Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La sécurité des données réseau Microsoft Purview permet aux organisations de surveiller, de classifier et d’appliquer des protections au trafic HTTP et HTTPS par le biais d’intégrations avec une ou plusieurs solutions SASE (Secure Access Service Edge) intégrées :
- En préversion, filtrage des fichiers réseau avec l’accès sécurisé global (fichiers uniquement). Pour plus d’informations sur le filtrage de fichiers réseau, consultez Créer une stratégie de fichier pour filtrer le contenu des fichiers réseau (préversion).
- En général disponibilité, intégration avec des solutions de sécurité réseau SASE tierces (texte et fichiers).
Cette fonctionnalité utilise les fonctionnalités de Protection contre la perte de données Microsoft Purview (DLP) pour la protection, les classifieurs que vous utilisez déjà dans d’autres stratégies Microsoft Purview et les stratégies de collecte pour vous donner des informations et appliquer des protections aux données sensibles partagées avec l’IA générative et d’autres applications cloud non managées. Vous pouvez utiliser le type de stratégie ou les deux en fonction des besoins de votre organization. Vous pouvez utiliser des stratégies de collecte pour la découverte des données et des stratégies DLP pour prévenir l’exfiltration de données.
Avec la sécurité des données réseau, vous pouvez identifier, bloquer et alerter sur le contenu sensible partagé par le biais de ces interactions :
- Interactions avec l’IA générative par le biais de navigateurs, d’applications et de compléments, tels que Chat GPT, Gemini et Claude.
- Fichiers chargés vers des fournisseurs de stockage cloud non approuvés, notamment Dropbox, Box et Google Drive.
- E-mails et pièces jointes partagés avec des fournisseurs de messagerie cloud, tels que Gmail.
- Envoi de formulaires par le biais de services de formulaires en ligne, y compris Google Forms.
- Publications sur les réseaux sociaux sur des services courants comme Facebook et X.
Avant de commencer
Si vous débutez avec les stratégies de collecte Microsoft Purview, les modèles de facturation de paiement à l’utilisation Microsoft Purview ou microsoft Purview DLP, vous devez vous familiariser avec les informations contenues dans ces articles :
- Vue d’ensemble de la solution Stratégies de regroupement
- En savoir plus sur la prévention des pertes de données
- En savoir plus sur les modèles de facturation Microsoft Purview
- Prise en main de l’explorateur d’activités
Licences
Pour plus d’informations sur les licences, consultez
La sécurité des données réseau nécessite le modèle de facturation avec paiement à l’utilisation Microsoft Purview. Si votre organization n’a pas configuré le paiement à l’utilisation pour votre client Microsoft 365, vous devez le configurer avant d’utiliser les fonctionnalités de sécurité des données réseau. Le modèle de paiement à l’utilisation vous permet de payer uniquement pour les fonctionnalités Microsoft Purview que vous utilisez. Il est conçu pour être flexible et rentable, ce qui vous permet d’augmenter ou de réduire l’utilisation en fonction des besoins.
Importante
Pour utiliser des stratégies de collecte, vous devez disposer de licences E5 par siège en plus de l’abonnement de paiement à l’utilisation. Pour utiliser des stratégies DLP avec la sécurité des données réseau uniquement, l’abonnement avec paiement à l’utilisation est tout ce dont vous avez besoin. Si vous utilisez d’autres fonctionnalités DLP, vous devez disposer d’une licence par siège.
Pour plus d’informations sur la configuration du modèle de facturation de paiement à l’utilisation, consultez Activer les fonctionnalités de paiement à l’utilisation de Microsoft Purview pour les nouveaux clients.
Remarque
L’intégration des accès sécurisés globaux est actuellement exclue de la facturation du paiement à l’utilisation pour la protection en transit en préversion. Toutefois, vous devez toujours configurer la facturation du paiement à l’utilisation avant de configurer une collection Microsoft Purview ou une stratégie DLP. D’autres frais de paiement à l’utilisation peuvent continuer à s’appliquer en fonction des fonctionnalités utilisées.
Fonctionnement de la sécurité des données réseau
D’un point de vue général, la solution de sécurité des données réseau Microsoft Purview combine deux composants :
Solution de sécurité réseau
La solution de sécurité des données réseau intègre vos solutions SASE (Secure Access Service Edge) directement dans Microsoft Purview. Les solutions de sécurité réseau surveillent le trafic réseau et envoient les données à Microsoft Purview pour la classification et l’évaluation de la stratégie. Lorsque vous appliquez des protections via l’utilisation de stratégies DLP, la communication entre votre solution SASE et Microsoft Purview est en temps réel. Si vous utilisez la sécurité des données réseau pour la surveillance uniquement via des stratégies de regroupement, la communication est asynchrone.
Pour plus d’informations sur les solutions SASE prises en charge, consultez Protection contre la perte de données Microsoft Purview page Intégrations.
Importante
Si vous choisissez d’intégrer des partenaires non-Microsoft, ceux-ci pourront accéder à et éventuellement stocker une configuration de stratégie, y compris des identificateurs d’utilisateur. Leurs conditions générales et leur politique de confidentialité régissent l’utilisation et le stockage de ces données.
Microsoft Purview
Vous configurez l’intégration entre Microsoft Purview et la solution de sécurité réseau sous l’onglet Intégrations des paramètres DLP. Cette intégration établit le canal de communication bidirectionnel entre la solution de sécurité réseau et Microsoft Purview.
Ensuite, configurez une stratégie de collecte ou de protection contre la perte de données qui définit les conditions, les activités et les applications cloud que vous souhaitez que la solution de sécurité réseau collecte et envoie à Microsoft Purview.
- Pour plus d’informations sur la création d’une stratégie de collecte pour la sécurité des données réseau, consultez Scénario 1 Détecter des données sensibles partagées avec des applications cloud non managées via le réseau.
- Pour plus d’informations sur la création d’une stratégie de protection contre la perte de données pour la sécurité des données réseau, consultez Utiliser la sécurité des données réseau pour empêcher le partage d’informations sensibles avec une IA non managée
Microsoft Purview envoie les valeurs de configuration de stratégie de collecte et de protection contre la perte de données appropriées à votre solution SASE, et la solution SASE envoie toutes les données réseau correspondantes à Microsoft Purview pour la classification et l’évaluation de la stratégie. Si vous configurez la capture de contenu dans la stratégie de collecte, la conversation complète qui se produit entre l’utilisateur et l’application IA est également capturée et envoyée à Microsoft Purview.
Une fois les données classifiées, elles sont disponibles dans l’Explorateur d’activités et l’Explorateur d’activités dans DSPM pour l’IA. Si une stratégie de protection contre la perte de données est mise en correspondance et que vous avez configuré des alertes, elles sont disponibles dans les alertes DLP.
Après avoir configuré l’intégration entre Microsoft Purview et votre solution de sécurité réseau, prévoyez jusqu’à 24 heures pour que vos stratégies soient distribuées à la solution de sécurité réseau et que les premières données s’affichent. Une fois que les deux services communiquent pleinement entre eux, l’affichage des données relatives à une demande d’un client vers un site web ou une application cloud peut prendre jusqu’à 30 minutes.
Configuration de la stratégie de collecte de données réseau prise en charge
Le côté Microsoft Purview de la configuration s’effectue via une stratégie de regroupement. Voici les options de configuration prises en charge :
Conditions : les conditions que vous pouvez utiliser dans une stratégie de collecte de données réseau sont les mêmes que celles que vous pouvez utiliser dans d’autres stratégies Microsoft Purview. Par exemple, vous pouvez utiliser la condition Content contains>Sensitive information types (Types d’informations sensibles) pour classifier les éléments sensibles qui sont partagés avec l’IA générative et d’autres applications cloud non managées.
Activités : la sécurité des données réseau prend en charge quatre activités :
- Texte envoyé ou partagé avec une application cloud ou IA.
- Fichier chargé ou partagé avec une application cloud ou IA.
- Texte reçu à partir d’une application cloud ou IA.
- Fichier téléchargé à partir d’une application cloud ou IA.
Remarque
Les activités prises en charge peuvent varier en fonction de la solution SASE intégrée. Contactez votre fournisseur de solutions SASE pour plus d’informations sur les activités prises en charge.
-
Sources de données : il s’agit des emplacements avec ux auxquels l’appareil de point de terminaison communique.
- Applications cloud non managées : les stratégies de collecte de données réseau prennent en charge toutes les sources figurant dans le catalogue d’applications cloud Microsoft Defender for Cloud Apps, qui comprend plus de 35 000 applications cloud détectables.
- Étendues d’application adaptatives : toutes les applications dans plusieurs catégories, notamment l’IA générative, le stockage cloud, la collaboration, le réseau social et la messagerie web.
Configuration de la stratégie de protection contre la perte de données réseau prise en charge
Le côté Microsoft Purview de la configuration s’effectue via une stratégie de protection contre la perte de données. Voici les options de configuration prises en charge :
Sources de données : il s’agit des emplacements avec ux auxquels l’appareil de point de terminaison communique.
- Applications cloud non managées : les stratégies de collecte de données réseau prennent en charge toutes les sources figurant dans le catalogue d’applications cloud Microsoft Defender for Cloud Apps, qui comprend plus de 35 000 applications cloud détectables.
- Étendues d’application adaptatives : toutes les applications dans plusieurs catégories, notamment l’IA générative, le stockage cloud, la collaboration, le réseau social et la messagerie web.
Conditions : les conditions que vous pouvez utiliser dans une stratégie de collecte de données réseau sont les mêmes que celles que vous pouvez utiliser dans d’autres stratégies Microsoft Purview. Par exemple, vous pouvez utiliser la condition Content contains>Sensitive information types (Types d’informations sensibles) pour classifier les éléments sensibles qui sont partagés avec l’IA générative et d’autres applications cloud non managées.
Actions - La sécurité des données réseau prend en charge les actions Audit uniquement et Bloquer pour les activités suivantes :
- Texte envoyé ou partagé avec une application cloud ou IA.
- Fichier chargé ou partagé avec une application cloud ou IA.
- Texte reçu à partir d’une application cloud ou IA.
- Fichier téléchargé à partir d’une application cloud ou IA.
Remarque
Les activités et actions prises en charge peuvent varier en fonction de la solution SASE intégrée. Contactez votre fournisseur de solutions SASE pour plus d’informations sur les activités prises en charge.
Stratégie par défaut de Gestion de la posture de sécurité des données Microsoft Purview pour l’IA
Gestion de la posture de sécurité des données Microsoft Purview pour l’IA (DSPM pour l’IA) propose des recommandations pour surveiller les communications avec les applications d’IA génératives. Sélectionnez la recommandation Étendre les insights aux données sensibles dans les interactions d’application IA pour créer une stratégie en un clic nommée DSPM pour IA - Détecter les informations sensibles partagées avec l’IA via le réseau. Une fois créée, vous pouvez modifier cette stratégie par défaut pour la sécurité des données réseau comme vous le feriez pour toute stratégie de collecte.
Protocoles réseau pris en charge
En préversion, la sécurité des données réseau prend en charge la classification du trafic envoyé à partir d’un appareil de point de terminaison via des protocoles HTTP et HTTPS vers des sites web, des applications cloud et des interfaces d’accès génératives.
Accès aux données de sécurité des données réseau
Les données de la sécurité des données réseau apparaissent dans l’Explorateur d’activités, Gestion de la posture de sécurité des données pour l’IA les événements de l’Explorateur d’activités et, si les alertes sont activées, les alertes DLP.
Explorateur d’activités
Dans l’Explorateur d’activités, vous pouvez filtrer sur le plan d’application défini sur réseau. Ce filtre affiche les événements de classification générés par les stratégies de collecte de données réseau.
Modèle de facturation
La sécurité des données réseau utilise la requête comme unité de mesure pour la facturation du paiement à l’utilisation. Une requête correspond à chaque appel réseau effectué à partir d’un appareil ou d’un navigateur vers un site web ou une API. Cette définition n’inclut pas les réponses aux demandes. Pour plus d’informations sur la facturation avec paiement à l’utilisation pour la sécurité des données réseau, consultez Autres solutions Microsoft Purview qui utilisent la tarification et les demandes de paiement à l’utilisation.
Voici quelques exemples :
| Activité | Type de données | Exemple |
|---|---|---|
| Texte envoyé ou partagé avec une application cloud ou IA | Chaînes lisibles par l’homme transmises inline | - envoi d’un formulaire avec des informations textuelles - envoi de texte brut ou d’une invite à une IA générative - corps d’un e-mail - envoi de données JSON à une API |
| Fichier chargé ou partagé avec une application cloud ou IA | Flux d’octets, y compris les fichiers texte, fichiers binaires, fichiers txt, code source, documents, images, vidéos, .exe, .pdf, fichiers d’archivage | - Chargement d’une image de profil sur les réseaux sociaux - envoi d’un document ou d’un fichier .pdf sous forme de pièce jointe à un e-mail - partage d’un document avec l’IA générative - transfert d’un document ou d’un .zip fichiers vers une solution de stockage cloud |
Étapes suivantes
- Scénario 1 Détecter des données sensibles partagées avec des applications cloud non managées via le réseau (préversion)
- Utiliser Network Data Security pour empêcher le partage d’informations sensibles avec une IA non managée
- Si vous utilisez Entra Global Secure Access pour le filtrage de fichiers réseau, créez une stratégie de fichier pour filtrer le contenu des fichiers réseau (préversion)