Vue d’ensemble de la protection contre la perte de données dans SharePoint Server 2016 et 2019

Pour être en conformité avec les normes commerciales et les règles du secteur, les organisations doivent protéger les informations sensibles et empêcher leur divulgation accidentelle. Les données financières ou les informations d'identification personnelle (PII) telles que les numéros de carte de crédit, les numéros de sécurité sociale ou les numéros d'identification national, peuvent être des exemples d'informations sensibles que vous souhaitez empêcher de fuiter hors de votre organisation. Avec une stratégie de protection contre la perte de données (DLP) dans SharePoint Server 2016, vous pouvez identifier, surveiller et protéger automatiquement les informations sensibles au sein de vos collections de sites.

Avec la DLP, vous pouvez :

  • Créez une requête DLP pour identifier les informations sensibles qui existent désormais dans vos collections de sites. Avant de créer des stratégies DLP, il est souvent utile de voir les types d'informations sensibles sur lesquels travaillent les membres de votre organisation et les collections de sites qui contiennent ces informations sensibles. Une requête DLP vous permet de trouver des informations sensibles soumises à des réglementations en vigueur, de mieux comprendre vos risques et de déterminer ce que sont les informations sensibles que vos stratégies DLP doivent protéger et où.

  • Créez une stratégie DLP pour surveiller et protéger automatiquement les informations sensibles dans vos collections de sites. Par exemple, vous pouvez configurer une stratégie qui affiche un conseil de stratégie aux utilisateurs s'ils enregistrent des documents contenant des informations d'identification personnelle. En outre, la stratégie peut bloquer automatiquement l'accès à ces documents pour tout le monde sauf le propriétaire du site, le propriétaire du contenu et les personnes qui ont modifié le document en dernier. Enfin, étant donné que vous ne souhaitez pas que vos stratégies DLP empêchent les personnes de faire leur travail, le conseil de stratégie a une option pour remplacer l'action de blocage, afin que les personnes continuent à travailler avec les documents s'ils ont une justification professionnelle.

Modèles DLP

Lorsque vous créez une requête DLP ou une stratégie DLP, vous pouvez faire votre choix dans une liste de modèles DLP qui correspondent à des exigences réglementaires courantes. Chaque modèle DLP identifie des types spécifiques d'informations sensibles. Par exemple, le modèle nommé Données d'identification personnelle (PII) aux États-Unis identifie le contenu qui contient des numéros de passeports américains et américains, des numéros d'identification fiscale aux États-Unis (ITIN) ou des numéros de sécurité sociale (SSN) aux États-Unis.

Modèles de stratégies de protection contre la perte de données (DLP)

Types d'informations sensibles

Une stratégie DLP permet de protéger les informations sensibles, définies comme type d'informations sensibles. SharePoint Server 2016 inclut les définitions de nombreux types d'informations sensibles courants prêts à l'emploi, telles qu'un numéro de carte de crédit, des numéros de compte bancaire, des numéros de carte d'identité et des numéros de passeport.

Lorsqu'une stratégie DLP recherche un type d'informations sensibles tel qu'un numéro de carte de crédit, il ne recherche pas simplement un nombre à 16 chiffres. Chaque type d’informations sensibles est défini et détecté en utilisant une combinaison des éléments suivants :

  • Mots clés

  • Fonctions internes pour valider les sommes de contrôle ou la composition

  • Évaluation d’expressions régulières pour rechercher des correspondances au modèle

  • Autres examens de contenu

La détection DLP peut ainsi atteindre un haut niveau de précision tout en réduisant le nombre de faux positifs susceptibles d’interrompre le travail.

Chaque modèle DLP recherche un ou plusieurs types d'informations sensibles. Pour plus d'informations sur le fonctionnement de chaque type d'informations sensibles, voir Ce que recherchent les types d'informations sensibles dans SharePoint Server 2016.

Ce modèle DLP...

Recherche ces types d'informations sensibles...

Données PII (Personal Identifiable Information) aux États-Unis

Numéro de passeport américain / britannique

ITIN (Individual Taxpayer Identification Number) aux États-Unis

Numéro de sécurité sociale (SSN) aux États-Unis

U.S. Gramm-Leach-Bliley Act (GLBA)

Numéro de carte de crédit

Numéro de compte bancaire américain

ITIN (Individual Taxpayer Identification Number) aux États-Unis

Numéro de sécurité sociale (SSN) aux États-Unis

PCI Data Security Standard (PCI DSS)

Numéro de carte de crédit

Données financières au Royaume-Uni

Numéro de carte de crédit

Numéro de carte de débit de l'Ue

SWIFT Code

Données financières américaines

Numéro de routage de l'aba

Numéro de carte de crédit

Numéro de compte bancaire américain

Données PII (Personal Identifiable Information) au Royaume-Uni

Numéro d'assurance national (NINO) au Royaume-Uni

Numéro de passeport américain / britannique

U.K. Data Protection Act

SWIFT Code

Numéro d'assurance national (NINO) au Royaume-Uni

Numéro de passeport américain / britannique

Réglementations en matière de confidentialité et de communications électroniques au Royaume-Uni

SWIFT Code

Lois sur la confidentialité du numéro de sécurité sociale des États-Unis

Numéro de sécurité sociale (SSN) aux États-Unis

Lois américaines sur les notifications de violation d'État

Numéro de carte de crédit

Numéro de compte bancaire américain

Numéro de permis de conduire des États-Unis

Numéro de sécurité sociale (SSN) aux États-Unis

Requêtes DLP

Avant de créer vos stratégies DLP, vous voudrez peut-être voir quelles informations sensibles existent déjà dans vos collections de sites. Pour ce faire, vous devez créer et exécuter des requêtes DLP dans le Centre eDiscovery.

Bouton Créer une requête DLP

Une requête DLP fonctionne de la même façon qu'une requête eDiscovery. En fonction du modèle DLP que vous choisissez, la requête DLP est configurée pour rechercher des types spécifiques d'informations sensibles. Tout d'abord, choisissez les emplacements dans votre recherche, puis peaufinez la requête, car elle prend en charge le langage de requête de mot clé (Keyword Query Language, KQL). De plus, vous pouvez affiner la requête en sélectionnant une plage de dates, des auteurs spécifiques, des valeurs de propriétés SharePoint ou des emplacements. À l'image d'une requête eDiscovery, vous pouvez afficher un aperçu des résultats de la requête, les exporter et les télécharger.

Requête DLP contenant des types d’informations sensibles

Stratégies DLP

Une stratégie DLP vous permet d'identifier, de surveiller et de protéger automatiquement les informations sensibles soumises aux réglementations en vigueur dans le secteur. Vous choisissez les types d'informations sensibles à protéger et les actions à prendre lorsque du contenu comportant ces informations sensibles est détecté. Une stratégie DLP peut avertir le responsable de la conformité en envoyant un rapport d'incident, en avertissant l'utilisateur à l'aide d'un conseil de stratégie sur le site et éventuellement bloquer l'accès au document pour tout le monde sauf le propriétaire du site, le propriétaire du contenu et les personnes qui ont modifié le document en dernier. Enfin, le conseil de stratégie a une option pour remplacer l'action de blocage, afin que les personnes continuent à travailler avec des documents s'ils ont une justification professionnelle ou ont besoin de signaler un faux positif.

Vous créez et gérez des stratégies DLP dans le Centre de stratégie de conformité. La création d'une stratégie DLP est un processus en deux étapes : vous devez d'abord créer la stratégie DLP, puis l'affecter à une collection de sites.

Centre de stratégies de conformité

Étape 1 : création d'une stratégie DLP

Lorsque vous créez une stratégie DLP, vous choisissez un modèle DLP qui recherche les types d'informations sensibles que vous devez identifier, surveiller et protéger automatiquement.

Page Nouvelle stratégie DLP

Lorsqu'une stratégie DLP recherche du contenu comprenant le nombre minimal d'instances d'un type spécifique d'informations sensibles que vous choisissez (par exemple, cinq numéros de carte de crédit ou un seul numéro de sécurité sociale), la stratégie DLP peut protéger automatiquement les informations sensibles en prenant les mesures suivantes :

  • Envoi d'un rapport d'incident aux personnes de votre choix (par exemple, votre responsable de la conformité) avec les détails de l'événement. Ce rapport contient des détails sur le contenu détecté, tels que le titre, le propriétaire du document et les informations sensibles détectées. Pour envoyer des rapports d'incident, vous devez configurer les paramètres de courrier électronique sortant dans l'Administration centrale.

  • Informer l'utilisateur d'un conseil de stratégie lorsque des documents contenant des informations sensibles sont enregistrés ou modifiés. Le conseil de stratégie explique pourquoi ce document entre en conflit avec une stratégie DLP, afin que les personnes puisse prendre des mesures correctives, telles que la suppression des informations sensibles du document. Lorsque le document est en conformité, le conseil de stratégie disparaît.

  • Blocage de l'accès au contenu pour tout le monde à l'exception du propriétaire du site, du propriétaire du document et de la personne qui a modifié le document en dernier. Ces personnes peuvent supprimer les informations sensibles du document ou effectuer d’autres actions correctives. Lorsque le document est conforme, les autorisations d’origine sont automatiquement restaurées. Il est important de comprendre que le conseil de stratégie donne la possibilité de remplacer l'action de blocage. Les conseils de stratégie peuvent donc aider à informer les utilisateurs sur vos stratégies DLP et à les appliquer sans empêcher les utilisateurs d'exécuter leur travail.

    Conseil de stratégie affichant l’accès bloqué au document

Étape 2 : affectation d'une stratégie DLP

Après avoir créé une stratégie DLP, vous devez l'affecter à une ou plusieurs collections de sites, où elle peut commencer à protéger les informations sensibles dans ces emplacements. Une stratégie unique peut être affectée à de nombreuses collections de sites, mais chaque affectation doit être créée une par une.

Affectations de stratégies pour les collections de sites

Conseils de stratégie

Vous souhaitez que les membres de votre organisation qui travaillent avec des informations sensibles respectent vos stratégies DLP, mais ne souhaitez pas les empêcher inutilement d'aller plus loin dans leur travail. C'est ici que les conseils de stratégie peuvent vous aider.

Un conseil de stratégie est une notification ou un avertissement qui s'affiche lorsqu'une personne travaille avec du contenu qui entre en conflit avec une stratégie DLP , par exemple, un contenu tel qu'un classeur Excel qui contient des informations d'identification personnelle (PII) et qui est enregistré sur un site.

Vous pouvez utiliser les conseils de stratégie pour accroître la sensibilisation et aider à informer les personnes sur les stratégies de votre organisation. Les conseils de stratégie donnent également aux personnes la possibilité de remplacer la stratégie afin qu'elles ne sont pas bloquées si elles ont un besoin commercial valide ou si la stratégie détecte un faux positif.

Affichage ou remplacement d'un conseil de stratégie

Pour agir sur un document, par exemple, en remplacement de la stratégie DLP ou en signalant un faux positif, vous pouvez sélectionner le menu Ouvrir... pour l'élément et afficher > conseil de stratégie.

Le conseil de stratégie répertorie les problèmes avec le contenu, et vous pouvez choisir Résoudre,puis remplacer le conseil de stratégie ou signaler un faux positif.

Conseil de stratégie pour un document Remplacement d’un conseil de stratégie

Détails sur le fonctionnement des conseils de stratégie

Notez qu'il est possible pour le contenu de correspondre à plusieurs stratégies DLP, mais seul le conseil de stratégie de la stratégie la plus restrictive et à priorité la plus élevée s'affiche. Par exemple, un conseil de stratégie d'une stratégie DLP qui bloque l'accès au contenu est affiché sur un conseil de stratégie à partir d'une règle qui informe simplement l'utilisateur. Cela empêche l’affichage d’une cascade de conseils de stratégie. Par ailleurs, si les conseils de stratégie de la stratégie la plus restrictive autorisent les utilisateurs à remplacer la stratégie, le remplacement de cette stratégie remplace également toute autre stratégie en correspondance avec le contenu.

Les stratégies DLP sont synchronisées avec les sites et le contenu est évalué par rapport à ces derniers de façon périodique et asynchrone (voir la section suivante), de sorte qu'il peut y avoir un court délai entre le moment où vous créez la stratégie DLP et le moment où vous commencez à voir les conseils de stratégie.

Fonctionnement des stratégies DLP

DLP détecte les informations sensibles à l’aide d’une analyse approfondie du contenu (et pas d’une simple analyse de texte). Cette analyse approfondie utilise les correspondances de mots clés, l'évaluation des expressions régulières, des fonctions internes et d'autres méthodes pour détecter le contenu qui correspond à vos stratégies DLP. Seul un petit pourcentage de vos données peut être considéré comme sensible. Une stratégie DLP peut identifier, surveiller et protéger automatiquement ces données uniquement, sans gêner ou affecter les personnes travaillant avec le reste de votre contenu.

Après avoir créé une stratégie DLP dans le Centre de stratégie de conformité, elle est stockée en tant que définition de stratégie dans ce site. Ensuite, lorsque vous affectez la stratégie à différentes collections de sites, la stratégie est synchronisée avec ces emplacements, où elle commence à évaluer le contenu et à appliquer des actions telles que l'envoi de rapports d'incident, l'affichage de conseils de stratégie et le blocage de l'accès.

Évaluation des stratégies dans les sites

Dans l'ensemble de vos collections de sites, les documents changent constamment . Ils sont constamment créés, modifiés, partagés, etc. Cela signifie que les documents peuvent à tout moment être en conflit ou devenir conformes à une stratégie DLP. Par exemple, une personne peut télécharger un document qui ne contient aucune information sensible sur son site d'équipe, mais une autre personne peut modifier le même document et y ajouter des informations sensibles.

Pour cette raison, les stratégies DLP vérifient les correspondances de stratégie fréquemment dans les documents en arrière-plan. Vous pouvez considérer ceci comme une évaluation asynchrone des stratégies.

Voici le fonctionnement. Au fur et à mesure que les utilisateurs ajoutent ou modifient des documents dans leurs sites, le moteur de recherche analyse le contenu, afin que vous puissiez le rechercher ultérieurement. Pendant ce temps, le contenu est également analysé pour les informations sensibles. Les informations sensibles trouvées sont stockées en toute sécurité dans l’index de recherche, afin que seule l’équipe de conformité puisse y accéder, et pas les utilisateurs standard. Chaque stratégie DLP que vous avez activée s’exécute en arrière-plan (de façon asynchrone), en vérifiant fréquemment le contenu qui correspond à une stratégie et en appliquant des actions pour le protéger de toute divulgation accidentelle.

Diagramme montrant comment la stratégie DLP évalue le contenu de façon asynchrone

Enfin, les documents peuvent entrer en conflit avec une stratégie DLP, mais ils peuvent également y devenir conformes. Par exemple, si une personne ajoute des numéros de carte de crédit à un document, une stratégie DLP peut alors bloquer l’accès au document automatiquement. Toutefois, si cette personne supprime ensuite les informations sensibles, l’action (dans ce cas, le blocage) est annulée automatiquement à la prochaine évaluation du document par rapport à la stratégie.

DLP évalue le contenu pouvant être indexé. Pour plus d'informations sur les types de fichiers qui sont crawlés par défaut, voir Extensions de nom de fichier et types de fichiers analyse par défaut.

Afficher les événements DLP dans les journaux d'utilisation

Vous pouvez afficher l'activité de stratégie DLP dans les journaux d'utilisation sur le serveur exécutant SharePoint Server 2016. Par exemple, vous pouvez afficher le texte entré par les utilisateurs lorsqu'ils remplacent un conseil de stratégie ou signalent un faux positif.

Vous devez d'abord activer l'option dans l'Administration centrale(> de surveillance pour la configuration de l'utilisation et de la collecte des données d'>'utilisation des événements journaux simples Data_SPUnifiedAuditEntry). Pour plus d'informations sur la journalisation de l'utilisation, voir Configurer l'utilisation et la collecte des données d'état d'état.

Option d’activer les journaux d’utilisation DLP

Après avoir activer cette fonctionnalité, vous pouvez ouvrir les rapports d'utilisation sur le serveur et afficher les justifications fournies par les utilisateurs pour le remplacement d'un conseil de stratégie DLP, ainsi que d'autres événements DLP.

Raison du remplacement de l’utilisateur dans le journal d’utilisation

Avant de commencer à travailler avec la DLP

Cette rubrique présente certaines des fonctionnalités dont la DLP dépend. Il s’agit des builds suivantes :

  • Pour détecter et classer les informations sensibles dans vos collections de sites, démarrez le service de recherche et définissez une planification d'analyse pour votre contenu.

  • Activer la messagerie électronique sortante.

  • Pour afficher les remplacements de l'utilisateur et d'autres événements DLP, activer le rapport d'utilisation.

  • Créez les collections de sites :

    • Pour les requêtes DLP, créez la collection de sites Centre eDiscovery.

    • Pour les stratégies DLP, créez la collection de sites Centre de stratégie de conformité.

  • Créez un groupe de sécurité pour votre équipe de conformité, puis ajoutez le groupe de sécurité au groupe Propriétaires dans le Centre eDiscovery ou le Centre de stratégie de conformité.

  • Pour exécuter des requêtes DLP, des autorisations d'affichage sont requises pour tout le contenu recherché par la requête. Pour plus d'informations, voir Créer une requête DLP dans SharePoint Server 2016.

Informations complémentaires

Besoin d’aide ?

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×