Protection contre la perte de données dans Exchange Online

Découvrez les stratégies DLP dans Exchange Online, notamment ce qu’elles contiennent et comment les tester. Vous allez également découvrir une nouvelle fonctionnalité dans Exchange DLP.

La protection contre la perte de données (Data loss prevention, DLP) est un élément important des systèmes de messagerie d'entreprise, en raison de l'utilisation massive du courrier électronique dans les communications stratégiques pour l'entreprise qui incluent des données sensibles. Afin de respecter les exigences de conformité liées à ces données et de gérer leur utilisation dans le courrier électronique sans diminuer la productivité des utilisateurs, les fonctions DLP rendent la gestion des données sensibles plus simple qu'elle ne l'a jamais été. Pour obtenir une vue d’ensemble conceptuelle de la protection contre la perte de données, regardez la vidéo suivante.

Les stratégies DLP sont des packages simples qui contiennent des ensembles de conditions, qui sont constitués de conditions de règle de flux de courrier (également appelée règle de transport), d’exceptions et d’actions que vous créez dans le Centre d’administration Exchange (EAC), puis que vous activez pour filtrer les messages électroniques et les pièces jointes. Vous pouvez créer une stratégie DLP, mais choisir de ne pas l'activer. Cela vous permet de tester vos stratégies sans affecter le flux de messagerie. Les stratégies DLP peuvent utiliser toute la puissance des règles de flux de courrier existantes. En fait, un certain nombre de nouveaux types de règles de flux de messagerie ont été créés dans Exchange Online afin d’accomplir une nouvelle fonctionnalité DLP. Une nouvelle fonctionnalité importante des règles de flux de messagerie est une nouvelle approche de la classification des informations sensibles qui peuvent être incorporées dans le traitement du flux de messagerie. Cette nouvelle fonctionnalité DLP effectue une analyse en profondeur du contenu via des correspondances de mot clé, des correspondances de dictionnaire, l'évaluation d'expressions standard et d'autres examens de contenu en vue de détecter le contenu non conforme aux stratégies DLP de l'organisation. Pour plus d’informations sur les règles de flux de courrier, consultez Règles de flux de courrier (règles de transport) dans Exchange Online et Intégration de règles d’informations sensibles avec des règles de flux de courrier dans Exchange Online. Vous pouvez également gérer vos stratégies DLP à l’aide Exchange Online applets de commande PowerShell dans Exchange PowerShell.

En plus des stratégies DLP personnalisables elles-mêmes, vous pouvez également informer les expéditeurs de courriers électroniques qu’ils peuvent être sur le point de violer l’une de vos stratégies, avant même qu’ils envoient un message incriminé. Pour ce faire, configurez les conseils de stratégie. Les conseils de stratégie sont similaires aux infos-courrier et peuvent être configurés pour présenter une courte note dans le client Microsoft Outlook 2013 qui fournit des informations sur les violations de stratégie possibles à une personne créant un message. Dans Exchange Online, les conseils de stratégie sont également affichés dans Outlook sur le web (anciennement appelé Outlook Web App) et OWA pour appareils. Pour plus d'informations, consultez la rubrique Conseils de stratégie.

Établir des stratégies visant à protéger les données sensibles

Les fonctions de protection contre la perte de données peuvent vous aider à identifier et surveiller de nombreuses catégories d'informations sensibles que vous avez définies dans les conditions de vos stratégies, comme les numéros d'identification privée ou les numéros de carte de crédit. Vous avez la possibilité de définir vos propres stratégies personnalisées et règles de flux de courrier ou d’utiliser les modèles de stratégie DLP prédéfinis fournis par Microsoft pour commencer rapidement. Pour plus d'informations sur les modèles de stratégie inclus, consultez la rubrique Modèles de stratégies DLP fournis dans Exchange. Un modèle de stratégie inclut un ensemble de conditions, de règles et d'actions que vous pouvez choisir pour créer et enregistrer une stratégie DLP qui vous aidera à inspecter les messages. Les modèles de stratégie sont des modèles à partir desquels vous pouvez sélectionner ou créer vos propres règles spécifiques, de façon à créer une stratégie répondant à vos besoins en matière de protection contre la perte de données.

Il existe trois différentes méthodes pour commencer à utiliser DLP :

1. Appliquer un modèle prête à l’emploi fourni par Microsoft : le moyen le plus rapide de commencer à utiliser des stratégies DLP consiste à créer et à implémenter une nouvelle stratégie à l’aide d’un modèle. Cela vous évite de devoir créer intégralement un nouveau groupe de règles. Vous devez déterminer le type de données à contrôler ou la règle de conformité à vérifier. Vous devez également connaître les attentes de votre organisation en matière de traitement de ces données. Pour plus d'informations, consultez les rubriques Modèles de stratégies DLP fournis dans Exchange et Création d'une stratégie DLP à partir d'un modèle.

2. Importer un fichier de stratégie prédéfini en dehors de votre organisation : vous pouvez importer des stratégies qui ont déjà été créées en dehors de votre environnement de messagerie par des éditeurs de logiciels indépendants. De cette façon, vous pouvez étendre les solutions DLP qui répondent aux besoins de votre entreprise.

3. Créer une stratégie personnalisée sans conditions préexistantes : votre entreprise peut avoir ses propres exigences pour la surveillance de certains types de données connus dans un système de messagerie. Vous pouvez créer intégralement une stratégie personnalisée afin de commencer à vérifier vos propres données de messages uniques et à agir sur ces dernières. Afin de créer la stratégie personnalisée, vous devrez connaître les exigences et les contraintes de l'environnement dans lequel la stratégie DLP sera appliquée. Pour plus d'informations, consultez les rubriques Création d'une stratégie personnalisée de protection contre la perte de données (DLP).

Après avoir ajouté une stratégie, vous pouvez vérifier et modifier ses règles, la désactiver ou la supprimer complètement.

Types d'informations sensibles dans les stratégies DLP

Lorsque vous créez ou modifiez des stratégies DLP, vous pouvez inclure des règles qui comportent des vérifications d'informations sensibles. Les types d’informations sensibles répertoriés dans la rubrique Définitions d’entité de type d’informations sensibles peuvent être utilisés dans vos stratégies. Les conditions que vous établissez dans une stratégie, comme le nombre de fois qu'un élément doit être trouvé pour réaliser une action ou encore le contenu exact de cette action, peuvent être personnalisées dans vos nouvelles stratégies personnalisées afin de répondre à vos exigences de stratégies spécifiques. Pour plus d’informations sur la création de stratégies DLP, consultez Créer une stratégie DLP personnalisée. Pour plus d’informations sur les règles de flux de messagerie de la suite complète, consultez Règles de flux de courrier (règles de transport) dans Exchange Online.

Pour que vous puissiez utiliser facilement les règles associées aux informations sensibles, Microsoft a fourni des modèles de stratégie qui incluent déjà certains types d'informations sensibles. Toutefois, vous ne pouvez pas ajouter de conditions pour tous les types d’informations sensibles répertoriés ici aux modèles de stratégie, car les modèles sont conçus pour vous aider à vous concentrer sur les types les plus courants de données liées à la conformité au sein de votre organisation. Pour plus d'informations sur les modèles prégénérés, consultez la rubrique Modèles de stratégies DLP fournis dans Exchange. Vous pouvez créer de nombreuses stratégies DLP pour votre organisation et les activer toutes de façon à examiner divers types d'informations. Vous pouvez aussi créer une stratégie DLP qui n'est pas basée sur un modèle existant. Pour commencer la création de cette stratégie, consultez la rubrique Création d'une stratégie personnalisée de protection contre la perte de données (DLP). Pour plus d’informations sur les types d’informations sensibles, consultez Définitions d’entité de type d’informations sensibles.

Les conseils de stratégie indiquent aux utilisateurs les attentes en termes de contenu sensible

Vous pouvez utiliser les messages de notification de conseils de stratégie pour informer les expéditeurs de messages de possibles problèmes de conformité lorsqu'ils composent un message électronique. Lorsque vous configurez un conseil de stratégie dans une stratégie DLP, le message de notification ne s'affiche que si un élément dans le message électronique de l'expéditeur répond aux conditions décrites dans votre stratégie. Les conseils de stratégie sont semblables aux infos-courrier introduites dans Microsoft Exchange 2010. Pour plus d'informations, consultez la rubrique Conseils de stratégie.

Détection des informations sensibles avec la classification des messages traditionnelle

Exchange Online présente une nouvelle méthode pour vous aider à gérer les données des messages et des pièces jointes par rapport à la classification traditionnelle des messages. Un facteur essentiel de la puissance d'une solution DLP est la possibilité d'identifier correctement le contenu confidentiel ou sensible pouvant être spécifique à l'organisation, aux exigences réglementaires, à la géographie ou à d'autres exigences métier. Exchange Online pouvez y parvenir en utilisant une nouvelle architecture pour l’analyse approfondie du contenu, associée à des critères de détection que vous établissez par le biais de règles dans vos stratégies DLP. La prévention de la perte de données dans Exchange Online repose sur la configuration de l’ensemble correct de règles d’informations sensibles afin qu’elles fournissent un haut niveau de protection tout en réduisant l’interruption inappropriée du flux de courrier avec des faux positifs et négatifs. Ces types de règles, appelés détection d’informations sensibles dans les informations DLP, fonctionnent dans l’infrastructure offerte par les règles de flux de messagerie afin d’activer les fonctionnalités DLP.

Pour en savoir plus sur ces nouvelles fonctionnalités, consultez Intégration de règles d’informations sensibles avec des règles de flux de messagerie dans Exchange Online. Les champs de la classification des messages traditionnelle peuvent toujours être appliqués aux messages dans Exchange et peuvent être combinés avec la nouvelle détection des informations sensibles, soit ensemble dans une stratégie DLP unique, soit simultanément afin d'être évalués indépendamment dans Exchange. Pour en savoir plus sur les classifications de messages Exchange 2010 héritées, consultez Présentation des classifications de messages.

Conditions préalables à l'installation

Pour pouvoir utiliser les fonctionnalités DLP, vous devez disposer d’au moins une boîte aux lettres avec une licence Exchange Online Plan 2 configurée. Pour plus d’informations, consultez Exchange Online description du service.

Pour plus d'informations

Exchange Online

• Sécurité et conformité pour Exchange Online