Application automatique des étiquettes de confidentialité pour la conformité du gouvernement australien avec PSPF
Cet article fournit des conseils aux organisations gouvernementales australiennes sur l’étiquetage automatique de confidentialité. Son objectif est d’aider les organisations gouvernementales à accroître leur maturité en matière de sécurité et de conformité tout en respectant les exigences énoncées dans le Cadre de stratégie de sécurité de protection (PSPF) et le Manuel de sécurité de l’information (ISM).
L’étiquetage automatique utilise des fonctionnalités telles que les types d’informations sensibles (SIT) et les classifieurs pouvant être entraînés pour identifier les marquages ou les informations sensibles dans les éléments. Après l’identification, le service recommande ou applique automatiquement une étiquette à l’élément dans lequel les informations ont été détectées. L’étiquette permet de s’assurer que les informations contenues sont correctement protégées. Microsoft Purview a deux types d’étiquetage automatique de confidentialité : l’étiquetage automatique basé sur le client et l’étiquetageautomatique basé sur les services. Les concepts d’étiquetage automatique peuvent être étendus aux emplacements locaux via le scanneur Protection des données Microsoft Purview. Elles peuvent également être appliquées à des bases de données ou à des services de stockage via Azure Data Map.
Les exigences du gouvernement australien relatives à l’étiquetage automatique sont les suivantes :
| Conditions requises | Détails |
|---|---|
| PSPF Policy 8 Condition 2 a.i. – Assessing sensitive and security classified information (v2018.6) | Pour déterminer la classification de sécurité à appliquer, l’auteur doit évaluer la valeur, l’importance ou la sensibilité de l’information officielle en tenant compte des dommages potentiels pour le gouvernement, l’intérêt national, les organisations ou les individus, qui se produireaient si la confidentialité de l’information était compromise. |
| Contrôle de sécurité ISM : 0271 (juin 2024) | Les outils de marquage de protection n’insèrent pas automatiquement des marquages de protection dans les e-mails. |
PspF et ISM indiquent qu’une personne doit être responsable des décisions d’appliquer des étiquettes aux éléments, plutôt qu’un service automatisé. Toutefois, dans un environnement de travail moderne, l’étiquetage automatique basé sur les services et les clients offre des avantages aux organisations gouvernementales et réduit les risques dans les circonstances suivantes :
- Assistance à l’utilisateur : l’étiquetage automatique basé sur le client détecte les informations sensibles ou les marquages de sécurité et recommande l’étiquette la plus appropriée à l’utilisateur qui a l’autorisation de prendre la décision. Pour plus d’informations sur l’implémentation de l’assistance utilisateur, consultez Étiquetage automatique basé sur le client.
- Respect des marquages externes : l’étiquetage automatique basé sur le service peut respecter les classifications de sécurité appliquées aux éléments par des organisations externes. Le respect du marquage externe place les documents et les e-mails reçus dans le cadre des contrôles de sécurité des données de votre organization. Cela permet également à vos organization d’honorer les classifications appliquées par le organization d’origine. Pour plus d’informations, consultez recommandations basées sur les marquages de organization externes.
- Étiquettes basées sur le système : l’étiquetage automatique basé sur le service respecte les étiquettes générées par les systèmes, par exemple les e-mails de paie au personnel détaillant sa fiche de paie à partir d’un système RH. Pour plus d’informations sur l’implémentation, consultez recommandations basées sur les marquages système et comment configurer une étiquette de confidentialité par défaut pour une bibliothèque de documents SharePoint.
- Alignement des éléments hérités : l’étiquetage automatique basé sur le service détecte les classifications de sécurité par le biais de marquages ou de propriétés de document appliquées aux éléments hérités et place les éléments dans l’étendue des contrôles de sécurité actuels. Lorsqu’elle est utilisée de cette façon, l’étiquetage automatique renforce la protection contre la perte de données (DLP) et d’autres configurations de sécurité en garantissant que tous les éléments hérités sont protégés par des contrôles modernes. Pour plus d’informations sur la façon de procéder à l’implémentation dans un organization gouvernemental, consultez recommandations basées sur les classifications historiques.
Remarque
Lorsque l’étiquetage automatique détecte plusieurs correspondances, la correspondance qui s’aligne sur le contenu le plus sensible est celle qui est appliquée ou recommandée pour l’élément, ce qui garantit que les éléments ne sont pas sous-classifiés. Pour plus d’informations, consultez Priorité des étiquettes.
Les organisations avec l’étiquetage automatique de confidentialité en place ont une précision accrue des étiquettes. L’exactitude de l’étiquette permet de s’assurer que les informations sont comprises dans la portée des contrôles pertinents et renforce la capacité d’une organisation à répondre aux exigences de base de la stratégie 8 du PSPF C :
| Conditions requises | Détails |
|---|---|
| PSPF Policy 8 Core Requirement C | Mettre en œuvre des contrôles opérationnels pour ces fonds d’information proportionnels à leur valeur, leur importance et leur sensibilité |
Ces fonctionnalités sont considérées comme une intégration proactive des exigences de sécurité de protection dans les pratiques commerciales, qui s’alignent sur le niveau incorporé du modèle de maturité PSPF (décrit dans le Rapport d’évaluation du Framework de stratégie de sécurité de protection (PSPF).