Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des conseils aux organisations gouvernementales australiennes sur l’utilisation du chiffrement des étiquettes de confidentialité. Son objectif est d’aider les organisations gouvernementales australiennes à renforcer leurs approches en matière de sécurité des données. Les recommandations de ce guide s’alignent étroitement sur les exigences décrites dans le Framework de stratégie de sécurité de protection (PSPF) et le Manuel de sécurité des informations (ISM).
Microsoft Purview offre la possibilité de chiffrer les éléments avec une étiquette de confidentialité appliquée via Azure Rights Management. Azure Rights Management est utilisé pour confirmer l’authentification et l’autorisation de l’utilisateur pour l’accès au contenu. Pour qu’un utilisateur accède à un élément chiffré, il doit s’authentifier auprès du service Microsoft 365 et se voir accorder l’autorisation d’accéder à l’élément. Azure Rights Management est utilisé pour appliquer des restrictions d’utilisation aux éléments. Ces restrictions peuvent empêcher les utilisateurs d’actions telles que la modification du contenu, l’enregistrement d’éléments, l’impression, la copie de contenu ou leur transfert à d’autres utilisateurs.
Scénarios pertinents pour le chiffrement des étiquettes
Les organisations gouvernementales doivent utiliser le chiffrement des étiquettes conformément aux exigences d’accès et de transmission résumées dans vue d’ensemble du chiffrement. Ces exigences indiquent que le chiffrement est requis pour la transmission d’informations OFFICIAL : Sensibles ou PROTÉGÉES sur des réseaux publics ou non protégés. Bien que les fonctionnalités innées de Microsoft 365 telles que le chiffrement TLS pour les communications entre le client et les serveurs aident à répondre à ces exigences, il existe certains scénarios où l’utilisation du chiffrement Azure Rights Management peut renforcer la protection.
Voici quelques exemples de scénarios où l’activation du chiffrement Azure Rights Management basé sur les étiquettes peut renforcer les contrôles :
- Copié dans le stockage USB.
- Chargé vers des services cloud non-Microsoft, y compris les services de stockage cloud.
- Enregistré sur des appareils potentiellement dangereux (par exemple, des appareils sans chiffrement BitLocker).
- Envoyé par e-mail à des destinataires externes qui peuvent violer le besoin de savoir en distribuant davantage les informations.
Les organisations gouvernementales australiennes mettent généralement en œuvre des stratégies et des solutions supplémentaires pour s’attaquer à ces vecteurs de risque. Par exemple, l’utilisation de lecteurs USB chiffrés, de solutions CASB (Cloud Access Security Broker) et de plateformes de gestion des appareils. Le chiffrement basé sur les étiquettes n’est pas destiné à remplacer ces solutions. Toutefois, il est utilisé pour compléter ces solutions en fournissant une protection supplémentaire contre les mauvaises utilisations accidentelles et les initiés malveillants.
Considérations relatives au chiffrement des étiquettes
Azure Rights Management chiffrement n’est pas une exigence stricte pour le déploiement de Microsoft Purview ou pour la protection des informations dans les services Microsoft 365. Toutefois, le chiffrement basé sur les étiquettes est considéré comme l’une des méthodes les plus efficaces pour s’assurer que les données provenant ou résidant dans des environnements Microsoft 365 sont protégées contre les accès non autorisés, en particulier une fois qu’elles ont quitté le organization.
Pour plus d’informations sur les considérations standard et les impacts potentiels de l’activation du chiffrement des étiquettes de confidentialité, consultez Considérations relatives au contenu chiffré.
Il existe d’autres considérations plus spécifiques aux organisations gouvernementales australiennes. Il s’agit notamment des modifications apportées aux métadonnées de document et aux exigences relatives au partage d’informations.
Modifications de co-création chiffrées
Microsoft 365 prend en charge la co-création sur les documents chiffrés.
L’activation de la co-création chiffrée introduit des modifications dans la façon dont les métadonnées des étiquettes de confidentialité sont appliquées au document Office et l’utilisation de MSIP_labels propriétés du document. Après l’activation de la co-création chiffrée, les métadonnées sur les éléments chiffrés sont déplacées de l’emplacement de propriété de document traditionnel vers le xml interne d’un document. Pour plus d’informations, consultez Modifications des métadonnées pour les étiquettes de confidentialité.
Les organisations gouvernementales australiennes qui appliquent des règles sur les passerelles de messagerie qui case activée pour la classification des pièces jointes via des propriétés de document doivent être informées des modifications apportées aux métadonnées afin que leurs configurations soient alignées. Les administrateurs Microsoft Exchange doivent :
- Lisez et comprenez 2.6.3 LabelInfo par rapport aux propriétés du document personnalisé.
- Évaluez la protection contre la perte de données (DLP), la règle de flux de courrier ou la syntaxe de règle de transport de leur organisation sur les passerelles de messagerie non-Microsoft pour les problèmes potentiels.
Une règle de flux de courrier ou de transport qui vérifie les pièces jointes PROTÉGÉES via le GUID d’étiquette dans une propriété de document ne fonctionne pas correctement une fois que les métadonnées du document sont déplacées de la propriété de document vers l’emplacement LabelInfo.
Comme alternatives aux approches basées sur des propriétés de document :
-
ClassificationContentMarkingHeaderTextetClassificationContentMarkingFooterTextles propriétés de document sont utilisées. Ces propriétés apparaissent après l’activation de la co-création chiffrée et sont remplies avec le texte de marquage visuel appliqué aux documents Office. - Les méthodes de flux de messagerie sont transférées vers une approche DLP plus récente, où les étiquettes de confidentialité peuvent être interrogées en mode natif dans le cadre d’une stratégie DLP.
Accès des utilisateurs externes aux éléments chiffrés
Au sein du gouvernement australien, les exigences en matière de collaboration et de distribution de l’information varient en fonction du type de organization. Certaines organisations travaillent en grande partie de manière isolée, ce qui simplifie la configuration du chiffrement. D’autres ont des exigences pour partager continuellement des informations sensibles avec d’autres organisations et doivent planifier en conséquence.
Les organisations gouvernementales australiennes qui utilisent le chiffrement basé sur les étiquettes doivent utiliser cette fonctionnalité pour garantir l’alignement avec les exigences 77 et 133 du PSPF 2024 :
| Conditions requises | Détails |
|---|---|
| PSPF 2024 - 12. Partage d’informations - Condition requise 77 | Un accord ou une entente, comme un contrat ou un contrat, qui établit des exigences et des protections en matière de gestion, est en place avant que des renseignements ou des ressources classifiés en matière de sécurité ne soient divulgués ou partagés avec une personne ou un organization à l’extérieur du gouvernement. |
| PSPF 2024 - 17. Accès aux ressources - Condition requise 133 | Le personnel qui a besoin d’accéder à l’information mise en réserve répond à toutes les exigences d’autorisation et de pertinence imposées par l’autorité d’origine et de contrôle de mise en garde. |
Pour garantir que seuls les utilisateurs d’organisations externes autorisées peuvent accéder aux éléments chiffrés, les approches suivantes peuvent être utilisées :
- Listes de domaines externes approuvés peuvent être ajoutés aux autorisations Azure Rights Management, comme les approches DLP décrites dans la prévention de la distribution d’informations classifiées par e-mail à des organisations non autorisées.
- Les groupes contenant des comptes invités peuvent être utilisés pour accorder des autorisations uniquement à un ensemble autorisé d’utilisateurs provenant de domaines externes approuvés. Cette approche est similaire à la distribution par e-mail d’informations classifiées aux invités autorisés.
Conseil
L’alignement de l’approche de votre organization pour la protection contre la perte de données avec celle du chiffrement des étiquettes pour les informations classifiées simplifie l’administration. Le résultat est une approche robuste et cohérente de la gestion des informations classifiées, dans laquelle seuls les utilisateurs autorisés peuvent recevoir des informations classifiées et y avoir accès.
Activation du chiffrement des étiquettes
Pour plus d’informations sur les prérequis et les étapes requises pour activer le chiffrement des étiquettes de confidentialité, consultez Restreindre l’accès au contenu à l’aide d’étiquettes de confidentialité pour appliquer le chiffrement.
Les configurations de chiffrement d’étiquette suivantes sont particulièrement pertinentes par rapport aux exigences du gouvernement australien et sont abordées en détail.
Attribuer des autorisations maintenant
Attribuer des autorisations maintenant fournit un contrôle cohérent de l’accès aux éléments étiquetés dans l’ensemble d’un environnement. Par le biais de cette configuration, lorsqu’une étiquette avec des paramètres de chiffrement est appliquée à un élément, le chiffrement du contenu est déclenché immédiatement.
Lorsque l’option Attribuer des autorisations maintenant est sélectionnée, les administrateurs doivent configurer les autorisations à appliquer aux éléments étiquetés. Les options disponibles sont les suivantes :
Tous les utilisateurs et groupes de votre organization : cette option ajoute l’autorisation pour tous les utilisateurs de l’environnement, à l’exception des comptes invités. Il s’agit d’un bon point d’introduction pour les organisations qui souhaitent restreindre l’accès aux éléments étiquetés aux utilisateurs internes uniquement.
Il s’agit d’une bonne option pour les organisations qui souhaitent chiffrer les informations « OFFICIAL : Sensible » et s’assurer qu’elles peuvent être ouvertes par l’ensemble des organization. Gardez à l’esprit que le chiffrement n’est qu’une couche de protection qui peut être complétée par DLP pour garantir le besoin de connaître.
Tout utilisateur authentifié : cette option permet d’accéder à tout utilisateur authentifié auprès de Microsoft 365 via un compte tel qu’un compte Microsoft 365, un fournisseur de réseaux sociaux fédérés ou une adresse e-mail externe, qui est inscrite en tant que compte Microsoft (MSA). Cette option garantit que les éléments sont envoyés et stockés dans un format chiffré, mais est la plus ouverte en termes d’accès aux éléments. Cette option n’est pas adaptée en termes de nécessité de connaître et d’alignement PSPF dans le gouvernement australien.
Importante
Tout utilisateur authentifié n’est pas une bonne option pour les organisations gouvernementales australiennes pour l’application à des éléments classifiés de sécurité en raison de la nature ouverte des autorisations appliquées.
Ajouter des utilisateurs ou des groupes : cette option permet de spécifier des utilisateurs individuels (par exemple, des utilisateurs ou des invités d’organisation individuels). Il permet d’allouer des autorisations aux groupes.
Il existe plusieurs utilisations de cette option pour les organisations gouvernementales. Par exemple :
- Cette option est utilisée pour garantir le besoin d’en savoir en limitant l’accès au contenu étiqueté à un sous-ensemble d’utilisateurs internes qui répondent à une exigence. Par exemple, les utilisateurs autorisés disposant d’une autorisation de référence sont regroupés dans un groupe d’utilisateurs protégés , qui accorde des autorisations au contenu PROTÉGÉ. Les utilisateurs en dehors du groupe ne peuvent pas accéder aux éléments PROTÉGÉS.
- Pour les organisations disposant d’un contrôle de collaboration externe élevé (comme indiqué dans contrôle de collaboration externe élevée), un groupe dynamique contenant tous les comptes invités peut être créé. Ce groupe peut se voir accorder des autorisations sur les éléments chiffrés, ce qui permet aux éléments d’être distribués en externe avec un risque réduit d’accès par des entités extérieures au groupe. Une telle configuration doit également s’aligner sur les contrôles DLP abordés dans l’autorisation de la distribution par e-mail d’informations classifiées aux invités autorisés.
- Pour les organisations avec un contrôle de collaboration externe relativement faible (comme indiqué dans contrôle de collaboration externe faible), un groupe de sécurité peut être maintenu contenant des invités autorisés à accéder au contenu chiffré.
- Pour les organisations souhaitant fournir un accès invité au contenu sans rendre le contenu d’une étiquette accessible à l’ensemble d’un domaine, un groupe dynamique peut être créé pour accorder l’accès aux invités à partir d’un organization, par exemple, « Invités départementaux ». Cette approche est abordée dans l’autorisation de la distribution par e-mail d’informations classifiées aux invités autorisés.
Ajouter des adresses e-mail ou des domaines spécifiques Cette option permet d’accorder des autorisations aux adresses e-mail individuelles des utilisateurs externes, qui peuvent être ou non des invités. Il peut également être utilisé pour accorder une autorisation à un domaine entier. Par exemple, Contoso.com. Les organisations qui ont des exigences complexes en matière de collaboration et de distribution d’informations ou qui ont besoin de distribuer des informations OFFICIELLES : Sensibles ou PROTÉGÉES à d’autres organisations gouvernementales peuvent envisager d’ajouter une liste des domaines de toutes les organisations auxquelles elles distribuent ces informations. Une telle liste doit s’aligner sur les domaines que votre organization a formalisés pour le partage de l’information et des ressources, comme défini dans la Politique 2024 du PSPF Condition 77.
Plusieurs ensembles d’autorisations peuvent être ajoutés à la configuration d’une étiquette pour obtenir le résultat souhaité. Par exemple, tous les utilisateurs et groupes peuvent être utilisés en combinaison avec un ensemble de groupes dynamiques contenant des invités d’autres organisations, ainsi qu’une liste de domaines de service autorisés avec ant vos organization collaborent régulièrement.
Attribuer des autorisations à des utilisateurs, des groupes ou des domaines
Pour chaque utilisateur, groupe d’utilisateurs ou domaine auquel l’accès est accordé, des autorisations spécifiques doivent également être sélectionnées. Ces autorisations sont regroupées dans des ensembles classiques tels que Co-Propriétaire, Co-auteur ou Réviseur. Des ensembles d’autorisations personnalisés peuvent également être définis.
Les autorisations de chiffrement étant granulaires, les organisations doivent effectuer leurs propres analyses métier et évaluations des risques pour déterminer l’approche la plus valide. Voici un exemple d’approche :
| Catégorie d’utilisateurs | Contains | Autorisations |
|---|---|---|
| Tous les utilisateurs et groupes | Tous les utilisateurs internes | Co-Owner (accorde toutes les autorisations) |
| Invités d’autres services ayant des exigences de collaboration | Groupes Microsoft 365 dynamique : - Invités du Département 1 - Invités du Département 2 - Invités du Département 3 |
Co-Author (restreint les autorisations de modification, d’exportation de contenu et de modification) |
| Invités effacés des organisations partenaires | Groupes de sécurité : - Invités du partenaire 1 - Invités du partenaire 2 - Invités du partenaire 3 |
Réviseur (restreint les autorisations d’impression, de copie et d’extraction, d’exportation de contenu et de modification) |
Laisser les utilisateurs décider
Une approche du chiffrement consiste à permettre aux utilisateurs de choisir les autorisations à appliquer lorsqu’ils sélectionnent une étiquette.
Le comportement des éléments étiquetés via cette méthode varie en fonction de l’application. Pour Outlook, les options disponibles sont les suivantes :
- Ne pas transférer : Lorsque cette option est sélectionnée, les e-mails sont chiffrés. Le chiffrement applique des restrictions d’accès afin que les destinataires puissent répondre à l’e-mail, mais que les options de transfert, d’impression ou de copie des informations ne sont pas disponibles. Azure Rights Management autorisations sont appliquées à tous les documents Office non protégés joints à l’e-mail. Cette option garantit le besoin d’en savoir en empêchant les destinataires de l’e-mail de transférer des éléments à ceux qui n’étaient pas spécifiés dans l’e-mail d’origine.
- Chiffrer uniquement : Cette option chiffre les éléments et accorde aux destinataires tous les droits d’utilisation, à l’exception de l’enregistrement sous, de l’exportation et du contrôle total. Il est utile pour répondre aux exigences de transmission chiffrée, mais n’applique aucune restriction d’accès (le résultat est que les contrôles de nécessité de connaître ne sont pas appliqués).
Ces options offrent une grande granularité. Toutefois, comme les autorisations sont appliquées au niveau de l’élément, ces options peuvent entraîner une configuration incohérente, car les options sélectionnées par différents utilisateurs varient.
En fournissant des options ne pas transférer ou chiffrer uniquement aux utilisateurs en tant que sous-étiquettes, un organization peut fournir aux utilisateurs une méthode de protection de la communication lorsque cela est jugé nécessaire. Par exemple :
- OFFICIEUX
- FONCTIONNAIRE
- OFFICIAL Sensible (catégorie)
- OFFICIAL Sensitive
- Destinataires sensibles OFFICIELs uniquement
Les étiquettes avec ces configurations appliquées doivent être publiées uniquement pour les utilisateurs qui ont besoin de ces fonctionnalités.
Microsoft Purview est capable de s’aligner sur PSPF avec l’exigence d’inclure des marqueurs de gestion des informations (IMMs) et des mises en garde, ainsi que l’ajout de sous-étiquettes pour répondre à des exigences organisationnelles spécifiques. Par exemple, un groupe d’utilisateurs qui sont tenus de communiquer des informations « OFFICIAL : Sensitive Personal Privacy » avec des utilisateurs externes peut avoir une étiquette « OFFICIAL : Sensitive Personal Privacy ENCRYPT-ONLY » publiée.
Expiration de l’accès au contenu
Les options d’expiration du contenu permettent d’accéder aux éléments chiffrés dont l’étiquette est appliquée pour être refusée à une date ou après une période donnée. Cette fonctionnalité est utilisée pour garantir que les éléments ne sont plus accessibles à partir d’un moment donné, quel que soit l’emplacement où ils résident ou les autorisations qui leur ont été appliquées.
Cette option est utile pour répondre aux exigences relatives à l’accès à l’information limité dans le temps, où les organisations gouvernementales doivent fournir un accès temporaire à l’information ou aux ressources. Ces situations sont couvertes par l’article 17 du PSPF 2024. Accès aux ressources :
| Conditions requises | Détails |
|---|---|
| PSPF 2024 - 17. Accès aux ressources - Condition requise 122 | Une évaluation des risques détermine si une personne dispose d’un accès temporaire aux informations ou ressources classifiées en matière de sécurité. |
Cette approche garantit la nécessité d’une supervision de l’accès temporaire et de s’assurer que l’utilisateur temporaire n’a accès qu’à ce qui a été autorisé, et uniquement pendant le temps nécessaire.
Azure Rights Management chiffrement appliqué via l’étiquette et avec la configuration d’expiration de l’accès permet de partager des éléments sensibles avec des individus ou des organisations sans avoir à créer de comptes complets.
Par exemple, un organization du gouvernement dispose d’un ensemble de documents de conception qui doivent être mis à la disposition d’un organization fictive du gouvernement, nommé Contoso. Une étiquette nommée « OFFICIAL Sensitive – Contoso Temp Access » est créée et publiée avec des autorisations accordant l’accès à une liste approuvée d’adresses e-mail Contoso. Une copie des documents de conception a ensuite cette étiquette appliquée, qui démarre un minuteur d’accès de 30 jours. Les documents sont ensuite partagés avec Contoso qui peut accéder aux éléments sur ses propres systèmes jusqu’à ce que le minuteur expire et que l’accès soit révoqué, quel que soit l’emplacement des éléments.
Comme l’expiration du contenu est appliquée à une étiquette plutôt qu’aux autorisations, des étiquettes dédiées sont nécessaires pour y parvenir. Ce scénario, ainsi que d’autres scénarios d’expiration d’accès, sont de niche et ne sont pas applicables dans la plupart des organisations gouvernementales. Cet exemple s’appuie sur et étend la configuration de base du PSPF Protection des données Microsoft Purview en cours d’application, comme indiqué dans ce guide.
Accès hors ligne
Les options d’accès hors connexion permettent de configurer une période pendant laquelle les utilisateurs peuvent accéder aux éléments sans avoir à se réauthentifier ou à réauthoriser leurs autorisations Azure Rights Management. L’accès hors connexion est utile pour garantir, par exemple, que les fichiers hors connexion sont accessibles en cas de panne d’un réseau ou d’un service. Lorsque cette option est configurée, les éléments sont toujours chiffrés et leurs autorisations sont mises en cache sur les appareils clients.
Les organisations gouvernementales qui déploient le chiffrement optent généralement pour une période d’accès hors connexion de trois à sept jours pour s’assurer que les utilisateurs peuvent travailler hors connexion et comme mesure d’atténuation des sinistres.
Une évaluation des risques liés à l’accès mis en cache aux éléments par rapport à l’impact sur la facilité d’utilisation de l’absence d’accès lorsque les utilisateurs travaillent sans accès réseau par un organization du secteur public doit être effectuée lors de l’examen de cette approche.
Exemple de configuration du chiffrement d’étiquette
Remarque
Ces exemples sont destinés à illustrer la configuration du chiffrement des étiquettes avec des contrôles opérationnels proportionnels à la valeur des informations, qui s’aligne sur l’exigence 71 du PSPF 2024. Les organisations gouvernementales doivent effectuer leur propre analyse métier, évaluation des risques et tests avant d’activer une telle configuration.
| Étiquette de confidentialité | Chiffrement | Autorisations |
|---|---|---|
| OFFICIEUX | - | - |
| FONCTIONNAIRE | - | - |
| OFFICIAL Sensible (catégorie) | - | - |
| OFFICIAL Sensitive | Attribuer une autorisation maintenant |
Tous les utilisateurs et groupes de votre organization : Co-Owner Ajoutez des adresses e-mail ou des domaines spécifiques : Liste des domaines externes approuvés pour l’accès - Co-auteur |
| PROTECTED (Catégorie) | - | - |
| PROTÉGÉ | Attribuer une autorisation maintenant |
Ajouter des utilisateurs ou des groupes : Groupe d’utilisateurs - protégésCopropriétaire Groupe d’invités - protégésCo-auteur |
Remarque
Le blueprint d’ASD pour Secure Cloud recommande des configurations de chiffrement d’étiquette similaires, qui peuvent être consultées sous la configuration Access Control pour les étiquettes PROTECTED. Par exemple, étiquette de confidentialité PROTECTED.