Stratégies de surexposition des données dans la gestion des risques de confidentialité

Votre organization peut stocker du contenu à différents niveaux d’accès, notamment des zones accessibles publiquement et d’autres restreintes. Les stratégies de surexposition des données dans Gestion des risques de confidentialité Microsoft Priva peuvent vous aider à détecter et à gérer les situations dans lesquelles les données stockées par votre organization ne sont pas suffisamment sécurisées. Par exemple, si l’accès à un site interne est ouvert à un trop grand nombre de personnes ou que vos paramètres d’autorisation n’ont pas été conservés, les données personnelles stockées sur ce site peuvent être vulnérables à une violation.

Les stratégies de surexposition des données peuvent évaluer vos données pour détecter les risques de surexposition et vous avertir des problèmes potentiels. Lorsqu’une correspondance de stratégie est détectée, vous pouvez envoyer des utilisateurs Notifications par e-mail avec des options de correction qui incluent la conservation ou la suppression de l’élément, ou le rendre privé (voir les détails à l’étape 10 du processus de création de stratégie).

Notre processus de configuration de stratégie facilite la définition des conditions de stratégie. Vous disposez d’un contrôle total sur le minutage des alertes et la fréquence des e-mails qui portent l’attention des utilisateurs sur les pratiques de gestion des données sécurisées.

Il existe deux façons de créer une stratégie : à partir d’un modèle, qui est notre option « prête à l’emploi » rapide à l’aide des paramètres par défaut ; ou l’option personnalisée , qui est un processus guidé pour définir des conditions, des alertes et des notifications.

Configuration rapide : Utiliser un modèle avec les paramètres par défaut

La stratégie de surexposition des données par défaut évalue les données personnelles aux trois niveaux d’accès : public, externe et interne.

Pour créer une stratégie de transfert de données par défaut, procédez comme suit :

1. Connectez-vous à l’un des portails suivants à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365 :

   • Nouveau portail Priva (préversion). Pour en savoir plus, consultez En savoir plus sur le nouveau portail Priva (préversion).
   • portail de conformité Microsoft Purview. Pour en savoir plus sur ce portail, consultez portail de conformité Microsoft Purview.

2. Accédez à la solution de gestion des risques de confidentialité et sélectionnez la page Stratégies .

3. Sélectionnez Créer une stratégie.

4. Dans la zone Surexposition des données , sélectionnez Créer.

5. Un volet volant contient les détails de la stratégie. Sélectionnez Afficher les paramètres pour afficher les paramètres par défaut. Vous pouvez modifier les paramètres à partir d’ici, ce qui vous permet d’accéder au processus guidé décrit ci-dessous. Pour continuer à créer votre stratégie à l’aide des paramètres par défaut, entrez un nom descriptif, puis sélectionnez Créer une stratégie.

Votre stratégie est créée et vous la trouverez répertoriée dans votre page Stratégies . Il commence en mode test afin que vous puissiez surveiller son fonctionnement avant de l’activer.

Paramètres de stratégie de surexposition des données par défaut

Une stratégie de surexposition des données créée à partir du modèle détecte :

• Lorsqu’un utilisateur fournit un accès trop large aux éléments contenant des données personnelles stockées dans votre organization OneDrive ou SharePoint. Par exemple, la stratégie détecte le partage de données personnelles des manières suivantes :
  • Par le biais d’un lien auquel tout le public peut accéder
  • Via un lien ou en raison d’autorisations qui permettent à tous les utilisateurs de l’organization d’accéder
  • Octroi de droits d’accès à des utilisateurs externes ou des invités à des fichiers OneDrive ou SharePoint
• Types de données basés sur les groupes de classification suivants :
  • Règlement général sur la protection des données (RGPD) de l’UE
  • Informations d’identification personnelle aux États-Unis
  • US Patriot Act
  • Loi sur les notifications de violation de l’État des États américains
  • Us Gramm-Leach-Bliley Act (GLBA)
  • Us Health Insurance Portability and Accountability Act (HIPAA)
  • Australia Health Records Act (HRIP)
  • Loi australienne sur la protection des données personnelles
  • Informations d’identification personnelle au Japon
  • Japon Protection des informations personnelles

Configuration personnalisée : Processus de création de stratégie guidé

L’option de stratégie personnalisée est un processus guidé pour créer une stratégie en définissant des conditions, en désignant la gravité et la fréquence des alertes et en activant les Notifications par e-mail utilisateur.

Important

Les stratégies de surexposition des données peuvent être configurées pour couvrir les emplacements Microsoft 365 et multicloud (préversion). Toutefois, certains paramètres de stratégie s’appliquent uniquement aux emplacements Microsoft 365. Obtenez des détails sur [sélection d’emplacements multiclouds](risk-management-policies.md#multicloud-data sources-preview) et les paramètres de stratégie qui dépendent de l’emplacement.

Effectuez les étapes ci-dessous pour créer une stratégie de surexposition des données :

1. Connectez-vous à l’un des portails suivants à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365 :

   • Nouveau portail Priva (préversion). Pour en savoir plus, consultez En savoir plus sur le nouveau portail Priva (préversion).
   • portail de conformité Microsoft Purview. Pour en savoir plus sur ce portail, consultez portail de conformité Microsoft Purview.

2. Accédez à la solution de gestion des risques de confidentialité et sélectionnez la page Stratégies .

3. Sélectionnez Créer une stratégie.

4. Dans la zone Personnalisé , sélectionnez Créer.

5. Dans la page Nom et type , sélectionnez le modèle de stratégie de surexposition des données . Entrez un nom de stratégie pour vous aider à l’identifier facilement à partir de votre liste dans la page Stratégies , entrez une description facultative, puis sélectionnez Suivant.

6. Dans la page Sources de données, sélectionnez toutes les sources de données que la stratégie doit couvrir. Obtenez des détails sur le choix des sources de données.

   • Sources de données Microsoft 365 : les options sont les sites SharePoint et les comptes OneDrive. Dans SharePoint, vous pouvez désigner tous les sites ou des sites spécifiques. Si vous sélectionnez Sites SharePoint spécifiques, vous pouvez entrer l’URL du site dans le champ URL. Vous pouvez également sélectionner +Choisir des sites, puis, dans le volet volant, case activée la zone à gauche du nom de site que vous souhaitez sélectionner.

   • Sources de données multiclouds (préversion) : les options sont Stockage Azure, Azure SQL et Amazon S3. Obtenez des détails sur la sélection de sources de données multiclouds lors de la création d’une stratégie.

   Lorsque vous avez terminé, sélectionnez Suivant.

7. Dans la page Données à surveiller , choisissez le type de données personnelles que votre stratégie doit surveiller. Il existe deux options :

   • Groupes de classification : regroupements de types d’informations sensibles utilisés pour détecter du contenu lié à des données personnelles ou à des réglementations spécifiques. Si vous sélectionnez cette option, vous devez sélectionner +Ajouter des groupes de classification pour choisir un ou plusieurs groupes dans la liste fournie.

   • Types d’informations sensibles ou classifieurs pouvant être entraînés : sélectionnez cette option, puis utilisez le menu déroulant Ajouter pour sélectionner Types d’informations sensibles ou Classifieurs pouvant être formés , puis choisissez dans une liste pouvant faire l’objet d’une recherche. Vous pouvez choisir des types de données dans les deux catégories et utiliser le générateur de conditions pour définir une relation AND ou OR entre les types.

   Obtenez plus d’informations sur le choix des données à surveiller. Lorsque vous avez terminé de sélectionner les données à surveiller, sélectionnez Suivant.

8. Dans la page Utilisateurs et groupes, choisissez les utilisateurs de votre organization la stratégie s’applique. Vous pouvez sélectionner tous les utilisateurs individuels et tous les groupes de distribution Office 365, ou vous pouvez sélectionner des utilisateurs et des groupes spécifiques. En savoir plus sur le choix des utilisateurs et des groupes. Lorsque vous avez terminé, sélectionnez Suivant.

9. Dans la page Conditions , sélectionnez le type de condition de surexposition de données détectée par la stratégie :

   • Public : toute personne disposant d’un lien peut accéder au contenu.
   • Externe : des personnes spécifiques en dehors du organization y ont accès.
   • Interne : tous les utilisateurs de votre organization y ont accès.

   La sélection de plusieurs niveaux d’accès élargit l’étendue des données et peut générer des quantités d’alertes et de notifications utilisateur beaucoup plus importantes.

   Placez un case activée dans la zone en regard de vos choix, puis sélectionnez Suivant.

10. Dans la page Résultats , cochez la case Envoyer un e-mail de notification aux utilisateurs lorsqu’une correspondance de stratégie se produit si vous souhaitez avertir les utilisateurs lorsque les conditions de stratégie sont remplies. Lorsque la case est cochée, vous pouvez afficher un aperçu et modifier l’e-mail, puis définir la fréquence et fournir un lien vers la formation sur la confidentialité. Les options de correction dans les e-mails sont la Corbeille ou Conserver les éléments dont la source de données est Teams, et Rendre privés ou Conserver les éléments dont les sources de données sont SharePoint ou OneDrive. En savoir plus sur la configuration et la modification des notifications utilisateur. Lorsque vous avez terminé de définir les résultats, sélectionnez Suivant.

11. Dans la page Alertes , utilisez le bouton bascule pour activer les alertes qu’un administrateur verra dans la page Alertes de la section Stratégies de gestion des risques de confidentialité. Vous désignez la fréquence à laquelle les alertes sont générées, les seuils de correspondance avant la génération des alertes et la gravité des alertes. En savoir plus sur la définition d’alertes pour les correspondances de stratégie. Lorsque vous avez terminé, sélectionnez Suivant.

12. Dans la page Mode , choisissez le mode dans lequel placer la stratégie : Testez-la en premier ou Activez-la immédiatement. En mode test, aucune alerte ou notification n’est envoyée. En savoir plus sur les recommandations et les éléments à analyser lors du test d’une stratégie. Lorsque vous avez terminé, sélectionnez Suivant.

13. Dans la page Terminer , passez en revue vos choix. Sélectionnez Modifier sous l’une des sections pour ajuster les paramètres. Lorsque vous êtes satisfait des paramètres de votre stratégie, sélectionnez Envoyer pour créer la stratégie.

Après quelques secondes, vous verrez une confirmation que la stratégie a été créée. Sélectionnez Terminé dans la page de confirmation, qui vous amène à la page Stratégies où vous voyez la nouvelle stratégie en haut du tableau.

Étapes suivantes

Pour plus d’informations sur la modification et la gestion des stratégies, consultez Stratégies de gestion des risques de confidentialité .

Exclusion de responsabilité légale

Microsoft Priva exclusion de responsabilité légale