Guide de confidentialité de la gestion des risques internes et de la conformité des communications Microsoft Purview

Les solutions de risque interne Microsoft Purview permettent aux organisations de détecter et d’atténuer les risques potentiels et les violations de stratégie. Les solutions de risque interne Microsoft Purview sont les suivantes :

• Microsoft Purview Insider Risk Management met en corrélation différents signaux pour identifier les risques internes potentiels malveillants ou par inadvertance, tels que le vol d’adresses IP, les fuites de données et les violations de sécurité. La gestion des risques internes permet aux clients de créer des stratégies pour gérer la sécurité et la conformité.
• Microsoft Purview Communication Compliance fournit des outils pour aider les organisations à détecter les conformités réglementaires potentielles (par exemple SEC ou FINRA) et les violations de conduite commerciale, telles que des informations sensibles ou confidentielles, des propos harcelants ou menaçants, et le partage de contenu pour adultes.

La gestion des risques internes et la conformité des communications sont conçues avec la confidentialité par conception et équilibrent la confidentialité des utilisateurs avec des outils qui aident à détecter et à atténuer les risques organisationnels. Nous nous engageons à protéger la confiance des utilisateurs et à maintenir la confidentialité au niveau de l’utilisateur par le biais de nos principes de confidentialité de base :

• Pseudonymisation
• Contrôles d’accès en fonction du rôle
• Inscription explicite de l’administrateur
• Journaux d’audit

Pseudonymisation

Le pseudonyme permet de protéger la confidentialité de l’utilisateur final en supprimant les détails identifiables de l’utilisateur, tels que le nom d’utilisateur ou l’adresse e-mail. La pseudonymisation permet également d’éviter les préjugés et les conflits d’intérêts potentiels en supprimant les informations identifiables de l’utilisateur (nom, adresse e-mail) et les données personnelles (titre, service ou emplacement) exposées dans la solution. Par exemple, un employé nommé John Smith serait pseudonymisé en un identificateur non personnel tel que ANON2340. Les pseudonymes sont activés par défaut pour des rôles spécifiques tels que les analystes de gestion des risques internes et les enquêteurs en gestion des risques internes (examiner les alertes et prendre des mesures respectivement) et les analystes de conformité des communications (passer en revue les alertes de stratégie).

Contrôles d’accès en fonction du rôle

Importante

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. La réduction du nombre d’utilisateurs dotés du rôle Administrateur général permet d’améliorer la sécurité de votre organisation. En savoir plus sur les rôles et autorisations Microsoft Purview.

Nous implémentons également des contrôles d’accès stricts en fonction du rôle, de sorte que seuls les rôles autorisés de gestion des risques internes et de conformité des communications peuvent utiliser et accéder aux alertes et aux insights sur les violations de stratégie potentielles. Par défaut, les administrateurs généraux n’ont pas accès aux fonctionnalités de gestion des risques internes et de conformité des communications. Cela permet de s’assurer que seules les parties prenantes appropriées peuvent accéder à la solution et aux détails propres à leurs autorisations de rôle. Les organisations ont la possibilité d’affecter des utilisateurs à des groupes de rôles spécifiques pour gérer différents ensembles de fonctionnalités en fonction de leurs responsabilités. Par exemple, les administrateurs de gestion des risques internes et de conformité des communications peuvent créer, configurer et supprimer des stratégies, mais ils ne peuvent pas accéder aux alertes ou aux cas ni les examiner. En revanche, les enquêteurs de gestion des risques internes et de conformité des communications peuvent accéder aux alertes et aux cas et les examiner, mais ils ne peuvent pas configurer les stratégies.

Remarque

Les administrateurs de gestion des risques internes peuvent permettre aux enquêteurs et aux analystes d’apporter des modifications aux indicateurs de stratégie et aux seuils à l’aide du paramètre de personnalisation des alertes inline.

Que votre organisation choisisse un seul groupe de rôles ou plusieurs groupes de rôles pour répondre aux exigences de conformité et de confidentialité de votre organisation, la gestion des risques internes et la conformité des communications permettent aux administrateurs de choisir parmi les options de groupe de rôles prédéfinies au sein de chaque solution.

En savoir plus sur les options de groupe de rôles pour chaque solution :

• Prise en main de la gestion des risques internes
• Prise en main de la conformité des communications

Inscription explicite de l’administrateur

Les stratégies de gestion des risques internes et de conformité des communications sont configurées pour détecter les activités/communications à risque et les violations de stratégie potentielles susceptibles d’entraîner un incident de sécurité. Les employés peuvent uniquement être explicitement délimités à une stratégie par un administrateur disposant des autorisations appropriées.

En outre, les indicateurs de gestion des risques internes et de conformité des communications qui aident à détecter les activités et communications à risque susceptibles d’entraîner des incidents potentiels de sécurité des données sont désactivés par défaut. Par exemple, les indicateurs tels que « téléchargement de contenu à partir de OneDrive », « partage de fichiers SharePoint avec des personnes extérieures à l’organisation » ou « envoi d’informations sensibles ou de messages harcelants » sont désactivés par défaut. La gestion des risques internes et la conformité des communications ne détectent pas ces activités sans l’adhésion explicite de l’administrateur. Les administrateurs disposant des autorisations appropriées doivent sélectionner et accepter explicitement un ou plusieurs indicateurs dans les paramètres avant qu’une stratégie puisse détecter ces activités.

Les contrôles d’adhésion explicites de l’administrateur aident à protéger la confidentialité des utilisateurs finaux en veillant à ce que les solutions signalent uniquement les alertes et les violations de stratégie pour les utilisateurs et les indicateurs spécifiés dans les stratégies.

Journaux d’audit

Toutes les actions de l’administrateur sont consignées dans les journaux d’audit des solutions de risque interne Microsoft Purview, ce qui permet aux organisations de rester informées de toutes les actions effectuées dans les solutions de risque interne Microsoft Purview, notamment lorsqu’une stratégie a été créée et modifiée, qu’un utilisateur a été ajouté, qu’un administrateur a consulté des insights sur l’activité utilisateur, que des indicateurs ont été ajoutés, etc.

Les journaux d’audit sont activés par défaut pour toutes les organisations Microsoft 365 afin de s’assurer que les organisations peuvent auditer les actions des administrateurs privilégiés et respecter les exigences de conformité et de confidentialité.

En savoir plus sur les fonctionnalités des journaux d’audit pour chaque solution :

• Passer en revue les activités avec le journal d’audit de gestion des risques internes
• Utiliser des rapports et des audits de conformité des communications

Protéger la confiance des utilisateurs et créer un programme holistique de risque interne

Nous croyons fermement que la confidentialité et la confiance des utilisateurs sont essentielles pour que les organisations établissent un programme holistique de risque interne. L’ensemble d’outils approprié peut vous aider à gérer les risques d’une manière qui répond aux besoins de sécurité. Découvrez comment créer un programme holistique de gestion des risques internes avec cinq éléments qui aident les entreprises à renforcer la protection des données tout en garantissant la confiance des utilisateurs.