Vue d’ensemble de la protection des données d’entreprise (EDP)

  • Article

[Certaines informations concernent la version préliminaire de produits susceptibles d’être considérablement modifiés d’ici leur commercialisation. Microsoft ne donne aucune garantie, expresse ou implicite, concernant les informations fournies ici.]

Avec l’augmentation du nombre d’appareils appartenant à l’employé dans l’entreprise, il existe un risque croissant de divulgation accidentelle des données par le biais des applications et des services qui échappent au contrôle de l’entreprise, tels que la messagerie, les médias sociaux et le cloud public.

La plupart des solutions existantes tentent de résoudre ce problème en demandant aux employés de basculer entre des conteneurs et des applications personnels et professionnels, ce qui est loin d’être optimal en matière d’expérience utilisateur. La fonctionnalité ayant pour nom de code Protection des données d’entreprise (EDP) offre une expérience utilisateur optimisée, tout en garantissant une meilleure distinction et une meilleure protection des applications et des données d’entreprise contre les risques de divulgation entre la société et les appareils personnels, sans nécessiter de modifications dans les environnements ou les applications. En outre, lorsque la fonctionnalité EDP est couplée aux services RMS, vos données d’entreprise sont protégées localement, et cette protection est maintenue même lorsque les données sont itinérantes ou partagées.

Avantages de la fonctionnalité EDP

La fonctionnalité EDP offre les avantages suivants :

  • Protection renforcée contre la fuite de données d’entreprise et impact minimal sur les pratiques professionnelles quotidiennes des employés.

  • Séparation évidente entre les données personnelles et les données d’entreprise, sans que les employés aient besoin de basculer entre les environnements ou les applications.

  • Protection des données supplémentaire pour les applications métiers existantes, sans mise à jour nécessaire des applications.

  • Possibilité d’effacer les données d’entreprise des appareils tout en conservant les données personnelles.

  • Utilisation des rapports d’audit pour le suivi des problèmes et les mesures correctives.

  • Intégration à votre système de gestion existant (Microsoft Intune, System Center Configuration Manager (version 1511 ou ultérieure) ou le système de gestion des appareils mobiles (GPM) actuel) pour configurer, déployer et gérer la fonctionnalité EDP au sein de votre société.

  • Protection supplémentaire pour vos données (grâce à l’intégration de RMS) en cas d’itinérance et de partage, comme lorsque vous partagez le contenu chiffré via Outlook ou que vous déplacez des fichiers chiffrés vers des clés USB.

  • Possibilité de gérer des applications universelles Office sur des appareils Windows 10 à l’aide d’une solution GPM pour protéger les données de l’entreprise. Pour gérer les applications mobiles Office pour les appareils iOS et Android, consultez les ressources techniques ici.

Prérequis

Vous aurez besoin des logiciels suivants pour exécuter la fonctionnalité EDP dans votre entreprise :

Système d’exploitation Solution de gestion
Windows 10

  • Intune

    -OU-

  • Gestionnaire de configuration (version 1511 ou ultérieure)

    -OU-

  • Votre solution GPM actuelle utilisée dans l’entreprise

 

Scénarios d’entreprise

La fonctionnalité EDP s’applique actuellement aux scénarios d’entreprise suivants :

  • Vous pouvez chiffrer les données de l’entreprise sur les appareils personnels et professionnels.

  • Vous pouvez effacer à distance les données d’entreprise sur les ordinateurs gérés, y compris les ordinateurs appartenant à un employé, sans affecter les données personnelles.

  • Vous pouvez sélectionner des applications spécifiques capables d’accéder aux données d’entreprise, appelées « applications privilégiées », que les employés peuvent facilement identifier. Vous pouvez également empêcher des applications sans privilèges d’accéder aux données d’entreprise.

  • Vos employés ne sont pas interrompus dans leur tâche lors du basculement entre les applications personnelles et les applications d’entreprise lorsque les stratégies d’entreprise sont en place. Il n’est pas nécessaire de changer d’environnements ou de vous connecter plusieurs fois.

Comment fonctionne EDP

La fonctionnalité EDP vous aide à relever les défis quotidiens dans l’entreprise. Elle permet notamment d’effectuer les actions suivantes :

  • Gérer les expériences employé indésirables dues aux stratégies strictes de protection des données.

  • Maintenir la confidentialité de vos données d’entreprise.

  • Gérer les applications qui ne sont pas basées sur les stratégies, en particulier sur les appareils mobiles.

  • Gérer l’impossibilité de verrouiller les appareils appartenant à l’employé, ce qui est susceptible d’entraîner la diffusion accidentelle de données entreprise.

Modes de protection

Vous avez le choix entre quatre niveaux de protection pour la fonctionnalité EDP :

  • Bloquer. La fonctionnalité EDP recherche les éventuels partages inappropriés de données et empêche l’employé de terminer son action.

  • Remplacer. La fonctionnalité EDP recherche les éventuels partages de données inappropriés, et informe l’employé d’une action inappropriée. Toutefois, ce niveau de protection permet à l’employé de remplacer la stratégie et de partager les données lors de l’enregistrement de l’action dans votre journal d’audit.

  • Audit. La fonctionnalité EDP s’exécute en mode silencieux et enregistre le partage inapproprié de données, sans rien bloquer.

  • Désactivée. La fonctionnalité EDP n’est pas active et ne protège pas vos données.

Expériences employé améliorées

La fonctionnalité EDP offre une expérience utilisateur améliorée, car elle ne nécessite pas le basculement entre les applications pour protéger les données d’entreprise. Par exemple, lors de la consultation de sa messagerie bureau dans Microsoft Outlook, un employé reçoit un message personnel. Sans quitter Outlook, les deux messages (personnel et professionnel) apparaissent côte à côte à l’écran.

Modification de la protection EDP

Les employés peuvent changer un document EDP en document personnel lorsque celui-ci est marqué de manière incorrecte comme document d’entreprise. Toutefois, cela nécessite que l’employé effectuer une action qui sera auditée et journalisée pour que vous puissiez la passer en revue

Sécurité des données d’entreprise

En tant qu’administrateur de l’entreprise, vous devez maintenir la sécurité et la confidentialité de vos données d’entreprise. La fonctionnalité EDP vous permet de vérifier que vos données d’entreprise sont protégées sur un ordinateur appartenant à un employé, même lorsqu’il n’est pas activement utilisé. Dans ce cas, lorsque l’employé crée initialement le contenu sur un appareil géré, il devra indiquer s’il s’agit d’un document de travail. S’il s’agit d’un document de travail, celui-ci est alors protégé localement en tant que données d’entreprise.

Suppression à distance des données d’entreprise sur les appareils

La fonctionnalité EDP offre également la possibilité d’effacer à distance vos données d’entreprise sur tous les appareils gérés par vous et utilisé par un employé, tout en conservant les données personnelles. Cela peut s’avérer utile lorsqu’un employé quitte votre entreprise ou en cas de vol de l’ordinateur.

Dans ce cas, les documents sont stockés localement et chiffrés avec une identité d’entreprise. Lorsque vous vérifiez si l’appareil doit être réinitialisé, vous pouvez envoyer une commande de suppression à distance par le biais de votre système de gestion des appareils mobiles, de manière à ce que lorsque l’appareil se connecte au réseau, les clés de chiffrement soient révoquées et les données d’entreprise supprimées. Cette action affecte uniquement les appareils qui ont été ciblés par la commande. Tous les autres appareils continuent à fonctionner normalement.

Copie ou téléchargement de données d’entreprise

Lorsque vous effectuez un téléchargement à partir d’un emplacement comme le partage de fichiers réseau ou SharePoint, ou d’un emplacement web d’entreprise (comme Office365.com), le système détermine automatiquement que le contenu inclut des données d’entreprise. Ce dernier est alors chiffré en tant que tel lorsqu’il est stocké localement. Il en va de même pour la copie des données d’entreprise vers un lecteur USB par exemple. Dans la mesure où le contenu est déjà marqué localement comme présentant des données d’entreprise, le chiffrement est conservé sur le nouvel appareil.

Applications privilégiées et restrictions

À l’aide de la fonctionnalité EDP, vous pouvez contrôler l’ensemble des applications désignées comme « applications privilégiées » ou les applications qui peuvent accéder aux données de votre entreprise et les utiliser. Une fois que vous ajoutez une application à votre liste d’applications privilégiées, elle est autorisée à utiliser les données d’entreprise. Toutes les applications non comprises dans cette liste sont traitées comme personnelles et n’ont pas accès à vos données d’entreprise, selon votre niveau de protection EDP.

Vos applications métier existantes n’ont pas à être modifiées pour être incluses en tant qu’applications privilégiées. Vous devez simplement les inclure dans votre liste.

Utilisation des applications privilégiées

Les applications privilégiées sont autorisées à accéder aux données d’entreprise et fonctionnent différemment avec d’autres applications personnelles ou non privilégiées. Par exemple, si votre niveau de protection EDP est configuré sur Bloquer, vos applications privilégiées autorisent l’utilisateur à copier-coller des informations entre applications privilégiées, mais pas à effectuer cette opération avec les applications personnelles. Imaginez une personne des RH souhaitant copier une description de poste à partir d’une application privilégiée vers le site web de recherche d’emploi (emplacement protégé par l’entreprise). Malheureusement, elle tente de coller par inadvertance le contenu dans une application personnelle. Le copier-coller échoue et une notification s’affiche, indiquant que l’erreur est due à une restriction de stratégie. Lorsque cette personne retente l’opération et colle correctement le contenu sur le site web de recherche d’emploi, cela fonctionne sans problème.

Choix du niveau d’accès aux données

La fonctionnalité EDP vous permet de bloquer, d’autoriser les remplacements ou d’auditer les actions de partage des données de vos employés. Le blocage arrête immédiatement l’action, tandis que l’autorisation des remplacements signale la présence d’un problème à l’employé, tout en lui permettant de continuer à partager les informations. Quant à l’audit, il enregistre simplement l’action sans l’arrêter, ce qui vous permet de détecter les tendances de partage inapproprié afin de prendre les mesures éducatives nécessaires.

Chiffrement des données persistantes

La fonctionnalité EDP permet de sécuriser vos données d’entreprise, même en cas d’itinérance. Les applications telles que Microsoft Office et OneNote utilisent la fonctionnalité EDP pour conserver le chiffrement de vos données sur divers emplacements et services. Par exemple, si un employé ouvre un contenu Outlook chiffré EDP, qu’il le modifie, puis qu’il essaie d’enregistrer la version modifiée sous un autre nom pour supprimer le chiffrement, cela ne fonctionne pas. Outlook applique automatiquement la fonctionnalité EDP au nouveau document, tout en maintenant le chiffrement des données.

Protection contre la divulgation accidentelle de données en espaces publics

La fonctionnalité EDP empêche le partage accidentel de vos données d’entreprise dans les espaces publics, comme le cloud public. Par exemple, si un employé stocke du contenu dans le dossier Documents, qui est automatiquement synchronisé avec OneDrive (une application de votre liste privilégiée), le document est chiffré localement et pas synchronisé avec le cloud personnel de l’utilisateur. De même, si d’autres applications de synchronisation, comme Dropbox™, ne figurent pas dans la liste privilégiée, elles ne peuvent pas synchroniser les fichiers chiffrés avec le cloud personnel de l’utilisateur.

Protection contre la divulgation accidentelle de données sur d’autres appareils

La fonctionnalité EDP empêche la fuite de vos données d’entreprise vers d’autres appareils lors du transfert ou du déplacement de contenu. Par exemple, si un employé place des données d’entreprise sur une clé USB qui contient également des données personnelles, les données d’entreprise restent chiffrées même si les informations personnelles restent ouvertes. En outre, le chiffrement continue lorsque l’employé copie le contenu chiffré vers un autre appareil géré par l’entreprise.

Important  La fonctionnalité EDP prend également en charge le chiffrement par fichier sur les cartes SD ainsi que la stratégie de chiffrement de l’appareil. Pour accéder à vos données chiffrées, vous devrez configurer le service RMS en même temps que la stratégie EDP.

 

Désactiver la fonctionnalité EDP

Vous pouvez désactiver la protection des données d’entreprise et les restrictions afin de rétablir les paramètres pré-EDP et ce, sans aucune perte de données. Toutefois, la désactivation de la fonctionnalité EDP n’est pas recommandée. Si vous choisissez de désactiver la fonctionnalité EDP, vous pourrez toujours ensuite la réactiver, mais vos informations de stratégies et de déchiffrement ne seront pas conservées.