Prévention de la fuite de données par la réception de classifications inappropriées pour la conformité du gouvernement australien avec PSPF
Cet article fournit des conseils aux organisations gouvernementales australiennes sur les configurations permettant de réduire le risque de déversement de données en surveillant et en empêchant la réception par les services Microsoft 365 des éléments avec des classifications inappropriées. Son objectif est d’aider les organisations à améliorer leur posture de sécurité des informations. Les conseils de cet article s’alignent sur les exigences décrites dans le Framework de stratégie de sécurité de protection (PSPF) et le Manuel de sécurité des informations (ISM).
Les organisations gouvernementales sont tenues de s’assurer que les informations hautement sensibles sont protégées contre toute transmission dans des environnements moins sensibles. Cela inclut les informations dont les classifications appliquées sont supérieures à celles autorisées par la organization et les informations non utilisables dans les environnements cloud Microsoft 365 (par exemple, les informations SECRET et TOP SECRET).
Blocage de la transmission d’e-mails étiquetés de manière inappropriée
ISM-0565 impose des mesures de protection contre les déversements de données par e-mail :
| Conditions requises | Détails |
|---|---|
| ISM-0565 (juin 2024) | Email serveurs sont configurés pour bloquer, journaliser et signaler les e-mails avec des marquages de protection inappropriés. |
En plus d’ISM-0565, les contrôles de ce guide s’alignent sur le Framework de stratégie de sécurité de protection (PSPF). Dans Microsoft 365, les classifications de sécurité sont alignées sur les contrôles de sécurité ISM (Information Security Manual) et PSPF à l’aide d’étiquettes de confidentialité. Les éléments doivent avoir des étiquettes de confidentialité dans le secteur public, car les contrôles de sécurité et la gestion prescrits sont associés à l’élément.
Les déploiements Microsoft Purview pour les organisations gouvernementales australiennes sont généralement associés à une configuration qui nécessite une application d’étiquette pour tous les éléments. Cette configuration d’étiquetage obligatoire permet aux organisations de respecter la condition 1 de la stratégie 8 pspf, car lorsqu’un élément est créé, une étiquette lui est appliquée. Le fait d’appliquer des étiquettes à tous les éléments garantit qu’ils bénéficient d’une protection appropriée et réduit le risque de compromission.
Les stratégies de protection contre la perte de données (DLP) sont configurées pour :
- Empêcher le déversement de données en empêchant la transmission, la réception et la distribution d’articles d’une classification plus élevée que celle autorisée dans l’environnement (appelées classifications non émises dans cet article) ; et
- Empêcher la transmission d’e-mails sans étiquette, qui n’ont pas été évalués pour la sensibilité ou qui peuvent indiquer une tentative de contournement des contrôles de sécurité.
Blocage de la transmission des classifications non émises
Afin de bloquer la réception et/ou la transmission ultérieure des articles classifiés et des articles qui ne devraient pas exister dans la plateforme, des méthodes d’identification de ces informations doivent d’abord être établies. Ces méthodes sont les suivantes :
- L’évaluation des marquages d’objet et des en-têtes x-protective-marking par e-mail pour déterminer la classification appliquée aux éléments entrants.
- Utilisation d’un type d’informations sensibles (SIT) (comme indiqué dans l’identification des informations sensibles) pour identifier les informations qui ne doivent pas exister sur la plateforme. Ces SIT incluent des identificateurs mot clé tels que « SEC=SECRET » et « SEC=TOP-SECRET » et d’autres mots clés government qui existent dans les éléments hautement sensibles.
- Utilisation d’étiquettes de confidentialité non publiées en combinaison avec l’étiquetage automatique comme méthode pour identifier les éléments qui ne doivent pas exister sur la plateforme. Pour plus d’informations, consultez les étiquettes pour obtenir des informations qui dépassent le niveau PROTECTED.
Pour bloquer la propagation des classifications non émises, un ensemble de stratégies DLP est utilisé. Étant donné que les conditions de stratégie disponibles dépendent des services utilisés par le organization, plusieurs stratégies sont requises pour couvrir tous les canaux de communication disponibles. Les stratégies ciblant le service Exchange sont un point de départ recommandé pour la plupart des organisations.
Les stratégies DLP contiennent une ou plusieurs règles, qui utilisent des conditions telles que :
- Contenu contient, type d’informations sensibles, mots clés secrets SIT, OU
- Contenu contient, étiquette de confidentialité, SECRET, OR
-
L’en-tête correspond au modèle,
X-Protective-Marking : SEC=SECRET, OU -
Modèle de correspondance de l’objet,
\[SEC=SECRET
Les règles doivent avoir une action de bloquer tout le monde, qui est disponible sous l’option Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365 .
ISM-0133 est pertinent pour les actions de création de rapports :
| Conditions requises | Détails |
|---|---|
| ISM-0133 (juin 2024) | Lorsqu’un déversement de données se produit, les propriétaires de données sont avertis et l’accès aux données est limité. |
Les actions d’alerte sont importantes pour empêcher toute nouvelle fuite de données et pour accélérer les activités de nettoyage. Plusieurs actions peuvent être configurées dans une seule règle DLP. Les équipes de sécurité de l’organisation pour déterminer les actions d’alerte appropriées. Les options disponibles via l’interface DLP sont étendues via Power Automate et des solutions SIEM (Security Information and Event Management), telles que Sentinel.
Voici un exemple de règle DLP terminée pour identifier et arrêter la distribution des éléments SECRET sur Exchange :
Nom de la stratégie : EXO - Bloquer les classifications non validées
| Nom de la règle | Conditions | Opération |
|---|---|---|
| Bloquer les éléments SECRET | Le contenu contient, Type d’informations sensibles : Secret Keywords custom SIT contenant des termes susceptibles de s’aligner sur une classification SECRET. OR L’en-tête correspond aux modèles : X-Protective-Marking : SEC=SECRET OR L’objet correspond aux modèles : \[SEC=SECRET OR Le contenu contient l’étiquette de confidentialité : SECRET |
Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365 : - Empêcher les utilisateurs de recevoir des e-mails - Bloquer tout le monde Configurez la gravité d’incident et les alertes appropriées. |
La logique appliquée dans la règle précédente peut être utilisée pour créer d’autres stratégies DLP afin de bloquer la distribution des classifications non émises entre d’autres services, notamment :
- SharePoint
- OneDrive
- Messages de conversation et de canal Teams (à l’exception de la condition d’étiquette de confidentialité)
- Appareils via EndPoint DLP (y compris les réseaux non émis, USB, emplacements, etc.)
- Charger vers des services cloud via Defender for Cloud Apps
- Référentiels de fichiers locaux
Blocage de la transmission d’e-mails sans étiquette
Pour bloquer la transmission d’e-mails sans étiquette, une stratégie DLP peut être configurée en fonction du modèle de stratégie personnalisé et appliquée au service Exchange.
Une transmission bloquante d’une stratégie de courrier électronique sans étiquette nécessite deux règles :
- Première règle pour les éléments sortants via le contenu partagé à partir de Microsoft 365, avec des personnes en dehors de ma condition de organization.
- Une deuxième règle s’applique au contenu partagé à partir de Microsoft 365, uniquement avec des personnes à l’intérieur de mon organization.
Les règles ont besoin d’une exception, qui est appliquée via un groupe de conditions avec l’opérande NOT activé. Le groupe de conditions inclut une condition de contenu contient, des étiquettes de confidentialité et toutes les étiquettes disponibles dans l’environnement sont sélectionnées.
Les services qui génèrent des e-mails sont en dehors de la configuration d’étiquetage obligatoire qui s’applique aux clients Microsoft 365 Apps. Par conséquent, cette stratégie DLP se déclenche chaque fois que des e-mails générés par un non-utilisateur sont envoyés. Il se déclenche contre les alertes de sécurité générées par les services Microsoft, les e-mails provenant de scanneurs et d’appareils multi-fonctions (MFD) et les e-mails provenant d’applications telles que les systèmes de ressources humaines ou de paie. Pour garantir que la stratégie ne bloque pas les processus métier essentiels, les exceptions doivent être incluses dans le groupe NOT. Par exemple :
- Ledomaine de l’expéditeur OU estmicrosoft.com, ce qui capture la sécurité et les alertes SharePoint.
- L’expéditeur OUest membre du groupe, avec un groupe contenant des comptes autorisés à contourner cette exigence.
- L’adresse IP de l’expéditeurOU est, ainsi que les adresses des MFD de bureau.
La règle se déclenche chaque fois qu’un e-mail qui ne contient pas l’une des étiquettes de confidentialité répertoriées est envoyé, sauf si l’expéditeur est exempté via l’une des exceptions configurées.
Ces règles DLP doivent avoir une action de bloquer tout le monde , ainsi que des actions de gravité et de création de rapports appropriées.
L’exigence d’alerte suivante est pertinente pour la règle DLP qui s’applique aux éléments sortants :
| Conditions requises | Détails |
|---|---|
| ISM-1023 (juin 2024) | Les destinataires prévus des e-mails entrants bloqués et les expéditeurs d’e-mails sortants bloqués sont avertis. |
Pour répondre à cette exigence, la règle DLP s’appliquant aux éléments sortants est configurée pour avertir l’utilisateur qui a tenté d’envoyer l’élément.
Conseil
Les organisations gouvernementales qui passent à l’étiquetage de confidentialité peuvent choisir de configurer un conseil de stratégie plutôt que de bloquer ou d’alerter des actions. Ces stratégies peuvent être utilisées pour suggérer la sélection d’étiquettes sans la configurer comme une exigence matérielle. Bien que cela ne réponde pas strictement aux exigences de l’ISM, il peut permettre un déploiement plus approprié des fonctionnalités De Microsoft Purview pour les utilisateurs.
Exemple de stratégie DLP bloquant les e-mails sans étiquette
La stratégie DLP suivante s’applique au service Exchange et empêche la perte d’informations par e-mail sans étiquette :
Nom de la stratégie : EXO - Bloquer les e-mails sans étiquette
| Règle | Conditions | Opération |
|---|---|---|
| Bloquer les e-mails non étiquetés sortants | Le contenu est partagé à partir de Microsoft 365, avec des personnes extérieures à mon organization AND Groupe de conditions NOT Le contenu contient des étiquettes de confidentialité : - Sélectionner toutes les étiquettes OU Le domaine de l’expéditeur est : - microsoft.com - inclure d’autres exceptions |
Restreindre l’accès ou chiffrer le contenu dans les emplacements Microsoft 365 : - Empêcher les utilisateurs de recevoir des e-mails - Bloquer tout le monde |