient le numéro SSN et drug enforcement agency (DEA), la classification internationale des maladies (ICD-9-CM), la classification internationale des maladies (ICD-10-CM), le contenu est partagé avec des personnes extérieures à mon organisation
- dirige les conversations pour clarifier le seuil de déclenchement de la détection comme niveaux de confiance et nombre d’instances (appelée tolérance de fuite).
... qui sont stockés dans OneDrive/SharePoint et protègent contre le partage de ces informations dans les messages de conversation et de canal Teams... - Emplacement de surveillance : Étendue de l’emplacement en incluant ou en excluant les sites OneDrive et SharePoint et les comptes de conversation/canal Teams ou les groupes de distribution. Étendue de la stratégie (préversion) : Répertoire complet
... et empêcher tout le monde de partager ces éléments avec des tiers non autorisés. » - Actions à effectuer : Vous ajoutezRestreindre l’accès ou chiffrer le contenu dans les
emplacements Microsoft 365 : permet de déterminer les actions à entreprendre lorsqu’une stratégie est déclenchée, notamment les actions de protection comme les restrictions de partage, les actions de sensibilisation comme les notifications et les alertes, et les actions d’autonomisation des utilisateurs comme autoriser les remplacements d’une action de blocage par l’utilisateur

Cet exemple ne couvre pas tous les points de configuration d’une stratégie DLP ; il faudrait l’étendre. Toutefois, cela devrait vous amener à réfléchir dans la bonne direction lorsque vous développez vos propres déclarations d’intention de stratégie DLP.

Importante

N’oubliez pas que les emplacements que vous choisissez ont un impact sur la possibilité d’utiliser des types d’informations sensibles, des étiquettes de confidentialité et des étiquettes de rétention. Les emplacements que vous choisissez ont également un impact sur les actions disponibles. Pour plus d’informations, consultez Informations de référence sur la stratégie de protection contre la perte de données.

Conception de règles complexes

Le contenu HIPAA ci-dessus dans SharePoint et OneDrive est un exemple simple de stratégie DLP. Le générateur de règles DLP prend en charge la logique booléenne (AND, OR, NOT) et les groupes imbriqués.

Importante

  • Toutes les exceptions existantes sont remplacées par une condition NOT dans un groupe imbriqué à l’intérieur des conditions.
  • Vous devez créer des groupes pour utiliser plusieurs opérateurs.

Importante

Lorsqu’une action dans les applications clientes de bureau Office (Word, Outlook, Excel et PowerPoint) correspond à une stratégie qui utilise des conditions complexes, l’utilisateur voit uniquement des conseils de stratégie pour les règles qui utilisent la condition Contenu contient des informations sensibles .

  • Exemple 1 Nous devons bloquer les e-mails à tous les destinataires qui contiennent des numéros de carte de crédit, OU qui ont l’étiquette de confidentialité « hautement confidentielle » appliquée, mais ne pas bloquer l’e-mail s’il est envoyé par une personne de l’équipe financière à adele.vance@contoso.com

  • Exemple 2 Contoso doit bloquer tous les e-mails qui contiennent un fichier protégé par mot de passe OU une extension de fichier de document zip (« zip » ou « 7z »), mais ne pas bloquer l’e-mail si le destinataire se trouve dans le domaine contoso.com OU le domaine fabrikam.com, OU si l’expéditeur est membre du groupe RH Contoso.

Importante

  • L’utilisation de la condition NOT dans un groupe imbriqué remplace la fonctionnalité Exceptions .
  • Vous devez créer des groupes pour utiliser plusieurs opérateurs.

Importante

Lorsqu’une action dans les applications clientes de bureau Office (Word, Outlook, Excel et PowerPoint) correspond à une stratégie qui utilise des conditions complexes, l’utilisateur ne voit que des conseils de stratégie pour les règles qui utilisent la condition Contenu contient des informations sensibles .

Processus de conception de stratégie

  1. Suivez les étapes décrites dans Planifier la protection contre la perte de données (DLP). En suivant cet article, vous allez :

    1. Identifier vos parties prenantes
    2. Décrire les catégories d’informations sensibles à protéger
    3. Définir des objectifs et une stratégie
    4. Définir votre plan de déploiement de stratégie
  2. Familiarisez-vous avec la référence de stratégie de protection contre la perte de données afin de comprendre tous les composants d’une stratégie DLP et comment chacun d’eux influence le comportement d’une stratégie.

  3. Familiarisez-vous avec ce qu’incluent les modèles de stratégie DLP.

  4. Développez votre déclaration d’intention de stratégie avec vos principales parties prenantes. Reportez-vous à l’exemple plus haut dans cet article.

  5. Déterminez comment cette stratégie s’intègre dans votre stratégie de stratégie DLP globale.

    Importante

    Les stratégies ne peuvent pas être renommées une fois qu’elles ont été créées. Si vous devez renommer une stratégie, vous devez en créer une avec le nom souhaité et mettre hors service l’ancienne. Par conséquent, dès le départ, décidez de la structure de nommage que toutes vos stratégies utiliseront.

  6. Mappez les éléments de votre instruction d’intention de stratégie aux options de configuration.

  7. Déterminez le modèle de stratégie à partir duquel vous allez commencer : prédéfini ou personnalisé.

  8. Parcourez le modèle et assemblez toutes les informations requises avant de créer la stratégie. Il est probable que vous constaterez que certains points de configuration ne sont pas couverts dans votre déclaration d’intention de stratégie. C’est d’accord. Revenez à vos parties prenantes pour résoudre les exigences relatives aux points de configuration manquants.

  9. Documentez la configuration de tous les paramètres de stratégie et examinez-les avec vos parties prenantes. Vous pouvez réutiliser votre mappage d’intention de stratégie aux points de configuration, qui est maintenant entièrement étoffé.

  10. Créez un brouillon de stratégie et reportez-vous à votre plan de déploiement de stratégie .

Voir aussi