Vos données n’ont pas toutes le même degré de criticité et de confidentialité. Vous devez donc bien les connaître afin d’en contrôler la circulation et leur appliquer les niveaux de protection justes pour les sécuriser adéquatement, où qu’elles soient.
Plus vos données seront critiques, plus les moyens nécessaires pour les protéger seront grands et par ricochet, les budgets requis également. Il s’agit donc d’un exercice sérieux et rigoureux.
Heureusement, Microsoft met à votre disposition toute une gamme de solutions intégrées pour établir votre gouvernance et gérer vos politiques de protection des informations. Vous vous assurerez ainsi de demeurer aligné sur vos objectifs d’affaires et de respecter les règles de conformité qui encadrent vos activités.
Gouvernance des informations
Gestion du cycle de vie des données
La gouvernance des données, c’est un ensemble de règles, rôles et responsabilités qui encadrent les collaborations des membres de votre entreprise entre eux, mais aussi avec vos partenaires externes. Pour vous assister dans cette démarche itérative et perpétuelle, Microsoft propose une plateforme intelligente qui gère le cycle de vie des informations qui se trouvent autant dans Microsoft 365, que dans les importations faites par des connecteurs de données.
Cette gestion des enregistrements et des contenus administre vos obligations légales et de conformité, tout en améliorant l’efficacité avec laquelle vous pouvez disposer des éléments dont la rétention n’est plus nécessaire.
Vous pouvez même y intégrer des calendriers de gestion des documents qui prend en charge automatiquement le cycle de vie complet de vos différentes données.
Protection des informations
Classification de données
Une fois vos stratégies et vos critères définis, Microsoft Information Protection vous permet de classifier vos données en leur accolant des étiquettes de confidentialité. Ces identifiants, lorsqu’ils sont attachés à des contenus, permettent de déclencher les mécanismes de protection appropriés au moment opportun. Par exemple, l’envoi par courriel d’un fichier Excel étiqueté « Hautement confidentiel » pourrait être automatiquement bloqué.
Découvrez comment Microsoft Purview vous aide à protéger le contenu partagé sur tous vos fichiers et applications M365.
Étiquettes de rétention
Dans ce processus de classification, vous devez également vous assurer que vos contenus soient préservés ou supprimés en fonction de vos besoins d’affaires et des règles de conformité qui incombent à votre entreprise.
C’est ici qu’entrent en jeu les étiquettes de rétention que vous utiliserez pour contrôler la durée de conservation d’un document et la procédure pour en disposer.
Ces étiquettes peuvent être appliquées automatiquement aux contenus et aux documents qui remplissent les conditions que vous aurez spécifiées. Les données seront ainsi systématiquement classées et contrôlées selon leurs propriétés et leurs niveaux de sensibilité.
La gestion par étiquettes de rétention est une fonction clé de Microsoft Information Protection pour le respect des différentes législations et plus particulièrement de la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels (Loi 25, anciennement Projet de loi n° 64), maintenant en vigueur.
Explorateur d’activités et de contenu
L’Explorateur d’activités de Microsoft Information Protection vous donne une vue d’ensemble sur les contenus découverts et étiquetés, ainsi que leurs localisations. En plus d’avoir accès à l’historique des activités sur vos données, vous pouvez contrôler les opérations qui peuvent être effectuées sur vos contenus étiquetés.
L’Explorateur de contenu, pour sa part, vous donne l’état actuel des éléments ayant une étiquette de confidentialité et/ou de rétention et/ou qui ont été classée comme étant sensibles. La révision périodique de l’état de vos contenus vous permet de vous assurer du respect de votre stratégie sur la protection contre la perte de données. Cela pourrait vous permettre, par exemple, de repérer et récupérer un fichier effacé qui aurait dû plutôt être archivé.
Protection contre la perte de données
Les entreprises ont sous leurs responsabilités et leurs gouvernes des informations sensibles telles que des données financières, des dossiers employés, des numéros de carte de crédit, etc. Pour protéger ces données et réduire les risques, vous devez empêcher le partage inapproprié de celles-ci avec des personnes non autorisées.
La protection contre la perte de données (DLP, de l’anglais Data Loss Protection) de Microsoft 365 détecte les éléments sensibles à l’aide d’une analyse approfondie des contenus.
Elle utilise également des algorithmes d’apprentissage automatique pour détecter les données et leurs correspondances avec vos stratégies. Ces dernières vous permettent de suivre les activités des utilisateurs sur vos éléments sensibles et de prendre les mesures de protection appropriées, le cas échéant.
Lorsque les critères correspondent aux actions qu’un utilisateur prend sur un élément sensible, la stratégie peut générer une alerte et/ou une action entièrement automatisée, comme bloquer l’envoi d’un courriel, par exemple.
À lire également
Vos données sont-elles vraiment protégées? →
Une approche en 4 étapes
La réflexion doit toujours précéder l’action afin de maximiser les bénéfices et réduire au minimum les contraintes. La mise en place d’une pratique de protection contre la perte des données se déroule comme suit :
1. Commencez tout d’abord par définir vos objectifs et la façon dont les contrôles vont s’appliquer. Il est primordial à ce moment-ci que vos stratégies reflètent vos objectifs, sinon vous générerez plus d’irritants que de bénéfices;
2. Évaluez ensuite l’impact de ces contrôles en les intégrant dans une stratégie de protection contre la perte de données en mode test;
3. Toujours en mode test, évaluez les résultats de la stratégie. Apportez-lui les correctifs nécessaires afin qu’elle réponde entièrement à vos objectifs tout en vous assurant qu’il n’y ait pas d’impacts négatifs indus sur la productivité des utilisateurs;
4. Une fois que la stratégie atteint tous vos objectifs, mettez-la en service. Toutefois, continuez à surveiller les résultats et à l’ajuster selon vos besoins.
Même si la démarche peut sembler, aux premiers abords, fastidieuse, prenez toujours le temps de tester votre stratégie avant de la rendre officielle. Il n’y a rien de plus frustrant que de se faire bloquer une action qui aurait dû être identifiée légitime. Tout comme vous ne souhaitez pas que votre liste de client puisse être transférée par courriel…