Protégez vos données Microsoft 365 Copilot avec les outils de sécurité Microsoft 365
De nombreuses organisations craignent que leurs utilisateurs ne partagent trop d'informations internes ou personnelles. Pour résoudre ces problèmes, Microsoft fournit de puissants outils de sécurité dans ses écosystèmes Microsoft 365 et Azure. Ces outils aident les organisations à renforcer les autorisations et à implémenter un « accès suffisant ». Les stratégies et les paramètres définis par les administrateurs dans ces outils sont utilisés non seulement par Microsoft 365 et Azure pour empêcher le surpartage des données, mais également par Microsoft 365 Copilot. Les administrateurs doivent vérifier les pratiques de sécurité de leur organisation en ce qui concerne les autorisations, l'étiquetage de la sensibilité et l'accès aux données, afin d'éviter le partage excessif de données commerciales exclusives et sensibles.
Microsoft recommande l'approche « juste assez d'accès » pour remédier à cette situation. Dans cette approche, chaque utilisateur ne peut accéder qu'aux informations spécifiques nécessaires à son travail. Cette approche implique un contrôle strict des autorisations afin que les utilisateurs ne puissent pas accéder à des documents, des sites ou des données qu'ils ne devraient pas voir.
Pour éviter le partage excessif, les organisations devraient envisager de mettre en œuvre les meilleures pratiques suivantes :
- Procéder à un examen de l'accès aux sites, aux documents, aux courriels et à d'autres contenus.. Identifier les actifs surexposés. Les propriétaires de données doivent inventorier les sites SharePoint, les bibliothèques de documents, les boîtes aux lettres de messagerie et d’autres ressources de données. Identifier les domaines dans lesquels les autorisations des utilisateurs sont plus larges que nécessaire. Par exemple, un site SharePoint « Avantages RH » visible par tous les employés et non par l'équipe RH uniquement.
- Renforcer les autorisations sur les biens surexposés afin que seuls les utilisateurs autorisés y aient accès.. En reprenant l'exemple du point précédent, restreignez l'accès au site « Avantages RH » aux seuls membres du département RH. De même, les documents confidentiels relatifs à la feuille de route des produits doivent être réservés aux seuls chefs de produit concernés. Pour limiter l’exposition, configurez le partage externe et l’expiration de l’accès sur les e-mails et les documents.
- Valider que les restrictions d'accès n'empêchent pas les utilisateurs de faire leur travail.. Enquêter et interroger les utilisateurs de biens à accès restreint pour confirmer qu'ils ont toujours accès à toutes les informations nécessaires à leur rôle. Par exemple, veillez à ce que le service des ventes puisse toujours accéder aux coordonnées des clients et aux spécifications des projets, même si l'entreprise a restreint les données relatives aux ressources humaines.
- Tester la fonctionnalité de recherche pour confirmer que les utilisateurs ne peuvent accéder qu'aux informations correspondant à leur rôle.. Effectuer des recherches sur un échantillon de documents, de sites, d'e-mails en tant que différents rôles internes. Confirmer que le personnel financier ne peut pas accéder aux données RH. Valider que les équipes interdépartementales conservent l'accès aux ressources partagées du projet. Le réglage des autorisations est un processus itératif.
-
Implémenter les outils de gestion avancée Microsoft SharePoint. Comme indiqué dans la formation précédente, sharePoint Advanced Management (SAM) inclut plusieurs outils pour aider les organisations à empêcher le surpartage, notamment :
- Rapports de gouvernance de l’accès aux données. Ces rapports identifient les sites qui contiennent un contenu potentiellement surpartagé ou sensible. Ces rapports fournissent également des insights sur les principaux sites sur-autorisés au sein de votre organization. Lorsque les administrateurs utilisent les rapports de gouvernance de l’accès aux données pour identifier ces sites, les administrateurs peuvent prendre des mesures correctives pour s’assurer que les utilisateurs non autorisés n’accèdent pas aux données sensibles. Cette approche proactive aide les organisations à maintenir un environnement de données sécurisé et à empêcher les fuites accidentelles de données.
- Contrôle d’accès restreint pour SharePoint et OneDrive. Vous pouvez empêcher la découverte de sites et de contenu au niveau du site en activant la stratégie Contrôle d’accès restreint pour les sites SharePoint. La restriction d’accès au site autorise uniquement les utilisateurs du groupe de sécurité ou du groupe Microsoft 365 spécifiés à accéder au contenu. Vous pouvez également limiter l’accès au contenu partagé du OneDrive d’un utilisateur uniquement aux personnes d’un groupe de sécurité avec la stratégie Contrôle d’accès restreint pour OneDrive. Une fois la stratégie activée, toute personne qui ne fait pas partie du groupe de sécurité désigné ne peut pas accéder au contenu de ce OneDrive, même s’il a été précédemment partagé avec eux.
- Révision d’accès au site. Cet outil permet aux administrateurs d’examiner et de gérer régulièrement qui a accès à des sites SharePoint spécifiques. Cette fonctionnalité permet aux administrateurs informatiques de déléguer le processus de révision des rapports de gouvernance d’accès aux données aux propriétaires de site, qui sont les mieux placés pour comprendre le contexte et la nécessité du contenu partagé. Cet outil est utile pour résoudre les problèmes de surpartage identifiés dans les rapports de gouvernance de l’accès aux données. Lorsqu’un site est marqué pour un surpartage potentiel, les administrateurs peuvent lancer une révision d’accès au site, invitant les propriétaires de site à vérifier et à gérer les autorisations d’accès.
- Découverte de contenu restreinte. Cette fonctionnalité empêche la découverte de contenu sensible par des utilisateurs non autorisés, ce qui améliore la sécurité des données en limitant la visibilité en fonction des autorisations des utilisateurs. Cette fonctionnalité restreint la visibilité de certains contenus en fonction des autorisations utilisateur, garantissant que seuls ceux qui disposent des niveaux d’accès appropriés peuvent trouver et afficher des informations sensibles. La découverte de contenu restreinte est importante pour maintenir la sécurité et la conformité des données, car elle permet de contrôler qui peut voir et interagir avec les données confidentielles. Cet outil limite la détectabilité du contenu, ce qui permet aux organisations de gérer leurs données de manière plus sécurisée et d’empêcher le surpartage accidentel.
Outils Microsoft pour sécuriser les données
Microsoft 365, Microsoft 365 Copilot et les services connectés utilisent tous les stratégies et paramètres définis par les administrateurs pour renforcer les autorisations et implémenter un « accès suffisant ». Ils le font par le biais de plug-ins et de connecteurs Microsoft Graph pour empêcher le sur-partage des données. La liste suivante résume brièvement certains des outils que les administrateurs peuvent utiliser pour définir ces stratégies et paramètres :
Protection de l'information Microsoft Purview. Classer et éventuellement crypter les documents et les e-mails en fonction de leur sensibilité. Vous pouvez créer des stratégies pour restreindre l'accès aux seuls utilisateurs autorisés. Par exemple, vous pouvez :
- Classer les documents ou les courriels contenant les salaires des employés comme « hautement confidentiels » et en limiter l'accès à l'équipe des ressources humaines.
- Classer les données des clients comme « confidentielles » et n'autoriser que les commerciaux affectés à ce client à y accéder.
- Classer les rapports financiers comme « internes uniquement » et les crypter automatiquement pour empêcher tout partage externe.
- Classer les communications de la direction dans la catégorie « Réservé à l'interne » et en limiter l'accès aux membres de l'équipe de direction.
Étiquettes de sensibilité Microsoft Purview. Classez et étiquetez les sites SharePoint, les documents et les e-mails avec des étiquettes de sensibilité telles que « Confidentiel » ou « Usage interne uniquement ». Vous pouvez créer des stratégies pour limiter l'accès aux ressources avec des étiquettes de sensibilité spécifiques. Par exemple, vous pouvez :
- Apposez une étiquette de sensibilité « Confidentiel RH » sur les évaluations des performances des employés et limitez-en l'accès aux seuls responsables des ressources humaines.
- Apposez une étiquette « Customer Confidential » sur les données des clients et configurez des règles pour bloquer les téléchargements, les impressions ou les partages d'éléments portant cette étiquette.
- Apposez la mention « Confidentiel » sur les données des clients et configurez le chiffrement automatique des fichiers auxquels cette mention est apposée..
- Étiqueter les feuilles de calcul comptables « Confidentiel Finance » et en limiter l'accès aux seuls membres de l'équipe financière.
Stratégies d'accès conditionnel de Microsoft Entra. Accorder ou restreindre l'accès aux informations et services Microsoft 365, y compris SharePoint, en fonction de conditions telles que l'emplacement de l'utilisateur, l'appareil ou le réseau. Ces stratégies sont utiles pour limiter l'accès lorsque le système détecte des risques ou que les informations d'identification de l'utilisateur sont compromises. Par exemple, vous pouvez :
- Exiger une authentification multifactorielle pour accéder aux sites SharePoint contenant des données financières lors d'une connexion à distance.
- Bloquer le partage externe de sites contenant des présentations internes, à moins que les utilisateurs ne se connectent via des appareils gérés sur le réseau de l'entreprise.
- Exiger des appareils gérés qu'ils accèdent à des sites contenant un code source propriétaire.
- Bloquer l'accès aux sites contenant des communiqués de presse avant la date de l'annonce publique.
- Bloquer l'accès ou exiger une authentification progressive avec un autre facteur dans les cas où le système détecte un voyage impossible, ce qui est souvent un indicateur de vol de documents d'identité.
Gestion des identités privilégiées (PIM) Microsoft Entra. Fournir un accès administratif juste à temps, appliquer le principe du moindre privilège et limiter les privilèges permanents en n'accordant à l'utilisateur que les autorisations dont il a besoin au moment opportun. Par exemple, vous pouvez :
- Accordez des rôles privilégiés tels que administrateur SharePoint ou administrateur global uniquement pendant les heures de travail approuvées afin de minimiser l'accès permanent.
- Exiger une authentification multifactorielle et une justification pour activer l'accès privilégié aux données ou aux applications.
- Limiter l'accès privilégié, comme celui de l'administrateur de la facturation, à cinq heures par semaine au maximum.
- Nécessite une approbation pour activer l'accès au rôle d'administrateur global de Microsoft 365.
Révisions d’accès aux sites SharePoint Advanced Management (SAM). Cet outil SAM nécessite et automatise les révisions d’accès des propriétaires de site, des membres et des demandes d’accès, pour révoquer les autorisations dont les utilisateurs n’ont pas besoin ou n’ont plus besoin. Cet outil a été examiné précédemment dans cette unité comme un moyen d’aider les organisations à empêcher le surpartage des données. Il aide également les organisations à s’assurer que seuls les utilisateurs autorisés ont accès aux informations sensibles, ce qui réduit le risque de violations de données. Les révisions d’accès au site garantissent que les utilisateurs conservent uniquement l’accès dont ils ont besoin pour leur rôle. Par exemple, vous pouvez :
- Révoquer automatiquement les autorisations d'accès aux systèmes RH ou financiers au bout de 90 jours, à moins qu'elles n'aient été examinées et approuvées.
- Exiger une justification commerciale chaque trimestre pour les comptes d'utilisateurs externes afin de valider la nécessité permanente de l'accès.
- Exiger des examens trimestriels de l'accès des utilisateurs et supprimer l'accès des employés qui quittent l'entreprise.
- Appliquer des règles de limitation dans le temps pour l'accès des utilisateurs externes aux sites de collaboration.
Connecteurs et modules Microsoft Graph. Limiter l'accès aux données externes connectées à l'aide de connecteurs ou de plugins Microsoft Graph. Par exemple, vous pouvez :
- Définir l'étendue de l'accès dont les utilisateurs et les groupes ont besoin pour accéder aux fournisseurs de données connectés.
- Exiger l’authentification du service basé sur un compte d’utilisateur pour les services connectés et les données utilisées avec Microsoft 365 plug-ins Copilot.
- Limiter les capacités de recherche étendues au contenu externe indexé par les connecteurs graphiques aux seuls utilisateurs qui doivent y avoir accès.
L'utilisation d'une combinaison de ces outils pour restreindre l'accès et mettre en œuvre le principe du moindre privilège permet aux organisations de limiter l'exposition des données sensibles et d'empêcher le partage excessif afin de préserver la sécurité des informations sensibles. Ces outils sont de puissants mécanismes permettant d’activer un « accès suffisant ». En veillant à ce que chaque employé dispose d’un accès suffisant pour accomplir son travail sans privilèges excessifs, vous pouvez également garder Microsoft 365 Copilot concentré uniquement sur les données appropriées nécessaires pour des recommandations utiles.
Lecture supplémentaire. Pour plus d'informations sur la sécurisation de vos données et des appareils des utilisateurs, consultez les offres de formation suivantes :
- Explorez les métriques de sécurité dans Microsoft 365 Defender.
- Mettre en œuvre la protection des points d'accès en utilisant Microsoft Defender pour les points de terminaison.
- Gérer la conformité dans Microsoft 365.
Vérification des connaissances
Choisissez la meilleure réponse pour la question suivante.