Taxonomie des étiquettes de confidentialité pour la conformité du gouvernement australien avec PSPF

Cet article fournit des conseils aux organisations gouvernementales australiennes sur les étiquettes de confidentialité requises pour s’aligner sur les classifications de sécurité des données. Son objectif est d’aider les organisations à décider d’une taxonomie d’étiquette de confidentialité appropriée à déployer dans leurs environnements Microsoft 365. Les conseils de cet article ont été rédigés pour s’aligner sur la politique 8 du Protection Security Policy Framework (PSPF) : Informations sensibles et classifiées.

Les organisations gouvernementales australiennes doivent déterminer une taxonomie d’étiquette de confidentialité appropriée avant de déployer la fonctionnalité. Les étiquettes requises varient d’une organisation à l’autre en fonction des types d’informations qu’elles mettent en œuvre.

Configuration standard

Les exigences d’étiquette classiques incluent une combinaison de classifications de sécurité, souvent associées à un marqueur imm (Information Management Marker) et/ou des mises en garde. Les organisations avec une maturité de conformité élevée sont également susceptibles d’inclure des étiquettes pour répondre à diverses exigences de sécurité des données. Par exemple, les étiquettes qui appliquent Azure Rights Management chiffrement pour garantir que seuls les utilisateurs autorisés peuvent accéder aux éléments.

L’exemple suivant illustre les marquages de base pour les organization du gouvernement australien :

Marquage ou classification	Marqueur de gestion des informations	Avertissement
OFFICIEUX FONCTIONNAIRE OFFICIAL : Sensible PROTÉGÉ	Confidentialité personnelle Privilège légal Secret législatif	CABINET NATIONAL CABINET

Les étiquettes sont singulières et une seule étiquette peut être appliquée à un élément ou un emplacement. Toute combinaison requise de ces trois éléments doit être assemblée dans une étiquette unique pour répondre aux exigences. Par exemple, si un élément doit être classé comme PROTÉGÉ et qu’il contient également des informations CABINET, une seule étiquette contenant ces éléments doit être fournie ; CABINET PROTÉGÉ.

L’exemple suivant illustre les étiquettes de base pour les organisations gouvernementales australiennes. Cette liste utilise une combinaison d’étiquettes parentes (catégories) et de sous-étiquettes :

• OFFICIEUX
• FONCTIONNAIRE
• OFFICIAL Sensible (catégorie)
  • OFFICIAL Sensitive
  • Confidentialité personnelle sensible officielle
  • Official : Privilège juridique sensible
  • SECRET LÉGISLATIF SENSIBLE OFFICIEL
  • CABINET NATIONAL SENSIBLE OFFICIEL
• PROTECTED (Catégorie)
  • PROTÉGÉ
  • Protection de la confidentialité personnelle
  • PROTECTED Legal Privilege
  • PROTÉGÉ Secret législatif
  • CABINET PROTÉGÉ

Les organisations gouvernementales ayant des exigences plus complexes ont besoin d’étiquettes supplémentaires. Le nombre maximal d’étiquettes qu’un organization souhaite déployer est plus pertinent pour les contraintes d’utilisation que pour les limitations techniques. Toutefois, il existe une limite de 500 étiquettes qui peuvent être créées par organization.

L’utilisation de sous-étiquettes dans la liste précédente a pour but d’améliorer l’expérience utilisateur, mais a également des effets bénéfiques sur le comportement des étiquettes. Par exemple, la justification des modifications d’étiquette ne se déclenche pas lorsqu’un utilisateur change d’une sous-étiquette à l’autre. Cela permet aux utilisateurs d’appliquer différents messages instantanés, mises en garde ou contrôles de sécurité et de déclencher une justification uniquement s’ils tentent d’abaisser la classification de sécurité appliquée en se déplaçant en dehors d’une catégorie d’étiquette.

Organisations qui travaillent chez OFFICIAL

Les organisations gouvernementales australiennes sont en mesure de configurer leurs environnements Microsoft 365 pour stocker des informations jusqu’à PROTECTED.

Pour obtenir la documentation du Programme des évaluateurs inscrits (IRAP) Microsoft Infosec, consultez le Portail d’approbation de service Microsoft.

De nombreuses organisations gouvernementales australiennes ont volontairement limité le niveau de confidentialité maximal pour les données qu’elles autorisait à être stockées dans la location, ce qui à son tour réduit d’autres exigences. Par exemple, les autorisations du personnel peuvent être conservées à un niveau inférieur suffisant pour les données détenues.

Utilisation de plusieurs imMs

Certaines organisations gouvernementales australiennes utilisent des taxonomies de classification qui permettent l’application de plusieurs marqueurs de gestion des informations (IMM) à chaque élément. Par exemple : « OFFICIAL : Sensitive Legislative Secrety Personal Privacy . » Bien que ce type de configuration puisse être atteint, les exigences doivent être prises en compte, en particulier :

• Les imMs sont dérivées de l’Australian Government Recordkeeping Metadata Standard (AGRkMS), où elle spécifie qu’une seule valeur IMM peut être appliquée.
• La stratégie 8 de l’infrastructure de stratégie de sécurité de protection (PSPF) indique que les MPM sont facultatives.

La recommandation de Microsoft est de garder les choses aussi simples que possible. Seul le déploiement d’étiquettes dont votre organization a réellement besoin améliore l’expérience utilisateur, car les utilisateurs ont moins d’étiquettes à parcourir. Une taxonomie plus petite facilite également l’administration, car il y a moins de configuration à gérer, en particulier entre les stratégies DLP et d’étiquetage automatique.

Les organisations qui envisagent d’utiliser plusieurs combinaisons IMM doivent prendre en compte les complications potentielles suivantes :

• Complications de l’étiquetage automatique : les éléments avec plusieurs MIM appliquées sont plus difficiles à faire correspondre via l’étiquetage automatique, car les expressions pour interpréter les marquages d’objet ou les en-têtes x doivent être en mesure de les prendre en charge via les stratégies décrites dans les recommandations d’étiquetage automatique basées sur les services.
• Longueur de l’objet : Email clients sont souvent tronqués ou rendent difficile l’affichage des sujets de courrier longue. Dans les situations où plusieurs marquages ont été appliqués à un seul e-mail, les utilisateurs peuvent ignorer les marquages IMM ou Avertissement, car ils ne sont pas visibles.
• Longueur de l’en-tête X : X-Protective-Marking x-headers, qui sont décrits dans les stratégies de marquage , sont utilisés pour appliquer des métadonnées de classification aux e-mails. La quantité de métadonnées appliquées à un e-mail dépend de plusieurs facteurs, notamment le client de messagerie utilisé. Les organisations appliquant plusieurs imMs aux e-mails sont susceptibles de dépasser la longueur autorisée de l’en-tête x, ce qui entraîne la troncation de certaines métadonnées de classification.

Si plusieurs étiquettes sont requises, assurez-vous que les éléments sont classés du moins au plus important pour votre organization. Par exemple :

1. Classification de sécurité
2. Mise en garde (si nécessaire)
3. IMM le plus sensible
4. Imm moins sensible

Organisations qui travaillent chez PROTECTED

Microsoft 365 est évalué pour être en mesure de conserver les données jusqu’à et y compris PROTECTED.

Pour obtenir la documentation du Programme des évaluateurs inscrits (IRAP) Microsoft Infosec, consultez le Portail d’approbation de service Microsoft.

Étiquettes pour les informations au-delà du niveau PROTECTED

Les organisations qui contiennent secret et les données ci-dessus doivent utiliser une enclave locale. Le organization doit implémenter la séparation du réseau et un large éventail d’autres mesures pour empêcher ces informations de quitter l’enclave. Si un élément contenant un marquage SECRET est apparu dans un emplacement Microsoft 365, l’événement nécessite que le Conseiller en sécurité informatique (ITSA) des organisations effectue la gestion des déversements de données. ASD fournit des conseils sur la façon de gérer les activités de correction. Consultez guide de gestion des déversements de données ASD

Les organisations gouvernementales doivent implémenter des étiquettes pour les informations qui ne doivent pas résider dans leurs services Microsoft 365. Toutefois, ces étiquettes ne sont pas appliquées directement par les utilisateurs, mais elles sont utilisées pour faciliter l’identification automatisée des éléments qui ne doivent pas se trouver sur la plateforme. Cela aide les équipes de sécurité dans les activités d’identification et de correction.

Les étiquettes varient pour ce type d’utilisation selon les organisations, mais doivent inclure :

• PROTECTED (pour les organisations qui travaillent avec les données les plus élevées étant OFFICIELLES dans leur locataire)
• SECRET
• TOP SECRET

Conformément à ISM-0272, ces étiquettes ne doivent pas être publiées sur les utilisateurs, comme si le service n’était pas autorisé à héberger ces informations, les utilisateurs ne devraient pas être en mesure d’appliquer les étiquettes aux éléments :

Conditions requises	Détails
ISM-0272 (juin 2024)	Les outils de marquage de protection ne permettent pas aux utilisateurs de sélectionner des marquages de protection qu’un système n’a pas été autorisé à traiter, stocker ou communiquer.

Remarque

Les étiquettes non publiées font référence aux étiquettes, qui ne sont pas publiées pour les utilisateurs finaux. Pour qu’une étiquette soit considérée par le service d’étiquetage automatique, elle doit être publiée sur un seul utilisateur, tel qu’un compte d’administrateur.

Les organisations qui ont besoin d’une DLP avancée de données hautement sensibles dans la plateforme Microsoft 365, par exemple par e-mail ou par partage, peuvent ajouter des mesures de sécurité supplémentaires avec des « étiquettes non publiées », notamment :

• Stratégies d’étiquetage automatique pour identifier les éléments par le biais d’en-têtes x des e-mails entrants ou de marquages d’objet (similaires à ceux abordés dans l’étiquetage des e-mails pendant le transport).
• Stratégies d’étiquetage automatique pour identifier les éléments au repos dans les emplacements SharePoint, OneDrive et Teams (comme pour l’étiquetage des éléments existants au repos).
• Stratégies DLP pour bloquer le partage ou la distribution d’e-mails de contenu identifié (comme pour empêcher la distribution inappropriée d’informations classifiées de sécurité).
• Stratégies DLP pour bloquer la réception initiale et/ou toute autre distribution du contenu (comme indiqué dans blocage de la transmission des classifications non émises).
• Fonctionnalités de création de rapports pour identifier quand les éléments hautement sensibles sont déplacés vers des emplacements de sensibilité inférieure (comme dans Alertes de données hors lieu).
• Defender for Cloud Apps fonctionnalités pour empêcher le chargement d’éléments identifiés vers des services cloud non-Microsoft (comme introduit dans la prévention du chargement d’éléments classifiés de sécurité vers des emplacements non gérés).

Étiquettes pour les organisations avec des taxonomies d’étiquettes différentes

Certains gouvernements d’États australiens, comme la Nouvelle-Galles du Sud et le Queensland, utilisent des taxonomies de classification qui ne s’alignent pas entièrement sur la politique 8 du PSPF. Cela peut créer des difficultés quant à la façon dont les organisations gouvernementales fédérales interprètent la sensibilité des informations qu’elles reçoivent des gouvernements des États. Il existe des défis similaires pour les organisations gouvernementales fédérales qui correspondent à des gouvernements étrangers, car les classifications ne sont pas susceptibles de s’aligner.

Les infrastructures et les normes de sécurité des données appliquées par les organization externes avec laquelle votre organization communique sont très pertinentes pour la taxonomie de votre étiquette. Les marquages externes peuvent être utilisés avec les méthodes suivantes :

• Les marquages appliqués par des organisations externes peuvent être convertis en équivalent client

  Par exemple, si un élément avec un marquage « QLD Government SENSITIVE » est reçu par un organization du gouvernement fédéral, le marquage fournit des informations utiles sur la sensibilité de l’élément. Un utilisateur peut appliquer une étiquette « OFFICIAL Sensitive » à l’élément pour l’intégrer dans l’étendue des protections basées sur les étiquettes du locataire. Vous pouvez également configurer l’étiquetage automatique pour mapper automatiquement ce marquage QLD à l’étiquette SENSIBLE OFFICIELLE.

• Les organisations peuvent maintenir des classifications externes et des protections appropriées pour les informations lorsqu’elles en sont les gardiennes

  Au lieu de reclasser les éléments qui ne s’alignent pas sur l’étiquetage de confidentialité de votre environnement, Microsoft Purview peut être configuré avec un ensemble d'« étiquettes non publiées » qui s’alignent sur les classifications externes. Ces étiquettes n’ont pas besoin d’être sélectionnables par les utilisateurs au sein des clients prenant en compte les étiquettes. Au lieu de cela, ils peuvent appliquer l’étiquetage automatique basé sur le service. Une fois les éléments reçus étiquetés, les utilisateurs ne sont pas invités à leur appliquer une étiquette. Les étiquettes peuvent également être alignées avec un ensemble de DLP et d’autres contrôles pour garantir que les informations contenues ne sont pas divulguées de manière inappropriée.

La configuration des étiquettes doit être effectuée avec les organisations, qu’elles interagissent avec l’objectif de l’alignement de la terminologie de classification, car cela permet une configuration plus simple. Si cela n’est pas réalisable, l’accord sur les équivalences de classification fournit le meilleur résultat suivant. La situation qui doit être évitée est que les marquages externes sont complètement ignorés, car cela est susceptible d’entraîner des incidents de sécurité des données tels qu’un déversement de données.

1. Alignement de la classification (recommandé, bonne pratique)
2. Équivalence de classification (recommandée si l’option n’est pas possible)
3. Non-respect de la classification (non recommandé, augmente le risque de déversement de données)

Remarque

Lorsque les organisations gouvernementales interagissent avec les gouvernements étrangers, la Politique 7 du PSPF – Gouvernance de la sécurité pour le partage international fournit des conseils détaillés.

Le tableau suivant est un exemple de la façon dont les étiquettes non publiées sont implémentées avec l’étiquetage automatique afin de conserver les marquages appliqués par des organisations externes. L’exemple montre un ensemble d’étiquettes PSPF, dont la majeure partie s’affiche sous forme de sous-étiquettes pour l’étiquette parente OFFICIAL Sensitive. Sous cette étiquette parente, l’utilisateur peut choisir d’inclure des étiquettes qui s’alignent sur les marqueurs de gestion des informations équivalents NSW et QLD :

Étiquettes PSPF (publié pour tous les utilisateurs)	Gouvernement de la NSW (étiquettes non publiées)	Gouvernement QLD (étiquettes non publiées)
OFFICIEUX FONCTIONNAIRE OFFICIAL : Sensible - OFFICIEL : Sensible - OFFICIEL : Confidentialité personnelle sensible - OFFICIEL : Privilège juridique sensible - OFFICIEL : Secret législatif sensible - OFFICIEL : CABINET NATIONAL SENSIBLE	- Cabinet officiel sensible NSW - OFFICIEL Sensible Juridique - APPLICATION DE LA LOI SENSIBLE OFFICIELLE - Informations d’intégrité sensibles officielles - PERSONNEL SENSIBLE OFFICIEL - Gouvernement officiel sensible de la NSW	-SENSIBLE

Les avantages de l’approche précédente sont les suivants :

• Les informations étiquetées avec des étiquettes NSW ou QLD tirent parti des alertes OFFICIAL : Données sensibles hors lieu (expliquées plus en détail dans les alertes de données hors site), qui alerte et aide à empêcher le déplacement des données vers des emplacements où elles pourraient être divulguées de manière inappropriée.
• Les sous-étiquettes NSW ou QLD sont incluses dans les stratégies OFFICIAL : DLP sensible et Defender for Cloud Apps, protégeant contre la divulgation inappropriée via votre organization (comme introduit dans la prévention de la distribution inappropriée d’informations classifiées de sécurité).
• Les services d’identification des données, tels que Content Explorer, peuvent être utilisés pour identifier l’emplacement où des informations sensibles appartenant à l’État ou générées peuvent se trouver dans les services Microsoft 365¹.

Remarque

¹ Cette configuration est avancée et recommandée pour les organisations familiarisées avec Microsoft Purview.

chiffrement Azure Rights Management

Azure Rights Management permet de s’assurer que seuls les utilisateurs autorisés peuvent accéder au contenu avec une étiquette appliquée.

Pour plus d’informations sur la configuration du chiffrement Azure Rights Management, consultez Comment configurer le chiffrement des messages

L’exemple suivant s’applique au gouvernement australien.

• Une sous-étiquette marquée comme Interne uniquement peut être utilisée pour permettre aux utilisateurs de limiter les éléments aux utilisateurs internes uniquement.
• Une sous-étiquette Destinataires uniquement peut être utilisée pour garantir que les e-mails ne peuvent pas être transférés à des destinataires non autorisés.
• Une sous-étiquette project Budgerigar uniquement peut être utilisée pour garantir que seul le sous-ensemble d’utilisateurs qui ont besoin de connaître le projet Budgerigar et les informations associées peuvent accéder aux éléments.

En utilisant ces étiquettes et les contrôles associés en même temps que l’ensemble de base d’étiquettes OFFICIAL : Étiquettes sensibles, le résultat de la topologie est :

• OFFICIAL : Sensible
  • OFFICIAL : Interne sensible uniquement
  • OFFICIAL : Destinataires sensibles uniquement
  • OFFICIAL : Projet sensible Budgerigar uniquement
  • OFFICIAL : Sensible (aucune protection)
  • OFFICIEL : Confidentialité personnelle sensible
  • OFFICIEL : Privilège juridique sensible
  • OFFICIEL : Sensible secret législatif
  • OFFICIEL : CABINET NATIONAL SENSIBLE

L’exemple précédent présente des défis évidents, notamment :

• La liste des étiquettes est beaucoup plus longue, ce qui peut avoir un impact sur la facilité d’utilisation.
• Les étiquettes supplémentaires entraînent davantage d’exigences de configuration dans les services associés, tels que DLP, ce qui augmente la complexité.
• L’ensemble précédent d’options d’étiquette oblige les utilisateurs à prendre des décisions concernant l’application d’une configuration IMM, CAVEAT ou de chiffrement, ce qui présente un problème.

Dans de telles situations, les protections fournies par le chiffrement doivent être la priorité absolue. Les imms sont considérés comme facultatifs en fonction du PSPF et doivent donc être considérés comme une priorité inférieure. Les mises en garde, telles que national CABINET, sont probablement plus importantes que les MPM et ne doivent pas être omises. Ce qui est susceptible d’entraîner des exigences d’étiquette supplémentaires, car les organisations cherchent à appliquer des protections plus récentes aux éléments.

L’exemple montre que les exigences d’étiquette sont susceptibles de croître au fil du temps. Le fait de commencer avec un grand ensemble d’étiquettes entraînera encore plus de complexité à l’avenir. Microsoft recommande de limiter les étiquettes publiées à un ensemble de cœurs requis par les utilisateurs et d’omettre toutes les combinaisons IMM et Mise en garde qui ne sont pas susceptibles d’être requises par votre organization. En limitant les utilisateurs à un ensemble de cœurs, il permet à la configuration d’augmenter sans affecter la facilité d’utilisation ou la complexité.