Création d’une empreinte numérique de document

  • Article

Les professionnels de l'informatique de votre organisation gèrent toutes sortes d'informations sensibles au cours d'une journée typique. Dans le portail de conformité Microsoft Purview, l’empreinte digitale des documents vous permet de protéger plus facilement ces informations en identifiant les formulaires standard utilisés dans votre organization. Cet article décrit les concepts sous-jacents à la prise d’empreintes digitales des documents et explique comment créer une empreinte digitale de document à l’aide du portail de conformité ou de PowerShell.

La prise d’empreintes digitales de document inclut les fonctionnalités suivantes :

  • DLP peut utiliser l’empreinte digitale de document comme méthode de détection dans Exchange, SharePoint, OneDrive, Teams et appareils.
  • Les fonctionnalités d’empreinte digitale de document peuvent être gérées via le portail de conformité Microsoft Purview.
  • La correspondance partielle est prise en charge.
  • La correspondance exacte est prise en charge.
  • Amélioration de la précision de la détection
  • Prise en charge de la détection dans plusieurs langues, y compris les langues codées sur deux octets telles que le chinois, le japonais et le coréen.

Importante

Si vous êtes un client E5, nous vous recommandons de mettre à jour vos empreintes digitales existantes pour tirer parti de l’ensemble complet des fonctionnalités d’empreinte digitale de document. Si vous êtes un client E3, nous vous recommandons d’effectuer une mise à niveau vers une licence E5. Si vous choisissez de ne pas le faire, vous ne pourrez pas modifier les empreintes digitales existantes ou en créer de nouvelles après avril 2023.

Scénario de base pour la prise d’empreintes digitales de document

L’empreinte digitale de document est une fonctionnalité de Protection contre la perte de données Microsoft Purview (DLP) qui convertit un formulaire standard en type d’informations sensibles (SIT), que vous pouvez utiliser dans les règles de vos stratégies DLP. Par exemple, vous pouvez créer une empreinte numérique de document basée sur un modèle de brevet vierge, puis créer une stratégie DLP qui détecte et bloque tous les modèles de brevet sortants comportant des informations sensibles. Si vous le souhaitez, vous pouvez configurer des conseils de stratégie pour informer les expéditeurs qu’ils peuvent envoyer des informations sensibles et que l’expéditeur doit vérifier que les destinataires sont qualifiés pour recevoir les brevets. Ce processus fonctionne avec n'importe quel formulaire texte utilisé dans votre organisation. Voici d’autres exemples de formulaires que vous pouvez charger :

  • Formulaires officiels
  • Formulaires de conformité relatifs à la loi américaine HIPAA (Health Insurance Portability Accountability Act)
  • Formulaires d'informations sur les employés pour les services de ressources humaines
  • Formulaires personnalisés créés spécialement pour votre organisation

Dans l'idéal, votre organisation a pour habitude professionnelle d'utiliser certains formulaires pour la transmission d'informations sensibles. Pour activer la détection, chargez un formulaire vide à convertir en empreinte digitale du document. Ensuite, configurez une stratégie correspondante. Une fois ces étapes terminées, DLP détecte tous les documents dans le courrier sortant qui correspondent à cette empreinte digitale.

Fonctionnement des empreintes digitales des documents

Vous avez probablement déjà deviné que les documents n’ont pas d’empreintes digitales réelles, mais le nom permet d’expliquer la fonctionnalité. De la même manière que les empreintes digitales d'une personne répondent à des modèles uniques, les documents répondent à des modèles de mots uniques. Lorsque vous chargez un fichier, DLP identifie le modèle de mot unique dans le document, crée une empreinte de document basée sur ce modèle et utilise cette empreinte de document pour détecter les documents sortants contenant le même modèle. C'est pourquoi le téléchargement d'un formulaire ou d'un modèle permet de créer le type d'empreinte numérique de document le plus efficace. Chaque personne qui remplit un formulaire utilise le même ensemble de mots d’origine, puis ajoute ses propres mots au document. Si le document sortant n’est pas protégé par mot de passe et contient tout le texte du formulaire d’origine, DLP peut déterminer si le document correspond à l’empreinte digitale du document.

Diagramme d’empreintes digitales de document.

Le modèle de brevet contient les champs vides « Titre du brevet », « Inventeurs » et « Description », ainsi que les descriptions de chacun de ces champs, c’est le modèle de mot. Lorsque vous chargez le modèle de brevet d’origine, il se trouve dans l’un des types de fichiers pris en charge et en texte brut. DLP convertit ce modèle de mot en une empreinte de document, qui est un petit fichier XML Unicode contenant une valeur de hachage unique qui représente le texte d’origine. L’empreinte digitale est enregistrée en tant que classification de données dans Active Directory. (Par mesure de sécurité, le document d’origine lui-même n’est pas stocké sur le service ; seule la valeur de hachage est stockée. Le document d’origine ne peut pas être reconstruit à partir de la valeur de hachage.) L’empreinte digitale du brevet devient alors un SIT que vous pouvez associer à une stratégie DLP. Une fois que vous avez associé l’empreinte digitale à une stratégie DLP, DLP détecte tous les e-mails sortants contenant du contenu correspondant à l’empreinte digitale du brevet et traite celle-ci conformément à la stratégie de votre organization.

Par exemple, si vous configurez une stratégie DLP qui empêche les employés réguliers d’envoyer des messages sortants contenant des brevets, DLP utilise l’empreinte digitale du brevet pour détecter les brevets et bloquer ces e-mails. Vous pouvez également laisser votre service juridique être en mesure d’envoyer des brevets à d’autres organisations, car il a un besoin métier pour le faire. Pour permettre à des services spécifiques d’envoyer des informations sensibles, créez des exceptions pour ces services dans votre stratégie DLP. Vous pouvez également les autoriser à remplacer un conseil de stratégie par une justification métier.

Importante

Le texte dans les documents incorporés n’est pas pris en compte pour la création d’empreintes digitales. Vous devez fournir des exemples de fichiers modèles qui ne contiennent pas de documents incorporés.

Types de fichiers pris en charge

L’empreinte digitale des documents prend en charge les mêmes types de fichiers que les règles de flux de messagerie (également appelées règles de transport). Pour obtenir la liste des types de fichiers pris en charge, consultez Types de fichiers pris en charge pour l’inspection du contenu des règles de flux de messagerie. Remarque rapide sur les types de fichiers : ni les règles de flux de courrier ni les empreintes digitales de document ne prennent en charge le type de fichier .dotx, qui est un fichier modèle dans Microsoft Word. Lorsque vous voyez le mot « modèle » dans ce document et d’autres articles sur la prise d’empreintes digitales, il fait référence à un document que vous avez établi en tant que formulaire standard, et non comme type de fichier de modèle.

Limites de l’empreinte numérique de document

Les empreintes digitales des documents ne détectent pas les informations sensibles dans les cas suivants :

  • Si les fichiers sont protégés par mot de passe
  • Fichiers qui contiennent uniquement des images
  • Si les documents ne contiennent pas l'intégralité du texte du formulaire d'origine utilisé pour créer l'empreinte numérique de document
  • Fichiers de plus de 4 Mo

Remarque

Pour utiliser l’empreinte digitale des documents avec des appareils, l’analyse et la protection avancées de la classification doivent être activées.

Les empreintes digitales sont stockées dans un pack de règles distinct. Ce pack de règles a une taille maximale maximale de 1 à 150 Ko. Compte tenu de cette limite, vous pouvez créer environ 50 empreintes digitales par locataire.

Les exemples suivants montrent ce qui se passe si vous créez une empreinte digitale de document basée sur un modèle de brevet. Toutefois, vous pouvez utiliser n’importe quel formulaire comme base pour créer une empreinte digitale de document.

Exemple de portail de conformité d’un document de brevet correspondant à l’empreinte digitale d’un document d’un modèle de brevet

  1. Dans le portail de conformité Microsoft Purview, sélectionnez Classification des données, puis Classifieurs.
  2. Dans la page Classifieurs, choisissez Types> d’informations sensiblesCréer un sit basé sur une empreinte digitale.
  3. Entrez un nom et une description pour votre nouveau SIT.
  4. Chargez le fichier que vous souhaitez utiliser comme modèle d’empreinte digitale.
  5. FACULTATIF : Ajustez les exigences pour chaque niveau de confiance, puis choisissez Suivant. Pour plus d’informations, consultez Correspondance partielle et Correspondance exacte.
  6. Passez en revue vos paramètres >Créer.
  7. Lorsque la page de confirmation s’affiche, choisissez Terminé.

Exemple PowerShell d’un document de brevet correspondant à l’empreinte digitale d’un document d’un modèle de brevet

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Correspondance partielle

Pour configurer la correspondance partielle d’une empreinte digitale de document, lors de la configuration du niveau de confiance, choisissez Faible, Moyen ou Élevé et indiquez la quantité de texte du fichier qui doit correspondre à l’empreinte digitale en termes de pourcentage compris entre 30 % et 90 %.

Un niveau de confiance élevé retourne le moins de faux positifs, mais peut entraîner davantage de faux négatifs. Les niveaux de confiance faibles ou moyens retournent plus de faux positifs, mais peu de faux négatifs à zéro.

  • confiance faible : les éléments correspondants contiennent le moins de faux négatifs, mais le plus de faux positifs. Une confiance faible renvoie toutes les correspondances de confiance faible, moyenne et élevée.
  • confiance moyenne : les éléments correspondants contiennent un nombre moyen de faux positifs et de faux négatifs. Confiance moyenne retourne toutes les correspondances de confiance moyenne et haute.
  • confiance élevée : les éléments correspondants contiennent le moins de faux positifs, mais le plus grand nombre de faux négatifs.

Correspondance exacte

Pour configurer la correspondance exacte d’une empreinte digitale de document, sélectionnez Exact comme valeur pour le niveau de confiance élevé. Lorsque vous définissez le niveau de confiance élevé sur Exact, seuls les fichiers qui ont exactement le même texte que l’empreinte digitale sont détectés. Si le fichier présente même un petit écart par rapport à l’empreinte digitale, il ne sera pas détecté.

Vous utilisez déjà des SIT d’empreinte digitale ?

Vos empreintes digitales et vos stratégies/règles existantes pour ces empreintes digitales doivent continuer à fonctionner. Si vous ne souhaitez pas utiliser les dernières fonctionnalités d’empreinte digitale, vous n’avez rien à faire.

Si vous disposez d’une licence E5 et que vous souhaitez utiliser les dernières fonctionnalités d’empreinte digitale, vous pouvez créer une nouvelle empreinte digitale ou migrer une stratégie vers la version la plus récente.

Remarque

La création de nouvelles empreintes digitales à l’aide des modèles sur lesquels une empreinte digitale existe déjà n’est pas prise en charge.

Créer une stratégie à l’aide de votre sit d’empreinte digitale à l’aide du portail de conformité

  1. Dans la portail de conformité Microsoft Purview, sélectionnezStratégies> de protection contre la> perte de données Types >d’informations sensibles+ Créer une stratégie>personnalisée pour créer une stratégie.
  2. Sélectionnez votre région ou pays >Suivant.
  3. Nommez votre stratégie et fournissez une description >Suivant.
  4. Dans la page Attribuer des unités d’administration , choisissez entre ces deux options :
    • Appliquez la stratégie à tous les utilisateurs et groupes >Suivant.
      Ou
    • Ajoutez des utilisateurs et des groupes spécifiques auxquels vous souhaitez être soumis à la stratégie >Suivant.
  5. Sélectionnez les emplacements où vous souhaitez appliquer la stratégie >Suivant.
  6. Dans la page Définir les paramètres de stratégie, choisissez Créer personnaliser les règles> DLPavancées Suivant.
  7. Dans la page Personnaliser les règles DLP avancées , choisissez Créer une règle.
  8. Entrez un nom et une description pour votre règle.
  9. Sous Conditions, choisissez Ajouter une condition>contenu.
  10. Donnez à votre nouvel ensemble de règles DLP un nom >de groupeAjouter des>types d’informations sensibles.
  11. Recherchez et sélectionnez le nom de votre empreinte digitale SIT >Add.
  12. Sélectionnez votre niveau > de confiance Ajouter une action.
  13. Sélectionnez l’action à effectuer lorsque la règle est déclenchée, puis spécifiez les détails > de l’action Enregistrer>suivant.
  14. Choisissez entre ces deux options :
    • Testez votre stratégie >Suivant.
      Ou
    • Activez immédiatement > votre stratégie Suivant.
  15. Passez en revue vos paramètres >Envoyer>terminé.

Créer un type d’informations sensibles personnalisé basé sur l’empreinte digitale des documents à l’aide de PowerShell

Actuellement, vous pouvez créer une empreinte digitale de document uniquement dans PowerShell sécurité & conformité.

DLP utilise les types d’informations sensibles (SIT) pour détecter le contenu sensible. Pour créer un sit personnalisé basé sur une empreinte digitale de document, utilisez l’applet de commande New-DlpSensitiveInformationType . L’exemple suivant crée une empreinte digitale de document nommée « Contoso Customer Confidential » en fonction du fichier C :\Mes documents\Contoso Customer Form.docx.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Enfin, ajoutez le type d’informations sensibles « Contoso Customer Confidential » à une stratégie DLP dans le portail de conformité Microsoft Purview. Cet exemple ajoute une règle à une stratégie DLP existante, nommée « ConfidentialPolicy ».

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

Vous pouvez également utiliser le sit d’empreinte digitale dans les règles de flux de courrier dans Exchange, comme illustré dans l’exemple suivant. Pour exécuter cette commande, vous devez d’abord vous connecter à Exchange PowerShell. Notez également que la synchronisation des sits entre le portail de conformité Microsoft Purview et le Centre d’administration Exchange prend du temps.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP détecte désormais les documents qui correspondent à l’empreinte digitale du document Form.docx client Contoso.

Pour plus d’informations sur la syntaxe et les paramètres, consultez :

Modifier, tester ou supprimer une empreinte digitale de document

Pour ce faire via l’interface utilisateur, ouvrez le sit d’empreinte digitale que vous souhaitez modifier, tester ou supprimer, puis choisissez l’icône appropriée.

Pour ce faire via PowerShell, exécutez la ou les commandes suivantes.

Modifier une empreinte digitale d’un document

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Tester une empreinte digitale de document

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Supprimer une empreinte digitale de document

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Migrer une nouvelle stratégie à l’aide de votre sit d’empreinte digitale à l’aide du portail de conformité

  1. Dans le portail de conformité Microsoft Purview, sélectionnez Stratégies de protection contre la> perte de donnéesTypes>d’informations sensibles.
  2. Ouvrez le sit contenant l’empreinte digitale que vous souhaitez migrer.
  3. Choisissez Modifier.
  4. Chargez à nouveau le même fichier d’empreinte digitale.
  5. Passez en revue les paramètres > d’empreinte digitale Terminé.

Migrer une empreinte digitale à l’aide de PowerShell

Entrez la commande suivante :

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"