Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des conseils aux organisations gouvernementales australiennes sur les services et composants qui doivent être déployés sur un organization afin de tirer le meilleur profit de l’étiquetage de confidentialité et d’autres fonctionnalités de Microsoft Purview. Son objectif est d’aider les organisations à comprendre les conditions préalables au déploiement de Protection des données Microsoft Purview de répondre aux exigences décrites dans le Cadre de stratégie de sécurité de protection (PSPF) et le Manuel de sécurité des informations (ISM).
Pour utiliser au mieux les configurations décrites dans ce guide, les organisations doivent implémenter l’ensemble de base suivant des services Microsoft 365 :
- Exchange Online
- Microsoft Office Online ou Microsoft 365 Apps clients Office
- SharePoint
- Microsoft Teams
Les configurations décrites dans ce guide font référence aux marquages et classifications jusqu’à et y compris PROTECTED. Les organisations doivent également utiliser des exigences d’environnement PROTECTED au-delà du cadre de ce guide.
Remarque
L’implémentation d’une étiquette PROTECTED ne signifie pas automatiquement que l’environnement est adapté pour héberger des données PROTECTED. Les organisations gouvernementales doivent disposer de contrôles sous-jacents conformément au Manuel de sécurité des informations (ISM) et au Blueprint for Secure Cloud de l’ASD.
Prise en charge du client Microsoft Office
Le support client est essentiel à la réussite de l’implémentation des fonctionnalités de Protection des données Microsoft Purview. Les clients utilisés par les utilisateurs pour interagir avec les fichiers Office, les e-mails et d’autres services doivent être conscients des étiquettes afin de faciliter l’application d’étiquette. Cette section décrit les versions du client Microsoft Office capables de cette intégration et cherche à identifier tout travail requis avant le déploiement de Purview.
Applications Microsoft 365 pour Entreprise
Microsoft 365 Apps for Enterprise est une version de Microsoft Office, qui permet l’intégration à la suite de services Microsoft 365. Microsoft 365 étant un service cloud en constante évolution, la version Microsoft 365 Apps du client Office reçoit une fréquence élevée de mises à jour pour suivre la plateforme cloud. Cette intégration entre le client Office et les services cloud Microsoft 365 permet de mettre à la disposition des utilisateurs un ensemble de fonctionnalités plus large que ce qui est possible via les clients Office autonomes. Les clients traditionnels offrent un ensemble de fonctionnalités statiques et reçoivent des mises à jour de sécurité, mais ne reçoivent généralement pas de fonctionnalités nouvellement publiées ou d’accès aux fonctionnalités centrées sur le cloud.
Pour plus d’informations sur les canaux de mise à jour disponibles pour les applications Microsoft 365, consultez Vue d’ensemble des canaux de mise à jour pour Microsoft 365 Apps.
Prise en charge des clients Mac, iOS et Android
Les nouvelles fonctionnalités de Purview sont généralement mises à disposition de la version Microsoft 365 Apps windows d’Office d’abord, puis d’autres versions d’Office. Pour obtenir la status des fonctionnalités des versions clientes, consultez Versions minimales pour les étiquettes de confidentialité dans différents clients. Les organisations qui déploient Microsoft 365 doivent évaluer ces informations pour s’assurer que toutes les fonctionnalités souhaitées sont disponibles sur les versions utilisées par le organization.
Clients web Microsoft 365
Les versions minimales des étiquettes de confidentialité dans Microsoft 365 Apps incluent également des informations sur les fonctionnalités prises en charge par les clients web Microsoft 365. Ces informations doivent être évaluées pour vous assurer que toutes les fonctionnalités d’étiquette de confidentialité requises par votre organization sont disponibles pour les clients web.
Il est également important de noter que Microsoft Edge Chromium inclut des fonctionnalités de protection contre la perte de données Microsoft. Ces fonctionnalités peuvent être ajoutées à d’autres navigateurs tels que Chrome et Firefox via des extensions. Par exemple, l’extension Microsoft Purview pour Chrome et l’extension Microsoft Purview pour Firefox. Ces fonctionnalités DLP peuvent aider à empêcher l’exfiltration d’éléments de sécurité classifiés ou sensibles. Elles doivent donc être prises en compte pour le déploiement.
Exigences du client obligatoires
Les applications clientes qui ont une compréhension de l’exigence d’un utilisateur d’appliquer des marquages aux éléments peuvent nous aider à répondre aux exigences en forçant les utilisateurs à appliquer des marquages au moment de la création de l’élément. Une fois marqués, les contrôles opérationnels pour protéger le contenu entouré d’un élément peuvent ensuite être appliqués. Cette configuration est souvent appelée « Étiquetage obligatoire ». Dans Microsoft 365, cela s’effectue principalement par le biais d’une option de stratégie d’étiquette, qui est abordée dans l’étiquetage obligatoire. L’étiquetage obligatoire nous permet de respecter la condition 59 de la version 2024 :
| Conditions requises | Détails |
|---|---|
| PSPF Version 2024 Condition requise 59 | La valeur, l’importance ou la sensibilité de l’information officielle (destinée à être utilisée comme document officiel) est évaluée par l’expéditeur en tenant compte des dommages potentiels pour le gouvernement, l’intérêt national, les organisations ou les individus qui se présenteraient si la confidentialité de l’information était compromise. |
Pour démontrer l’importance de l’étiquetage obligatoire, envisagez un e-mail envoyé sans qu’un marquage de protection ne soit appliqué au préalable, ce qui pourrait se produire en raison d’un manque de support client. Dans ce cas, nous devons supposer que l’utilisateur n’a pas eu l’occasion d’évaluer la sensibilité des informations jointes. Nous devons donc supposer que la distribution de l’article présente un risque élevé. Les options permettant d’appliquer l’étiquetage obligatoire peuvent uniquement être appliquées par les clients qui connaissent la configuration Microsoft Purview d’un organization. Par conséquent, les organisations doivent envisager de s’assurer que les utilisateurs peuvent uniquement accéder aux services Microsoft 365 via des clients qui prennent en charge cette intégration Microsoft Purview, ce qui peut être obtenu via des stratégies d’accès conditionnel.
Pour plus d’informations sur l’application de l’accès conditionnel sous Essential 8, consultez Contrôle d’application et accès conditionnel.
Intégration au format PDF
Les clients Microsoft 365 Apps Windows incluent la possibilité de gérer les étiquettes appliquées aux documents Office lorsqu’ils sont exportés ou enregistrés sous forme de fichiers PDF. Ces fichiers PDF conservent les paramètres de protection de leurs fichiers Office sources, y compris le chiffrement.
Les documents PDF protégés peuvent être lus dans des lecteurs PDF prenant en charge les étiquettes, notamment Microsoft Edge, Chrome, Foxit Reader et Adobe Reader (avec le plug-in Information Protection pour Acrobat et le plug-in Acrobat Reader installés).
Les organisations gouvernementales doivent déployer et utiliser des clients PDF prenant en charge les étiquettes ou les plug-ins clients. Ces clients permettent de conserver une identification claire des informations sensibles et l’application des contrôles lorsque des éléments sont exportés au format PDF.
Pour plus d’informations sur ces fonctionnalités, consultez les liens suivants :
- Appliquer des étiquettes de confidentialité aux fichiers PDF créés avec les applications Office
- Disponibilité générale de l’intégration d’Adobe Acrobat Reader à Protection des données Microsoft Purview
Remarque
La reconnaissance optique de caractères (OCR) peut être utilisée pour analyser le contenu des images et des fichiers PDF basés sur des images. Une fois analysées, les fonctionnalités de Microsoft Purview telles que la protection contre la perte de données (DLP) peuvent s’appliquer à celles-ci. Les organisations gouvernementales australiennes peuvent envisager d’activer la reconnaissance optique de caractères pour mieux prendre en charge leurs exigences de sécurité des données. Pour plus d’informations, consultez En savoir plus sur la reconnaissance optique de caractères dans Microsoft Purview.
Licences requises
L’utilisation de niveau d’entrée de gamme des fonctionnalités de purview Information Protection nécessite une licence E3. Toutefois, la plupart des organisations gouvernementales doivent envisager d’utiliser des Microsoft 365 E5 (ou des extensions Suite Microsoft Purview équivalentes (anciennement appelées Microsoft 365 E5 Conformité) pour mieux répondre à leurs exigences en matière de sécurité des données.
Le tableau suivant présente un sous-ensemble de cas d’usage courants du secteur public et leur licence minimale requise pour effectuer ce cas d’usage.
| Cas d’usage | Licence |
|---|---|
| Appliquez manuellement une étiquette de confidentialité aux éléments. | E3 |
| Empêcher la distribution d’éléments étiquetés à des utilisateurs non autorisés. | E3 |
| Appliquez des marquages d’objet aux éléments étiquetés pour indiquer la sensibilité des éléments. | E3 |
| Appliquez automatiquement des étiquettes de confidentialité en fonction des marquages appliqués par d’autres organisations. | E5 |
| Surveiller et créer des rapports sur l’utilisation des étiquettes dans l’environnement. | E5 |
| Appliquer des étiquettes aux réunions et aux éléments de calendrier. | E5 |
| Recommander l’application d’une étiquette de confidentialité basée sur la détection de contenu sensible. | E5 |
| Surveillez et contrôlez l’utilisation des éléments étiquetés sur les appareils. | E5 |
| Identifiez les utilisateurs malveillants en fonction de l’activité avec des éléments étiquetés ou sensibles. | E5 |
| Détectez le contenu sensible et contrôlez sa distribution via la conversation Teams. | E5 |
| Parcourir l’emplacement où se trouve le contenu étiqueté et sensible dans un environnement. | E5 |
Les organisations gouvernementales disposant d’une licence E3 peuvent implémenter Purview à un niveau de base et atteindre des niveaux ad hoc ou de développement du modèle de maturité pspf (inclus dans le rapport d’évaluation du Framework de stratégie de sécurité de protection (PSPF). Toutefois, pour vous assurer que les éléments sont protégés via des contrôles pertinents pour leur sensibilité, des fonctionnalités incluses dans E5 ou des licences équivalentes sont requises. Avec les licences E5 disponibles, les organisations peuvent atteindre les niveaux de maturité PSPF de gestion ou incorporés .
Un facteur important pour atteindre des niveaux plus élevés de maturité de conformité est l’utilisation de l’étiquetage automatique de sensibilité. L’étiquetage automatique permet aux organisations gouvernementales d’honorer les classifications qui ont été appliquées en externe. Si un e-mail est classifié et marqué par une entité, lorsqu’il est envoyé à une deuxième entité, l’élément est toujours marqué, mais, par défaut, n’est pas étiqueté. Étant donné qu’il n’a pas d’étiquette, il est hors de portée d’une plage de contrôles de sécurité des données basés sur des étiquettes, tels que les stratégies DLP. L’étiquetage automatique permet d’interpréter les marquages de protection (tels que définis dans le Standard du gouvernement australien Email) sur les e-mails au fur et à mesure de leur réception. Une fois interprétée, une étiquette correspondante est appliquée pendant la transmission, garantissant que tous les contrôles pertinents s’appliquent aux informations jointes lorsqu’elles sont reçues par l’utilisateur.