Confidentialité et protection des données – Protéger et régir les données
Bienvenue à l’étape 2 de la gestion de la confidentialité et de la protection des données avec Microsoft Priva et Microsoft Purview : Protéger et gouverner vos données.
Lorsque vous savez quelles données personnelles vous avez, où elles se trouvent et vos exigences réglementaires, il est temps de mettre en place des éléments pour protéger ces données. Microsoft fournit des fonctionnalités complètes et robustes pour vous aider à protéger les données personnelles de deux manières :
- Fonctionnalités configurées par les administrateurs informatiques pour catégoriser les éléments sensibles et prendre des mesures de protection, et
- Fonctionnalités qui permettent à vos employés d’identifier et de résoudre rapidement les problèmes de confidentialité des données et de se former à des pratiques de gestion des données saines.
Actions à entreprendre
Opération | Description | Obtenir des détails |
---|---|---|
Identifiez les types d’informations sensibles afin de savoir ce qui a besoin de protection. | L’identification et la catégorisation des éléments sensibles gérés par votre organization constituent la première étape de la discipline Information Protection. Microsoft Purview propose trois façons d’identifier les éléments afin qu’ils puissent être classés manuellement par les utilisateurs, b) la reconnaissance automatisée des modèles, comme les types d’informations sensibles, et c) le Machine Learning. Les types d’informations sensibles (SIT) sont des classifieurs basés sur des modèles. Ils détectent des informations sensibles telles que la sécurité sociale, les carte de crédit ou les numéros de compte bancaire pour identifier les éléments sensibles. |
En savoir plus sur les types d’informations sensibles Afficher la liste complète des types d’informations sensibles |
Catégorisez et étiquetez votre contenu afin de pouvoir appliquer des fonctionnalités pour le protéger. | La catégorisation et l’étiquetage du contenu afin qu’il puisse être protégé et géré correctement est le point de départ de la discipline de protection des informations. Microsoft 365 propose trois façons de classifier le contenu. | En savoir plus sur les classifieurs pouvant être entraînés |
Appliquez des étiquettes de confidentialité pour protéger les données, même si elles sont itinérantes. | Une fois que vous avez identifié vos données sensibles, vous souhaitez les protéger. C’est souvent difficile lorsque des personnes collaborent avec d’autres personnes à l’intérieur et à l’extérieur du organization. Ces données peuvent être itinérantes partout, sur les appareils, les applications et les services. Et quand il est itinérant, vous souhaitez qu’il le fasse de manière sécurisée et protégée qui répond aux stratégies métier et de conformité de votre organization. Les étiquettes de confidentialité de Protection des données Microsoft Purview vous permettent de classifier et protéger les données de votre organisation, tout en veillant à ce que la productivité des utilisateurs et leur aptitude à collaborer ne soient pas compromises. |
En savoir plus sur les étiquettes de confidentialité |
Utilisez des stratégies de protection contre la perte de données pour empêcher le partage de données personnelles. | Les organisations ont des informations sensibles sous leur contrôle, telles que des données financières, des données propriétaires, des numéros de carte de crédit, des dossiers de santé ou des numéros de sécurité sociale. Pour protéger les informations sensibles et réduire les risques, ils ont besoin d’un moyen d’empêcher leurs utilisateurs de les partager de manière inappropriée avec des personnes qui ne devraient pas les avoir. Cette pratique est appelée protection contre la perte de données (DLP). À l’aide de Protection contre la perte de données Microsoft Purview, vous implémentez la protection contre la perte de données en définissant et en appliquant des stratégies DLP pour identifier, surveiller et protéger automatiquement les éléments sensibles dans les services Microsoft 365 tels que Teams, Exchange, SharePoint et OneDrive ; Les applications Office telles que Word, Excel et PowerPoint ; points de terminaison Windows 10, Windows 11 et macOS (la version actuelle et les deux versions précédentes de macOS), applications cloud non-Microsoft, partages de fichiers locaux et SharePoint local. Cette solution DLP détecte les éléments sensibles à l’aide d’une analyse de contenu approfondie, et pas seulement par une simple analyse de texte. Le contenu est analysé pour les correspondances de données primaires avec des mots clés, par l’évaluation des expressions régulières, par la validation de fonction interne et par les correspondances de données secondaires qui se trouvent à proximité de la correspondance de données primaires. En outre, DLP utilise également des algorithmes d’apprentissage automatique et d’autres méthodes pour détecter le contenu qui correspond à vos stratégies DLP. |
En savoir plus sur la protection contre la perte de données |
Gouverner vos données Microsoft 365 à des fins de conformité ou d’exigences réglementaires | Les contrôles de gouvernance des informations peuvent être utilisés dans votre environnement pour répondre aux besoins de conformité de la confidentialité des données, notamment un certain nombre spécifique au Règlement général sur la protection des données (RGPD), HIPAA-HITECH (la loi sur la confidentialité des soins de santé États-Unis), au California Consumer Protection Act (CCPA) et à la loi brésilienne sur la protection des données (LGPD). Gestion du cycle de vie des données Microsoft Purview et Gestion des enregistrements Microsoft Purview fournissent ces contrôles sous la forme de stratégies de rétention, d’étiquettes de rétention et de fonctionnalités de gestion des enregistrements. | Découvrez comment déployer une solution de gouvernance des données avec Microsoft Purview |
Configurez le stockage sécurisé des données personnelles dans Microsoft Teams. | Si vous envisagez de stocker des données personnelles hautement sensibles dans Teams, vous pouvez configurer une équipe privée et utiliser une étiquette de confidentialité spécifiquement configurée pour sécuriser l’accès à l’équipe et aux fichiers qu’elle contient. | En savoir plus sur la configuration d’une équipe avec isolation de sécurité |
Permettre aux utilisateurs de repérer les risques potentiels et de résoudre les problèmes. | Créez des stratégies de gestion des données dans Gestion des risques de confidentialité Priva afin que vos utilisateurs puissent immédiatement identifier les risques dans les données qu’ils créent et gèrent. Les e-mails de notification alertent les utilisateurs lorsqu’ils transfèrent des éléments contenant des données personnelles dans notre organization, rendent le contenu trop largement accessible ou conservent des données personnelles trop longtemps. Les notifications invitent les utilisateurs à prendre des mesures correctives immédiates pour sécuriser les données personnelles et contiennent des liens vers la formation de confidentialité préférée de votre organization. |
En savoir plus sur la gestion des risques de confidentialité Créer une stratégie pour empêcher les transferts de données, la surexposition ou la thésaurisation Configurer des notifications pour les utilisateurs afin de résoudre les problèmes liés au contenu qu’ils gèrent |
Utilisez la gestion des enregistrements pour les éléments à valeur élevée qui doivent être gérés en fonction des exigences professionnelles, légales ou réglementaires de conservation des enregistrements. | Un système de gestion des enregistrements est une solution permettant aux organisations de gérer les enregistrements réglementaires, juridiques et critiques pour l’entreprise. Gestion des enregistrements Microsoft Purview aide un organization à gérer ses obligations légales, fournit la possibilité de démontrer la conformité aux réglementations et augmente l’efficacité grâce à la disposition régulière d’éléments qui ne sont plus tenus d’être conservés, qui ne sont plus de valeur ou qui ne sont plus nécessaires à des fins commerciales. |
En savoir plus sur la gestion des enregistrements |
Configuration de votre stratégie de réussite
L’identification des types d’informations sensibles (SIT), la catégorisation et l’étiquetage de votre contenu et le déploiement de stratégies de protection contre la perte de données (DLP) sont des étapes clés d’une stratégie de protection des informations. Les liens du tableau ci-dessus vous permettent d’obtenir des instructions détaillées pour effectuer ces tâches essentielles.
La protection des données relève également de la responsabilité de chaque utilisateur de votre organization qui consulte, crée et gère les données personnelles dans le cadre de la tâche. Chaque utilisateur doit connaître et respecter les responsabilités internes et réglementaires de votre organization pour protéger les données personnelles où qu’elles se trouvent dans votre organization. À cette fin, Priva vous aide à permettre à vos utilisateurs de connaître leurs responsabilités, d’être informés lorsqu’ils gèrent les données de manière risquée et de prendre des mesures immédiates pour réduire les risques de confidentialité pour les organization.
Les trois stratégies de gestion des données disponibles dans Gestion des risques de confidentialité Priva aider vos utilisateurs à jouer un rôle proactif dans la stratégie de protection des données de votre organization. Email notifications avec des actions de correction intégrées invitent les utilisateurs à appliquer les protections nécessaires et à suivre une formation sur la confidentialité désignée par votre organization. Cette sensibilisation et cette capacité d’agir peuvent aider à cultiver de meilleures habitudes pour prévenir les problèmes futurs de protection de la vie privée.
Recommandations pour votre première stratégie de gestion des données Priva
Nous vous recommandons de déployer des stratégies selon une approche progressive afin que vous puissiez découvrir comment elles se comportent et les optimiser en fonction de vos besoins. Pour la première phase, nous vous recommandons de créer une stratégie personnalisée pour servir de base de compréhension. Nous allons utiliser l’exemple de création d’une stratégie de surexposition des données, qui identifie les éléments de contenu contenant des données personnelles qui peuvent être trop largement accessibles par d’autres personnes. Vous trouverez des instructions détaillées de création de stratégie à partir d’ici.
Lorsque vous accédez à l’étape Choisir les données à surveiller de l’Assistant Création de stratégie, nous vous recommandons de sélectionner l’option Types d’informations sensibles individuels et de choisir les SIT les plus pertinents pour votre organization. Par exemple, si vous êtes une société de services financiers avec des clients en Europe, vous voudrez probablement inclure le numéro de débit de l’UE carte comme l’un de vos SIT. Recherchez la liste des définitions SIT ici.
À l’étape Choisir des utilisateurs et des groupes couverts par cette stratégie , nous vous recommandons de sélectionner des utilisateurs ou des groupes spécifiques et de choisir un petit cercle interne d’utilisateurs dans l’étendue de cette stratégie.
À l’étape Choisir les conditions de la stratégie , nous vous recommandons de sélectionner uniquement Externe afin de suivre les données que vous pouvez considérer comme plus risquées tout en conservant la quantité totale de données que vous devrez surveiller à des niveaux plus gérables.
À l’étape Spécifier les alertes et les seuils , nous vous recommandons d’activer les alertes et de sélectionner l’option de fréquenceAlerte lorsque l’une des conditions ci-dessous est remplie. L’activation des alertes permet aux administrateurs d’évaluer si la gravité et la fréquence des alertes répondent à leurs besoins. Notez que les stratégies ne fonctionnent pas de manière rétrospective. Par conséquent, si vous décidez de désactiver les alertes dans un premier temps et de les activer ultérieurement, vous ne verrez aucune alerte pour les correspondances qui se sont produites avant d’activer les alertes.
À l’état Décider du mode de stratégie , nous vous recommandons de conserver la stratégie en mode test et de surveiller ses performances pendant au moins cinq jours. Cela vous permet de voir quel type de correspondances les conditions de stratégie sont en cours d’obtention et comment les alertes se déclenchent.
Configurer progressivement davantage de stratégies et optimiser les performances
Après avoir configuré et exécuté votre première stratégie, vous pouvez faire de même avec les deux autres types de stratégie. Il peut s’agir de votre deuxième phase, dans laquelle vous allez progressivement utiliser les fonctionnalités au fur et à mesure et optimiser leurs paramètres. Par exemple, vous pouvez choisir de ne pas envoyer de Notifications par e-mail utilisateur au début pendant que vous voyez le nombre de correspondances détectées par votre stratégie. Vous pouvez ensuite décider d’activer Notifications par e-mail lorsque les stratégies sont toujours en mode test (à l’étape Définir les résultats des paramètres de stratégie). Si les utilisateurs reçoivent trop d’e-mails, revenez aux paramètres Résultats de la stratégie pour ajuster la fréquence des notifications. Tous ces réglages peuvent vous aider à évaluer l’impact souhaité sur vos utilisateurs avant de déployer la stratégie plus largement dans votre organization.
Paramètres recommandés pour les deux autres types de stratégies
Vous trouverez ci-dessous des recommandations spécifiques pour les paramètres clés lors de la création de vos premières stratégies de transfert de données et de surexposition des données .
Transfert de données :
- Pour Données à surveiller, sélectionnez des SIT spécifiques.
- Pour Choisir les utilisateurs et les groupes couverts par cette stratégie, sélectionnez un anneau interne d’utilisateurs.
- Pour Choisir des conditions pour la stratégie, choisissez la condition la plus importante.
- Pour Définir les résultats lorsqu’une correspondance de stratégie est détectée, activez Notifications par e-mail.
- Pour Spécifier les alertes et les seuils, activez les alertes pour chaque fois qu’une activité se produit.
- Pour Décider du mode de stratégie, activez le mode de stratégie (ce qui désactive le mode test).
Minimisation des données :
- Pour Données à surveiller, choisissez des SIT ou des groupes de classification spécifiques.
- Pour Choisir les utilisateurs et les groupes couverts par cette stratégie, sélectionnez un anneau interne d’utilisateurs.
- Pour Choisir des conditions pour la stratégie, choisissez 30, 60, 90 ou 120 jours.
- Pour décider du mode de stratégie, conservez la stratégie en mode test.
Optimisation des performances de la stratégie pour réduire les risques de confidentialité
Autorisez l’exécution de vos stratégies pendant au moins deux à quatre semaines. Pendant ce temps, vous devez examiner et documenter les résultats suivants :
- Les correspondances générées par chaque type de stratégie et les instances de faux positifs et de faux négatifs
- L’impact et les commentaires des utilisateurs finaux et des administrateurs
En fonction de vos résultats, vous pouvez désormais régler les performances de la stratégie en procédant comme suit :
- Inclure ou exclure des SIT ou des groupes de classification personnalisés et prêtes à l’emploi
- Création de versions des stratégies avec des conditions et des groupes d’utilisateurs pour rendre le ciblage plus efficace
- Ajustement des seuils de la stratégie, y compris la fréquence des e-mails aux utilisateurs, le nombre de jours à surveiller, etc.
Considérez cela comme votre troisième phase. Vous pouvez créer d’autres versions de chaque type de stratégie et les déployer sur l’ensemble du organization en deux cycles : une première qui couvre 50 % de vos utilisateurs et une deuxième qui couvre 100 % de vos utilisateurs.
Il s’agit également de l’étape où vous accumulez des apprentissages basés sur le comportement des utilisateurs, comme indiqué dans Priva, et créez une formation à la confidentialité spécifique pour vos utilisateurs, que vous pouvez inclure dans les Notifications par e-mail utilisateur de vos stratégies.
Étape suivante
Visitez l’étape 3. Restez au fait des réglementations en matière de confidentialité.