download_doneMyDataSecurity : Premier tableau de bord de sécurité pour les utilisateurs

Microsoft 365

20 septembre 2021

Classifier et protéger les données sensibles : zoom sur MIP

Classification des fichiers pour sécuriser les SI avec Microsoft Information Protection

Les enjeux de sécurisation des données deviennent de plus en plus importants à mesure que la volumétrie des données, comme les attaques, augmentent. L'expansion des outils de collaboration et leur adoption offrent une capacité d'autonomie à vos utilisateurs dans la gestion des données, avec les risques que cela implique. (1)Mais comment sécuriser un volume important de données, comment identifier rapidement les données les plus sensibles à protéger ?  

Il est difficile pour les équipes sécurité d'appliquer une seule et même politique de protection des données. En effet, toutes les données ne se valent pas en matière de criticité pour l'entreprise. Il est donc important d’identifier la donnée par la classification, pour déterminer un niveau de sensibilité. Il sera ensuite possible de protéger les données les plus sensibles. 

Classifier et protéger - des enjeux renforcés par les obligations réglementaires (RGPD)

Un des principaux risques réside dans la fuite intentionnelle ou non de données. Certaines informations, par une mauvaise gestion ou entre de mauvaises mains, peuvent engendrer des risques pour la réputation et les intérêts de l’entreprise ou même de coût économique. Ces informations sont des données sensibles pour les entreprises. Elles vont concerner les données réglementées (clients), l’état financier, les actifs (brevets, plans etc…) ou encore les décisions stratégiques.  

Pour mieux maîtriser les risques, il est conseillé d’appliquer un processus permettant de découvrir, de classer et de protéger les données. 

1. Identifier les données sensibles

Pour protéger les données sensibles, il faudra d’abord avoir une bonne connaissance sur les données de l’entreprise. 

Plusieurs questions peuvent être posées pour les déterminer :  

  • Quelles sont les différentes données détenues par l’entreprise ?
  • Qu’est-ce qu’une donnée sensible pour mon entreprise ? 
  • Où sont localisés ces données ? 
  • Qui y a accès aujourd’hui ?  
  • Quels sont les impacts en cas de fuite ?  

En se questionnant sur la nature des données et leurs enjeux, il sera possible de déterminer des niveaux de risque et hiérarchiser les informations.  

2. Définir des niveaux de classification 

Il est important de définir ses propres niveaux de classifications pour toutes les données de l’entreprise. En les définissant, il faudra également donner des exemples sur chaque niveau pour faciliter leur compréhension.  

Il n’y a pas de modèle parfait, chaque entreprise en fonction de son environnement, de ses complexités, va définir son propre tableau de classification des données. Cependant, il est recommandé de ne pas dépasser 4 niveaux.  

En général, les entreprises appliquent 3 niveaux de classification : confidentiel, interne et public.  

3. Classifier les données selon leur niveau de confidentialité 

Les entreprises peuvent définir des stratégies pour classifier puis étiqueter les données les plus sensibles.  

Une fois la classification définie, il va falloir l’appliquer sur l’ensemble des données en fonction de son contenu. Cela consiste à poser une étiquette sur la donnée qui reprend le niveau de classification.  

L’exploitation de cette étiquette va aider à classer la donnée en différentes catégories en fonction de critères établis. Associée à la recherche de données, les labels posés sur les fichiers vont permettre de créer un processus d’identification des ressources et établir une stratégie de protection la plus adéquate.  

L’étiquetage des informations peut être réalisé sur différents types de données fichiers, images, dossiers ou encore les emails les plus sensibles.  

Il existe plusieurs moyens pour étiqueter une information :  

  • Manuellement en impliquant l’utilisateur
  • Automatiquement grâce à des stratégies ou logiciels 

4. Protéger les données  

Grâce au chiffrement


A partir d’un certain niveau de classification, il est possible de proposer un chiffrement de la donnée. 
Le chiffrement apporte une sécurité supplémentaire pour éviter qu’une personne même si elle a accédé de manière illégitime à une donnée, ne puisse prendre connaissance du contenu.
Une entreprise peut décider que, pour un niveau de classification donné automatiquement ou par un utilisateur, un chiffrement va être établi sur l’information.  

Comme la labellisation d’une information, le chiffrement peut également être ajouté grâce à des solutions qui scannent les documents. Ces solutions recherchent des patterns et appliquent automatiquement des étiquettes, des restrictions et/ou du chiffrement.  

Grâce à la restriction des accès 


En fonction du niveau de classification, des limitations sur les droits et accès peuvent être proposées. Par exemple, il est possible d’interdire les transferts, copies, impressions et de restreindre l’accès à des personnes spécifiques.  

5. Monitorer et tracer les données étiquetées 

Il faut être en capacité de suivre les activités sur les données classifiées et de revoir les accès si nécessaire dans le temps.  

Les administrateurs peuvent de leur côté, utiliser des rapports pour superviser et contrôler ces données. Ils vont, par exemple pouvoir :  

  • Surveiller les documents ou e-mails étiquetés 
  • Identifier qui a accédé à un document possédant un certain niveau de classification 
  • Identifier facilement les documents avec le plus d’informations sensibles et avec un risque pour l’entreprise 

Il est possible d’analyser les différents contenus étiquetés et comprendre s’ils ont bien la bonne étiquette et le bon niveau de protection.  

Dashboard de Monitoring Microsoft AIP

 

La solution MIP pour protéger les données sensibles 

Aujourd’hui de nombreuses entreprises utilisent les solutions Microsoft 365 et ont besoin de sécuriser les partages dans ces outils collaboratifs 

A travers sa plateforme Azure Cloud, Microsoft propose un large choix d’outils de protection s’intégrant aux services Microsoft 365 et Windows. Afin de classifier et protéger les données sensibles, Microsoft a développé une solution nommée MIP. 

Présentation de la solution Microsoft Information Protection 

MIP est l'abréviation de Microsoft Information Protection, anciennement AIP (Azure Information Protection).  

NB. Microsoft Information protection n’est pas un outil mais plutôt un environnement avec des applications et fonctionnalités associées. 

Plus spécifiquement, Microsoft Information Protection se concentre sur l’identification et la protection des données sensibles. Il prend en charge de nombreux types de contenu : les emails, les fichiers Office ou PDF et les images par exemple. MIP s’applique sur les fichiers stockés sur des serveurs de fichiers on-premises et sur des plateformes cloud, telles que SharePoint, OneDrive et Microsoft Teams. 

La solution est incluse dans les licences E3 et E5 de Microsoft 365 et est proposée en version Premium pour des fonctionnalités supplémentaires. Dans les versions Premium, on retrouve en fonctionnalité principale le scanner MIP. Celui-ci permet d’identifier et de chiffrer automatiquement des données sensibles, de suivre et contrôler l’accès aux documents.  

Les fonctionnalités d'Azure Information Protection

Classification et étiquetage des données sensibles avec MIP

MIP permet de définir une classification et d’étiqueter des documents, emails mais pour cela il faut tout d’abord identifier la donnée sensible. 

Cette identification peut être faite de deux manières : manuellement ou automatiquement, en fonction de la solution choisie (basique ou premium).  

Pour la partie manuelle, l’identification et l’étiquetage sont réalisés par les utilisateurs. Ils auront alors le choix d’ajouter l’étiquette qui correspond au niveau de sensibilité du document, avec pour effet d’insérer un marqueur visuel sur la ressource et une étiquette dans ses métadonnées.  

Certaines organisations, pour encourager l’utilisateur à étiqueter ses documents, vont lui appliquer une étiquette par défaut, visible par l’utilisateur. Celui-ci aura la main pour la changer si nécessaire. 

Processus d'étiquetage avec Azure information protection

Au contraire, le scanneur MIP permet de détecter et de classifier automatiquement toutes les données de l’environnement. Le scanneur va analyser les informations contenues dans les documents et regarder leur niveau de conformité selon les modèles, règles établis. A la suite de cette analyse, il sera en mesure de dire si le document doit être étiqueté et sur quel niveau : exemple Confidentiel, Hautement Confidentiel.  

Cependant, le scanneur est un service payant ou inclus avec certaines licences dont les coûts sont plus élevés et nécessitent un prérequis : le fichier doit être indexé par Windows. Ce scanneur peut être source d’erreur et nécessite un paramétrage précis. 

Chiffrement de la donnée avec Azure RMS

Azure Information Protection a identifié la donnée sensible manuellement ou automatiquement et va utiliser le chiffrement de Azure Rights Management (Azure RMS) pour la protéger.  

A partir du moment où une donnée est étiquetée, il applique des stratégies de sécurité en établissant des relations entres les règles et les étiquettes de classification choisie. 

Azure RMS va utiliser le chiffrement avancé pour établir des stratégies d’identification et d’autorisation pour protéger les données. Cet outil va permettre de chiffrer les données au niveau de l’application qui les héberge. Le fichier désigné portera donc le chiffrement et seules les personnes autorisées pourront y accéder. Comme le chiffrement se fait dans le header du document, le document sera toujours protégé même s’il est partagé avec une personne en dehors de l’organisation. 

Accompagner les collaborateurs dans la protection de leurs données sensibles 

33 % des incidents de sécurité rencontrés par les entreprises sont liés à une négligence ou erreur de configuration d'un administrateur ou d'un salarié. (2)

Encore souvent considéré comme un maillon faible, lutilisateur joue un rôle pourtant essentiel dans la protection des données. Il est important de l’accompagner dans ses usages. La responsabilisation et la protection des informations passent par une phase d’adoption sur les réflexes à avoir autour des données et une bonne connaissance des outils 

1. Assigner les bons niveaux de confidentialité sur les documents 

Le collaborateur doit être sensible aux niveaux de sécurité des données qu’il manipule pour être capable de protéger les informations. Il doit donc reconnaître les informations, emails, documents sensibles.  

Il peut être intéressant de définir une liste exhaustive des données considérées comme sensibles et les classifications qui doivent être appliquées. Le collaborateur aura une vision plus claire et pourra plus facilement protéger sa donnée. 

MIP peut proposer des niveaux nativement facilitant la classification par l’utilisateur. 

Après l’identification, le collaborateur devra s’assurer que le document a les protections nécessaires contre les accès inappropriés. 

2. Donner des droits d’accès limités

Il est important de donner les droits d’accès aux données seulement aux personnes qui en ont besoin (principe du moindre privilège). Une fois l’information identifiée comme sensible, il faudra désigner qui peut y accéder et avec quels droits. 

Selon le niveau de classification donné dans MIP, l’utilisateur pourra être dans l’obligation de désigner les personnes étant autorisées à accéder à l’information.  

3. Vérifier régulièrement les droits et accès

Comme OneDrive ou Microsoft Teams, la vérification des droits est importante. Une collaboration a pu prendre fin ou un collaborateur a pu changer de poste, il ne sera donc plus légitime à recevoir certaines informations. Le partage est alors considéré comme obsolète.  

Dans MIP, il sera nécessaire de vérifier régulièrement les droits accordés sur des documents et supprimer si nécessaire certains droit/accès. Cette revue des droits et des accès peut être initiée en fonction de l’avancée sur le document, par exemple à chaque fin de validation, par mois ou par trimestre. 

La classification et l’étiquetage pour sécuriser les données sensibles  

La classification et l’étiquetage sont les bases d’une stratégie de protection des données. Que ce soit d’un point de vue conformité, gouvernance ou sécurité, elles vont permettre aux entreprises de protéger efficacement leurs données les plus sensibles.  

Les équipes IT/sécurité ont besoin de superviser le bon étiquetage des documentsles éventuels besoins de chiffrement et de restrictions d’accès aux données. Ils vont devoir accompagner l’utilisateur pour établir une protection efficace. 

Le déploiement d’outils de protection comme MIP va aider les entreprises dans ces étapes de protection. AIP propose aujourd’hui deux licences : basique et premium. La deuxième premium aura un coût plus élevé et des fonctionnalités supplémentaires (scanneur).  

Certaines entreprises ont fait le choix de trouver des solutions alternatives pour superviser les données classifiées MIP sur Microsoft 365. 

IDECSI, une protection complète et efficace, de vos données sensibles, avec l’intégration des classifications MIP

Permettre à chaque propriétaire de données sensibles, de pouvoir identifier ses données étiquetées et les droits, délégations, accès effectués, est un élément essentiel de la protection de la donnée. 

IDECSI a récemment enrichi sa plateforme MyDataSecurity afin de permettre à chaque utilisateur de contrôler facilement les ressources sensibles étiquetées MIP. La plateforme s’appuie sur un outil puissant de recherche. Les administrateurs et les utilisateurs gagnent en visibilité, détectent et corrigent rapidement les risques.  

Combiné avec sa plateforme utilisateur, IDECSI implique le collaborateur et lui donne une vue d’ensemble sur ses données et ses différentes applications. La vérification des droits, des accès et des partages est donc simplifiée.  

(1) Rapport du CESIN - Baromètre de la cybersécurité des entreprises – Janvier 2021
(2) CESIN Baromètre 2021

Nos articles

Ces articles peuvent
vous intéresser

Eric Vautier, Antoine Ancel et Daniel Rezlan présente leur retour d'expérience sur la protection des données Microsoft 365
Sécurité / IT

Assises de la sécurité 2021 : Protection des données Microsoft 365

Lire l'article
Erreur humaine depuis applications Microsoft 365
Sécurité / IT

Erreurs humaines, réduire les risques sur la sécurité des données

Lire l'article
Classification des fichiers pour sécuriser les SI avec Microsoft Information Protection
Microsoft 365
Sécurité / IT

Classifier et protéger les données sensibles : zoom sur MIP

Lire l'article
Protection des données, discutons de votre projet ?
Contactez-nous