Créer et gérer des stratégies de protection contre la perte de données

  • 8 minutes

Les organisations doivent protéger les informations sensibles et empêcher leur divulgation accidentelle pour respecter les normes de l'entreprise et les réglementations du secteur. Les réglementations relatives à la protection des données changent de temps à autre. L’objectif de la protection contre la perte de données (DLP) est de s’assurer que les données sensibles ne sont pas perdues, incorrectement utilisées ou accessibles par des utilisateurs non autorisés.

Grâce aux politiques de prévention des pertes de données Microsoft Purview, les entreprises peuvent identifier, surveiller et protéger automatiquement les informations sensibles dans leur environnement Microsoft 365.

La stratégie DLP peut vous aider à :

  • Identifier les informations sensibles dans de nombreux emplacements (Exchange Online, SharePoint, OneDrive et Microsoft Teams)

  • Empêcher le partage d’informations sensibles par accident

  • Surveiller et protéger les informations sensibles dans les versions de bureau d’Excel, PowerPoint et Word

  • Afficher les rapports DLP (avec du contenu qui correspond aux stratégies DLP de votre organisation)

Stratégies DLP pour Microsoft Teams

Si votre organisation dispose d'une protection contre la perte de données (DLP), vous pouvez définir des stratégies qui empêchent les personnes de partager des informations sensibles dans un canal ou une session de discussion Microsoft Teams. DLP pour Microsoft Teams bloque le contenu sensible lorsqu’il est partagé avec les utilisateurs de Microsoft Teams qui ont accès invité ou accès externe. Voici quelques exemples de fonctionnement de cette protection :

  • Protection des informations sensibles dans les messages: supposons qu’une personne tente de partager des informations sensibles dans une conversation ou un canal Teams avec des invités. Si vous avez défini une stratégie DLP pour empêcher la situation, les messages contenant des informations sensibles envoyés aux invités sont supprimés. La suppression se produit automatiquement, et en quelques secondes, en fonction de la configuration de votre stratégie DLP.

  • Protection des informations sensibles dans les documents: supposons qu’une personne tente de partager un document avec des invités dans un canal ou une conversation Microsoft Teams, et que le document contient des informations sensibles. Si vous avez défini une stratégie DLP pour éviter cela, le document ne s’ouvre pas pour ces utilisateurs. Votre stratégie DLP doit inclure SharePoint et OneDrive pour que la protection soit en place.

Exemple : Protéger les numéros de sécurité sociale dans le message de conversation et de canal Teams

En tant qu’administrateur Teams pour Contoso, vous avez créé et appliqué une stratégie DLP pour protéger les numéros de sécurité sociale dans les messages de conversation et de canal Teams.

Plus tard, un utilisateur a tenté d’envoyer un numéro de sécurité sociale dans un canal Microsoft Teams. Le message a été bloqué et il existe un lien d’aide Que puis-je faire ?. Ce lien ouvre une boîte de dialogue qui fournit des options permettant à l’expéditeur de résoudre le problème.

Capture d'écran de la notification de message bloqué dans Teams.

En tant qu’administrateur, vous pouvez choisir d’autoriser les utilisateurs à remplacer une stratégie DLP dans votre organisation. Lorsque vous configurez vos stratégies DLP, vous pouvez utiliser les conseils de stratégie par défaut ou personnaliser les conseils de stratégie. Dans l’exemple suivant, l’expéditeur dispose des options permettant de remplacer la stratégie ou d’avertir un administrateur de l’examiner et de la résoudre.

Capture d'écran des options pour résoudre le message bloqué.

Les destinataires affichent un message différent à l’écran, comme dans l’image suivante :

Capture d'écran du message bloqué

Vous remarquerez peut-être que les destinataires reçoivent des informations indiquant que le message a été bloqué en raison d’un contenu sensible et qu’il existe un lien juste à côté du message : Qu’est-ce que c’est ? qui ouvre un article sur les stratégies DLP, où les utilisateurs peuvent trouver une explication de la raison pour laquelle le message a été bloqué.

Vue d’ensemble de la configuration de la stratégie DLP

Vous disposez d’une certaine flexibilité dans la façon dont vous créez et configurez vos stratégies DLP. Vous pouvez commencer à partir d’un modèle prédéfini et créer une stratégie en quelques clics ou vous pouvez concevoir la vôtre à partir de zéro. Quel que soit votre choix, toutes les stratégies DLP nécessitent les mêmes informations de votre part.

  1. Choisissez ce que vous voulez surveiller : Microsoft Purview est fourni avec de nombreux modèles de stratégie prédéfinis pour vous aider à démarrer ou vous pouvez créer une stratégie personnalisée.

    • Modèle de stratégie prédéfini : données financières, données médicales et médicales, données de confidentialité pour différents pays et régions. Pour plus d’informations, consultez modèles de stratégie DLP.

    • Stratégie personnalisée qui utilise les types d’informations sensibles, les étiquettes de rétention et les étiquettes de confidentialité disponibles.

  2. Choisissez l’emplacement où vous souhaitez surveiller: vous choisissez un ou plusieurs emplacements que vous souhaitez que DLP surveille pour les informations sensibles. Vous pouvez surveiller :

    Emplacement Inclure/exclure par
    e-mail Exchange groupes de distribution
    sites SharePoint sites
    comptes OneDrive comptes ou groupes de distribution
    conversation et messages de canal Teams comptes
    appareils Windows 10 utilisateurs ou groupe
    Microsoft Defender for Cloud Apps instance
    Référentiels locaux chemin d’accès au fichier de référentiel

  3. Choisissez les conditions qui doivent être mises en correspondance pour qu’une stratégie soit appliquée à un élément: vous pouvez accepter des conditions préconfigurées ou définir des conditions personnalisées. En voici quelques exemples :

    • L’élément contient un type spécifié d’informations sensibles utilisées dans un contexte donné. Par exemple, 95 numéros de sécurité sociale sont envoyés par e-mail au destinataire en dehors de votre organisation.

    • L’élément a une étiquette de confidentialité spécifiée.

    • L’élément contenant des informations sensibles est partagé en interne ou en externe.

  4. Choisissez l’action à entreprendre lorsque les conditions de stratégie sont remplies: les actions dépendent de l’emplacement où l’activité se produit. En voici quelques exemples :

    • SharePoint/Exchange/OneDrive – Bloquez l'accès au contenu pour les personnes extérieures à votre organisation. Affichez un conseil à l’utilisateur et envoyez-lui une notification par e-mail indiquant qu’il effectue une action interdite par la stratégie DLP.

    • Conversation et canal Teams : empêcher le partage d’informations sensibles dans la conversation ou le canal.

Les conditions et les actions à entreprendre sont définies dans un objet appelé Règle. Une règle est créée pour faire respecter une exigence de protection spécifique. Une politique DLP est utilisée pour regrouper les exigences de protection communes.

Capture d'écran de la stratégie de prévention des pertes de données.

Créer une stratégie DLP pour Microsoft Teams

Les stratégies DLP peuvent être gérées dans le portail de conformité Microsoft Purview, sous Prévention des pertes de données. Procédez comme suit pour créer une stratégie DLP pour les emplacements Teams :

  1. Dans le portail de conformité Microsoft Purview, sélectionnez Stratégies > Prévention des pertes de données.

  2. Sélectionnez l’onglet Stratégies, puis sélectionnez + Créer une stratégie pour démarrer l’Assistant.

  3. Dans la page Démarrer avec un modèle ou créer une stratégie personnalisée, vous pouvez choisir parmi différents modèles de type d’informations sensibles ou vous pouvez choisir de créer une stratégie personnalisée. Faites votre choix et sélectionnez Suivant.

  4. Dans la page Nommez votre stratégie, entrez un nom explicite et une Description, qui explique l’objectif de cette stratégie DLP. Sélectionnez Suivant.

  5. Dans la page Choisissez les emplacements pour appliquer la stratégie, choisissez les emplacements que la stratégie DLP doit protéger. Les stratégies DLP peuvent contenir des emplacements Teams et non Teams en même temps.

    Capture d'écran des options de localisation dans DLP.

  6. Dans la page Définir les paramètres de stratégie, sélectionnez l’une des cases d’option, puis sélectionnez suivant.

    • Examiner et personnaliser les paramètres par défaut à partir du modèle

    • Créer ou personnaliser des règles DLP avancées

  7. En fonction de la sélection précédente, vous allez configurer les paramètres de stratégie.

    Si vous avez sélectionné Créer ou personnaliser une règle DLP avancée, vous allez configurer de nouvelles règles avec les paramètres suivants :

    • Conditions

    • Exceptions

    • Actions

    • Notifications à l’utilisateur

    • Remplacements par l’utilisateur

    • Rapports d’incident

    • Options supplémentaires

    Capture d'écran des options d'action de Microsoft 365 dans DLP.

    Après avoir configuré les paramètres souhaités, sélectionnez Suivant.

  8. Dans la page Testez ou activez la stratégie, vous pouvez choisir parmi différents paramètres pour activer la nouvelle stratégie DLP :

    • Tester en premier : n’applique pas la stratégie. Vous pouvez également choisir d’afficher des conseils de stratégie en mode test.

    • Activer immédiatement : active la stratégie juste après sa création.

    • Laisser désactivée : laisse la stratégie désactivée.

  9. Sélectionnez Next et sur la page Revoir vos paramètres, sélectionnez Soumettre.