Sécurité et Gouvernance des données à l'ère de l’IA & Numérique Responsable
Lire l'article[NEW] MYDATAMANAGEMENT POUR OPTIMISER VOTRE STOCKAGE MICROSOFT 365
Solutions
Des réponses performantes pour 6 grands défis et difficultés que vous pouvez rencontrer
DETOX pour M365 : la solution d'audit dynamique
Découvrez la solutionDETOX pour Copilot Microsoft 365
Découvrir l'offre DETOXRessources
Consulter nos ressources utiles pour améliorer la protection des données
Microsoft 365
20 septembre 2021
Les enjeux de sécurisation des données deviennent de plus en plus importants à mesure que la volumétrie des données, comme les attaques, augmentent. L'expansion des outils de collaboration et leur adoption offrent une capacité d'autonomie à vos utilisateurs dans la gestion des données, avec les risques que cela implique. (1)Mais comment sécuriser un volume important de données, comment identifier rapidement les données les plus sensibles à protéger ?
Il est difficile pour les équipes sécurité d'appliquer une seule et même politique de protection des données. En effet, toutes les données ne se valent pas en matière de criticité pour l'entreprise. Il est donc important d’identifier la donnée par la classification, pour déterminer un niveau de sensibilité. Il sera ensuite possible de protéger les données les plus sensibles.
Un des principaux risques réside dans la fuite intentionnelle ou non de données. Certaines informations, par une mauvaise gestion ou entre de mauvaises mains, peuvent engendrer des risques pour la réputation et les intérêts de l’entreprise ou même de coût économique. Ces informations sont des données sensibles pour les entreprises. Elles vont concerner les données réglementées (clients), l’état financier, les actifs (brevets, plans etc…) ou encore les décisions stratégiques.
Pour mieux maîtriser les risques, il est conseillé d’appliquer un processus permettant de découvrir, de classer et de protéger les données.
Pour protéger les données sensibles, il faudra d’abord avoir une bonne connaissance sur les données de l’entreprise.
Plusieurs questions peuvent être posées pour les déterminer :
En se questionnant sur la nature des données et leurs enjeux, il sera possible de déterminer des niveaux de risque et hiérarchiser les informations.
Il est important de définir ses propres niveaux de classifications pour toutes les données de l’entreprise. En les définissant, il faudra également donner des exemples sur chaque niveau pour faciliter leur compréhension.
Il n’y a pas de modèle parfait, chaque entreprise en fonction de son environnement, de ses complexités, va définir son propre tableau de classification des données. Cependant, il est recommandé de ne pas dépasser 4 niveaux.
En général, les entreprises appliquent 3 niveaux de classification : confidentiel, interne et public.
Les entreprises peuvent définir des stratégies pour classifier puis étiqueter les données les plus sensibles.
Une fois la classification définie, il va falloir l’appliquer sur l’ensemble des données en fonction de son contenu. Cela consiste à poser une étiquette sur la donnée qui reprend le niveau de classification.
L’exploitation de cette étiquette va aider à classer la donnée en différentes catégories en fonction de critères établis. Associée à la recherche de données, les labels posés sur les fichiers vont permettre de créer un processus d’identification des ressources et établir une stratégie de protection la plus adéquate.
L’étiquetage des informations peut être réalisé sur différents types de données fichiers, images, dossiers, groupes d'utilisateurs ou encore les emails les plus sensibles.
Il existe plusieurs moyens pour étiqueter une information :
A partir d’un certain niveau de classification, il est possible de proposer un chiffrement de la donnée.
Le chiffrement apporte une sécurité supplémentaire pour éviter qu’une personne même si elle a accédé de manière illégitime à une donnée, ne puisse prendre connaissance du contenu.
Une entreprise peut décider que, pour un niveau de classification donné automatiquement ou par un utilisateur, un chiffrement va être établi sur l’information.
Comme la labellisation d’une information, le chiffrement peut également être ajouté grâce à des solutions qui scannent les documents. Ces solutions recherchent des patterns et appliquent automatiquement des étiquettes, des restrictions et/ou du chiffrement.
En fonction du niveau de classification, des limitations sur les droits et accès peuvent être proposées. Par exemple, il est possible d’interdire les transferts, copies, impressions et de restreindre l’accès à des personnes spécifiques.
Il faut être en capacité de suivre les activités sur les données classifiées et de revoir les accès dans le temps.
Les administrateurs peuvent de leur côté, utiliser des rapports pour superviser et contrôler ces données. Ils vont, par exemple pouvoir :
Il est possible d’analyser les différents contenus étiquetés et comprendre s’ils ont bien la bonne étiquette et le bon niveau de protection.
Aujourd’hui de nombreuses entreprises utilisent les solutions Microsoft 365 et ont besoin de sécuriser les partages dans ces outils collaboratifs.
A travers sa plateforme Azure Cloud, Microsoft propose un large choix d’outils de protection s’intégrant aux services Microsoft 365 et Windows. Afin de classifier et protéger les données sensibles, Microsoft a développé une solution nommée Purview Information Protection (anciennement Microsoft Information Protection).
Microsoft Purview Information Protection, est le nouveau nom pour MIP / AIP (Azure Information Protection).
NB. Purview Information protection n’est pas un outil mais plutôt un environnement avec des applications et fonctionnalités associées.
Plus spécifiquement, Purview Information Protection se concentre sur l’identification et la protection des données sensibles. Il prend en charge de nombreux types de contenu : les emails, les fichiers Office ou PDF et les images ou encore les groupes Microsoft 365. Purview s’applique sur les fichiers stockés sur des serveurs de fichiers on-premise et sur des plateformes cloud, telles que SharePoint, OneDrive et Microsoft Teams.
La solution est incluse dans les licences E3 et E5 de Microsoft 365 et est proposée en version Premium pour des fonctionnalités supplémentaires. Dans les versions Premium, on retrouve en fonctionnalité principale le scanner. Celui-ci permet d’identifier et de chiffrer automatiquement des données sensibles, de suivre et contrôler l’accès aux documents.
Purview Information Protection (MIP) permet de définir une classification et d’étiqueter des documents, emails mais pour cela il faut tout d’abord identifier la donnée sensible.
Cette identification peut être faite de deux manières : manuellement ou automatiquement, en fonction de la solution choisie (basique ou premium).
Pour la partie manuelle, l’identification et l’étiquetage sont réalisés par les utilisateurs. Ils auront alors le choix d’ajouter l’étiquette qui correspond au niveau de sensibilité du document, avec pour effet d’insérer un marqueur visuel sur la ressource et une étiquette dans ses métadonnées.
Certaines organisations, pour encourager l’utilisateur à étiqueter ses documents, vont lui appliquer une étiquette par défaut, visible par l’utilisateur. Celui-ci aura la main pour la changer si nécessaire.
Au contraire, le scanneur Microsoft Purview permet de détecter et de classifier automatiquement toutes les données de l’environnement. Le scanneur va analyser les informations contenues dans les documents et regarder leur niveau de conformité selon les modèles, règles établis. A la suite de cette analyse, il sera en mesure de dire si le document doit être étiqueté et sur quel niveau : exemple Confidentiel, Hautement Confidentiel.
Cependant, le scanneur est un service payant ou inclus avec certaines licences dont les coûts sont plus élevés et nécessitent un prérequis : le fichier doit être indexé par Windows. Ce scanneur peut être source d’erreur et nécessite un paramétrage précis.
Microsoft Purview Information Protection a identifié la donnée sensible manuellement ou automatiquement et va utiliser le chiffrement de Azure Rights Management (Azure RMS) pour la protéger.
A partir du moment où une donnée est étiquetée, il applique des stratégies de sécurité en établissant des relations entres les règles et les étiquettes de classification choisie.
Azure RMS va utiliser le chiffrement avancé pour établir des stratégies d’identification et d’autorisation pour protéger les données. Cet outil va permettre de chiffrer les données au niveau de l’application qui les héberge. Le fichier désigné portera donc le chiffrement et seules les personnes autorisées pourront y accéder. Comme le chiffrement se fait dans le header du document, le document sera toujours protégé même s’il est partagé avec une personne en dehors de l’organisation.
33 % des incidents de sécurité rencontrés par les entreprises sont liés à une négligence ou erreur de configuration d'un administrateur ou d'un salarié. (2)
Encore souvent considéré comme un maillon faible, l’utilisateur joue un rôle pourtant essentiel dans la protection des données. Il est important de l’accompagner dans ses usages. La responsabilisation et la protection des informations passent par une phase d’adoption sur les réflexes à avoir autour des données et une bonne connaissance des outils.
Le collaborateur doit être sensible aux niveaux de sécurité des données qu’il manipule pour être capable de protéger les informations. Il doit donc reconnaître les informations, emails, documents sensibles.
Il peut être intéressant de définir une liste exhaustive des données considérées comme sensibles et les classifications qui doivent être appliquées. Le collaborateur aura une vision plus claire et pourra plus facilement protéger sa donnée.
Microsoft Purview Information Protection peut proposer des niveaux nativement facilitant la classification par l’utilisateur.
Après l’identification, le collaborateur devra s’assurer que le document a les protections nécessaires contre les accès inappropriés.
Il est important de donner les droits d’accès aux données seulement aux personnes qui en ont besoin (principe du moindre privilège). Une fois l’information identifiée comme sensible, il faudra désigner qui peut y accéder et avec quels droits.
Selon le niveau de classification donné dans Purview, l’utilisateur pourra être dans l’obligation de désigner les personnes étant autorisées à accéder à l’information.
Comme OneDrive ou Microsoft Teams, la vérification des droits est importante. Une collaboration a pu prendre fin ou un collaborateur a pu changer de poste, il ne sera donc plus légitime à recevoir certaines informations. Le partage est alors considéré comme obsolète.
Dans MIP (Purview) , il sera nécessaire de vérifier régulièrement les droits accordés sur des documents et supprimer si nécessaire certains droit/accès. Cette revue des droits et des accès peut être initiée en fonction de l’avancée sur le document, par exemple à chaque fin de validation, par mois ou par trimestre.
La classification et l’étiquetage sont les bases d’une stratégie de protection des données. Que ce soit d’un point de vue conformité, gouvernance ou sécurité, elles vont permettre aux entreprises de protéger efficacement leurs données les plus sensibles.
Les équipes IT/sécurité ont besoin de superviser le bon étiquetage des documents, les éventuels besoins de chiffrement et de restrictions d’accès aux données. Ils vont devoir accompagner l’utilisateur pour établir une protection efficace.
Le déploiement d’outils de protection comme Microsoft Purview va aider les entreprises dans ces étapes de protection. AIP propose aujourd’hui deux licences : basique et premium. La deuxième premium aura un coût plus élevé et des fonctionnalités supplémentaires (scanneur).
Certaines entreprises ont fait le choix de trouver des solutions alternatives pour superviser les données classifiées Purview sur Microsoft 365.
Permettre à chaque propriétaire de données sensibles, de pouvoir identifier ses données étiquetées et les droits, délégations, accès effectués, est un élément essentiel de protection.
IDECSI a récemment enrichi sa solution avec l'intégration et l'identification des données étiquetées Microsoft Purview Information Protection (MIP). Les administrateurs et les utilisateurs disposent d'une vue centralisée pour contrôler facilement les accès et les partages réalisés sur ses ressources sensibles. Ils pourront également, en cas de surexposition (partages à toute l'entreprise, partages avec des comptes externes,...), corriger les risques en révoquant une permission.
Combiné avec sa plateforme utilisateur, IDECSI implique le collaborateur et lui donne une vue d’ensemble sur ses données et ses différentes applications. La vérification des droits, des accès et des partages est donc simplifiée.
(1) Rapport du CESIN - Baromètre de la cybersécurité des entreprises – Janvier 2021Articles récents
Abonnez-vous à la newsletter pour recevoir nos contenus chaque mois.
Nos articles
Ces articles peuvent
vous intéresser