Décrire la gestion des risques internes dans Microsoft Purview

Effectué

La Gestion des risques internes Microsoft Purview est une solution qui aide à réduire les risques internes en permettant à une organisation de détecter, d’investiguer et d’agir sur des activités risquées et malveillantes.

La gestion et la minimisation des risques au sein d’une organisation commencent par la compréhension des types de risques dans l’espace de travail moderne. Certains risques sont créés par des événements et des facteurs externes et se trouvent en dehors du contrôle direct d’une organisation. Les autres risques sont issus d’événements internes et d’activités des employés qui peuvent être éliminés et évités. Voici quelques exemples :

  • Fuites de données, voire de données sensibles
  • Violations de confidentialité
  • Vol de propriété intellectuelle (PI)
  • Fraude
  • Échanges internes
  • Violations des réglementations

La gestion des risques internes est centrée autour des principes suivants :

  • Transparente : équilibrez la confidentialité des utilisateurs et les risques liés à l’organisation avec l’architecture de confidentialité.
  • Configurable : stratégies configurables basées sur les secteurs d’activité, les zones géographiques et les unités commerciales.
  • Intégré : workflow intégré pour les solutions Microsoft Purview.
  • Actionable : fournit des informations pour activer les notifications utilisateur, les investigations de données et les investigations utilisateur.

Workflow de la gestion des risques internes

La gestion des risques internes aide les organisations à identifier, examiner et résoudre les risques internes. Grâce à des modèles de stratégies ciblés, à une signalisation complète de l'activité dans Microsoft 365 et à un flux de travail flexible, les organisations peuvent tirer parti d'informations exploitables pour identifier et résoudre rapidement les comportements à risque. L’identification et la résolution des problèmes de conformité ainsi que la gestion des risques internes dans Microsoft Purview sont réalisées à l’aide du workflow suivant :

Diagramme du workflow de la gestion des risques internes.

  • Stratégies : les stratégies de gestion des risques internes sont créées à l'aide de modèles prédéfinis et de conditions de stratégies qui définissent quels indicateurs de risque sont examinés dans les domaines de fonctionnalités de Microsoft 365. Ces conditions comprennent la manière dont les indicateurs sont utilisés pour les alertes, quels utilisateurs sont inclus dans la stratégie, quels services sont prioritaires, et la période de surveillance.

  • Alertes : les alertes sont générées automatiquement par des indicateurs de risque qui correspondent aux conditions de stratégie et sont affichées dans la page alertes, qui fournit une vue rapide de toutes les alertes nécessitant une révision, des alertes ouvertes au fil du temps et des statistiques d’alerte pour l’organisation. Les alertes DLP peuvent également être consultées dans le portail Microsoft Defender, où elles sont automatiquement combinées en incidents qui fournissent une vue complète des violations de stratégie potentielles et des outils avancés pour l’examen et la correction.

  • Triage : les nouvelles activités qui nécessitent une investigation génèrent automatiquement des alertes auxquelles l’état Révision nécessaire est affecté. Les réviseurs de l’organisation peuvent rapidement identifier ces alertes et faire défiler chacune d’elles pour les évaluer et les trier. Les alertes sont résolues en ouvrant un nouveau cas, en affectant l’alerte à un cas existant ou en rejetant l’alerte. Dans le cadre du processus de triage, les réviseurs peuvent afficher les détails de l’alerte pour la correspondance de stratégie, afficher l’activité de l’utilisateur associée à la correspondance, voir la gravité de l’alerte et vérifier les informations de profil utilisateur.

  • Investigation : des cas sont créés pour les alertes qui nécessitent une révision plus approfondie des détails et des circonstances autour de la correspondance de stratégie. La page des cas fournit une vue d’ensemble de tous les cas actifs, des cas ouverts dans le temps et des statistiques de l’organisation. La sélection d’un cas permet de l’ouvrir à des fins d’investigation et de révision. Cette zone est l’endroit où les activités de risque, les conditions de la stratégie, les détails des alertes et les détails de l’utilisateur sont synthétisés dans une vue intégrée pour les réviseurs. Les principaux outils d’investigation dans ce domaine sont les suivants :

    • Activité de l’utilisateur : l’activité à risque de l’utilisateur s’affiche automatiquement dans un graphique interactif qui trace des activités (actuelles ou passées) au fil du temps et par niveau de risque. Les réviseurs peuvent rapidement filtrer et afficher l’historique entier des risques pour l’utilisateur et explorer des activités spécifiques pour des détails supplémentaires.
    • Explorateur de contenu : tous les fichiers de données et e-mails associés aux activités d’alerte sont automatiquement capturés et affichés dans l’Explorateur de contenu. Les réviseurs peuvent filtrer et afficher des fichiers et des messages en fonction d’attributs comme source de données, type de fichier, étiquettes, conversation, etc.
    • Remarques sur le cas : les réviseurs peuvent fournir des remarques concernant un cas dans la section Remarques sur le cas. Cette liste regroupe toutes les remarques dans une vue centrale, avec des informations sur le réviseur et la date d’envoi.
  • Action : après étude des cas, les réviseurs peuvent rapidement agir pour résoudre le problème ou collaborer avec d’autres parties prenantes dans l’organisation pour gérer les risques. Les actions peuvent être aussi simples que l’envoi d’une notification lorsque des employés enfreignent accidentellement ou par inadvertance des conditions de stratégie. Dans des cas plus sérieux, les réviseurs peuvent avoir besoin de partager les informations de cas de gestion des risques internes avec d’autres réviseurs de l’organisation. La remontée d’un cas pour investigation permet de transférer les données et la gestion du cas vers eDiscovery dans Microsoft Purview.

La gestion des risques internes peut vous aider à détecter, examiner et prendre des mesures pour atténuer les risques internes de votre organisation dans plusieurs scénarios courants. Ces scénarios incluent le vol de données par les employés, la fuite intentionnelle ou non d’informations confidentielles, un comportement offensant et autres.

Intégration à Microsoft Security Copilot

Gestion des risques internes Microsoft Purview prend en charge l’intégration à Microsoft Security Copilot via les expériences autonomes et incorporées.

Pour bénéficier de l’intégration Copilot, les organisations doivent être intégrées à Copilot et avoir permis à Copilot d’accéder aux données des services Microsoft 365, et les utilisateurs doivent disposer des autorisations de rôle appropriées.

Les fonctionnalités de Microsoft Purview, que vous pouvez afficher dans l’expérience autonome en sélectionnant l’icône de prompt et toutes les fonctionnalités, sont des prompts intégrés que vous pouvez utiliser. Vous pouvez également entrer vos propres prompts selon les fonctionnalités prises en charge.

Capture d’écran des fonctionnalités de Microsoft Purview disponibles dans Microsoft Security Copilot.

Dans l’expérience incorporée, Copilot dans Gestion des risques internes Microsoft Purview prend en charge le résumé des alertes. Pour accéder à Copilot à partir de la Gestion des risques internes Microsoft Purview, accédez à la file d’attente des alertes pour sélectionner l’alerte que vous souhaitez examiner. Des informations sur l’alerte et l’option permettant de résumer l’alerte s’affichent. Sélectionnez Résumer pour que Copilot génère le résumé de l’alerte.