Configuration de DLP (Data Loss Prevention) sur Microsoft Purview

Configuration de DLP (Data Loss Prevention) sur Microsoft Purview

01/04/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la configuration et la mise en œuvre des stratégies de prévention contre la perte de données (DLP) dans Microsoft Purview. DLP est une stratégie et un ensemble d'outils qui aident les organisations à prévenir l'exposition, l'utilisation abusive ou la perte de données sensibles, garantissant ainsi que les informations critiques restent sécurisées et conformes aux réglementations [1].

Présentation

Dans un monde de plus en plus numérique avec des réglementations plus strictes sur la confidentialité des données (telles que GDPR, LGPD, HIPAA), la protection des informations sensibles est une priorité absolue. La perte de données, que ce soit par accident, erreur humaine ou intention malveillante, peut entraîner des dommages financiers importants, des amendes réglementaires et de graves atteintes à la réputation. Microsoft Purview propose une solution DLP complète qui aide les organisations à identifier, surveiller et protéger les données sensibles sur Microsoft 365, Azure, les points de terminaison, les applications cloud et d'autres emplacements [2].

Ce guide pratique couvrira les étapes essentielles de configuration des stratégies DLP dans Microsoft Purview, de l'identification des données sensibles à la création et au déploiement de stratégies, de validation et de bonnes pratiques. Des instructions étape par étape, des exemples de configuration et des méthodes de validation seront fournis afin que le lecteur puisse mettre en œuvre une stratégie DLP efficace, protégeant les informations confidentielles et garantissant la conformité réglementaire.

Pourquoi Microsoft Purview DLP est-il crucial ?

  • Identification complète : détecte un large éventail de types d'informations sensibles (TIS) et peut être étendu avec des classificateurs pouvant être entraînés.
  • Couverture multisite : protège les données au repos, en cours d'utilisation et en transit sur Microsoft Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, les appareils Windows/macOS et les applications cloud.
  • Contrôle granulaire : vous permet de définir des politiques avec des conditions et des actions spécifiques pour différents types de données, utilisateurs et emplacements.
  • Conformité réglementaire : aide les organisations à se conformer aux exigences en matière de confidentialité des données et aux réglementations du secteur.
  • Visibilité et rapports : fournit des rapports détaillés sur l'activité des données et les détections de politiques DLP.

Prérequis

Pour configurer DLP sur Microsoft Purview, vous aurez besoin des éléments suivants :

  1. Licence : Une licence qui inclut Microsoft Purview DLP. Cela fait souvent partie de packages tels que Microsoft 365 E5 Compliance, Microsoft 365 E5, ou peut être acheté en tant que module complémentaire [3].
  2. Accès administratif : un compte avec les autorisations d'administrateur de conformité, d'administrateur de données de conformité ou d'administrateur général sur le portail de conformité Microsoft Purview (https://compliance.microsoft.com).
  3. Données dans Microsoft 365 : Pour tester les politiques, il est idéal de disposer de certaines données (e-mails, documents) contenant des informations sensibles dans votre environnement Microsoft 365.

Étape par étape : configuration des politiques de prévention contre la perte de données (DLP)

Créons une politique DLP pour détecter et bloquer le partage de numéros de carte de crédit avec des utilisateurs externes par courrier électronique.

1. Accès au portail de conformité Microsoft Purview

  1. Ouvrez votre navigateur et accédez à « https://compliance.microsoft.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.

2. Identifier les informations sensibles

Microsoft Purview DLP utilise les Sensitive Information Types (TIS) pour identifier les données sensibles. Il est livré avec des centaines de TIS préconfigurés, mais vous pouvez également créer le vôtre.

  1. Dans le volet de navigation de gauche, sélectionnez Classification des données > Types d'informations sensibles.
  2. Vous pouvez rechercher des TIS existants (par exemple « numéro de carte de crédit ») pour voir leurs définitions et comment ils sont détectés.

3. Création d'une stratégie DLP

Créons une stratégie DLP à l'aide d'un modèle prédéfini et personnalisons-la.

  1. Dans le volet de navigation de gauche, sélectionnez Prévention contre la perte de données > Politiques.
  2. Cliquez sur ** Créer une stratégie **.

Étape 1 : Choisissez un modèle ou créez une stratégie personnalisée

  1. Catégories : Sélectionnez « Financier ».
  2. Modèles : sélectionnez « Données financières américaines ».
  3. Cliquez sur Suivant.

Étape 2 : Nommer la stratégie

  1. Nom : « Bloquer la carte de crédit pour les parties externes ».
  2. Description : « Détecte et bloque l'envoi de numéros de carte de crédit à des destinataires externes par e-mail. »
  3. Cliquez sur Suivant.

Étape 3 : Choisissez les emplacements dans lesquels appliquer la politique

  1. Emplacements : pour cet exemple, nous nous concentrerons sur les e-mails. Activez les « Boîtes aux lettres Exchange ».
    • (Facultatif) Vous pouvez activer d'autres emplacements tels que « Sites SharePoint », « Comptes OneDrive », « Messages Teams » et « Appareils » (pour Endpoint DLP) si vous disposez des licences et des configurations nécessaires.
  2. Appliquer à : sélectionnez « Tous les utilisateurs » ou « Choisir des utilisateurs, des groupes ou des groupes de distribution spécifiques » pour une portée plus granulaire.
  3. Cliquez sur Suivant.

Étape 4 : Personnaliser les paramètres de stratégie

  1. Sélectionnez « Personnaliser les paramètres de stratégie avancés ».
  2. Cliquez sur Suivant.

Étape 5 : Paramètres de personnalisation avancés

Vous verrez une règle par défaut créée par le modèle. Modifions-le.

  1. Cliquez sur la règle existante (par exemple « Détecter le contenu financier américain »).
  2. Conditions : Assurez-vous que la condition « Contenu contient » est définie sur « Numéro de carte de crédit » (avec un nombre minimum de 1 et une précision de « Tout »).
  3. Ajouter une condition : Cliquez sur « Ajouter une condition » et sélectionnez « Le destinataire est » > « Externe ».
  4. Actions : Dans la section Actions, configurez :
    • Bloquer l'accès ou chiffrer le contenu : cochez « Empêcher les utilisateurs d'accéder au contenu (Bloquer tout) ».
    • Notifications utilisateur : cochez « Notifier les utilisateurs avec un conseil de politique » et personnalisez le message si vous le souhaitez.
    • Dépassements utilisateur : (Facultatif) Permet aux utilisateurs de contourner le blocage avec une justification. Pour les données de carte de crédit, cela n’est généralement pas recommandé.
    • Rapports d'incident : cochez « Envoyer une alerte aux administrateurs » et « Envoyer un rapport d'incident aux administrateurs ».
  5. Cliquez sur Enregistrer.
  6. Cliquez sur Suivant.

Étape 6 : Paramètres de stratégie

  1. Mode politique : sélectionnez « Tester d'abord » (pour surveiller l'impact sans blocage) ou « Activer maintenant » (pour appliquer des actions immédiatement).
    • Conseil : commencez toujours par « Tester d'abord » pour évaluer l'impact et ajuster la politique avant d'appliquer le blocage.
  2. Cliquez sur Suivant.

Étape 7 : Terminer

  1. Consultez le résumé de la politique.
  2. Cliquez sur Créer.

4. Configuration du DLP du point de terminaison (facultatif, mais recommandé)

Pour protéger les données sur les appareils Windows et macOS, vous devez configurer Endpoint DLP. Cela vous permet de surveiller et de restreindre les actions telles que la copie sur USB, le collage dans des applications non autorisées, le téléchargement sur des services cloud, etc.

  1. Dans le portail de conformité Microsoft Purview, accédez à Prévention contre la perte de données > Paramètres.
  2. Sélectionnez Paramètres DLP du point de terminaison.
  3. Assurez-vous que « Surveillance des appareils » est « Activé ».
  4. Configurez les « Restrictions pour les groupes de domaines et les services cloud non autorisés » et les « Restrictions pour les applications non autorisées ».
  5. Pour que les appareils soient surveillés, ils doivent être intégrés dans Microsoft Defender for Endpoint et avoir le connecteur DLP activé [4].

Validation et tests

La validation des politiques DLP est essentielle pour garantir qu'elles fonctionnent comme prévu et ne provoquent pas de faux positifs.

1. Test de la stratégie DLP de messagerie

  1. Créez un e-mail de test : dans un client de messagerie (Outlook Web App ou Outlook Desktop), créez un nouvel e-mail.
  2. Inclure des informations sensibles : dans le corps de l'e-mail, saisissez un numéro de carte de crédit valide (utilisez un numéro de test non réel ou un générateur de numéro de test à des fins de simulation, tel que « 4111-1111-1111-1111 »).
  3. Envoyer à un destinataire externe : adressez l'e-mail à une adresse e-mail extérieure à votre organisation.
  4. Notez le conseil de stratégie : Si la stratégie est en mode test, l'utilisateur devrait voir un conseil de stratégie indiquant que l'e-mail contient des informations sensibles.
  5. Vérifiez les rapports : dans le portail de conformité Microsoft Purview, accédez à Data Loss Prevention > Alerts ou Rapports.
    • Vérifiez si une alerte a été générée pour la détection de la politique DLP. * Consultez le rapport sur les correspondances avec les règles DLP pour voir less les détails de l’e-mail détecté.

2. Test de la stratégie DLP du point de terminaison (si configurée)

  1. Sur un appareil Windows intégré pour Endpoint DLP, créez un document (par exemple Word, Bloc-notes) et saisissez un numéro de carte de crédit test.
  2. Essayez de copier le numéro de carte de crédit sur un périphérique USB ou de le coller dans une application non autorisée.
  3. La stratégie DLP du point de terminaison doit bloquer l'action et/ou avertir l'utilisateur, en fonction des paramètres.
  4. Vérifiez les rapports Endpoint DLP dans le portail Microsoft Purview.

Conseils de sécurité et bonnes pratiques

  • Mise en œuvre progressive : commencez par les politiques en mode audit (« Test d'abord ») pour comprendre l'impact et affiner les règles avant d'appliquer le blocage.
  • Éducation des utilisateurs : formez les utilisateurs sur ce que sont les données sensibles, pourquoi les politiques DLP existent et comment prévenir les violations. Les conseils politiques sont des outils précieux pour l’éducation en temps réel.
  • Classification des données : combinez DLP avec la classification et l'étiquetage des données (Microsoft Information Protection) pour une protection plus efficace. Les stratégies DLP peuvent être déclenchées par des étiquettes de sensibilité.
  • Révision et ajustement continus : L'environnement des données et les réglementations changent. Examinez et ajustez régulièrement vos politiques DLP pour vous assurer qu’elles restent pertinentes et efficaces.
  • Surveillance des incidents : surveillez activement les alertes et les rapports DLP pour identifier les modèles de violation, les utilisateurs à haut risque et les lacunes en matière de protection.
  • Portée de la politique : soyez précis dans la portée de la politique. Appliquez des politiques plus restrictives aux groupes d’utilisateurs ou aux données à haut risque.

Dépannage courant

  • Faux positifs (blocages inappropriés) : si des e-mails ou des actions légitimes sont bloqués, consultez les conditions de la politique. Ajustez le nombre d’instances ou la précision TIS. Pensez à ajouter des exceptions pour les expéditeurs ou domaines approuvés (avec prudence).
  • Faux négatifs (transmission de données sensibles) : si des données sensibles ne sont pas détectées, vérifiez que le TIS est correctement configuré et que le nombre d'instances et la précision sont adéquats. Assurez-vous que la stratégie est appliquée aux emplacements et aux utilisateurs appropriés.
  • Les conseils de politique n'apparaissent pas : vérifiez si les notifications utilisateur sont activées dans la politique. Assurez-vous que votre client de messagerie (Outlook) est à jour et prend en charge les conseils de stratégie.
  • Endpoint DLP ne fonctionne pas : vérifiez que les appareils sont intégrés dans Microsoft Defender pour Endpoint et que le connecteur Endpoint DLP est activé dans le portail Purview. Vérifiez les journaux d'événements sur l'appareil pour détecter les erreurs.
  • Retards d'application des politiques : la propagation et l'application des politiques DLP dans tous les services peuvent prendre un certain temps. Attendez quelques heures et testez à nouveau.

Conclusion

La configuration des stratégies de prévention contre la perte de données (DLP) dans Microsoft Purview est une étape critique pour protéger les informations sensibles d'une organisation et garantir la conformité réglementaire. En identifiant, surveillant et contrôlant le flux de données sensibles sur plusieurs sites, Microsoft Purview DLP permet aux entreprises d'atténuer le risque de fuite de données, qu'elles soient accidentelles ou intentionnelles. La mise en œuvre réussie d’une stratégie DLP nécessite une planification minutieuse, des tests rigoureux et un engagement continu en faveur de l’éducation des utilisateurs et de l’amélioration des politiques. Grâce aux outils et aux conseils fournis dans cet article, les équipes de sécurité peuvent créer une défense robuste qui protège les informations les plus précieuses de l'organisation.

Références :

[1] Microsoft Apprendre. En savoir plus sur la prévention contre la perte de données. Disponible sur : https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp [2] Microsoft Apprendre. Qu'est-ce que Microsoft Purview ?. Disponible sur : https://learn.microsoft.com/pt-br/purview/overview [3] Microsoft Apprendre. Exigences de licence pour la prévention des pertes de données. Disponible sur : https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp#licensing-requirements-for-data-loss-prevention [4] Microsoft Apprendre. Introduction à la préventionProtégez-vous contre la perte de données des points finaux. Disponible sur : https://learn.microsoft.com/pt-br/purview/endpoint-dlp-getting-started