Prérequis technologiques pour l’utilisation de Protection des données Microsoft Purview pour la conformité du gouvernement australien avec PSPF
Cet article fournit des conseils aux organisations gouvernementales australiennes sur les services et composants qui doivent être déployés sur un organization afin de tirer le meilleur profit de l’étiquetage de confidentialité et d’autres fonctionnalités de Microsoft Purview. Son objectif est d’aider les organisations à comprendre les conditions préalables au déploiement de Protection des données Microsoft Purview de répondre aux exigences décrites dans le Cadre de stratégie de sécurité de protection (PSPF) et le Manuel de sécurité des informations (ISM).
Pour utiliser au mieux les configurations décrites dans ce guide, les organisations doivent implémenter l’ensemble de base suivant des services Microsoft 365 :
- Exchange Online
- Microsoft Office Online ou Microsoft 365 Apps clients Office
- SharePoint Online
- Microsoft Teams
Les configurations décrites dans ce guide font référence aux marquages et classifications jusqu’à et y compris PROTECTED. Les organisations doivent également utiliser des exigences d’environnement PROTECTED au-delà du cadre de ce guide.
Remarque
L’implémentation d’une étiquette PROTECTED ne signifie pas automatiquement que l’environnement est adapté pour héberger des données PROTECTED. Les organisations gouvernementales doivent avoir des contrôles sous-jacents en place conformément au Manuel de sécurité des informations (ISM) et au Blueprint for Secure Cloud de l’ASD.
Prise en charge du client Microsoft Office
Le support client est essentiel à la réussite de l’implémentation des fonctionnalités de Protection des données Microsoft Purview. Les clients utilisés par les utilisateurs pour interagir avec les fichiers Office, les e-mails et d’autres services doivent être conscients des étiquettes afin de faciliter l’application d’étiquette. Cette section décrit les versions du client Microsoft Office capables de cette intégration et cherche à identifier tout travail requis avant le déploiement de Purview.
Applications Microsoft 365 pour Entreprise
Microsoft 365 Apps for Enterprise est une version de Microsoft Office, qui permet l’intégration à la suite de services Microsoft 365. Microsoft 365 étant un service cloud en constante évolution, la version Microsoft 365 Apps du client Office reçoit une fréquence élevée de mises à jour pour suivre la plateforme cloud. Cette intégration entre le client Office et les services cloud Microsoft 365 permet de mettre à la disposition des utilisateurs un ensemble de fonctionnalités plus large que ce qui est possible via les clients Office autonomes. Les clients traditionnels offrent un ensemble de fonctionnalités statiques et reçoivent des mises à jour de sécurité, mais n’ont généralement pas accès aux fonctionnalités nouvellement publiées ou aux fonctionnalités centrées sur le cloud.
Pour plus d’informations sur les canaux de mise à jour disponibles pour les applications Microsoft 365, consultez Vue d’ensemble des canaux de mise à jour pour Microsoft 365 Apps.
client Protection des données Microsoft Purview
Auparavant, les organisations exécutant des clients Office traditionnels utilisaient azure Information Protection (AIP) Unified Labeling Client pour activer la sélection des étiquettes sur les clients non Microsoft 365 Apps. AIP a été remplacé par les fonctionnalités clientes Microsoft 365 Apps intégrées.
Protection des données Microsoft Purview fonctionnalités clientes qui sont toujours pertinentes à partir d’AIP continuent d’être prises en charge. Il s’agit notamment des extensions de l’interpréteur de commandes Windows, du scanneur de protection des informations, de l’étiqueteur de fichiers de protection des informations et de la visionneuse de la protection des informations. Pour plus d’informations sur ces fonctionnalités, consultez Étendre l’étiquetage de confidentialité sur Windows.
Prise en charge des clients Mac, iOS et Android
Les nouvelles fonctionnalités de Purview sont généralement mises à disposition de la version Microsoft 365 Apps windows d’Office d’abord, puis d’autres versions d’Office. Pour obtenir la status des fonctionnalités des versions clientes, consultez Versions minimales pour les étiquettes de confidentialité dans différents clients. Les organisations qui déploient Microsoft 365 doivent évaluer ces informations pour s’assurer que toutes les fonctionnalités souhaitées sont disponibles sur les versions utilisées par le organization.
Clients web Microsoft 365
Dans les versions minimales des étiquettes de confidentialité dans les tables Microsoft 365 Apps, de nombreuses fonctionnalités Purview sont répertoriées comme « Oui – opt in » pour la version Web des clients Office. Cette formulation est destinée à expliquer que les fonctionnalités sont disponibles, mais qu’elles nécessitent une activation pour certains scénarios. Par exemple, la possibilité d’appliquer une étiquette à un fichier ou à un e-mail est activée par défaut pour les clients Office et Outlook web, mais doit être activée pour que les étiquettes puissent être appliquées aux sites SharePoint. Par conséquent, web est répertorié comme « opt-in » pour cette fonctionnalité. Les fonctionnalités répertoriées comme « en cours d’examen » sont généralement nouvelles et sont en cours de développement pour la plateforme web.
Il convient également de noter que certains navigateurs web, tels que Microsoft Edge Chromium, Chrome et Firefox, disposent de fonctionnalités Protection contre la perte de données Microsoft Purview intégrées au produit ou disponibles via le complément. Ces fonctionnalités DLP empêchent la perte d’éléments de sécurité classifiés ou sensibles. Elles doivent donc être prises en compte pour le déploiement.
Conseil
Dans le cadre de la configuration DLP, les organisations doivent utiliser un client prenant en compte DLP. Consultez Accès conditionnel pour savoir comment implémenter cela inline avec Essential 8.
Exigences du client obligatoires
La majeure partie des exigences de la politique 8 du Protection Security Policy Framework (PSPF), y compris les trois exigences de base, concernent soit l’identification des informations sensibles, soit les contrôles, qui dépendent de la première identification des informations sensibles. Les applications clientes qui ont une compréhension de l’exigence d’un utilisateur d’appliquer des marquages aux éléments peuvent nous aider à répondre aux exigences en forçant les utilisateurs à appliquer des marquages au moment de la création de l’élément. Une fois marqués, les contrôles opérationnels pour protéger le contenu entouré d’un élément peuvent ensuite être appliqués. Dans cet article, nous faisons référence à une configuration telle que « Étiquetage obligatoire ». Dans Microsoft 365, cela s’effectue principalement par le biais d’une option de stratégie d’étiquette, qui est abordée dans l’étiquetage obligatoire.
À titre d’exemple de l’importance de l’étiquetage obligatoire, prenons l’exemple d’un e-mail qui a été envoyé, mais sans qu’un marquage de protection soit appliqué au préalable. Cela peut se produire en raison d’un manque de support client. Dans de telles situations, nous devons supposer que l’utilisateur n’a pas eu l’occasion d’évaluer la sensibilité des informations jointes (conformément à la politique 8 de base du PSPF 2). Étant donné que l’élément présente un risque élevé en termes de violation de données, les contrôles ISM tels que ISM-0565 doivent s’appliquer :
| Conditions requises | Détails |
|---|---|
| ISM-0565 (juin 2024) | Email serveurs sont configurés pour bloquer, journaliser et signaler les e-mails avec des marquages de protection inappropriés. |
L’application d’un marquage de protection, ou étiquette de confidentialité, permet d’assurer que la sensibilité de l’élément a été évaluée par le propriétaire ou le créateur du contenu, et autorise des contrôles appropriés sur les informations contenues.
Les options permettant d’appliquer l’étiquetage obligatoire ne peuvent être appliquées que par les clients qui connaissent les stratégies d’étiquetage Microsoft Purview d’un organization. Par conséquent, nous devons envisager de nous assurer que les utilisateurs disposent uniquement de services d’accès via les clients qui prennent en charge les stratégies d’étiquetage Microsoft Purview. Pour ce faire, une stratégie d’accès conditionnel doit être implémentée.
Pour plus d’informations sur l’application de l’accès conditionnel sous Essential 8, consultez Contrôle d’application et accès conditionnel.
L’étiquetage obligatoire en place garantit que la capacité d’un utilisateur à envoyer des e-mails sans étiquette ne peut pas se produire. Toutefois, il existe toujours des scénarios dans lesquels les e-mails sans étiquette sont générés par un organization, y compris ceux générés par des applications ou des appareils et scanneurs multifonctions. Afin d’appliquer une configuration qui nécessite l’étiquetage de tous les e-mails, les organisations peuvent implémenter des contrôles qui bloquent la transmission des e-mails générés par l’utilisateur, qui n’ont pas de marquage approprié en place. Pour plus d’informations sur l’implémentation de ces contrôles, consultez Blocage de la transmission d’e-mails sans étiquette.
Intégration au format PDF
Les clients Microsoft 365 Apps Windows incluent la possibilité de gérer les étiquettes appliquées aux documents Office lorsqu’ils sont exportés ou enregistrés sous forme de fichiers PDF. Ces fichiers PDF conservent les paramètres de protection de leurs fichiers Office sources, y compris le chiffrement.
Les documents PDF protégés peuvent être lus dans des lecteurs PDF prenant en charge les étiquettes, notamment Microsoft Edge, Chrome, Foxit Reader et Adobe Reader (avec le plug-in Information Protection pour Acrobat et le plug-in Acrobat Reader installés).
Les organisations gouvernementales doivent déployer et utiliser des clients PDF prenant en charge les étiquettes ou les plug-ins clients. Ces clients permettent de conserver une identification claire des informations sensibles et l’application des contrôles lorsque des éléments sont exportés au format PDF.
Pour plus d’informations sur ces fonctionnalités, consultez les liens suivants :
- Appliquer des étiquettes de confidentialité aux fichiers PDF créés avec les applications Office
- Disponibilité générale de l’intégration d’Adobe Acrobat Reader à Protection des données Microsoft Purview
Licences requises
L’utilisation de base des fonctionnalités de Information Protection Purview nécessite au minimum une licence E3. Toutefois, la plupart des organisations gouvernementales doivent utiliser Microsoft 365 E5 (ou des modules complémentaires de conformité E5 équivalents) pour une utilisation mature des fonctionnalités de Purview.
Le tableau suivant présente un sous-ensemble de cas d’usage courants du secteur public et leur licence minimale requise pour effectuer ce cas d’usage.
| Cas d’usage | Licence |
|---|---|
| Appliquez manuellement une étiquette de confidentialité aux éléments. | E3 |
| Empêcher la distribution d’éléments étiquetés à des utilisateurs non autorisés. | E3 |
| Appliquez des marquages d’objet aux éléments étiquetés pour indiquer la sensibilité des éléments. | E3 |
| Appliquez automatiquement des étiquettes de confidentialité en fonction des marquages appliqués par d’autres organisations. | E5 |
| Surveiller et créer des rapports sur l’utilisation des étiquettes dans l’environnement. | E5 |
| Appliquer des étiquettes aux réunions et aux éléments de calendrier. | E5 |
| Recommander l’application d’une étiquette de confidentialité basée sur la détection de contenu sensible. | E5 |
| Surveillez et contrôlez l’utilisation des éléments étiquetés sur les appareils. | E5 |
| Identifiez les utilisateurs malveillants en fonction de l’activité avec des éléments étiquetés ou sensibles. | E5 |
| Détectez le contenu sensible et contrôlez sa distribution via la conversation Teams. | E5 |
| Parcourir l’emplacement où se trouve le contenu étiqueté et sensible dans un environnement. | E5 |
Comme cela devrait être évident dans le tableau ci-dessus, les organisations gouvernementales disposant d’une licence E3 peuvent implémenter Purview à un niveau de base et atteindre des niveaux ad hoc ou de développement du modèle de maturité PSPF. Toutefois, pour vous assurer que les éléments sont protégés via des contrôles pertinents pour leur sensibilité, des fonctionnalités incluses dans E5 ou des licences équivalentes sont requises. Les organisations peuvent atteindre des niveaux de maturité PSPF de gestion ou incorporés à l’aide d’E5.
Un facteur important pour atteindre des niveaux plus élevés de maturité de conformité est l’utilisation de l’étiquetage automatique de sensibilité. L’étiquetage automatique permet aux organisations gouvernementales d’honorer les classifications qui ont été appliquées en externe. Si un e-mail est classifié et marqué par une entité, lorsqu’il est envoyé à une deuxième entité, l’élément est toujours marqué, mais, par défaut, n’est pas étiqueté. Étant donné qu’il n’a pas d’étiquette, il est hors de portée d’une plage de contrôles de sécurité des données basés sur des étiquettes, tels que les stratégies de protection contre la perte de données (DLP). L’étiquetage automatique permet d’interpréter les marquages de protection (tels que définis dans la politique PSPF 8 Annexe F : Australian Government Email Protective Marquage Standard) à mesure qu’ils sont reçus. Une fois interprétée, une étiquette correspondante est appliquée pendant la transmission, garantissant que tous les contrôles pertinents s’appliquent aux informations jointes lorsqu’elles sont reçues par l’utilisateur.