Sécuriser par défaut avec Microsoft Purview et protéger contre le surpartage - Phase 3

Ce guide est divisé en quatre phases :

• Introduction
• Phase 1 : De base – Démarrer avec l’étiquetage par défaut
• Phase 2 : Géré – Fichiers d’adresse avec la plus grande sensibilité
• Phase 3 : Optimisé : Étendre à l’ensemble de votre patrimoine de données Microsoft 365 (cette page)
• Phase 4 : Stratégique : Actions d’exploitation, d’expansion et rétroactives

Dans les phases précédentes, nous avons posé les bases de la sécurité et discuté des sites prioritaires. Nous avons abordé les fonctionnalités d’étiquetage automatique côté client et côté service. Pour obtenir une table de comparaison, consultez : Appliquer automatiquement une étiquette de confidentialité dans Microsoft 365.

Phase 3 : Optimisé - Étendre à l’ensemble de votre patrimoine de données Microsoft 365

Dans cette phase, nous expliquons les options permettant de traiter de manière itérative tout votre patrimoine de données Microsoft 365.

Auparavant, nous recommandons les stratégies initiales pour familiariser les utilisateurs. Dans cette phase, nous sommes prêts à les utiliser progressivement dans des scénarios. L’étiquetage automatique est idéal pour les scénarios où vous avez besoin d’une sensibilité supérieure à celle de votre étiquette par défaut.

Nous expliquons également comment étiqueter rétroactivement les sites existants et définir des étiquettes de bibliothèque par défaut.

Étiqueter automatiquement les fichiers sensibles sur les clients (seuils bas)

L’étiquetage automatique côté client permet aux utilisateurs de décider d’appliquer une étiquette recommandée ou de signaler un faux positif. Elle peut être effectuée avec les plus de 300 types d’informations sensibles (SIT) disponibles et les classifieurs pouvant être entraînés.

À un niveau élevé, nous recommandons l’approche suivante. Les seuils sont fournis à titre d’exemples uniquement.

• Identifiez le sit pertinent pour votre secteur d’activité.
• Recommander une étiquette avec des seuils SIT inférieurs (1 à 9).
• Appliquez automatiquement une étiquette avec des seuils plus élevés (10+) et/ou des classifieurs pouvant être formés.

L’étiquette par défaut de votre client affecte votre stratégie d’étiquetage automatique. Bien que ce guide recommande de définir ce paramètre sur Confidentiel\Tous les employés, nous fournissons également des alternatives lorsque le client Office est défini par défaut sur Général, puis confidentiel\Tous les employés lorsqu’il est enregistré dans SharePoint.

Conseil

Si votre valeur par défaut est définie sur Confidentiel\Tous les employés, votre stratégie d’étiquetage automatique est moins complexe et axée sur les étiquettes hautement confidentielles .

Vous pouvez le déployer progressivement avec davantage de CLASSIFI/classifiables au fil du temps à mesure que vous identifiez d’autres scénarios métier. Avec les valeurs par défaut et l’étiquetage automatique côté client, vous traitez désormais tout le contenu nouveau et mis à jour.

Simuler l’étiquetage automatique des fichiers sensibles au repos

L’étiquetage automatique côté service étiquette les fichiers au repos dans SharePoint et OneDrive, et fournit d’autres conditions. Nous prenons actuellement en charge l’étiquetage automatique jusqu’à 100 000 fichiers par jour dans votre organization.

Conseil

En savoir plus sur l’étiquetage automatique avec playbook - Étiquetage automatique côté service

Bien que l’étiquetage automatique côté client soit limité au contenu sensible, l’étiquetage automatique côté service ajoute la prise en charge des conditions contextuelles telles que :

• Le contenu est partagé
• L’extension de fichier est
• Le nom du document contient des mots ou des expressions
• La propriété du document est
• La taille du document est égale ou supérieure à
• Document créé par

Ces conditions, combinées à la sélection de sites spécifiques et/ou du OneDrive de l’utilisateur, permettent à vos organisations de hiérarchiser le contenu à étiqueter en premier.

Par exemple, si votre organization utilise des modèles avec des propriétés de document ou des préfixes de nom de document, vous pouvez exécuter une stratégie sur tous les sites SharePoint et OneDrive. Vous pouvez également hiérarchiser en fonction de la taille de fichier ou des documents créés par vos équipes de direction.

Vous pouvez finaliser l’étiquetage de tous les documents à l’aide d’extensions de fichier Office/PDF dans des lots de sites SharePoint, et définir pour correspondre à l’étiquette de leur site respectif, en commençant par des sites plus sensibles, en interceptant progressivement les sites Généraux .

Enfin, vous pouvez implémenter davantage d’étiquetage automatique côté service pour le contenu hautement confidentiel , souvent avec des seuils plus élevés que ceux utilisés dans l’étiquetage automatique côté client afin de réduire les faux positifs potentiels.

Réduire les faux positifs avec les classifieurs avancés

Dans cette section, nous abordons la base des classifieurs avancés et le moment où les utiliser.

Dans le contexte de ce blueprint sécurisé par défaut, nous avons concentré l’utilisation des classifieurs avec étiquetage automatique pour le contenu hautement confidentiel, où les classifieurs avancés sont limités aux classifieurs pouvant être formés. Dans la plupart des cas, les types d’informations sensibles (SIT) sont un mélange de modèles et de mots clés. Les modèles tels que les informations médicales protégées (PHI) et les informations d’identification personnelle (PII) peuvent retourner de nombreux faux positifs, car ils ne sont pas en mesure de déterminer le contexte ou peuvent être de faux positifs pour votre organization.

Les administrateurs Purview peuvent réduire les faux positifs en :

• Augmenter la confiance requise et/ou le nombre de seuils.
• Recherche de plusieurs SIT avec AND au lieu de l’opérateur OR.
• Clonez un sit dans un sit personnalisé et ajustez les exigences.
• Utilisez plusieurs expressions Regex au lieu d’une seule mais large.
• Forcer la correspondance de mots.
• Utilisez des classifieurs pouvant être entraînés, une correspondance exacte des données (EDM) et une empreinte digitale de document.

Conseil

En savoir plus sur ces options ici : Conseils et astuces pour optimiser la précision et réduire les détections de faux positifs dans MIP et DLP

Les classifieurs pouvant être formés utilisent le Machine Learning pour identifier les modèles de document. Microsoft Purview fournit plusieurs classifieurs préformés tels que des documents juridiques, des documents stratégiques et des informations financières. Des classifieurs personnalisés peuvent également être créés et entraînés à partir d’une bibliothèque de documents SharePoint.

En utilisant à la fois des SIT et des classifieurs pouvant être formés, vous pouvez affiner votre portée. Par exemple, contient des SIT de cartes de crédit et un classifieur pouvant être formé d’informations financières.

La correspondance exacte des données et l’empreinte digitale des documents ne sont actuellement pas disponibles pour l’étiquetage automatique, mais doivent être prises en compte dans votre stratégie globale de Protection contre la perte de données Microsoft Purview (DLP). À l’instar des classifieurs pouvant être entraînés, ils peuvent tous deux aider à réduire les faux positifs. Avec EDM, vous pouvez, par exemple, rechercher un sit contenant un SSN prête à l’emploi, puis vérifier par rapport à votre sit EDM pour vérifier qu’il s’agit d’un SSN de l’un de vos clients ou employés. EDM vous permet de stocker en toute sécurité un hachage d’informations à rechercher.

L’empreinte digitale des documents fonctionne différemment des classifieurs trainables en identifiant les modèles de document et en les utilisant dans les stratégies DLP. Cela est particulièrement utile si votre organization a des modèles standardisés. Vous pouvez utiliser ces modèles pour créer des empreintes digitales précises.

Automatiser et améliorer la protection Microsoft 365 pour les données historiques et en cours d’utilisation

Dans la dernière étape de cette phase, nous examinons les options permettant d’appliquer rétroactivement des étiquettes sur vos sites SharePoint existants et d’appliquer les étiquettes de bibliothèque par défaut en conséquence.

À ce stade, nous avons configuré les valeurs par défaut dans l’environnement et mis fin à la prolifération des sites et documents sans étiquette. Nous avons commencé à traiter manuellement l’étiquetage des sites et des bibliothèques sur les sites prioritaires, et nous envisageons de mettre à l’échelle tout votre patrimoine de contenu Microsoft 365.

Il existe quelques stratégies à prendre en compte :

• Utiliser propriétaires de site : indiquez aux propriétaires de site qu’ils doivent configurer une étiquette sur leur site et la bibliothèque par défaut. Si vous envisagez d’utiliser #2, incluez des mentions indiquant qu’il recevra automatiquement une nouvelle valeur par défaut à une date cible.
• Exécuter des scripts d’automatisation sur les sites non étiquetés restants : utilisez le API Graph pour identifier les sites sans étiquette et configurer l’étiquette de conteneur et l’étiquette de bibliothèque par défaut sur « Confidentiel\Tous les employés »
• Si vous le souhaitez, empêchez le partage de fichiers sans étiquette uniquement : avec des mesures précédentes telles que DLP sur le contenu sans étiquette et l’étiquetage automatique des fichiers, vous pouvez choisir de laisser les sites expirer naturellement plutôt que de générer des scripts d’actions rétroactives pour tous les sites.
• Capturez un chronologie de sites sans étiquette : si vous envisagez d’utiliser l’étiquetage automatique côté service pour toutes vos données historiques basées sur des étiquettes de conteneur, capturez quand des étiquettes de conteneur sont ajoutées et ajoutez progressivement des sites nouvellement étiquetés dans vos stratégies d’étiquetage automatique.

Votre posture de risque définit la meilleure approche entre toutes les stratégies, ou éventuellement les utiliser progressivement. Bien que nous vous recommandons de sécuriser l’ensemble de votre patrimoine de données, il peut s’agir d’une tâche complexe en fonction de sa taille. Commencez petit et itérer souvent.

L’écriture de scripts d’étiquettes de confidentialité pour les sites SharePoint peut être effectuée avec « Set-PnPTenantSite » et le paramètre « SensitivityLabel ».

Pour l’étiquette de bibliothèque par défaut, il faut définir le paramètre « DefaultSensitivityLabelForLibrary » à l’aide de l’API REST sur une bibliothèque. Un exemple est fourni dans cet article.

Phase 3 - Résumé

• Appliquer automatiquement une étiquette de sensibilité dans Microsoft 365
• Versions minimales des étiquettes de confidentialité dans Microsoft 365 Apps
• Gérer les étiquettes de confidentialité dans les applications Office
• Appliquer automatiquement une étiquette de sensibilité dans Microsoft 365
• Conseils et astuces pour optimiser la précision et réduire les détections de faux positifs dans MIP et DLP

Voir aussi

• Playbook - Étiquetage automatique côté service
• Personnaliser un type d’informations sensibles intégré
• En savoir plus sur les classifieurs avec capacité d’apprentissage
• En savoir plus sur les types d’informations sensibles exacts basés sur la correspondance de données
• À propos de l’empreinte digitale des documents
• Définitions de classifieur pouvant être formés
• Définitions d’entités des types d’informations sensibles
• Limites des types d’informations sensibles
• Set-PnPTenantSite | PnP PowerShell
• Étiquette « Par défaut » pour une bibliothèque de documents - Exemple de script
• Configurer une étiquette de confidentialité par défaut pour une bibliothèque de documents SharePoint

Passer à la phase 4 : Stratégique – Actions d’exploitation, d’expansion et rétroactives