Protection contre la perte de données (DLP) dans Microsoft 365 : comment protéger vos données sensibles avec Microsoft Purview

Le montant de données confidentielles que les entreprises traitent aujourd'hui Le volume de données a explosé : informations financières, données personnelles, propriété intellectuelle… et tout cela est disséminé via les e-mails, Teams, SharePoint, appareils, applications dans le cloud et maintenant aussi Des outils d'IA comme CopilotDans ce contexte, perdre le contrôle sur la diffusion de ces informations n'est qu'une question de temps si des mesures sérieuses ne sont pas prises.

C'est là que le Prévention des pertes de données (DLP) dans Microsoft 365 à l'aide de Domaine MicrosoftIl ne s'agit pas seulement de bloquer des fichiers de temps à autre, mais de disposer d'un système centralisé capable de détecter les contenus sensibles, de surveiller leur utilisation et de freiner intelligemment leur diffusion lorsqu'une personne tente de les partager de manière inappropriée, sans pour autant nuire à la productivité quotidienne.

Qu’est-ce que la DLP dans Microsoft 365 et pourquoi est-elle si cruciale ?

Lorsque nous parlons de DLP dans Microsoft 365, nous faisons référence à un ensemble de des directives qui contribuent à empêcher que des informations sensibles ne quittent le mauvais endroitIl est intégré à Microsoft Purview, la plateforme de gouvernance et de conformité des données de Microsoft, et il agit sur la quasi-totalité des éléments que vos utilisateurs utilisent quotidiennement.

Les organisations gèrent données particulièrement sensibles Des données sensibles telles que les numéros de carte bancaire, les coordonnées bancaires, les dossiers médicaux, les numéros de sécurité sociale, les données des employés, les secrets commerciaux ou les documents protégés par des contrats et des réglementations (RGPD, HIPAA, PCI-DSS, etc.) peuvent être divulguées accidentellement. Une transmission accidentelle par courriel, le partage d'un fichier avec des tiers ou un copier-coller sur un site inapproprié peuvent entraîner une violation de données aux conséquences juridiques et de réputation considérables.

Avec Microsoft Purview DLP, vous pouvez définir des politiques centralisées qui identifient ce contenu sensible, le surveillent où qu'il se trouve et appliquent des actions de protection automatiques : de la simple notification à l'utilisateur au blocage complet d'une action ou à la mise en quarantaine du fichier.

L'essentiel est que la solution DLP de Microsoft 365 ne se contente pas de rechercher des mots individuels, mais effectue une analyse approfondie. analyse de contenu approfondie en combinant des types d'informations sensibles (SIT), des expressions régulières, des mots clés, des validations internes et, dans de nombreux cas, des algorithmes d'apprentissage automatique pour réduire les faux positifs.

Domaines de protection : applications métier, appareils et trafic web

L'un des principaux atouts de Microsoft Purview DLP est qu'il couvre à la fois données au repos, en cours d'utilisation et en mouvement et ce, à différents endroits. Cela ne se limite pas à Exchange ou SharePoint, mais s'étend aux appareils, aux applications Office, aux applications cloud tierces, au trafic web, à Copilot et bien plus encore.

DLP dans les applications et appareils d'entreprise

Dans le domaine des applications et des appareils, la technologie DLP peut Surveillez et protégez les informations dans les charges de travail critiques de Microsoft 365. et dans d'autres sources supplémentaires configurées à partir du portail Purview.

Parmi les emplacements pris en charge On trouve notamment les éléments suivants :

• Exchange en ligne (courriel professionnel).
• SharePoint en ligne (sites de collaboration et dépôts de documents).
• OneDrive Entreprise (dossiers personnels des utilisateurs).
• Microsoft Teams (messages de chat, canaux standard, partagés et privés).
• applications bureautiques (Word, Excel, PowerPoint, versions bureau et web).
• Appareils Windows 10, Windows 11 et macOS (trois dernières versions), y compris portátiles, ordinateurs de bureau compatibles et systèmes VDI.
• Applications cloud non Microsoft, intégré via Defender pour les applications cloud.
• dépôts locaux comme les ressources de fichiers partagés et SharePoint sur site, à l'aide d'analyseurs de protection des informations.
• Espaces de travail Fabric et Power BI, couvrant les rapports et les ensembles de données.
• Microsoft 365 Copilot (version préliminaire dans certains cas) et le chat Copilot.

Pour ces origines, vous créez Directives DLP ciblant « les applications et appareils d’entreprise »Cela permet un contrôle cohérent des règles sur l'ensemble de ces sites à partir d'un seul panneau.

DLP sur le trafic web non géré et les applications cloud

Au-delà des services « internes », Purview DLP peut également Contrôlez les données quittant votre réseau vers des applications cloud non gérées.notamment lorsque les utilisateurs accèdent avec Microsoft Edge pour les entreprises ou via des contrôles de réseau.

C'est là que les directives visant à « trafic web inséré » et « activité réseau » (fonctionnalités en préversion dans certains environnements), qui permettent, par exemple, de contrôler ce qui est collé dans :

• OpenAI ChatGPT.
• Google Gémeaux.
• Recherche profonde.
• Microsoft Copilot sur le Web.
• Et plus de 34 000 applications cloud répertoriées dans Defender for Cloud Apps.

Ainsi, même si un utilisateur tente de copier des informations sensibles d'un document interne vers une application externe, La directive DLP peut détecter le contenu et bloquer ou auditer l'action selon la configuration que vous avez définie.

Principales caractéristiques de Microsoft Purview DLP

Purview DLP n'est pas qu'un simple filtre de contenu : c'est un élément central de la stratégie de protection et gouvernance des données Développé par Microsoft, il est conçu pour s'intégrer aux autres fonctionnalités de Purview et offrir une approche cohérente, de la classification à la réponse aux incidents.

Parmi ses caractéristiques principales comprennent:

• Centre unique d'administration des politiques depuis le portail Microsoft Purview, pour créer, modifier et déployer des politiques DLP à l'échelle mondiale.
• Intégration avec Purview Information Protection, en réutilisant des étiquettes de confidentialité prêtes à l'emploi, personnalisées ou avancées et des types d'informations sensibles (y compris des classificateurs entraînables).
• Alertes et corrections unifiées ce qui est visible à la fois dans le panneau Purview DLP et dans Microsoft Defender XDR ou Microsoft Sentinel pour les scénarios SIEM/SOAR.
• Démarrage rapide Grâce aux modèles de directives, il n'est plus nécessaire de mettre en place des infrastructures cloud complexes.
• Protection adaptative, avec des politiques dont la rigueur varie en fonction du niveau de risque (élevé, modéré ou faible) et du contexte.
• Réduction des faux positifs grâce à l'analyse contextuelle du contenu et à l'apprentissage automatique.

Tout cela fait de Purview DLP une solution particulièrement intéressant pour les secteurs réglementés (santé, banque, administration publique, éducation, technologie) et pour toute organisation qui doit se conformer à des exigences strictes telles que le RGPD ou la loi HIPAA.

Cycle de vie de la mise en œuvre d'une solution DLP : de l'idée à la production

Configurer DLP au hasard est généralement la recette parfaite pour… Bloquer les processus critiques et s'attirer les foudres de tousMicrosoft définit un cycle de vie clair qu'il convient de respecter pour garantir une mise en œuvre réussie et éviter les problèmes.

Phase de planification

Lors de la phase de planification, vous devriez penser aux deux la technologie, ainsi que les processus métier et la culture organisationnelleQuelques étapes importantes :

• Identifier le parties concernées: responsables de la sécurité, des affaires juridiques, commerciales, informatiques, des ressources humaines, etc.
• Définir le catégories d'informations confidentielles que vous devez protéger (données personnelles, données financières, propriété intellectuelle, etc.).
• Décider objectifs et stratégie: Que souhaitez-vous éviter exactement (envoi externe, copie vers USBle téléchargement sur certaines applications, etc.).
• Évaluer le lieux où vous appliquerez la DLPServices Microsoft 365, appareils, référentiels locaux, applications cloud externes…

De plus, nous devons prendre en considération le impact sur les processus métierLa DLP peut bloquer des actions courantes (par exemple, l'envoi de certains rapports par e-mail à un fournisseur), ce qui implique de négocier des exceptions, de créer des flux de travail alternatifs ou d'adapter ses habitudes.

Enfin, n'oubliez pas la partie concernant changement culturel et formationLes utilisateurs doivent comprendre pourquoi certaines actions sont bloquées et comment travailler en toute sécurité. Les suggestions de règles intégrées à l'application sont un outil très utile pour informer les utilisateurs sans être trop restrictives.

Préparer l'environnement et les prérequis

Avant d'activer des politiques de blocage, vous devez vous assurer que Tous les emplacements sont correctement préparés et connecté à Purview :

• Exchange Online, SharePoint, OneDrive et Teams nécessitent uniquement la définition de politiques les incluant.
• Les référentiels de fichiers locaux et SharePoint sur site doivent déployer le Analyseur de protection de l'information.
• Les appareils Windows, macOS et les environnements virtualisés sont intégrés via des procédures d'intégration spécifiques.
• Les applications cloud tierces sont gérées via Microsoft Defender pour les applications cloud.

Une fois les emplacements préparés, l'étape suivante recommandée est Configurez les politiques provisoires et testez-les. de manière approfondie avant même qu'ils ne commencent à bloquer.

Mise en œuvre progressive : simulation, ajustements et activation

La mise en œuvre d'une directive DLP doit suivre une approche progressive, utilisant trois axes de contrôle : statut, portée et actions.

Les principaux États Les éléments d'une directive sont :

• Laissez-le éteint: conception et évaluation, sans véritable impact.
• Exécutez la directive en mode simulationLes événements sont enregistrés, mais aucune action bloquante n'est appliquée.
• Simulation avec suggestions politiquesIl n'est toujours pas bloqué, mais les utilisateurs reçoivent des notifications et des courriels (selon le cas) qui les informent.
• Activez-le immédiatement: mode de conformité totale, toutes les actions configurées sont appliquées.

Durant les phases de simulation, vous pouvez ajuster les portée de la directiveCommencez par un petit groupe d'utilisateurs ou d'emplacements (groupe pilote) et élargissez-le au fur et à mesure que vous affinez les conditions, les exceptions et les messages aux utilisateurs.

Quant à la actesIl est préférable de commencer par des options non invasives comme « Autoriser » ou « Audit uniquement », d’introduire progressivement les notifications, et enfin de passer à… bloc avec possibilité d'invalidation et, dans les cas les plus critiques, à un blocus permanent.

Composants d'une stratégie DLP dans Microsoft 365

Toutes les directives Microsoft Purview DLP partagent une structure logique : Qu’est-ce qui est surveillé, où, dans quelles conditions et que fait-on lorsqu’un problème est détecté ?Lors de sa création (à partir de zéro ou à partir d'un modèle), vous devrez prendre des décisions dans chacun de ces domaines.

Éléments à surveiller : modèles et politiques personnalisés

Purview propose Modèles de politiques DLP prêts à l'emploi pour les scénarios courants (par pays, réglementation, secteur, etc.) qui incluent les types d'informations confidentielles typiques de chaque réglementation, notamment métadonnées dans les PDFSi vous préférez, vous pouvez également créer votre propre police personnalisée et choisir les SIT ou les conditions que vous souhaitez.

Portée administrative et unités administratives

Dans les grandes structures, il est courant de déléguer la gestion à différents services. Pour cela, vous pouvez utiliser unités administratives Dans Purview : un administrateur affecté à une unité peut uniquement créer et gérer des politiques pour les utilisateurs, les groupes, les sites et les appareils relevant de son périmètre.

Cela fonctionne bien lorsque vous souhaitez, par exemple, que l'équipe de sécurité d'une région gère ses propres politiques DLP sans affecter le reste du locataire.

Emplacements des directives

L'étape suivante consiste à sélectionner où le conseil d'administration surveilleraVoici quelques-unes des options les plus courantes :

Localisation	Critères d'inclusion/d'exclusion
Courrier d'échange	Groupes de distribution
Sites SharePoint	Sites spécifiques
Comptes OneDrive	Comptes ou groupes de distribution
Discussions et canaux Teams	Comptes ou groupes de distribution
Appareils Windows et macOS	Utilisateurs, groupes, appareils et groupes d'appareils
Applications cloud (Defender pour les applications cloud)	Instances
dépôts locaux	Chemins des dossiers
Fabric et Power BI	Zones de travail
Microsoft 365 Copilot	Comptes ou groupes de distribution

Conditions de correspondance

Les termes Elles définissent les conditions qui doivent être remplies pour qu'une règle DLP soit « déclenchée ». Voici quelques exemples typiques :

• Le contenu contient un ou plusieurs éléments. types d'informations confidentielles (par exemple, 95 numéros de sécurité sociale dans un courriel adressé à des destinataires externes).
• L'élément possède un étiquette de confidentialité spécifique (par exemple, « Extrêmement confidentiel »).
• Le contenu est partage en dehors de l'organisation de Microsoft 365.
• Un fichier sensible est en cours de copie vers un Partage USB ou réseau.
• Le contenu confidentiel est collé dans un Chat d'équipe ou application cloud non gérée.

Actions de protection

Une fois la condition remplie, la directive peut exécuter différentes actions. actions de protectionSelon l'endroit :

• En Exchange, SharePoint et OneDrive: empêcher l'accès par des utilisateurs externes, bloquer le partage, afficher une suggestion de politique à l'utilisateur et lui envoyer une notification.
• En Teams: empêcher l'affichage d'informations sensibles dans les discussions ou les messages des canaux ; si le message est partagé, il peut être supprimé ou non affiché.
• En Appareils Windows et macOS: auditer ou restreindre des actions telles que la copie sur clé USB, l'impression, la copie vers presse-papiers, télécharger sur Internet, synchroniser avec des clients externes, etc.
• En Bureautique (Word, Excel, PowerPoint): afficher un avertissement contextuel, bloquer l'enregistrement ou l'envoi, autoriser l'invalidation avec justification.
• En dépôts locaux: déplacer les fichiers vers un dossier de quarantaine sécurisé lorsque des informations sensibles sont détectées.

De plus, toutes les activités supervisées sont consignées dans le Journal d'audit Microsoft 365 et peuvent être consultées dans l'explorateur d'activités DLP.

Protection contre la perte de données (DLP) dans Microsoft Teams : messages, documents et étendues

Microsoft Teams est devenu l'épicentre de la collaboration, ce qui signifie qu'il est aussi un point critique pour les fuites de données potentiellesLa solution DLP dans Teams étend les politiques de Purview aux messages et aux fichiers partagés au sein de la plateforme.

Protéger les messages et les documents dans Teams

Avec Microsoft Purview DLP, vous pouvez empêcher un utilisateur de partager des informations confidentielles dans une conversation ou un canal.notamment lorsque des invités ou des utilisateurs externes sont impliqués. Voici quelques scénarios courants :

• Si quelqu'un essaie de publier un numéro de sécurité sociale ou si le message contient des informations relatives à votre carte de crédit, il peut être automatiquement bloqué ou supprimé.
• Si vous partagez un document contenant des informations sensibles Dans un canal avec des invités, la politique DLP peut empêcher ces invités d'ouvrir le fichier (grâce à l'intégration avec SharePoint et OneDrive).
• En canaux partagésLa politique de l'équipe hôte s'applique, même si le canal est partagé avec une autre équipe interne ou avec une organisation différente (locataire différent).
• En conversations avec des utilisateurs externes (accès externe), chaque personne est soumise à la politique de protection contre la perte de données (DLP) de son propre locataire, mais le résultat final est que le contenu sensible de votre entreprise est protégé par vos politiques, même si l'autre partie en a de différentes.

Zones de protection DLP dans Teams

La couverture DLP dans Teams dépend de type d'entité et portée de la directive. Par exemple:

• Si votre objectif est comptes utilisateurs individuels Pour les groupes de sécurité, vous pouvez protéger les conversations individuelles ou de groupe, mais pas nécessairement les messages des canaux standard ou privés.
• Si votre objectif est Groupes Microsoft 365La protection peut couvrir à la fois les conversations et les messages provenant des canaux standard, partagés et privés associés à ces groupes.

Pour protéger « tout ce qui bouge » dans Teams, il est souvent recommandé de configurer la portée à tous les emplacements ou s'assurer que les utilisateurs de Teams appartiennent à des groupes bien alignés sur les politiques.

Suggestions de politique d'équipe

Au lieu de simplement bloquer, la protection contre la perte de données (DLP) dans Teams peut afficher suggestions de directives Lorsqu'une personne commet une action potentiellement dangereuse, comme l'envoi de données réglementées, ces suggestions expliquent la raison et offrent à l'utilisateur des options : corriger le contenu, demander une révision ou, si la politique le permet, passer outre la règle en fournissant une justification.

Ces suggestions sont hautement personnalisables depuis le portail Purview : vous pouvez adapter le texte, décider sur quels services ils sont affichés et s'ils seront également affichés en mode simulation.

Protection contre la perte de données sur les terminaux : contrôle sous Windows, macOS et environnements virtuels

Composant point de connexion DLP Elle étend la protection aux appareils utilisés par les employés, qu'ils soient physiques ou virtuels. Elle permet de savoir ce qui se passe lorsqu'un fichier sensible est copié, imprimé, téléchargé sur le cloud ou transféré via des canaux « invisibles » depuis le serveur.

La solution Endpoint DLP prend en charge Windows 10 et 11, ainsi que macOS (les trois dernières versions). Elle fonctionne également sur environnements virtualisés comme Azure Virtual Desktop, Windows 365, Citrix Virtual Apps and Desktops, Amazon Workspaces ou les machines virtuelles Hyper-V, avec certaines fonctionnalités spécifiques. Il peut également être complété par des technologies telles que : Protection des informations d'identification dans Windows renforcer la protection des terminaux.

Dans les environnements VDI, le Les périphériques USB sont généralement considérés comme des ressources réseau partagées.Par conséquent, la politique devrait inclure l'activité « Copier sur un partage réseau » pour couvrir la copie sur une clé USB. Dans les journaux, ces opérations apparaissent comme des copies sur des ressources partagées, même s'il s'agit en réalité d'une clé USB.

Il existe également certaines limitations connues, telles que l'impossibilité de surveiller certaines activités de copie du presse-papiers via un navigateur dans Azure Virtual Desktop, bien que la même action soit visible si elle est effectuée via une session RDP.

DLP et Microsoft 365 Copilot / Copilot Chat

Avec l'arrivée de Copilot, les organisations ont réalisé que Des données sensibles peuvent également se retrouver dans les requêtes et les interactions avec les IAMicrosoft a intégré des contrôles DLP spécifiques à Copilot dans Purview, ce qui vous permet de limiter les informations incluses dans les requêtes et les données utilisées pour formuler les réponses.

Bloquez les types d'informations sensibles dans les messages envoyés à Copilot.

En prévisualisation, vous pouvez créer des directives DLP destinées à emplacement « Microsoft 365 Copilot et Copilot Chat » qui bloquent l'utilisation de certains types d'informations sensibles (IS) dans les applications. Par exemple :

• Empêchez-les d'être inclus numéros de carte de créditVeuillez indiquer votre numéro de passeport ou votre numéro de sécurité sociale lorsque cela vous sera demandé.
• Empêcher l'envoi d'adresses postales provenant d'un pays spécifique ou d'identifiants financiers réglementés.

Lorsqu'une correspondance se produit, la règle peut empêcher Copilot de traiter le contenuL'utilisateur reçoit donc un message l'avertissant que sa requête contient des données bloquées par l'organisation et ne sera ni exécutée ni utilisée pour des recherches internes ou sur le Web.

Empêcher l'utilisation des fichiers et courriels marqués dans les résumés.

Une autre capacité consiste à empêcher cela fichiers ou courriels comportant certaines mentions de confidentialité sont utilisées pour générer le résumé de la réponse Copilot, même si elles peuvent encore apparaître sous forme de citations ou de références.

La directive, toujours axée sur la localisation de Copilot, utilise la condition « Le contenu contient des étiquettes de sensibilité » pour détecter les éléments étiquetés, par exemple, « Personnel » ou « Hautement confidentiel », et applique l’action « Empêcher Copilot de traiter le contenu ». En pratique, Copilot ne lit pas le contenu de ces éléments pour construire sa réponse, même si leur présence est signalée.

Rapports d'activité, alertes et analyses DLP

L'élaboration de politiques ne représente que la moitié du travail : l'autre moitié est… Observez ce qui se passe et réagissez à temps.Purview DLP envoie toutes ses données de télémétrie au journal d'audit Microsoft 365, qui les distribue ensuite à différents outils.

Panneau d'informations générales

La page de présentation DLP sur le portail Purview offre une Aperçu rapide de l'état de vos polices d'assuranceSynchronisation, état de l'appareil, principales activités détectées et situation générale. Vous pouvez ensuite accéder à des vues plus détaillées.

alertes DLP

Lorsqu'une règle DLP est configurée pour générer des incidents, les activités qui répondent aux critères les déclenchent. alertas qui sont affichées dans le panneau d'alertes Purview DLP ainsi que dans le portail Microsoft Defender.

Ces alertes peuvent regrouper par utilisateur, plage horaire ou type de règleSelon votre abonnement, cela permet de détecter les comportements à risque. Purview conserve généralement les données pendant 30 jours, tandis que Defender vous permet de les conserver jusqu'à six mois.

Explorateur d'activités DLP

L'explorateur d'activités DLP vous permet de filtrer et d'analyser Événements détaillés des 30 derniers joursIl comprend des vues préconfigurées telles que :

• Activités DLP aux points de connexion.
• Fichiers contenant des informations confidentielles.
• Activités d'évacuation.
• Politiques et règles ayant détecté des activités.

Il est également possible de voir invalidations d'utilisateurs (Lorsqu'une personne enfreint une règle autorisée) ou en cas de correspondance avec des règles spécifiques. Dans le cas d'événements DLPRuleMatch, un résumé contextuel du texte entourant le contenu correspondant peut même être consulté, dans le respect des politiques de confidentialité et des exigences minimales de version du système.

Grâce à cet écosystème complet de stratégies, d'alertes, d'explorateurs d'activité et de contrôles sur les applications, les appareils, Teams, Copilot et le trafic Web, Microsoft Purview DLP devient un élément clé pour Gardez vos données sensibles sous contrôle dans Microsoft 365, réduire le risque de fuite, se conformer à la réglementation et, en même temps, permettre aux gens de travailler avec une relative liberté sans vivre dans un état de confinement constant.