Guide de mise en œuvre de la Data Classification dans Microsoft 365

Les organisations stockent aujourd'hui d'énormes quantités de données. Pour protéger leur entreprise et se conformer aux réglementations modernes strictes, elles doivent les gérer et les sécuriser correctement. Idéalement, chaque document recevrait une protection égale, mais cette approche est irréaliste tant sur le plan financier qu'opérationnel. Par conséquent, les organisations doivent classifier les données afin de pouvoir prioriser leur contenu critique et sensible.

La classification des données est suffisamment complexe pour les stockages de données sur site. Mais aujourd'hui, la plupart des organisations utilisent largement des charges de travail cloud Microsoft 365 telles que SharePoint Online, OneDrive et Teams, ce qui ajoute une complexité supplémentaire. Les données dans le cloud sont très dynamiques et réparties sur plusieurs services avec différents contrôles d'accès, et le manque de contrôle physique sur l'infrastructure augmente la difficulté.

Cet article montre comment la data classification fonctionne dans les environnements cloud de Microsoft et explique comment vous pouvez surmonter certaines de ses limitations importantes.

Avantages de Netwrix Data Classification

Avant de plonger dans la classification des données dans Microsoft 365, revoyons les principaux avantages de la classification des données. Une classification et un étiquetage précis de l'information peuvent aider votre organisation :

• Atteignez et maintenez la conformité avec des réglementations telles que HIPAA, CCPA et GDPR — et adaptez-vous rapidement aux nouvelles réglementations.
• Mettez en œuvre efficacement les politiques de confidentialité, de rétention et de confidentialité.
• Réduisez les coûts de gestion, de stockage et de sauvegarde des données en identifiant et en éliminant les données redondantes.
• Rationalisez les opérations commerciales en facilitant des recherches plus rapides et plus efficaces.
• Optimisez l'architecture de la base de données et améliorez la fonctionnalité des plateformes de sécurité.

Pour obtenir ces avantages, une classification des données précise et fiable est nécessaire. Les processus manuels sont insuffisants pour plusieurs raisons. Les individus peuvent interpréter les critères de classification différemment, ce qui conduit à des étiquettes incohérentes. Les employés occupés peuvent négliger la tâche complètement, ou simplement choisir des étiquettes au hasard pour terminer rapidement. De plus, l'étiquetage manuel est si lourd et chronophage que l'énorme volume de contenu déjà stocké dans vos systèmes ne sera probablement jamais classifié. Par conséquent, il est vital d'utiliser une solution de classification des données automatisée.

Classer les données avec Microsoft Purview

L'outil principal pour la classification des données Microsoft est Microsoft Purview (anciennement connu sous le nom de Microsoft 365 Compliance et Azure Purview). Cette solution aide les organisations à découvrir, classer et protéger les données dans les environnements Microsoft, y compris Microsoft 365 et les serveurs locaux.

Microsoft Purview peut appliquer automatiquement des étiquettes de sensibilité à des documents, e-mails et autres données en fonction des règles créées par les administrateurs. Par exemple, il peut identifier automatiquement des numéros d'identification personnelle, des détails financiers et des informations confidentielles de projet et appliquer les étiquettes correspondantes. Cette automatisation aide à garantir que les données sont classifiées de manière cohérente et fiable. Les étiquettes de sensibilité peuvent également être appliquées manuellement par les utilisateurs dans des applications telles que Word, Excel, PowerPoint et Outlook.

Une fois les étiquettes appliquées, les services Microsoft 365 appliquent les paramètres de protection configurés sur le contenu. Les étiquettes de sensibilité sont reconnues dans diverses charges de travail Microsoft 365, y compris Word, Excel, PowerPoint, SharePoint Online, OneDrive for Business et Microsoft Teams. Les étiquettes peuvent également être utilisées par des processus internes et des solutions tierces pour renforcer la protection des données et la conformité. Par exemple, un outil de data loss prevention (DLP) pourrait utiliser des étiquettes de sensibilité pour contrôler ou empêcher le partage d'informations sensibles, tandis qu'une politique de conservation des données pourrait exploiter les étiquettes pour archiver ou supprimer des données selon son cycle de vie donné.

Comment créer et publier des étiquettes

Vous pouvez créer et publier des étiquettes en utilisant soit l'interface Microsoft Purview soit PowerShell.

Prérequis

Pour créer et utiliser des étiquettes de sensibilité, vous devez disposer d'une licence Microsoft 365 E5/A5/G5 active. De plus :

• Votre compte doit être attribué à au moins l'un des rôles ou groupes de rôles suivants :
• Administrateur Global
• Administrateur de conformité
• Administrateur de sécurité
• Administrateur de données de conformité
• Vous devez donner votre consentement pour utiliser les étiquettes de sensibilité. Pour ce faire, accédez au portail de conformité Microsoft Purview, allez dans le menu Protection de l'information et rendez-vous sur la page Étiquettes. Dans la section « Étendre l'étiquetage aux actifs dans la carte des données... », cliquez sur le bouton Activer comme indiqué ci-dessous. Dans la boîte de dialogue de confirmation qui apparaît, cliquez sur Oui.

• Activez les étiquettes de sensibilité pour les fichiers Office dans SharePoint et OneDrive dans le Centre d'administration Microsoft 365.

Création et publication d'étiquettes à l'aide de l'interface Purview

Étape 1. Créer une étiquette

Étape 1a. Sur la page des étiquettes, cliquez sur Create a label. Ensuite, spécifiez les informations suivantes :

• Nom
• Nom d'affichage, qui sera ce que les utilisateurs verront dans les applications où l'étiquette est publiée
• Priorité
• Description pour les utilisateurs professionnels
• Description pour les administrateurs qui géreront l'étiquette
• Couleur de l'étiquette

Étape 1b. Sur l'écran suivant, choisissez les types d'éléments à classer, tels que les fichiers, les e-mails et les réunions :

Étape 1c. Indiquez si vous souhaitez appliquer ou supprimer le chiffrement et si vous voulez ajouter des en-têtes, pieds de page ou filigranes personnalisés aux documents, comme indiqué ci-dessous. Si vous choisissez l'une de ces options, vous devrez fournir des informations supplémentaires.

Étape 1d.Indiquez si Microsoft Purview doit automatiquement attribuer l'étiquette à un fichier ou un e-mail s'il correspond aux conditions que vous spécifiez :

Étape 1e. Les étiquettes de sensibilité peuvent également être appliquées pour protéger le contenu à travers divers conteneurs, y compris les sites Microsoft Teams, les groupes Microsoft 365 et les sites SharePoint. En attribuant une étiquette de sensibilité à l'un de ces conteneurs pris en charge, la classification de sensibilité désignée et les paramètres de protection préconfigurés sont automatiquement appliqués sur le site ou le groupe respectif. Comme illustré ci-dessous, nous ne choisissons aucun conteneur supplémentaire dans cet exemple.

Vous avez maintenant créé une étiquette.

Étape 2. Publiez l'étiquette

Il est maintenant temps de créer une politique qui va déployer les étiquettes pour la publication.

Étape 2a. Accédez à Label policies > Publish labels et sélectionnez les étiquettes que vous souhaitez publier :

Étape 2b. Sélectionnez les utilisateurs et les groupes qui peuvent utiliser l'étiquette. Vous pouvez choisir tous les utilisateurs et groupes ou attribuer des comptes spécifiques comme indiqué ci-dessous.

Étape 2c. Configurez les paramètres de politique que vous souhaitez appliquer. Dans l'exemple ci-dessous, nous avons choisi d'exiger des utilisateurs qu'ils fournissent une justification avant de retirer une étiquette ou de la remplacer par une autre qui a un numéro d'ordre inférieur comme le montre la capture d'écran ci-dessous.

Étape 2d. Vous devez ensuite choisir une étiquette par défaut pour tous les éléments que vous avez spécifiés dans le processus de création d'étiquette. Cela peut être des documents, des e-mails, des réunions, etc. Dans la capture d'écran ci-dessous, nous avons sélectionné la politique appelée General – Low Risk comme étiquette par défaut pour les documents Word.

Étape 2e. La dernière étape consiste à nommer la politique créée comme indiqué ci-dessous. Ensuite, vérifiez et terminez pour compléter.

Création et publication d'étiquettes à l'aide de PowerShell

Vous pouvez également utiliser PowerShell pour créer et activer des étiquettes de sensibilité dans Microsoft 365. Voici un aperçu de la manière d'atteindre la classification et l'étiquetage Microsoft

1) Installez le module PowerShell du Security & Compliance Center si vous ne l'avez pas déjà fait

2) Établissez une session en utilisant l'une des cmdlets suivantes :

Connect-ExchangeOnline ou Connect-IpPsSession.

3) Créez une étiquette de sensibilité. Utilisez le cmdlet New-Label et spécifiez des paramètres tels que le nom de l'étiquette, la description, l'info-bulle et les paramètres de protection. Voici un exemple :

New-Label -Name "Confidential" -Description "Cette étiquette applique une protection renforcée au contenu sensible." -Tooltip "Utiliser pour les documents commerciaux sensibles."

4) Créez une politique qui publie vos étiquettes de sensibilité. Utilisez le cmdlet « New-LabelPolicy » pour spécifier quelles étiquettes inclure et à qui elles doivent être publiées, comme dans cet exemple :

New-LabelPolicy -Name "Default Label Policy" -Labels "Confidential" -Users "All"

Surveillance de l'utilisation des étiquettes

Une fois que les étiquettes sont créées et publiées, Microsoft Purview étiquettera automatiquement le contenu sensible en utilisant les règles que vous avez établies, et les utilisateurs pourront commencer à appliquer ces étiquettes aux documents et courriels. Assurez-vous d'utiliser les outils de rapport dans Microsoft Purview pour surveiller comment les étiquettes sont utilisées ; cela peut vous aider à comprendre votre statut de conformité et à identifier les domaines nécessitant une attention.

Défis liés à l'utilisation de Microsoft Purview pour la Data Classification

La mise en œuvre d'un étiquetage automatique avec Microsoft Purview améliore la protection et la gestion de l'information. Cependant, comme elle repose sur des modèles prédéfinis, des mots-clés ou des types de données pour identifier les informations sensibles, cela peut entraîner les deux problèmes suivants :

• Faux positifs — Le fait de marquer à tort des informations non sensibles comme sensibles peut entraîner le blocage de l'accès des utilisateurs à des données qu'ils devraient pouvoir utiliser, entravant ainsi la productivité.
• Faux négatifs — Ne pas étiqueter les données qui sont réellement sensibles expose l'organisation à des violations de données et à des risques de conformité.

De plus, l'étiquetage automatique est limité aux fichiers Office et peut ne pas être compatible avec les anciennes versions des produits Microsoft. Et, comme mentionné dans la section Prérequis ci-dessus, cela nécessite des plans d'abonnement Microsoft 365 spécifiques.

Une alternative à la Data Classification de Microsoft 365

Pour les organisations qui cherchent à améliorer les pratiques de gestion des données et à maintenir la conformité, les solutions Netwrix aident à garantir la précision et la sécurité pour la classification de vos données les plus sensibles.

Netwrix Access Analyzer offre des fonctionnalités d'audit et de reporting robustes pour aider à gagner en visibilité sur votre paysage de données et surveiller l'activité des utilisateurs à travers différents environnements informatiques. Voici quelques caractéristiques notables :

• Identifiez et catégorisez les données sensibles à travers votre infrastructure IT.
• Détectez divers types de données, y compris les informations personnelles identifiables (PII), les dossiers financiers, la propriété intellectuelle, et plus encore.
• Créez des règles et des politiques de classification personnalisables qui peuvent aider à définir des critères de manipulation des données, garantissant la conformité avec les exigences réglementaires telles que le GDPR, HIPAA ou PCI DSS.
• Fournissez des informations sur les modèles d'accès aux données et le comportement des utilisateurs.

Netwrix Data Classification est une autre solution complète conçue pour identifier et classer de vastes quantités de données avec une grande précision et fiabilité. Ses avantages notables incluent les suivants :

• Des résultats de classification plus précis, grâce à des techniques avancées telles que la recherche de termes composés et le stemming
• Prise en charge d'une variété de types de fichiers, pas seulement des documents Office
• Prise en charge des données structurées et non structurées sur une large gamme de dépôts de données sur site et dans le cloud, y compris des options non Microsoft
• Taxonomies prédéfinies alignées sur des réglementations spécifiques et des types de données
• Taxonomies personnalisées pour gérer le contenu spécifique à l'entreprise, tel que la propriété intellectuelle
• Un support client dédié et une communauté d'utilisateurs active
• Une interface intuitive et un processus de configuration facile

De plus, Netwrix Data Classification peut être un choix plus économique pour les organisations que de passer à un plan Microsoft 365 qui offre Microsoft Purview.

La classification des données est une capacité fondamentale pour chaque organisation aujourd'hui. En choisissant la bonne solution automatisée, votre organisation peut réduire considérablement le risque de data breach et des pénalités de conformité en garantissant que les informations sensibles et réglementées sont précisément identifiées et adéquatement protégées. De plus, vous pouvez améliorer l'efficacité opérationnelle et la productivité des utilisateurs. Microsoft Purview offre des fonctionnalités précieuses, mais assurez-vous également d'envisager des solutions tierces, qui peuvent être plus robustes et rentables.

FAQ

Qu'est-ce que la classification des données dans Microsoft ?

La classification des données Microsoft fait référence au processus de catégorisation et d'organisation des données en fonction de leur sensibilité, de leur importance ou d'autres attributs. Cette classification aide à gérer et à sécuriser les données de manière efficace, en garantissant que des mesures appropriées sont prises pour protéger les informations sensibles. L'outil principal pour la classification des données Microsoft est Microsoft Purview.

Quels sont les 4 types de classification des données ?

Il existe généralement quatre types courants de Netwrix Data Classification :

1. Confidentiel : Les données confidentielles sont hautement sensibles et ne doivent être accessibles que par des individus autorisés. Ce type de données inclut souvent des secrets commerciaux, des informations financières, des informations personnellement identifiables (PII) et d'autres données commerciales critiques. L'accès aux données confidentielles est généralement restreint et des mesures de sécurité supplémentaires sont appliquées pour prévenir tout accès ou divulgation non autorisés.
2. Interne : Les données internes sont essentielles pour l'organisation mais peuvent ne pas être aussi sensibles que les données confidentielles. Elles comprennent des informations cruciales pour les opérations quotidiennes mais ne présentent pas un risque aussi important si elles sont consultées par des employés internes. Cependant, des contrôles d'accès sont toujours en place pour garantir que seuls le personnel autorisé peut visualiser ou modifier les données internes.
3. Public : Les données publiques ne sont pas sensibles et peuvent être librement partagées avec le public ou au sein de l'organisation. Cette catégorie comprend généralement des informations destinées à la consommation publique, telles que des matériaux de marketing, des catalogues de produits ou des informations générales sur l'entreprise. Les mesures de sécurité sont minimes pour les données publiques, car leur divulgation ne présente pas de risque pour l'organisation.
4. Restreint : Les données restreintes se situent entre les classifications confidentielles et internes. Elles sont plus sensibles que les données internes mais pas aussi critiques que les données confidentielles. L'accès aux données restreintes est limité à des individus ou des équipes spécifiques au sein de l'organisation, et des mesures de sécurité supplémentaires peuvent être appliquées pour les protéger contre l'accès ou la divulgation non autorisés.

Qu'est-ce que la classification des données Azure ?

La classification des données dans Azure fait référence au processus de catégorisation et d'organisation des données au sein de Microsoft Azure en fonction de leur sensibilité, importance ou autres attributs. Azure propose divers outils et services pour aider les organisations à classer et protéger leurs données dans le cloud. Les composants et fonctionnalités clés liés à la classification des données Azure comprennent :

1. Azure Information Protection (AIP) : AIP est une solution basée sur le cloud qui permet aux organisations de classer, étiqueter et protéger leurs données selon des politiques. Elle s'intègre avec d'autres services Azure et offre une approche unifiée de la protection des données dans l'environnement cloud de l'organisation.
2. Azure Purview : Azure Purview est un service de data governance qui aide les organisations à découvrir, classer et gérer leurs actifs de données à travers des environnements sur site, multi-cloud et SaaS (Software as a Service). Il offre une vue d'ensemble de la paysage de données d'une organisation, aidant dans la découverte et la classification des données.
3. Azure Security Center : Azure Security Center aide les organisations à protéger leurs charges de travail dans le cloud. Il comprend des fonctionnalités liées à la détection des menaces, la gestion des politiques de sécurité et la conformité. La classification des données fait partie de ses capacités pour aider les organisations à identifier et protéger les informations sensibles.
4. Azure Policy : Azure Policy est un service qui permet aux organisations de créer, d'assigner et de gérer des politiques pour les ressources dans leur environnement Azure. Cela peut inclure des politiques liées à la Netwrix Data Classification, garantissant que des pratiques spécifiques de manipulation des données sont suivies dans toute l'organisation.
5. Azure Data Factory : Azure Data Factory est un service d'intégration de données basé sur le cloud qui permet aux organisations de créer, planifier et gérer des pipelines de données. Bien qu'il se concentre sur le déplacement et la transformation des données, les organisations peuvent mettre en œuvre la Netwrix Data Classification dans le cadre de leurs flux de travail de traitement des données.
6. Azure Sentinel : Azure Sentinel est un service SIEM (Gestion des informations et des événements de sécurité) natif du cloud qui fournit des analyses de sécurité intelligentes. Il comprend des fonctionnalités pour la détection de menaces et l'investigation. La classification des données joue un rôle dans l'identification et la sécurisation des informations sensibles dans le contexte de la sécurité.