5 défis de la mise en œuvre de Microsoft Information Protection

Savoir ce que vous possédez est la première étape pour le protéger. Savoir où il se trouve, la seconde. Au fil de votre parcours en matière de sécurité des données, vous découvrirez de nombreuses façons d’identifier, d’étiqueter et de sécuriser les données. Par exemple, disposez-vous d’un inventaire de ce que vous pensez posséder ? Même si c’est le cas, il ne s’agit—potentiellement—que d’une fraction de ce qui existe réellement dans votre environnement.

Dans un autre scénario, un projet se termine et cette équipe quitte votre entreprise ; il reste un OneDrive avec toutes les données intactes, mais vous n’avez aucune idée de la nature de son contenu ni de l’endroit où il devrait aller. Ce problème peut être ressenti encore plus fortement par l’entreprise si des informations se trouvent dans un espace de stockage cloud sans propriétaire actif.

Un cadre établi pour l'étiquetage des informations sensibles peut vous aider à mieux comprendre votre paysage de données et à en tirer des renseignements pertinents, comme la détection de pertes d'informations ou d'exploitations, afin de mettre en place des politiques et des contrôles de sécurité plus efficaces.

Quel est l’état de l’annotation des données

Votre entreprise possède d'immenses quantités de données, dont une grande partie se compose probablement de fichiers MS Office, de PDF et d'autres formats facilement transportables. Ces types de fichiers, qui sont non structurés par rapport aux bases de données et aux processeurs de transactions, peuvent être difficiles à suivre et à protéger. De nombreuses organisations n'ont pas encore étiqueté leurs données à grande échelle ou ont mis en place tellement de systèmes d'étiquetage au fil des années que toute cohérence s'est perdue avec le temps. De tels processus sont difficiles à lancer à l'échelle des équipes et doivent être maintenus de façon continue.

L'évaluation des risques devient alors un processus sans fin visant à localiser, identifier et étiqueter les données, simplement pour pouvoir définir les conditions acceptables d'accès, d'exposition et de bonne utilisation.

Vous devez connaître les détails sur l’emplacement des données et leur état, déterminer de quoi il s’agit, puis appliquer les connaissances d’utilisation selon des définitions et protocoles établis (par exemple, vérifier si le mot « confidentiel » y figure, et dans ce cas, attribuer un niveau de sensibilité et appliquer des règles pour empêcher la copie ou l’impression).

Ensuite, vous avez besoin d'une stratégie pour documenter, examiner, analyser et traiter toutes ces données, ce qui constitue votre stratégie de gouvernance des données. Après cela, et quelques litres de café, vous êtes prêt à vous attaquer au processus réel de marquage des fichiers.

Qu'est-ce que la protection des informations Microsoft (MIP) ?

Maintenant, si votre entreprise est principalement orientée Microsoft (fortement investie dans Teams, SharePoint et OneDrive), vous avez probablement déjà rencontré Microsoft Information Protection (MIP).

Notez qu'à partir de 2021, les fonctionnalités MIP ont été étendues pour classifier les données. Certaines personnes ayant adopté MIP à différentes périodes le connaissent sous le nom d'Azure Information Protection ou Purview Information Protection. Depuis l'été 2023, MIP est désormais connu sous le nom de Microsoft Purview Information Protection. Dans le cadre de cette présentation, nous nous concentrons sur le nom et le cas d'utilisation les plus courants de MIP : MIP pour l'étiquetage de la sensibilité.

MIP est un cadre et une solution créés par Microsoft pour étiqueter les données selon leur niveau de sensibilité. Les étiquettes peuvent être appliquées à l'aide de politiques basées sur des règles définies par les administrateurs, bien que de nombreux utilisateurs appliquent manuellement les étiquettes MIP directement aux fichiers.

Les fichiers et objets Windows, ainsi que ceux stockés dans Azure, prennent en charge des mécanismes permettant d’attacher des étiquettes importantes en tant que partie intégrante des métadonnées du fichier (comme la sensibilité), sous forme de propriétés qui suivent le fichier (même s’il est possible de les supprimer). Vous pouvez enrichir ces métadonnées en utilisant MIP pour intégrer des étiquettes d’identification et exploiter ces informations afin de prendre des décisions éclairées (automatisées ou non) concernant les restrictions de contenu, la localisation des données, etc.

Les grandes entreprises sont exposées à des risques juridiques et réglementaires en raison d'incohérences entre les systèmes de stockage et de gestion des données : l'âge, le volume et la nature des données peuvent être en grande partie inconnus. Elles peuvent être dupliquées, non gérées, obsolètes, peu fiables, voire inutilisables. Les métadonnées nécessaires sont-elles connues, complètes et exactes, et correctement cartographiées ? 

Comment MIP est-il utilisé ?

Pour de nombreuses entreprises utilisant Microsoft, MIP peut servir de base pour mettre en place des programmes de sécurité des données et de conformité :

• Data loss prevention (DLP) les politiques déclenchent le blocage ou la mise en quarantaine d'informations sensibles. Ces politiques sont appliquées aux données étiquetées et déclenchent des actions spécifiques, en fonction du niveau de sensibilité.
• Les politiques de gouvernance de l'accès aux données (DAG) contrôlent l'accès et chiffrent les données étiquetées, en fonction de la sensibilité des données.
• Les politiques de conformité des données précisent comment les données doivent être collectées, stockées et traitées. Par exemple, les données classées comme hautement sensibles peuvent faire l'objet d'une politique stipulant qu'elles ne doivent pas être stockées sur un SharePoint accessible à des tiers, appliquant ainsi le principe du moindre privilège et limitant l'accès uniquement aux personnes ayant besoin de ces données pour remplir des obligations contractuelles.

Un étiquetage approprié avec des balises MIP permet aux programmes de sécurité des données et de conformité de fonctionner comme prévu, en protégeant les données selon le niveau de risque qu'elles présentent en cas de fuite, d'exposition ou de stockage inapproprié.

Quels sont les défis de la mise en œuvre de MIP

Bien que MIP puisse vous aider à commencer l'étiquetage de vos données, il n'est pas reconnu comme un système évolutif pour les raisons suivantes :

• Schéma d'étiquetage incohérent – Que vous le sachiez ou non, chaque entreprise possède un système d'étiquetage des données différent. Souvent, il existe plus d'un système au sein d'une même entreprise, avec des niveaux de profondeur et de validation variables (s'il y en a) selon les divisions. Peut-être que chaque fichier comporte 3 étiquettes, ou 10, ou que certains types en ont 5, tandis que d'autres n'en ont aucune.
• Sujet aux faux positifs – Les règles basées sur des modèles et un processus humain ouvert à l’interprétation pour appliquer les balises MIP se traduisent par une faible confiance dans le fait que l’étiquette MIP soit largement acceptée comme vérité dans toutes les divisions. Il est donc important de désigner une autorité centrale pour examiner et valider que les étiquettes sont correctement appliquées. Mais qui a le temps pour ça ?
• Nécessite une application active – En général, ces schémas reposent sur le fait que les utilisateurs étiquettent manuellement leurs fichiers, mais il est presque impossible de l’imposer. Il est difficile de vérifier l’exactitude, de suivre la mise en œuvre ou de connaître pleinement l’étendue du contenu et des processus.
• Sujet aux erreurs humaines – Même si un schéma d'étiquetage clair est en place, les utilisateurs ne comprennent pas toujours ou ne s'accordent pas sur ce qui doit être considéré comme interne ou public.
• Facile à contourner – Un utilisateur pourrait même contourner les politiques en modifiant ultérieurement les balises MIP d’un fichier. En changeant la balise MIP, par exemple de « hautement sensible » à « non sensible », les utilisateurs peuvent contourner les politiques DLP qui utilisent l’étiquette MIP pour déclencher des actions de protection.

Comment Cyera peut vous aider à opérationnaliser la mise en œuvre de votre MIP

Cyera aide les entreprises à concevoir et à mettre en œuvre leurs programmes de protection des données, ce qui leur permet de tirer davantage de valeur de leurs licences d'entreprise Microsoft.

Cyera classe et contextualise les données avec précision, sans avoir besoin d'expressions régulières personnalisées ni d'apprentissage manuel. Nos centaines de classificateurs prêts à l'emploi et notre capacité à apprendre de nouvelles classifications spécifiques à votre environnement réduisent considérablement l'effort manuel nécessaire pour configurer la classification des données de Purview.

Vous pouvez utiliser Cyera pour extraire les étiquettes MIP de première et de tierce partie à partir des fichiers de votre environnement. Cyera génère des rapports pour vous aider à comprendre quels types de données protégées par MIP vous ingérez de la part de partenaires ou d'autres tiers. Cela vous aide à attester du respect des obligations contractuelles en matière de protection des données lors du traitement de données pour le compte de tiers.

Avec Cyera, vous pouvez visualiser précisément où sont stockées vos classes de données sensibles, combien d’enregistrements sensibles vous possédez, ainsi que le contexte qui les entoure. Cela vous aide à mettre en place un programme DLP qui protège vos données les plus précieuses sans générer d’alertes inutiles ni nuire à la productivité de l’entreprise.

Cyera vous aide à répondre aux questions de conception DLP en toute confiance :

• Combien de magasins de données contiennent des fichiers avec la classification de données X ?
• Pouvons-nous protéger ces données avec des conseils de sécurité et de la sensibilisation, ou est-il nécessaire de les bloquer ?
• Où devons-nous mettre en place la DLP pour protéger ces données (par exemple, DLP sur les terminaux, DLP native M365, DLP cloud)
• Combien d'utilisateurs seront impactés si nous mettons en place cette règle ?

Si vous avez des étiquettes MIP non concordantes, Cyera peut détecter le problème, générer une alerte et prendre des mesures correctives. Cyera surveille votre environnement pour détecter lorsque les étiquettes MIP ne correspondent pas précisément aux données contenues dans un fichier. Par exemple, un utilisateur final a-t-il appliqué une étiquette « Interne-Tous les employés » à un fichier contenant des informations financières sensibles et non publiques ? La détection des étiquettes MIP non concordantes représente également une opportunité de mener des actions de sensibilisation ciblées auprès des utilisateurs qui appliquent de manière répétée des étiquettes MIP incorrectes.

Lorsque MIP n'est pas implémenté ou lorsque les entreprises décident de s'en éloigner, elles peuvent opter pour une approche plus automatisée avec Cyera. La classification avancée des PII de Cyera applique automatiquement des étiquettes de sensibilité et des classes aux données, vous permettant de contourner de nombreux défis liés à une implémentation manuelle de MIP. L'avantage d'avoir des classifications plus précises est le gain de temps par rapport aux efforts d'ajustement manuel ; l'avantage de classifier davantage d'enregistrements est une couverture étendue pour vos programmes de sécurité des données.

Conclusion

Compte tenu des défis liés à la mise en œuvre de MIP, il est essentiel de disposer d'une solution capable d'automatiser l'étiquetage des données et de réduire les efforts manuels. Votre organisation a probablement passé des années à essayer de concevoir un programme DLP efficace et a eu du mal à utiliser efficacement les étiquettes MIP dans l'ensemble de vos environnements. Cyera va auditer et améliorer l'état de l'étiquetage des données afin de fournir une évaluation plus précise de la compréhension qu'a votre organisation de ses données et de leur sensibilité.

La plateforme de sécurité des données de Cyera offre une compréhension approfondie de vos données et applique des contrôles appropriés et continus pour garantir la cyber-résilience et la conformité.

Cyera adopte une approche centrée sur les données en matière de sécurité, évaluant l’exposition de vos données au repos et en cours d’utilisation, et appliquant plusieurs couches de défense. Parce que Cyera applique un contexte approfondi des données de manière globale à l’ensemble de votre environnement de données, nous sommes la seule solution capable de permettre aux équipes de sécurité de savoir où se trouvent leurs données, ce qui les expose à des risques, et d’agir immédiatement pour remédier aux expositions et garantir la conformité sans perturber l’activité.

Pour en savoir plus sur la façon dont Cyera peut vous aider à auditer l'efficacité de votre implémentation MIP, planifiez une démo dès aujourd'hui.