Classifier et protéger les données sensibles avec Microsoft Purview (2026)

La sécurisation des données est devenue une course contre la montre. Entre l’explosion de la volumétrie (+30 % par an en moyenne), la dispersion multicloud et l’adoption massive de l’IA générative comme Microsoft 365 Copilot, la surface d’exposition des entreprises s'est considérablement élargie.

Les équipes IT et Sécurité ne peuvent plus se contenter de construire des murs autour du périmètre. L'enjeu central de 2026 est la Data Security Posture Management (DSPM) : savoir où se trouve la donnée sensible, qui y accède, et comment elle est protégée.

Mise à jour 2026 : Quoi de neuf dans Microsoft Purview ?

L’écosystème de sécurité Microsoft a évolué. Microsoft Purview est désormais une plateforme unifiée regroupant la gouvernance, la conformité et la protection.

• Contexte IA : La classification est une bonne pratique essentielle pour sécuriser Copilot et éviter la surexposition des données.
• Unification : Intégration native des étiquettes dans Teams, SharePoint, Outlook et même sur les données non-Microsoft (grâce à des connecteurs spécifiques).
• Automatisation : Renforcement de l'auto-classification via l'apprentissage machine (Trainable Classifiers).

1. Classifier et protéger : Des enjeux renforcés par le RGPD et l'IA

La fuite de données, qu'elle soit accidentelle (négligence interne) ou malveillante (exfiltration), représente un risque financier et réputationnel majeur. Avec le RGPD et les nouvelles directives (NIS2, DORA), la traçabilité de la donnée n’est plus une option.

Mais un nouveau risque est apparu : la dette de la gouvernance. Des millions de fichiers non classés, obsolètes ou "ROT" (Redundant, Obsolete, Trivial) s'accumulent. Sans classification, une donnée sensible (PII, brevets, stratégie) est traitée comme une donnée publique.

• Risque de sécurité : Accès non maîtrisé.
• Risque opérationnel : Copilot peut faire remonter des informations confidentielles à des utilisateurs non autorisés si les droits sont trop ouverts.

2. La démarche en 5 étapes pour maîtriser ses données

Pour transformer ce chaos en capital sécurisé, la méthode recommandée suit une logique progressive :

Étape 1 : Identifier (Discovery)

Avant de protéger, il faut connaître. L'inventaire des données (Data Discovery) permet de répondre aux questions clés :

• Quels types de données possédons-nous (bancaires, santé, propriété intellectuelle) ?
• Où sont-elles stockées (SharePoint, OneDrive, serveurs de fichiers, endpoints) ?
• Quels sont les volumes de données "sombres" (Dark Data) ?

Étape 2 : Définir la taxonomie

Il est crucial de définir un référentiel de classification simple et compréhensible par tous. Trop de niveaux tuent l'adoption. La norme de marché se stabilise autour de 4 niveaux :

1. Public (Données web, marketing public)
2. Interne (Données standard de l'entreprise)
3. Confidentiel (Données projets, RH, clients - accès restreint)
4. Hautement Confidentiel (Comex, stratégique - accès très strict)
   
   

Étape 3 : Classifier et Étiqueter (Labeling)

C'est le cœur du dispositif. L'application d'une étiquette de sensibilité (Sensitivity Label) ancre la classification dans les métadonnées du fichier.

Cette étiquette suit la donnée partout où elle va, même si elle quitte l'environnement Microsoft 365 (mais leur application/chiffrement en dehors de M365 dépend du support du client, ex: Adobe PDF peut ne pas reconnaître les étiquettes. La protection peut être perdue sur certains formats/plateformes).

Étape 4 : Protéger (Encryption & Access Control)

L'étiquette pilote la protection. Contrairement aux méthodes passées, on ne chiffre pas tout aveuglément.

• Label "Public" = Pas de protection.
• Label "Confidentiel" = Chiffrement, filigrane (watermark), interdiction de copier/coller. Le chiffrement est assuré par Microsoft Purview Information Protection (anciennement Azure Information Protection/ Azure RMS).

Note : Ces protections sont configurables par l'administrateur, pas automatiques. Un label "Confidentiel" peut n'avoir aucune protection technique si l'admin ne l'a pas configuré

Étape 5 : Monitorer (Audit & DLP)

Une fois étiquetée, la donnée devient traçable. Les stratégies de DLP (Data Loss Prevention) peuvent alors bloquer la sortie d'un document "Confidentiel" vers une clé USB ou une adresse Gmail personnelle.

3. Microsoft Purview Information Protection : La solution technique

Microsoft Purview n'est pas un simple outil, mais une suite complète de gouvernance. Le module Information Protection (anciennement MIP/AIP) est la brique dédiée à la classification et au chiffrement.

Périmètre fonctionnel étendu

Purview Information Protection couvre aujourd'hui l'ensemble du cycle de vie de la donnée :

• Office 365 : Word, Excel, PowerPoint, Outlook (sur PC, Mac, Mobile et Web).
• Collaboration : Étiquetage des équipes Teams et des sites SharePoint.
• Hybride & Multicloud : Via Purview Information Protection Scanner (pour les serveurs de fichiers on-premise) et l'intégration avec d'autres clouds.
• PDF et images : Prise en charge native.

Comprendre les licences (E3 vs E5)

L'accès aux fonctionnalités dépend de votre niveau de licence Microsoft 365. C'est un point de vigilance budgétaire :

• Microsoft 365 E3 / Business Premium :
• Classification manuelle ou automatique : L'utilisateur doit choisir lui-même l'étiquette.
• Consommation de contenu chiffré.
• Fonctionnalités DLP standard.
  
  
• Microsoft 365 E5 / Add-on E5 Compliance :
• Classification automatique : Purview analyse le contenu (ex: détecte un numéro de CB) et applique l'étiquette sans intervention humaine.
• Scanner sur site : Pour découvrir et étiqueter les serveurs de fichiers.
• Machine Learning : Classificateurs entraînables pour reconnaître des documents spécifiques (ex: contrats types).
• DLP Avancée et gestion des risques internes (Insider Risk Management).

(Note : Certaines fonctionnalités avancées nécessitent des modules complémentaires E5 Compliance ou E5 Information Protection & Governance).

4. Classification et étiquetage des données sensibles avec Microsoft Purview (MIP)

Microsoft Purview Information Protection (MIP) permet de classifier et d'étiqueter des documents et emails pour protéger les données sensibles de votre organisation. L'identification et la classification des données peuvent être réalisées de deux manières : manuellement par les utilisateurs ou automatiquement via des règles prédéfinies.

Étiquetage manuel

L'étiquetage manuel est disponible dans toutes les licences Microsoft 365 (y compris E3, Business Premium, etc.). Les utilisateurs peuvent sélectionner l'étiquette de sensibilité appropriée directement depuis leurs applications Office (Word, Excel, PowerPoint, Outlook).

Lorsqu'une étiquette est appliquée :

• Un marquage dans les métadonnées du fichier est systématiquement ajouté
• Des marqueurs visuels (en-tête, pied de page, filigrane) peuvent être affichés selon la configuration de l'étiquette
• Des restrictions d'accès peuvent être appliquées si l'étiquette inclut le chiffrement

Certaines organisations configurent une étiquette par défaut pour encourager la classification dès la création du document. L'utilisateur peut ensuite modifier cette étiquette selon le niveau de sensibilité réel du contenu, sauf si une politique d'étiquetage obligatoire (mandatory labeling) est mise en place.

Étiquetage automatique avec le scanner Microsoft Purview

Le scanner unifié Microsoft Purview permet de détecter et de classifier automatiquement les données sensibles stockées en local (partages de fichiers Windows, SharePoint Server on-premises, etc.).

Le scanner analyse le contenu des documents en utilisant :

• Les types d'informations sensibles (SIT - Sensitive Information Types) : numéros de carte bancaire, numéros de sécurité sociale, etc.
• Les classificateurs entrainables (trainable classifiers) pour détecter des types de documents spécifiques
• Les règles de classification personnalisées définies par l'organisation

À l'issue de l'analyse, le scanner peut :

• Recommander une étiquette de sensibilité (mode découverte)
• Appliquer automatiquement l'étiquette appropriée (Confidentiel, Hautement Confidentiel, etc.)
• Générer des rapports de conformité

Prérequis et licences pour le scanner automatique

L'utilisation du scanner unifié Microsoft Purview nécessite l'une des licences suivantes :

• Microsoft 365 E5 / A5 / G5
• Microsoft 365 E5 / A5 / G5 Compliance
• Azure Information Protection Premium P2
• Microsoft Information Protection for Office 365 Premium P2

Prérequis techniques :

• Un serveur Windows (Windows Server 2019 ou ultérieur recommandé)
• Droits d'accès en lecture sur les partages de fichiers et référentiels à analyser
• Compte de service avec les permissions appropriées
• Connexion Internet pour la synchronisation avec le service cloud

⚠️ Important : Le scanner est un outil puissant mais nécessite un paramétrage précis (configuration des profils de contenu, règles de classification, gestion des exceptions) pour éviter les faux positifs et optimiser les performances d'analyse.

Chiffrement des données avec Azure Rights Management (Azure RMS)

Lorsqu'une étiquette de sensibilité configurée pour le chiffrement est appliquée à un document ou email, Microsoft Purview Information Protection utilise le service Azure Rights Management (Azure RMS) pour protéger le contenu.

Fonctionnement du chiffrement Azure RMS

Azure RMS applique un chiffrement AES 256 bits sur l'intégralité du contenu du fichier, et non uniquement sur les métadonnées. Le processus fonctionne comme suit :

1. Chiffrement du document : Le contenu complet est chiffré localement sur le poste de l'utilisateur
2. Ajout d'une licence d'utilisation : Une "publishing license" est intégrée au fichier, définissant :
• Les utilisateurs autorisés à accéder au document
• Les droits d'usage (lecture seule, modification, impression, copie, etc.)
• La durée de validité des droits
3. Protection persistante : Le chiffrement reste actif quel que soit l'emplacement du fichier (cloud, partage réseau, clé USB, email)
   
   

Stratégies d'autorisation

Azure RMS établit des stratégies granulaires de contrôle d'accès basées sur l'identité des utilisateurs :

• Utilisateurs internes : Authentification via Microsoft Entra ID (anciennement Azure AD)
• Utilisateurs externes : Possibilité d'accorder l'accès à des personnes hors de l'organisation, qui devront s'authentifier via leur compte Microsoft ou un compte invité

Les droits peuvent inclure :

• Affichage uniquement (View)
• Modification (Edit)
• Impression (Print)
• Copie/Extraction (Extract - requis pour l'utilisation avec Copilot)
• Transfert (Forward)
• Réponse (Reply/Reply All - pour les emails)
  
  

Protection au-delà des frontières organisationnelles

Point clé : Même lorsqu'un document chiffré par Azure RMS est partagé avec une personne extérieure à l'organisation, la protection reste active.

• Le destinataire externe doit s'authentifier pour prouver son identité
• Les droits définis dans la licence d'utilisation s'appliquent, même hors du tenant Microsoft 365
• L'émetteur conserve le contrôle : possibilité de révoquer l'accès à tout moment (si la configuration le permet)
• Le chiffrement ne peut pas être supprimé sans les permissions appropriées, même si le fichier est copié ou déplacé

Cette protection persistante au niveau du fichier garantit que les données sensibles restent sécurisées tout au long de leur cycle de vie, indépendamment des canaux de partage utilisés (email, cloud public, supports physiques, etc.).

4. Le rôle clé des collaborateurs : La première ligne de défense

Malgré l'automatisation via l'IA, la technologie ne peut pas tout résoudre. 80 % des données non structurées nécessitent un contexte métier pour être correctement qualifiées. L'utilisateur reste le maillon fort s'il est bien outillé.

La responsabilisation par le Label

L'étiquette de sensibilité matérialise la valeur du document pour l'utilisateur. Lorsqu'un collaborateur voit une barre "Hautement Confidentiel" en rouge dans son email, son comportement change (vigilance accrue).

Les bonnes pratiques à diffuser

1. Classification à la source : Étiqueter le document dès sa création.
2. Principe de moindre privilège : Restreindre les droits d'accès au strict nécessaire (éviter les liens "Tout le monde" sur des données étiquetées).
3. Revue régulière : Un document "Confidentiel Projet X" doit-il le rester 3 ans après la fin du projet ? La fonctionnalité Data Lifecycle Management de Purview permet de gérer la rétention et la suppression, mais la décision métier prime.
   
   

5. IDECSI : Orchestre la gouvernance Purview

Si Microsoft Purview fournit l'infrastructure de classification et de protection, les entreprises rencontrent souvent un "gap opérationnel" : comment s'assurer que les étiquettes sont bien posées et que les droits restent cohérents dans le temps ?

C’est ici qu’IDECSI intervient en complémentarité native avec Microsoft 365.

Une visibilité centrée sur le risque réel

IDECSI ingère les logs unifiés et les étiquettes de sensibilité Purview pour offrir une vision consolidée :

• Quels documents "Confidentiels" sont partagés avec des invités externes (Guest) ?
• Où se trouvent les goulots d'étranglement (fichiers sensibles stockés dans des Teams publics) ?
• Détection des configurations permissives qui pourraient être exploitées par Copilot.

MyDataSecurity : Engager l'utilisateur dans la remédiation

Les consoles d'administration Microsoft sont conçues pour les experts IT, pas pour les métiers.

Grâce à MyDataSecurity, IDECSI notifie directement le propriétaire de la donnée (Data Owner) en cas d'anomalie sur un fichier classifié :

• "Vous avez partagé ce fichier 'Confidentiel' avec un lien public, est-ce normal ?"
• "Validez-vous l'accès de M. X à ce dossier sensible ?"

Cette approche permet de corriger les droits en temps réel, de réduire les faux positifs pour le SOC, et de maintenir une hygiène de données (Data Hygiene) indispensable pour la conformité et l'efficacité de l'IA.