Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Background
Confiance nulle est une stratégie de sécurité utilisée pour concevoir des principes de sécurité pour votre organisation. Confiance nulle permet de sécuriser les ressources d’entreprise en implémentant les principes de sécurité suivants :
Vérifier explicitement. Toujours authentifier et autoriser en fonction de tous les points de données disponibles, y compris l'identité de l'utilisateur, l'emplacement, l'état du dispositif, le service ou la charge de travail, la classification des données et les anomalies.
Utiliser l'accès à privilège minimum. Limitez l’accès des utilisateurs avec des approches juste-à-temps (JIT) et Just-Enough-Access (JEA), des stratégies adaptatives fondées sur les risques, ainsi que la protection des données, afin de sécuriser à la fois les données et la productivité.
Supposer une violation. Réduire au minimum le rayon de l'explosion et segmenter l'accès. Vérifiez le chiffrement de bout en bout et utilisez l’analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.
Microsoft Purview propose cinq éléments principaux pour une stratégie de défense des données en profondeur et une implémentation Confiance nulle pour les données :
Classification et étiquetage des données
Si vous ne savez pas quelles données sensibles vous possédez localement et dans les services cloud, vous ne pouvez pas les protéger de manière adéquate. Découvrez et détectez les données dans l'ensemble de votre organisation et classez-les par niveau de sensibilité.Protection de l'information
L’accès conditionnel et le moins privilégié aux données sensibles réduisent les risques de sécurité des données. Appliquer des garde-fous de contrôle d'accès basés sur la sensibilité, la gestion des droits et le cryptage lorsque les contrôles environnementaux sont insuffisants. Utilisez des marquages de confidentialité des informations pour accroître la sensibilisation et la conformité des stratégies de sécurité.Prévention contre la perte de données
Le contrôle d’accès résout uniquement une partie du problème. La vérification et le contrôle des activités et mouvements de données risqués pouvant entraîner un incident de sécurité ou de conformité des données permettent aux organisations de prévenir le partage à outrance des données sensibles.Gestion des risques internes
L’accès aux données ne donne pas toujours l’ensemble des détails. Réduisez les risques liés aux données en activant la détection comportementale à partir d’un large éventail de signaux, et en agissant sur des activités potentiellement malveillantes et accidentelles dans votre organisation qui pourraient être des précurseurs ou une indication d’une violation de données.Gouvernance des données
La gestion proactive du cycle de vie des données sensibles réduit son exposition. Limitez le nombre de copies ou de propagation de données sensibles et supprimez les données qui ne sont plus nécessaires pour réduire les risques de violation de données.
Objectifs de déploiement de Confiance nulle pour les données
|
Nous vous recommandons de vous concentrer sur ces objectifs de déploiement initiaux lors de l’implémentation d’une infrastructure de Confiance nulle de bout en bout pour les données : |
|
|
Icône de liste avec une coche de validation. |
I.Classifier et étiqueter les données. Classifier et étiqueter automatiquement les données dans la mesure du possible. Appliquez manuellement où ce n’est pas le cas. II.Appliquer le chiffrement, le contrôle d’accès et les marquages de contenu. Appliquer le chiffrement où la protection et le contrôle d’accès sont insuffisants. III.Contrôler l’accès aux données. Contrôler l’accès aux données sensibles afin qu’elles soient mieux protégées. Assurez-vous que les décisions relatives à l'accès et à la politique d'utilisation tiennent compte de la sensibilité des données. |
|
Au fur et à mesure que vous atteignez les objectifs ci-dessus, ajoutez ces objectifs de déploiement supplémentaires : |
|
|
Icône de liste avec deux coches. |
IV.Empêcher la fuite de données. Utiliser des stratégies DLP pilotées par les signaux à risque et la sensibilité des données. V.Gérer les risques. Gérez les risques susceptibles d’entraîner un incident de sécurité des données, en vérifiant les activités d’utilisateurs et les modèles d’activité des données liés à la sécurité des données qui peuvent entraîner un incident de sécurité ou de conformité des données. VI.Réduire l’exposition des données. Réduire l’exposition des données par le biais de la gouvernance des données et de la réduction continue des données |
guide de déploiement Confiance nulle pour les données
Ce guide vous guide pas à pas dans une approche Confiance nulle de la protection des données. N’oubliez pas que ces éléments varient considérablement en fonction de la confidentialité de vos informations, ainsi que de la taille et de la complexité de votre organisation.
En tant que précurseur de toute implémentation de sécurité des données, Microsoft vous recommande de créer une taxonomie d’étiquettes de classification des données et d’étiquettes de confidentialité qui définit des catégories de haut niveau de risque de sécurité des données. Cette taxonomie sera utilisée pour simplifier tout, de l’inventaire des données ou des insights d’activité, à la gestion des stratégies à la hiérarchisation des enquêtes.
Pour plus d’informations, consultez l’article suivant :
- Créer une infrastructure de classification des données bien conçue
|
Icône de liste de contrôle avec une coche. |
Objectifs de déploiement initiaux |
Chapitre I Classifier, étiqueter et découvrir les données sensibles
Une stratégie de protection des informations doit englober la totalité du contenu numérique de votre organisation.
Les classifications et les étiquettes de confidentialité vous permettent de comprendre où se trouvent vos données sensibles, comment elles se déplacent et implémentent des contrôles d’accès et d’utilisation appropriés cohérents avec les principes de confiance zéro :
Utilisez la classification et l’étiquetage automatisés pour détecter les informations sensibles et mettre à l’échelle la découverte dans votre patrimoine de données.
Utilisez l’étiquetage manuel pour les documents et les conteneurs, et curez manuellement des ensembles de données utilisés dans l’analyse où la classification et la sensibilité sont mieux établies par des utilisateurs compétents.
Effectuez les étapes suivantes :
Découvrir les types d’informations sensibles
En savoir plus sur les classifieurs entraînables
En savoir plus sur les étiquettes de sensibilité
Une fois que vous avez configuré et testé la classification et l’étiquetage, étendez la découverte des données dans votre infrastructure de données.
Procédez comme suit pour étendre la découverte au-delà des services Microsoft 365 :
Découvrir et protéger les informations sensibles dans l’application SaaS
Learn sur les analyses et l’ingestion dans le portail de gouvernance Microsoft Purview
Lorsque vous découvrez, classifiez et étiquetez vos données, utilisez ces insights pour corriger les risques et informer vos initiatives de gestion des stratégies.
Effectuez les étapes suivantes :
Prise en main de l’explorateur de contenus
Passer en revue l’activité d’étiquetage avec l’Explorateur d’activités
En savoir plus sur l'Analyse des données
II. Appliquer le chiffrement, le contrôle d’accès et les marquages de contenu
Simplifiez votre implémentation de privilèges minimum à l’aide d’étiquettes de confidentialité pour protéger vos données les plus sensibles avec le chiffrement et le contrôle d’accès. Utilisez des marquages de contenu pour améliorer la sensibilisation et la traçabilité des utilisateurs.
Protéger les documents et les emails
Microsoft Purview Information Protection permet l’accès et le contrôle d’utilisation en fonction des étiquettes de confidentialité ou des autorisations définies par l’utilisateur pour les documents et les e-mails. Il peut également appliquer des marquages et chiffrer des informations qui résident dans ou circulent vers des environnements de confiance moindre internes ou externes à votre organisation. Il offre une protection au repos, en mouvement et pendant l'utilisation pour des applications éclairées.
Effectuez les étapes suivantes :
- Examiner les options de chiffrement dans Microsoft 365
- Restreindre l'accès au contenu et à l'utilisation en utilisant des étiquettes de sensibilité
Protéger les documents dans Exchange, SharePoint et OneDrive
Pour les données stockées dans Exchange, SharePoint et OneDrive, la classification automatique avec des étiquettes de confidentialité peut être déployée via des stratégies vers des emplacements ciblés pour restreindre l’accès et gérer le chiffrement sur les sorties autorisées.
Étape à suivre
III. Contrôler l’accès aux données
L’attribution des accès aux données sensibles doit être contrôlée afin qu’elles soient mieux protégées. Assurez-vous que les décisions relatives à l'accès et à la politique d'utilisation tiennent compte de la sensibilité des données.
Contrôler l’accès et le partage des données dans Teams, Groupes Microsoft 365 et sites SharePoint
Utilisez des étiquettes de confidentialité de conteneur pour implémenter des restrictions d’accès conditionnel et de partage pour Microsoft Teams, Groupes Microsoft 365 ou SharePoint sites.
Étape à suivre
Contrôler l'accès aux données dans les applications SaaS
Microsoft Defender for Cloud Apps fournit des fonctionnalités supplémentaires pour l’accès conditionnel et pour gérer des fichiers sensibles dans des environnements Microsoft 365 et tiers tels que Box ou Google Workspace, notamment :
Suppression des autorisations pour traiter les privilèges excessifs et empêcher les fuites de données.
Mise en quarantaine des fichiers à réviser.
Application d’étiquettes à des fichiers sensibles.
Effectuez les étapes suivantes :
Conseil
Consultez Intégrer des applications SaaS pour Confiance nulle avec Microsoft 365 pour apprendre à appliquer les principes de Confiance nulle afin de gérer votre environnement numérique d'applications cloud.
Contrôler l’accès au stockage IaaS/PaaS
Déployez des stratégies de contrôle d’accès obligatoires sur des ressources IaaS/PaaS qui contiennent des données sensibles.
Étape à suivre
IV. Empêcher la fuite de données
Le contrôle de l’accès aux données est nécessaire, mais insuffisant pour exercer un contrôle sur le déplacement des données et empêcher les fuites ou pertes de données accidentelles ou non autorisées. C’est le rôle de la protection contre la perte de données et de la gestion des risques internes, qui est décrit dans la section IV.
Utilisez Microsoft Purview stratégies DLP pour identifier, vérifier et protéger automatiquement les données sensibles :
Microsoft 365 services tels que Teams, Exchange, SharePoint et OneDrive
Applications Office telles que Word, Excel et PowerPoint
points de terminaison Windows 10, Windows 11 et macOS (trois dernières versions publiées)
partages de fichiers locaux et SharePoint locaux
Applications de cloud non-Microsoft.
Effectuez les étapes suivantes :
Planifier la protection contre la perte de données
Créer, tester et paramétrer des stratégies DLP
En savoir plus sur le tableau de bord Alertes de protection contre la perte de données
Examiner l'activité des données avec l'Activity Explorer
V. Gérer les risques internes
Les implémentations de privilèges minimum permettent de réduire les risques connus. Cependant, il est également important de mettre en corrélation des signaux comportementaux utilisateur liés à la sécurité supplémentaires, de vérifier les modèles d’accès aux données sensibles et d’étendre les capacités de détection, d’enquête et de repérage.
Procédez comme suit :
En savoir plus sur la gestion des risques internes
Examiner les activités de gestion des risques internes
VI. Supprimer des informations sensibles inutiles
Les organisations peuvent réduire leur exposition aux données en gérant le cycle de vie de leurs données sensibles.
Supprimez tous les privilèges où vous êtes en mesure de le faire, en supprimant les données sensibles elles-mêmes lorsqu’elles ne sont plus utiles ou autorisées à votre organisation.
Étape à suivre
- Déployer la gestion du cycle de vie des données et la gestion des enregistrements
Réduisez la duplication des données sensibles en favorisant le partage et l’utilisation sur place plutôt que les transferts de données.
Étape à suivre
Produits abordés dans ce guide
Microsoft Defender for Cloud Apps
Pour plus d’informations ou pour obtenir de l’aide sur l’implémentation, contactez l’équipe chargée de la réussite client.
La série de guides de déploiement Confiance nulle
Icône pour la présentation
Icône pour l'identité
Icône pour les points de terminaison
Icône pour les applications
Icône pour les données
Icône pour l’infrastructure
Icône pour les réseaux
Icône pour Visibilité, automatisation et orchestration