Gestion des droits relatifs à l’information dans Exchange Server

Article
04/04/2023

Les e-mails sont utilisés quotidiennement pour échanger des informations sensibles, telles que des informations ou des rapports confidentiels. Puisqu'il est maintenant possible d'accéder à ses e-mails de n'importe quel endroit du monde, les boîtes aux lettres se sont transformées en référentiels contenant de gros volumes d'informations potentiellement sensibles. En conséquence, la fuite d'informations peut représenter une sérieuse menace pour les entreprises. Pour éviter les fuites d’informations, Exchange Server inclut des fonctionnalités de gestion des droits relatifs à l’information (IRM), qui fournissent une protection permanente en ligne et hors connexion pour les messages électroniques et les pièces jointes. Ces fonctionnalités IRM restent sensiblement identiques à celles d'Exchange 2013.

Qu'est-ce que la fuite d'informations ?

La fuite d'informations est la divulgation d'informations sensibles à des utilisateurs non autorisés. La fuite d'informations peut s'avérer onéreuse pour une organisation et avoir un large retentissement sur son activité, son personnel, ses clients et ses partenaires. Pour éviter toute violation des réglementations applicables, les organisations doivent se protéger contre les fuites d'information intentionnelles ou accidentelles.

Une fuite d'informations peut avoir un certain nombre de conséquences :

Dommages financiers : l’organisation peut entraîner une perte d’activité, des amendes ou une couverture médiatique défavorable.
Dommages à l’image et à la crédibilité : les fuites de messages électroniques peuvent potentiellement être une source d’embarras pour l’expéditeur et l’organisation.
Perte de l’avantage concurrentiel : C’est l’une des conséquences les plus graves. La divulgation de plans de développement ou de fusion et d'acquisition stratégiques peut entraîner des pertes de chiffre d'affaires ou une baisse de la capitalisation boursière pour l'organisation. La perte d'informations de recherche et développement, de données analytiques et de droits de propriété intellectuelle font partie des autres menaces possibles en matière d'avantages concurrentiels.

Solutions traditionnelles de prévention des fuites d'informations

Bien que les solutions traditionnelles de prévention de la fuite d'informations offrent une protection contre l'accès initial aux données, elles ne fournissent pas une protection constante. Le tableau suivant décrit plusieurs de ces solutions traditionnelles.

Solution	Description	Limites
Protocole TLS (Transport Layer Security)	Le protocole TLS est un protocole Internet normalisé de chiffrement des communications réseau. Dans un environnement de messagerie, le protocole TLS permet de chiffrer les échanges entre serveurs et entre clients et serveurs. Par défaut, Exchange utilise le protocole TLS pour tous les transferts internes de messages. Le TLS opportuniste est également activé par défaut pour les sessions SMTP avec des hôtes externes (le chiffrement TLS est testé en premier, mais s'il n'est pas disponible, les communications non chiffrées sont autorisées). Il est également possible de configurer la sécurité de domaine en intégrant le mécanisme Mutual TLS pour les organisations externes.	Le protocole TLS protège uniquement la session SMTP entre deux hôtes SMTP. En d'autres termes, TLS protège les informations en mouvement, mais ne protège pas l'information au niveau du message ni dans ses autres aspects. À moins d'utiliser une autre méthode de chiffrement, les messages contenus dans les boîtes aux lettres des expéditeurs et des destinataires restent sans protection. Pour les e-mails envoyés à des destinataires extérieurs à l'organisation, le protocole TLS ne peut être exigé que pour le premier saut. Lorsqu'un hôte SMTP distant reçoit le message, il peut le relayer à un autre hôte SMTP via une session non chiffrée. Puisque le protocole TLS est un mécanisme de la couche transport qui est utilisé dans le flux de messagerie, il ne permet pas de contrôler ce que le destinataire fait avec le message.
Cryptage des messages	Les utilisateurs peuvent utiliser des technologies de chiffrement des messages telles que S/MIME.	Les utilisateurs décident si un message doit être chiffré ou non. Le déploiement d'une infrastructure à clé publique (PKI) avec sa charge connexe de gestion des certificats des utilisateurs et la protection des clés privées entraîne des coûts supplémentaires. Une fois qu'un message est déchiffré, il n'est pas possible de contrôler ce que le destinataire peut faire avec les informations. Les informations déchiffrées peuvent être copiées, imprimées ou transférées. Par défaut, les pièces jointes enregistrées ne sont pas protégées. Les serveurs de messagerie ne peuvent pas ouvrir et inspecter les messages qui sont chiffrés par le protocole S/MIME. Par conséquent, ils ne peuvent pas mettre en œuvre de stratégies de messagerie, analyser les messages pour détecter la présence de virus ou effectuer d'autres actions qui nécessitent un accès au contenu des messages.

Solution

Description

Limites

Protocole TLS (Transport Layer Security)

Le protocole TLS est un protocole Internet normalisé de chiffrement des communications réseau. Dans un environnement de messagerie, le protocole TLS permet de chiffrer les échanges entre serveurs et entre clients et serveurs.

Par défaut, Exchange utilise le protocole TLS pour tous les transferts internes de messages. Le TLS opportuniste est également activé par défaut pour les sessions SMTP avec des hôtes externes (le chiffrement TLS est testé en premier, mais s'il n'est pas disponible, les communications non chiffrées sont autorisées). Il est également possible de configurer la sécurité de domaine en intégrant le mécanisme Mutual TLS pour les organisations externes.

Le protocole TLS protège uniquement la session SMTP entre deux hôtes SMTP. En d'autres termes, TLS protège les informations en mouvement, mais ne protège pas l'information au niveau du message ni dans ses autres aspects. À moins d'utiliser une autre méthode de chiffrement, les messages contenus dans les boîtes aux lettres des expéditeurs et des destinataires restent sans protection.

Pour les e-mails envoyés à des destinataires extérieurs à l'organisation, le protocole TLS ne peut être exigé que pour le premier saut. Lorsqu'un hôte SMTP distant reçoit le message, il peut le relayer à un autre hôte SMTP via une session non chiffrée.

Puisque le protocole TLS est un mécanisme de la couche transport qui est utilisé dans le flux de messagerie, il ne permet pas de contrôler ce que le destinataire fait avec le message.

Cryptage des messages

Les utilisateurs peuvent utiliser des technologies de chiffrement des messages telles que S/MIME.

Les utilisateurs décident si un message doit être chiffré ou non.

Le déploiement d'une infrastructure à clé publique (PKI) avec sa charge connexe de gestion des certificats des utilisateurs et la protection des clés privées entraîne des coûts supplémentaires.

Une fois qu'un message est déchiffré, il n'est pas possible de contrôler ce que le destinataire peut faire avec les informations. Les informations déchiffrées peuvent être copiées, imprimées ou transférées. Par défaut, les pièces jointes enregistrées ne sont pas protégées.

Les serveurs de messagerie ne peuvent pas ouvrir et inspecter les messages qui sont chiffrés par le protocole S/MIME. Par conséquent, ils ne peuvent pas mettre en œuvre de stratégies de messagerie, analyser les messages pour détecter la présence de virus ou effectuer d'autres actions qui nécessitent un accès au contenu des messages.

Enfin, les solutions traditionnelles manquent souvent d'outils de mise en œuvre des principes de protection des informations personnelles permettant d'appliquer les stratégies de messagerie destinées à empêcher les fuites d'informations de manière uniforme. Par exemple, un utilisateur marque un message comme Confidentiel et Ne pas transférer. Une fois le message remis au destinataire, l'expéditeur ou l'organisation ne dispose plus d'aucun moyen de contrôler le message. Le destinataire peut transférer le message volontairement ou accidentellement (en utilisant des fonctions telles que les règles de transfert automatique) à des comptes de messagerie externes, ce qui expose votre organisation à des risques de fuites d'informations importantes.

IRM dans Exchange

L'IRM dans Exchange contribue à éviter la fuite d'informations grâce aux fonctionnalités suivantes :

Empêcher un destinataire autorisé d'un contenu protégé par IRM de transférer, modifier, imprimer, télécopier, enregistrer ou couper et coller ce contenu.
Protéger les formats de fichier de pièce jointe pris en charge en leur conférant le même niveau de protection que celui du message.
Prendre en charge l'expiration des messages et pièces jointes protégés par IRM pour qu'ils ne puissent plus être consultés après la période spécifiée.
Empêcher la copie d'un contenu protégé par IRM à l'aide de l'Outil Capture d'écran dans Windows.

Toutefois, l'IRM dans Exchange n'empêche pas la divulgation d'informations si les méthodes suivantes sont utilisées :

Programmes de capture d'écran tiers.
Photographie du contenu protégé par IRM qui s'affiche à l'écran.
Mémorisation des informations ou leur transcription manuelle par les utilisateurs.

L'IRM utilise les Services AD RMS (Active Directory Rights Management Services), une technologie de protection des informations dans Windows Server qui fait appel à des certificats ou licences XrML (eXtensible Rights Markup Language) pour certifier les ordinateurs et les utilisateurs, et pour protéger le contenu. Lorsqu'un document ou un message est protégé par les services AD RMS, une licence XrML contenant les droits d'accès au contenu par les utilisateurs est jointe à ce contenu. Pour accéder au contenu protégé par IRM, les applications activées pour AD RMS doivent se procurer une licence d'utilisation pour l'utilisateur autorisé depuis le serveur AD RMS. Les applications Office, telles que Word, Excel, PowerPoint et Outlook, sont activées pour RMS et peuvent être utilisées pour créer et consommer du contenu protégé.

Remarque

L'agent de pré-licence Exchange joint une licence d'utilisation aux messages protégés par le serveur AD RMS dans votre organisation. Pour plus d'informations, reportez-vous à la section Pré-licence, plus loin dans cette rubrique.

Pour en savoir plus sur les Services AD RMS (Active Directory Rights Management Services), reportez-vous à Services AD RMS (Active Directory Rights Management Services).

Modèles de stratégie de droits des Services AD RMS (Active Directory Rights Management Services)

Les serveurs AD RMS fournissent un service web utilisé pour énumérer et acquérir les modèles de stratégie de droits XrML qui vous permettent d'appliquer la protection IRM aux messages. En appliquant le modèle de stratégie de droits approprié, vous pouvez contrôler si un destinataire est autorisé à répondre au message, répondre à tous, transférer le message, en extraire des informations, l'enregistrer ou l'imprimer.

Par défaut, Exchange est livré avec le modèle Ne pas transférer. Lorsque ce modèle est appliqué à un message, seuls les destinataires du message peuvent le déchiffrer. Les destinataires ne peuvent pas transférer le message, en copier le contenu ou l'imprimer. Vous pouvez créer des modèles RMS supplémentaires sur les serveurs AD RMS de votre organisation pour répondre à vos besoins.

Pour plus d'informations sur les modèles de stratégie de droits, consultez les considérations relatives aux modèles de stratégie AD RMS.

Pour plus d'informations sur la création des modèles de stratégie de droits AD RMS, consultez le guide détaillé sur la création et le déploiement de modèles de stratégie de droits AD RMS.

Application de la protection IRM aux messages

Par défaut, une organisation Exchange est activée pour l'IRM. Cependant, pour appliquer la protection IRM aux messages, vous devez utiliser au moins l'une des méthodes suivantes :

Manuellement par les utilisateurs dans Outlook : les utilisateurs peuvent protéger les messages IRM dans Outlook à l’aide des modèles de stratégie de droits AD RMS qui leur sont disponibles. Ce processus utilise la fonctionnalité IRM dans Outlook, et non dans Exchange. Pour plus d'informations sur l'utilisation de l'IRM dans Outlook, reportez-vous à la rubrique relative à la présentation de l'utilisation de l'IRM pour les messages électroniques.
Manuellement par les utilisateurs dans Outlook sur le web : lorsqu’un administrateur active la gestion des droits relatifs à l’information dans Outlook sur le web (anciennement Outlook Web App), les utilisateurs peuvent protéger les messages qu’ils envoient et afficher les messages protégés par irm qu’ils reçoivent. Pour plus d’informations sur la gestion des droits relatifs à l’information dans Outlook sur le web, voir Présentation de la gestion des droits relatifs à l’information dans Outlook Web App.
Manuellement par les utilisateurs dans Exchange ActiveSync : lorsqu’un administrateur active la gestion des droits relatifs à l’information dans Exchange ActiveSync les utilisateurs peuvent afficher, répondre à, transférer et créer des messages protégés par IRM sur des appareils ActiveSync. Pour plus d’informations, consultez Présentation de la gestion des droits relatifs à l’information dans Exchange ActiveSync.
Automatiquement dans Outlook : les administrateurs peuvent créer des règles de protection Outlook pour protéger automatiquement les messages irm. Les règles de protection Outlook sont déployées automatiquement chez les clients Outlook, et la protection IRM est appliquée par Outlook lorsque l'utilisateur compose un message. Pour plus d’informations, consultez Règles de protection Outlook.
Automatiquement sur les serveurs de boîtes aux lettres : les administrateurs peuvent créer des règles de flux de courrier (également appelées règles de transport) pour protéger automatiquement les messages irm qui correspondent aux conditions spécifiées. Pour plus d’informations, consultez la rubrique Understanding Transport Protection Rules.

Remarque

La protection IRM n'est pas appliquée à nouveau aux messages qui sont déjà protégés par IRM. Par exemple, si un utilisateur active la protection IRM d'un message dans Outlook ou Outlook sur le web, une règle de protection de transport n'appliquera pas cette protection au même message.

Scénarios pour la protection IRM

Ce tableau décrit les scénarios d'envoi des messages et indique si la protection IRM est disponible.

Scénario	L'envoi de messages protégés par IRM est-il pris en charge ?	Conditions requises
Envoi de messages au sein de la même organisation Exchange locale.	Oui	Pour plus d'informations sur la configuration requise, reportez-vous à la section Configuration requise pour la gestion des droits relatifs à l'information (IRM) plus loin dans cette rubrique.
Envoi de messages entre différentes forêts Active Directory dans une organisation locale.	Oui	Pour plus d'informations sur la configuration requise, consultez la rubrique relative à la configuration d'AD RMS pour l'intégrer avec Exchange Server 2010 dans plusieurs forêts.
Envoi de messages entre une organisation Exchange locale et une organisation Microsoft 365 ou Office 365 dans un déploiement hybride.	Oui	Pour plus d’informations, consultez IRM dans les déploiements hybrides Exchange.
Envoi de messages à des destinataires externes.	Non	Exchange n'inclut pas de solution permettant l'envoi de messages protégés par IRM à des destinataires externes dans des organisations non fédérées. Pour créer une approbation fédérée entre deux forêts Active Directory à l’aide de Services ADFS (AD FS), consultez Présentation des stratégies d’approbation AD RMS.

Déchiffrement des messages protégés par IRM pour mettre en œuvre les stratégies de messagerie

Pour mettre en œuvre les stratégies de messagerie et à des fins de conformité réglementaire, Exchange a besoin d'accéder au contenu des messages chiffrés. Pour satisfaire les exigences de découverte électronique afférentes aux litiges, audits réglementaires ou enquêtes internes, un auditeur désigné doit aussi être en mesure de rechercher les messages chiffrés. Pour faciliter ces tâches, Exchange inclut les fonctionnalités de déchiffrement suivantes :

Déchiffrement de transport : autorise l’accès au contenu des messages par les agents de transport installés sur les serveurs Exchange. Pour plus d’informations, consultez Présentation du déchiffrement du transport.
Déchiffrement de rapport de journal : permet à la journalisation standard ou premium d’enregistrer une copie en texte clair des messages protégés par IRM dans les rapports de journal. Pour plus d'informations, consultez la rubrique Activation du déchiffrement de l'état de journal.
Déchiffrement IRM pour la recherche Exchange : permet à Recherche Exchange d’indexer du contenu dans les messages protégés par IRM. Lorsqu'un gestionnaire de découverte effectue une recherche de découverte électronique inaltérable, les messages protégés par IRM ayant été indexés font partie des résultats de la recherche. Pour plus d'informations, reportez-vous à la rubrique Configurer IRM pour la recherche et la découverte locale dans Exchange.

Pour activer ces fonctionnalités de déchiffrement, vous devez ajouter la boîte aux lettres de fédération (une boîte aux lettres système créée par Exchange), au groupe de super utilisateurs sur le serveur AD RMS. Pour obtenir des instructions, consultez la rubrique Ajouter la boîte aux lettres de fédération au groupe de super utilisateurs AD RMS.

Pré-licence

Pour permettre aux utilisateurs autorisés d'afficher les messages et pièces jointes protégés par IRM, Exchange joint automatiquement une pré-licence aux messages protégés. Ainsi, le client n'a pas besoin de revenir plusieurs fois au serveur AD RMS pour récupérer une licence d'utilisation et autorise la consultation hors ligne des messages protégés par IRM. Le service de pré-licence permet également aux utilisateurs d'afficher les messages protégés par IRM dans Outlook sur le web. Lorsque vous activez les fonctionnalités IRM, la pré-licence est activée par défaut.

Agents IRM

Les fonctionnalités IRM utilisent les agents de transport intégrés qui existent dans le service de transport sur les serveurs de boîtes aux lettres. La plupart des agents de transport intégrés sont invisibles et non gérables par les applets de commande de gestion de l’agent de transport dans Exchange Management Shell (*-TransportAgent).

Les agents de transport intégrés qui sont associés à l'IRM sont décrits dans ce tableau :

Nom de l’agent	Gérable ?	Événement SMTP ou du catégoriseur	Description
Agent de déchiffrement du rapport de journal	Non	OnCategorizedMessage	Fournit une copie en texte clair des messages protégés par IRM qui sont joints à des états de journal.
Agent de pré-licence	Non	OnRoutedMessage	Joint une pré-licence aux messages protégés par IRM.
Agent de déchiffrement RMS	Non	OnSubmittedMessage,	Déchiffre les messages protégés par IRM pour autoriser l'accès au contenu du message par des agents de transport.
Agent de chiffrement RMS	Non	OnRoutedMessage	Applique la protection IRM aux messages marqués par l'agent de transport et chiffre à nouveau les messages déchiffrés au cours du transport.
Agent de déchiffrement de protocole RMS	Non	OnEndOfData	Déchiffre les messages protégés par IRM pour autoriser l'accès au contenu du message par des agents de transport.
Agent de règles de transport	Oui	OnRoutedMessage	Marque les messages répondant aux conditions d'une règle de protection de transport comme devant recevoir une protection IRM par l'agent de chiffrement RMS.

Pour plus d’informations sur les agents de transport, consultez Agents de transport dans Exchange Server.

Configuration requise pour la Gestion des droits relatifs à l'information (IRM)

Par défaut, une organisation Exchange prend en charge l'IRM. Pour implémenter réellement la gestion des droits relatifs à l’information dans votre organisation Exchange Server, votre déploiement doit répondre aux exigences décrites dans ce tableau.

Serveur	Conditions requises
Cluster AD RMS	Cluster AD RMS est le terme utilisé pour tout déploiement AD RMS, y compris un seul serveur AD RMS. AD RMS étant un service web, vous n’avez pas besoin de configurer un cluster de basculement Windows Server. Pour la haute disponibilité et l’équilibrage de charge, vous pouvez déployer plusieurs serveurs AD RMS dans le cluster et utiliser l’équilibrage de charge réseau (NLB). Point de connexion de service : les applications prenant en charge AD RMS comme Exchange utilisent le point de connexion de service inscrit dans Active Directory pour découvrir un cluster AD RMS et des URL. La forêt Active Directory comporte un seul point de connexion de service pour AD RMS. Vous pouvez enregistrer le point de connexion de service pendant ou après l'installation d'AD RMS. Autorisations : Les autorisations de lecture et d’exécution sur le pipeline de certification du serveur AD RMS (le `ServerCertification.asmx` fichier sur `\inetpub\wwwroot\_wmcs\certification\`) doivent être affectées à ces principaux de sécurité : Groupe de serveurs Exchange ou serveurs Exchange spécifiques. Groupe de services AD RMS sur les serveurs AD RMS. Pour plus de détails, reportez-vous à l'article relatif à la définition d'autorisations dans le pipeline de certification de serveur AD RMS. Super utilisateurs AD RMS : pour activer le déchiffrement du transport, le déchiffrement des rapports de journal, l’IRM dans Outlook sur le web et le déchiffrement IRM pour la recherche Exchange, vous devez ajouter la boîte aux lettres de fédération au groupe Super Utilisateurs sur le serveur AD RMS. Pour plus d'informations, consultez la rubrique Ajouter la boîte aux lettres de fédération au groupe de super utilisateurs AD RMS.
Exchange	Exchange 2010 ou version ultérieure est requis. Un environnement de production ne prend pas en charge l'installation d'AD RMS et d'Exchange sur le même serveur.
Outlook	Les modèles AD RMS de protection des messages sont disponibles dans Outlook 2007 ou version ultérieure. Les règles de protection Outlook dans Exchange nécessitent Outlook 2010 ou version ultérieure.
Exchange ActiveSync	L'IRM est disponible sur les appareils et les applications mobiles qui prennent en charge la version de protocole Exchange ActiveSync 14.1 ou ultérieure et la balise RightsManagementInformation incluse (les deux étant compris dans le Service Pack 1 Exchange 2010). Les utilisateurs disposant d'appareils pris en charge peuvent utiliser ActiveSync pour afficher, transférer et créer des messages protégés par IRM, ainsi qu'y répondre, sans avoir à se connecter à un ordinateur pour activer l'appareil pour la fonctionnalité. Pour plus d’informations, consultez Présentation de la gestion des droits relatifs à l’information dans Exchange ActiveSync.

Les fonctionnalités IRM d'Exchange prennent en charge les formats de fichiers Office. Vous pouvez étendre la protection IRM à d'autres formats de fichiers en déployant des protections personnalisées. Pour plus d’informations sur les logiciels de protection personnalisés, recherchez Information Protection et Partenaires de contrôle sur la page Fournisseurs de solutions Microsoft.

Configuration et essai de l'IRM

L'Environnement de ligne de commande Exchange Management Shell permet de configurer les fonctionnalités IRM dans Exchange. Pour connaître les procédures, consultez Gestion des droits de protection.

Après avoir installé et configuré un serveur de boîte aux lettres, vous pouvez utiliser la cmdlet Test-IRMConfiguration pour tester de bout en bout votre déploiement IRM. La cmdlet effectue les tests suivants :

Elle inspecte la configuration IRM de votre organisation Exchange.
Elle contrôle les informations relatives à la version et aux correctifs du serveur AD RMS.
Elle vérifie s'il est possible d'activer un serveur Exchange pour RMS en récupérant le certificat de compte de droits (RAC) et le certificat de licence client.
Elle acquiert des modèles de stratégie de droits AD RMS à partir du serveur AD RMS.
Elle vérifie que l'expéditeur spécifié peut envoyer des messages protégés par IRM.
Elle récupère une licence d'utilisation de super utilisateur pour le destinataire spécifié.
Elle acquiert une pré-licence pour le destinataire spécifié.

Pour plus d'informations, consultez la rubrique Test-IRMConfiguration.

Étendre Rights Management avec le connecteur Rights Management

Le connecteur Azure Rights Management (connecteur RMS) est une application facultative qui améliore la protection des données de votre serveur Exchange en utilisant le service de Azure Rights Management basé sur le cloud (Azure RMS). Une fois que vous avez installé le connecteur RMS, il protège en continu les données au cours de la durée de vie des informations. Comme ces services sont personnalisables, vous pouvez définir le niveau de protection dont vous avez besoin. Par exemple, vous pouvez limiter l'accès d'utilisateurs spécifiques à des courriers électroniques ou définir des droits d'affichage seul pour certains messages.

Pour en savoir plus sur le connecteur RMS et son installation, consultez la rubrique Déploiement du connecteur Azure Rights Management.