Stratégie de Confiance Zéro du DoD pour le pilier des données

Stratégie et feuille de route de Confiance Zéro du DoD décrit un parcours pour les composants DoD (Department of Defense) et des partenaires DIB (Defense Industrial Base) pour adopter un nouveau cadre de cybersécurité basé sur les principes de Confiance Zéro. Confiance Zéro élimine les hypothèses traditionnelles de périmètre et de confiance, ouvrant la voie à une architecture plus efficace qui améliore la sécurité, les expériences utilisateur et les performances des missions.

Ce guide contient des recommandations pour les 152 activités de Confiance Zéro de la feuille de route d’exécution des capacités Confiance Zéro du DoD. Les sections correspondent aux sept piliers du modèle Confiance Zéro du DoD.

Utiliser les liens suivants pour accéder aux sections du guide.

4 Données

Cette section contient de l’aide et des recommandations de Microsoft pour les activités de Confiance Zéro du DoD dans le pilier Données. Pour en savoir plus, consultez Sécuriser les données avec Confiance Zéro.

4.1 Alignement des risques du catalogue de données

Les solutions Microsoft Purview aident à découvrir, identifier, gouverner, protéger et gérer les données là où elles se trouvent. Microsoft Purview fournit trois méthodes pour identifier les éléments afin de permettre leur classification. Les éléments peuvent être classifiés manuellement, par les utilisateurs, via la reconnaissance automatique des modèles, comme avec les types d’informations sensibles, et via le Machine Learning.

Descriptions et résultats des activités du DoD Conseils et recommandations de Microsoft

Target 4.1.1 Analyse des données
Les organisations du DoD mettent à jour le ou les catalogues de services et d’applications avec des classifications des données. Des balises de données sont également ajoutées à chaque service et à chaque application.

Résultat :
- Le catalogue de services est mis à jour avec des types de données pour chaque application et chaque service en fonction des niveaux de classification des données Microsoft Purview
Évaluez les types d’informations sensibles dans le portail de conformité Microsoft Purview et définissez des types d’informations personnalisées et sensibles.
- Types d’informations sensibles personnalisées dans le portail de conformité Purview

Utilisez l’explorateur de contenu Purview ou l’explorateur d’activités pour afficher un instantané du contenu Microsoft 365 étiqueté et pour afficher les activités utilisateur associées.
- Explorateur de contenu
- Explorateur d’activités

Applications Microsoft Defender pour le cloud
Intégrez Microsoft Purview Information Protection pour ajouter des étiquettes de confidentialité aux données qui correspondent aux stratégies. Examinez l’exposition potentielle des données sensibles dans les applications cloud.
- Intégrer Information Protection

Catalogue de données Microsoft Purview
Parcourez le Catalogue de données Purview pour explorer les données de votre patrimoine de données.
- Catalogue de données Purview

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 4.1.1 Analyse des données Les organisations du DoD mettent à jour le ou les catalogues de services et d’applications avec des classifications des données. Des balises de données sont également ajoutées à chaque service et à chaque application. Résultat : - Le catalogue de services est mis à jour avec des types de données pour chaque application et chaque service en fonction des niveaux de classification des données	Microsoft Purview Évaluez les types d’informations sensibles dans le portail de conformité Microsoft Purview et définissez des types d’informations personnalisées et sensibles. - Types d’informations sensibles personnalisées dans le portail de conformité Purview Utilisez l’explorateur de contenu Purview ou l’explorateur d’activités pour afficher un instantané du contenu Microsoft 365 étiqueté et pour afficher les activités utilisateur associées. - Explorateur de contenu - Explorateur d’activités Applications Microsoft Defender pour le cloud Intégrez Microsoft Purview Information Protection pour ajouter des étiquettes de confidentialité aux données qui correspondent aux stratégies. Examinez l’exposition potentielle des données sensibles dans les applications cloud. - Intégrer Information Protection Catalogue de données Microsoft Purview Parcourez le Catalogue de données Purview pour explorer les données de votre patrimoine de données. - Catalogue de données Purview

4.2 Gouvernance des données d’entreprise du DoD

Microsoft Purview Information Protection utilise des étiquettes de confidentialité. Vous pouvez créer des étiquettes de confidentialité pertinentes pour votre organisation, contrôler la visibilité des étiquettes pour les utilisateurs et définir l’étendue de chaque étiquette. Définissez les étendues d’étiquettes pour les fichiers, e-mails, réunions, Microsoft Teams, sites SharePoint et plus encore. Les étiquettes protègent le contenu par le chiffrement, limitent le partage externe et empêchent la perte de données.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 4.2.1 Définir des normes d’étiquetage des données L’entreprise du DoD collabore avec les organisations pour établir des normes d’étiquetage et de classification des données basées sur les meilleures pratiques du secteur. Les classifications sont acceptées puis implémentées dans les processus. Les balises sont identifiées manuellement et sont automatisées pour les activités futures. Résultats : - Des normes de classification et de balisage des données d’entreprise sont développées - Les organisations s’alignent sur les normes d’entreprise et commencent l’implémentation	Microsoft Purview Créez et publiez des étiquettes de confidentialité dans Microsoft Purview en fonction des normes de balisage des données que vous définissez. - Étiquettes et stratégies de confidentialité - Étiquettes de confidentialité dans Microsoft 365
`Target` 4.2.2 Normes d’interopérabilité L’entreprise du DoD collabore avec les organisations pour développer des normes d’interopérabilité qui intègrent des solutions de gestion des droits numériques (DRM, Data Rights Management) et de protection obligatoires, avec les technologies nécessaires pour activer les fonctionnalités cibles de Confiance Zéro. Résultat : - Des normes formelles sont établies par l’entreprise pour les normes de données appropriées	Azure Rights Management Utilisez Azure RMS pour la gestion des droits numériques (DRM) et l’interopérabilité de la protection entre les entités du DoD qui collaborent avec les services Microsoft 365. - Azure RMS - Applications prenant en charge les étiquette de confidentialité
`Target` 4.2.3 Développer une stratégie de stockage défini par logiciel (SDS, Software Defined Storage) L’entreprise du DoD collaborant avec les organisations établit une stratégie et des normes de SDS basées sur les meilleures pratiques du secteur. Les organisations du DoD évaluent la stratégie et la technologie de stockage de données actuelles pour l’implémentation du SDS. Le cas échéant, la technologie de stockage est sélectionnée pour une implémentation de SDS. Résultats : - Déterminer le besoin d’implémenter un outil SDS - La stratégie SDS est créée au niveau de l’entreprise et de l’organisation	SharePoint Online Utilisez SharePoint Online et OneDrive Entreprise comme solution de stockage de conception logicielle interopérable standard. Restreindre l’accès aux sites et au contenu sensibles de SharePoint Online avec des stratégies de restriction d’accès au site. Empêchez les invités d’accéder aux fichiers lors de l’application de règles de protection contre la perte de données (DLP, data loss prevention). - Réserver l’accès de site aux membres du groupe - Empêcher les invités d’accéder aux fichiers grâce aux règles DLP - Sécuriser le partage avec les invités Applications Microsoft Defender pour le cloud Utilisez les applications Defender pour le cloud afin de bloquer l’accès aux services de stockage cloud non autorisés. - Gouverner les applications découvertes

4.3 Étiquetage et balisage des données

Microsoft Purview Information Protection classifie automatiquement les données en fonction des types d’informations sensibles que vous définissez. Les stratégies d’étiquetage côté service et côté client garantissent que le contenu Microsoft 365 créé par vos utilisateurs est étiqueté et protégé.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 4.3.1 Implémenter des outils d’étiquetage et de classification des données Les organisations du DoD utilisent les normes et les exigences de l’entreprise pour implémenter une ou des solutions d’étiquetage et de classification des données. Les organisations assurent que les futures intégrations d’apprentissage automatique (ML, Machine Learning) et d’IA sont prises en charge par des solutions encadrées par les exigences d’entreprise du DoD. Résultats : - Les outils de classification et de balisage des données doivent inclure une exigence d’intégration et/ou de prise en charge du ML - Les outils de classification et de balisage des données sont implémentés au niveau de l’organisation et de l’entreprise	Microsoft Purview Information Protection Utilisez Microsoft Purview Information Protection pour classifier les données en fonction des types d’informations sensibles et des classifieurs entraînés par le ML. - Données sensibles et Purview - Stratégies d’étiquettes
`Target` 4.3.2 Étiquetage manuel des données – Partie 1 Lors de l’utilisation de la stratégie et des normes d’étiquetage et de classification des données de l’entreprise du DoD, l’étiquetage manuel commence à utiliser des attributs au niveau des données de base pour répondre aux fonctionnalités cibles de Confiance Zéro. Résultat : - Le balisage manuel des données commence au niveau de l’entreprise avec des attributs de base	Microsoft Purview Créez et publiez des étiquettes de confidentialité dans Microsoft Purview conformément aux normes d’étiquetage des données que vous définissez. Consultez l’aide Microsoft dans 4.2.1. Configurez une stratégie d’étiquetage pour obliger les utilisateurs à appliquer des étiquettes de confidentialité aux e-mails et aux documents. - Les utilisateurs appliquent des étiquettes aux e-mails et aux documents
`Advanced` 4.3.3 Étiquetage manuel des données – Partie 2 Les attributs au niveau des données spécifiques à l’organisation du DoD sont intégrés au processus manuel d’étiquetage des données. Les organisations et l’entreprise du DoD collaborent afin de déterminer les attributs requis pour répondre aux fonctionnalités avancées de Confiance Zéro. Les attributs au niveau des données pour les fonctionnalités avancées de Confiance Zéro sont normalisés dans l’entreprise, puis intégrés. Résultat : - Le balisage manuel des données est étendu au niveau programme/organisation avec des attributs spécifiques	Microsoft Purview Examinez les types d’informations sensibles dans le portail de conformité Microsoft Purview. Définissez les types d’informations sensibles personnalisés selon les besoins. Consultez l’aide Microsoft dans 4.1.1.
`Advanced` 4.3.4 Étiquetage et prise en charge automatique des données – Partie 1 Les organisations du DoD utilisent la protection contre la perte de données, la gestion des droits et/ou des solutions de protection pour analyser les référentiels de données. Des balises standardisées sont appliquées aux référentiels de données et aux types de données pris en charge. Les référentiels et types de données non pris en charge sont identifiés. Résultat : - L’automatisation de base commence par l’analyse des référentiels de données et l’application de balises	Microsoft Purview Information Protection Configurez l’étiquetage côté client pour les fichiers et e-mails créés dans les applications Microsoft Office. - Étiquetage automatique pour les applications Office Configurez l’étiquetage côté client pour le contenu stocké dans Office 365. - Stratégie d’étiquetage automatique pour SharePoint, OneDrive et Exchange Appliquez des étiquettes de confidentialité aux conteneurs : sites Microsoft Teams, groupes Microsoft 365 et sites SharePoint. - Étiquettes de confidentialité pour Teams, Microsoft 365, les groupes et les sites SharePoint Pour rechercher des documents et des e-mails dans votre environnement, analysez-le afin de trouver des données correspondant aux valeurs dans les types d’informations sensibles définis. - Faire correspondre les données des types d’informations sensibles Utilisez les empreintes digitales de documents pour trouver et étiqueter du contenu qui correspond aux modèles de documents et aux formulaires standards. - Empreintes numériques de documents Microsoft Purview Enregistrez les sources de données, analysez, ingérez et classifiez les données dans le portail de gouvernance Microsoft Purview. - Sources de données dans Purview - Analyses et ingestion - Classification de données Applications Microsoft Defender pour le cloud Intégrez Purview Information Protection aux applications Defender pour le cloud pour appliquer automatiquement des étiquettes de confidentialité, imposer des politiques de chiffrement et empêcher la perte de données. - Intégrer Information Protection - Appliquer des étiquettes de confidentialité - Vérification de contenu DLP
`Advanced` 4.3.5 Étiquetage et prise en charge automatique des données – Partie 2 Les référentiels de données pris en charge restants disposent ont des étiquettes de données de base et étendues qui sont appliquées en utilisant le Machine Learning et de l’intelligence artificielle. Les balises de données étendues sont appliquées aux référentiels existants. Les référentiels de données et les types de données non pris en charge sont évalués pour un éventuel déclassement à l’aide d’une approche méthodique basée sur les risques. Les exceptions approuvées utilisent des approches manuelles de balisage des données avec les propriétaires et/ou les consignataires de données pour gérer le balisage. Résultats : - L’automatisation complète du balisage des données est terminée - Les résultats du balisage des données sont alimentés dans des algorithmes d’apprentissage automatique (ML, Machine Learning).	Microsoft Purview Information Protection Les classifieurs formables dans Purview vous aident à reconnaître du contenu à l’aide du ML. Créez et effectuez l'apprentissage des classifieurs avec des échantillons sélectionnés par des humains et mis en correspondance de façon positive. - Classifieurs formables

4.4 Surveillance et détection des données

Les stratégies de protection contre la perte de données (DLP, data loss prevention) de Microsoft Purview empêchent les données de quitter votre organisation. Vous pouvez appliquer des stratégies DLP aux données au repos, en cours d’utilisation et en mouvement. Les stratégies DLP sont exécutées là où se trouvent les données dans les services cloud, les partages de fichiers locaux, ainsi que sur les appareils Windows et macOS.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 4.4.1 Journalisation et analyse des points d’application de la DLP Les organisations du DoD identifient les points d’application de la protection contre la perte de données, comme des services spécifiques et des points de terminaison utilisateurs. Grâce à la norme de réponse aux incidents de cybersécurité établie de DoD Enterprise, les organisations du DoD garantissent la capture des détails appropriés de données. En outre, des cas d’usage de protection, de détection et de réponse sont développés pour mieux délimiter la couverture des solutions. Résultats : - Les points d’exécution sont identifiés - Le schéma de journalisation standardisé est appliqué au niveau de l’entreprise et de l’organisation	Protection contre la perte de données Microsoft Purview Créez des stratégies de protection contre la perte de données (DLP, data loss prevention) conformes à Purview. Appliquez la DLP pour les applications Microsoft 365, les points de terminaison Windows et macOS ainsi que pour les applications cloud non-Microsoft. - Planifier la DLP - Concevoir une stratégie DLP - Activités du journal d’audit - Schéma de l’API d’activité de gestion Office 365 Applications Microsoft Defender pour le cloud Intégrez Purview Information Protection aux applications Defender pour le cloud afin d’appliquer automatiquement des étiquettes de confidentialité, appliquer des stratégies de chiffrement et empêcher la perte de données. Consultez l’aide Microsoft dans 4.3.4.
`Target` 4.4.2 Journalisation et analyse des points d’exécution de DRM Les organisations du DoD identifient les points d’application de gestion des droits numériques (DRM, Data Rights Management), comme des services spécifiques et des points de terminaison utilisateurs. Grâce à la norme de réponse aux incidents de cybersécurité établie de DoD Enterprise, les organisations du DoD garantissent la capture des détails appropriés de données. En outre, des cas d’usage de protection, de détection et de réponse sont développés pour mieux délimiter la couverture des solutions. Résultats : - Les points d’exécution sont identifiés - Le schéma de journalisation standardisé est appliqué au niveau de l’entreprise et de l’organisation	Microsoft Purview Information Protection Les points d’application de gestion des droits numériques (DRM, Data Rights Management) Purview incluent les applications et services de tiers Microsoft 365 intégrés au Kit de développement logiciel (SDK) Microsoft Information Protection (MIP), aux applications en ligne et aux clients enrichis. - Protéger les données sensibles - Restreindre l’accès au contenu avec des étiquettes de confidentialité - SDK MIP - Chiffrement dans Microsoft 365 Applications Microsoft Defender pour le cloud Intégrer Purview Information Protection aux applications Defender pour le cloud afin d’appliquer automatiquement des étiquettes de confidentialité, d’imposer des stratégies de chiffrement et d’empêcher la perte de données. Consultez l’aide Microsoft dans 4.3.4.
`Target` 4.4.3 Surveillance de l’activité des fichiers – Partie 1 Les organisations du DoD utilisent des outils de surveillance des fichiers pour surveiller les niveaux de classification de données les plus critiques dans les applications, les services et les référentiels. Les analyses de la surveillance sont transmises à la Gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) avec des attributs de données de base pour accomplir la fonctionnalité cible de Confiance Zéro. Résultats : - Les données et les fichiers de classification critique sont activement surveillés - L’intégration de base est en place avec un système de surveillance comme la SIEM	Protection contre la perte de données Microsoft Purview Les alertes de protection contre la perte de données (DLP, data loss prevention) apparaissent dans Microsoft Defender XDR. L’activité de fichier sur la création, l’étiquetage, l’impression et le partage se trouve dans le journal d’audit unifié et dans l’explorateur d’activités du portail de conformité Microsoft Purview. - Alertes de DLP - Explorateur d’activités - Exporter, configurer et afficher les enregistrements du journal d’audit Microsoft Defender XDR et Microsoft Sentinel Intégrer Microsoft Defender XDR à Sentinel pour afficher et examiner les alertes de DLP dans un système de Gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management). - Intégrer des outils de SIEM - Connecteur Information Protection pour Sentinel - Connecter des données Defender XDR à Sentinel - Enquêtes de DLP
`Target` 4.4.4 Surveillance de l’activité des fichiers – Partie 2 Les organisations du DoD utilisent des outils de surveillance des fichiers pour surveiller toutes les données réglementaires protégées (par exemple CUI, PII, PHI, etc.) dans les applications, les services et les référentiels. L’intégration étendue est utilisée pour envoyer des données à des solutions inter/intra-piliers appropriées, dont la protection contre la perte de données, la gestion/protection des droits numériques et l’analyse du comportement des utilisateurs et des entités. Résultats : - Les données et fichiers de toutes les classifications réglementées sont activement surveillés - Les intégrations étendues sont mises en place selon les besoins pour gérer davantage les risques	Microsoft Sentinel Déterminez les étiquettes de confidentialité nécessaires et configurez des règles d’analyse Sentinel personnalisées. Créez un incident lors duquel la protection contre la perte de données (DLP, data loss prevention) se déclenche pour des événements de fichiers critiques. Les événements de fichiers critiques incluent la détection d’informations sensibles, de violations de stratégie et d’autres activités suspectes. - Règles d’analyse personnalisées pour détecter les menaces - Répondre aux menaces avec des guides opérationnels
`Advanced` 4.4.5 Surveillance des activités de base de données Les organisations du DoD se procurent, mettent en œuvre et utilisent des solutions de surveillance de base de données pour surveiller toutes les bases de données qui contiennent des types de données réglementés (CUI, PII, PHI, etc.). Les journaux et les analyses de la solution de monitoring des bases de données sont transmis à la Gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) pour la surveillance et la réaction. Les analyses sont transmises à des activités multi-piliers comme « Profil de sécurité d’entreprise » et « Accès en temps réel » afin d’améliorer la prise de décision directe. Résultats : - Les bases de données appropriées sont activement surveillées - La technologie de surveillance est intégrée à des solutions telles que la SIEM, les points de décision de stratégie (PDP, policy decision points) et les mécanismes de contrôle d’accès dynamique	Microsoft Defender pour SQL Defender pour SQL protège les bases de données dans Azure et d’autres clouds. - Defender pour SQL - Alertes de sécurité Microsoft Sentinel Connectez Microsoft Defender pour le cloud et les connecteurs de données Microsoft Defender XDR à Sentinel. - Alertes Defender pour le cloud connectées à Sentinel - Connecter Defender XDR à Sentinel Accès conditionnel Exigez un contexte d’authentification pour les sites SharePoint sensibles et protégez la connexion aux bases de données Azure SQL avec l’accès conditionnel. - Étiquettes de confidentialité - Contexte d’authentification - Accès conditionnel avec Azure SQL Database et Azure Synapse Analytics
`Advanced` 4.4.6 Surveillance complète de l’activité des données Les organisations du DoD étendent la surveillance des référentiels de données, y compris les bases de données, selon une approche méthodique des risques. Des attributs de données supplémentaires sont intégrés à l’analyse pour des intégrations supplémentaires afin de répondre aux fonctionnalités avancées de Confiance Zéro. Résultats : - Des mécanismes de surveillance de l’activité des données sont intégrés afin de fournir un aperçu unifié de la surveillance pour tous les référentiels de données - Des intégrations appropriées sont fournies par des solutions telles que la Gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) et les points de décision de stratégie (PDP, policy decision points)	API Microsoft Graph Utilisez les journaux d’activité Microsoft Graph pour un journal d’audit des requêtes reçues par le service Microsoft Graph et traitées par le locataire. - Journaux d’activité Mappage de données Microsoft Purview Configurez le mappage de données Purview pour rechercher des fichiers sensibles dans le patrimoine de données de l’organisation. - Gérer les sources de données Microsoft Sentinel Pour l’intégration avec un système SIEM, configurez les connecteurs de données Sentinel pour Microsoft Defender pour le cloud, Microsoft Defender XDR et Purview. Consultez l’aide Microsoft dans 4.4.5. Accès conditionnel Les détections d’accès inhabituels aux fichiers effectuées par Microsoft Defender XDR augmentent le niveau de risque utilisateur. Le risque utilisateur est une condition dans l’accès conditionnel, qui est un point de décision de stratégie (PDP, policy decision point) pour Microsoft Entra ID. Définissez un contexte d’authentification d’accès conditionnel sans risque pour l’utilisateur. Protégez les sites SharePoint étiquetés en exigeant un contexte d’authentification d’accès conditionnel. - Détections de risques - Accès inhabituel aux fichiers - Exemple de contexte d’authentification

4.5 Chiffrement des données et gestion des droits

Les services Microsoft 365 chiffrent les données au repos et en transit. Microsoft Purview limite l’accès au contenu selon la stratégie de chiffrement de l’étiquette de confidentialité. Purview atteint cet objectif grâce à une autre couche de chiffrement pour les e-mails et les fichiers.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 4.5.1 Implémenter les outils de DRM et de protection – Partie 1 Les organisations du DoD se procurent et mettent en œuvre des solutions de gestion des droits numériques (DRM, Data Rights Management) en fonction des besoins, conformément à la norme et aux exigences de l’entreprise du DoD. Les solutions de DRM et de protection nouvellement mises en œuvre sont implémentées avec des référentiels de données à haut risque à l’aide de protections au niveau cible de la Confiance Zéro. Résultat : - Les outils de DRM et de protection sont activés pour les référentiels de données à haut risque avec des protections de base	Chiffrement Microsoft 365 Microsoft 365 dispose d’un chiffrement de base au niveau du volume avec la fonctionnalité de sécurité Windows BitLocker et Distributed Key Manager (DKM). - Comprendre le chiffrement Microsoft Purview Utilisez des stratégies d’étiquetage afin d’appliquer automatiquement davantage de chiffrement pour les données à haut risque dans Microsoft 365, en fonction de l’étiquette de confidentialité. - Restreindre l’accès au contenu avec des étiquettes de confidentialité - Chiffrement des e-mails dans Microsoft 365 Applications Microsoft Defender pour le cloud Intégrer Microsoft Purview Information Protection aux applications Defender pour le cloud afin d’appliquer automatiquement des étiquettes de confidentialité, d’imposer des stratégies de chiffrement et d’empêcher la perte de données. Consultez l’aide Microsoft dans 4.3.4. Azure Policy Utilisez Azure Policy pour exiger une version sécurisée du protocole Transport Layer Security (TLS), implémenter Transparent Data Encryption (TDE) et l’exiger avec des clés gérées par le client pour chiffrer les données au repos. - Définitions Azure Policy pour Azure SQL Database et SQL Managed Instance
`Target` 4.5.2 Implémenter les outils de DRM et de protection – Partie 2 La couverture de gestion des droits numériques (DRM, Data Rights Management) et de protection est étendue afin d’englober tous les référentiels de données dans l’étendue. Les clés de chiffrement sont automatiquement gérées pour répondre aux meilleures pratiques (par exemple, FIPS). Les attributs étendus de protection des données sont mis en œuvre en fonction de la classification de l’environnement. Résultat : - Les outils de DRM et de protection sont activés pour tous les référentiels possibles	Azure Key Vault Utilisez le module de sécurité matérielle managée Azure Key Vault (Azure Key Vault HSM, Hardware Security Module) pour protéger les clés de chiffrement d’application à l’aide des HSM validés par FIPS 140-2 de niveau 3. - HSM managée Azure Key Vault Clé client Microsoft Purview Microsoft 365 offre une couche de chiffrement pour votre contenu grâce à la clé client. - Chiffrement de service Clé de locataire Azure Information Protection Azure Information Protection prend en charge les clés racines de locataire générées par Microsoft et le service « apportez votre propre clé » (BYOK, bring your own key). - Clé de locataire - Chiffrement à double clé - BYOK
`Target` 4.5.3 Application de la DRM via des étiquettes et l’analyse de données – Partie 1 La gestion des droits numériques (DRM, Data Rights Management) et les solutions de protection sont intégrées avec des étiquettes de données de base définies par la norme de l’entreprise du DoD. Les référentiels de données initiaux sont surveillés. Les actions de protection et de réponse y sont activées. Les données au repos sont chiffrées dans des référentiels. Résultats : - Les balises de données sont intégrées à la DRM et les référentiels surveillés sont développés - Les données sont chiffrées au repos en fonction des balises de données	Microsoft Purview Information Protection Utilisez des stratégies d’étiquetage pour appliquer automatiquement dans Microsoft 365 davantage de chiffrement aux données à haut risque, en fonction de l’étiquette de confidentialité. - Restreindre l’accès au contenu avec des étiquettes de confidentialité Chiffrement Microsoft 365 Microsoft 365 dispose d’un chiffrement de base au niveau du volume avec BitLocker et Distributed Key Manager (DKM). Consultez l’aide Microsoft dans 4.5.1.
`Advanced` 4.5.4 Application de la DRM via des étiquettes et l’analyse de données – Partie 2 Les référentiels de données étendus sont protégés par des solutions de DRM et de protection. Les organisations du DoD implémentent des balises de données étendues qui s’appliquent aux organisations plutôt qu’à l’entreprise mandatée. Les données sont chiffrées dans des référentiels étendus à l’aide de balises supplémentaires. Résultats : - Tous les référentiels de données applicables sont protégés à l’aide de la DRM - Les données sont chiffrées à l’aide de balises de données étendues à partir des niveaux de l’organisation	Chiffrement Azure Azure utilise le chiffrement pour les données au repos et en transit. - Chiffrement Azure Azure Policy Activer Azure Policy pour sécuriser les bases de données Azure SQL Consultez l’aide Microsoft 4.5.1. Accès conditionnel Utilisez des stratégies d’accès conditionnel pour les utilisateurs qui se connectent à Azure SQL. Consultez l’aide Microsoft dans 4.4.5.
`Advanced` 4.5.5 Application de la DRM via des étiquettes et l’analyse de données – Partie 3 Les solutions de gestion des droits numériques (DRM, Data Rights Management) et de protection s’intègrent aux outils IA et ML pour le chiffrement, la gestion des droits et les fonctions de protection. Résultats : - Les analyses de ML/IA sont intégrées à la DRM pour mieux automatiser les protections - La protection du chiffrement est intégrée à l’IA/ML et les méthodes de chiffrement mises à jour sont utilisées selon les besoins	Microsoft Purview Information Protection Utilisez Microsoft Purview Information Protection pour classifier les données en fonction des types d’informations sensibles et par des classifieurs entraînés par ML. Consultez l’aide Microsoft dans 4.3.5. Azure Machine Learning Azure Machine Learning et Azure OpenAI Service utilisent les services Stockage Azure et Azure Compute qui chiffrent les données. - Chiffrement des données - Chiffrement Azure OpenAI des données au repos Accès conditionnel Définissez le contexte d’authentification avec les signaux des risques d’Identity Protection. Exigez un contexte d’authentification pour les sites SharePoint étiquetés et les applications personnalisées. - Contexte d’authentification Consultez l’aide Microsoft dans 4.4.5.

4.6 Protection contre la perte de données (DLP, Data Loss Prevention)

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 4.6.1 Implémenter des points d’application Une solution de protection contre la perte de données (DLP, Data Loss Prevention) est déployée sur les points d’application dans l’étendue. La solution DLP est définie sur le mode « monitor-only » et/ou « learning » pour limiter l’impact. Les résultats de la solution DLP sont analysés et la stratégie est affinée pour ramener les risques à un niveau acceptable. Résultat : - Les points d’exécution identifiés disposent d’un déploiement de l’outil DLP réglé sur le mode de surveillance avec journalisation standardisée	Protection contre la perte de données Microsoft Purview Les applications Microsoft 365 et les points de terminaison Windows appliquent des stratégies DLP. Configurez des stratégies en mode de simulation DLP. - Planifier la DLP - DLP Créez des stratégies dans la DLP. Définissez l’état de stratégie sur test ou test avec des conseils de stratégie. Définissez les actions de stratégie pour Auditer uniquement ou Bloquer et écraser. - Déploiement de stratégie DLP Intégrer des appareils Windows 10, 11 et macOS à la DLP de point de terminaison - DLP de point de terminaison Déployez le scanneur Microsoft Purview Information Protection. Étiquetez et appliquez des stratégies DLP pour le contenu de bases de données SQL locales, les partages de fichiers, le stockage NAS (Network Attached Storage) et les bibliothèques de documents SharePoint Server. - Référentiels locaux DLP - Scanneur Information Protection Protection contre la perte de données Microsoft Purview Intégrez Microsoft Purview Information Protection aux applications Defender pour le cloud pour appliquer automatiquement des étiquettes de confidentialité, imposer des stratégies de chiffrement et empêcher la perte de données. Consultez l’aide Microsoft dans 4.3.4. Accès conditionnel Contrôlez l’accès à Office 365 et à d’autres applications intégrées à Microsoft Entra. Utilisez le mode rapport seul pour surveiller le résultat avant d’activer les stratégies avec le contrôle de blocage de l’accès. - Stratégie de build - Mode rapport seul - Stratégies de session : tout surveiller
`Target` 4.6.2 Exécution de DLP via les étiquettes de données et l’analyse – Partie 1 La solution de protection contre la perte de données (DLP, Data Loss Prevention) est mise à jour, du mode Surveillance uniquement au mode Prévention. Les balises de données de base sont utilisées pour la solution DLP et le schéma de journalisation est intégré. Résultat : - Points d’exécution à définir pour le mode d’intégrer le schéma de journalisation et de la classification manuelle de l’environnement des balises.	Protection contre la perte de données Microsoft Purview Créez des stratégies de protection contre la perte de données (DLP) en mode de test. Remplacez l’état par Activé pour activer le mode de mise en conformité. Si vous définissez des actions de stratégie sur Bloquer, l’activité utilisateur qui déclenche la DLP n’est pas autorisée par la stratégie. - Actions dans les stratégies DLP Activez la protection juste-à-temps (JIT, Just-In-Time) afin d’appliquer la protection DLP de point de terminaison pour les fichiers créés sur des appareils hors connexion. - Appareils hors connexion Microsoft Defender for Cloud Apps Activez l’inspection du contenu dans Defender for Cloud Apps. - Inspection du contenu DLP Accès conditionnel Après le test, activez les stratégies d’accès conditionnel qui appliquent des contrôles de session ou utilisez le contrôle de blocage de l’accès. Pour éviter le verrouillage du locataire, excluez les comptes d’accès d’urgence. - Comptes d’accès d’urgence Consultez l’aide Microsoft dans 4.6.1.
`Advanced` 4.6.3 Application de DLP via les étiquettes de données et l’analyse – Partie 2 La solution de protection contre la perte de données (DLP, Data Loss Prevention) est mise à jour pour inclure des étiquettes de données étendues basées sur des activités parallèles d’automatisation. Résultat : - Les points d’exécution disposent d’attributs étendus de balises de données appliqués pour une prévention supplémentaire	Microsoft Purview Information Protection Définissez des types personnalisés d’informations sensibles. Créez des étiquettes et des stratégies DLP. Consultez l’aide Microsoft dans 4.1.1.
`Advanced` 4.6.4 Exécution de DLP via les étiquettes de données et l’analyse – Partie 3 La solution de protection contre la perte de données (DLP, Data Loss Prevention) est intégrée à des techniques automatisées d’étiquetage des données pour inclure les points d’application et les étiquettes manquants. Résultat : - Les attributs de balisage automatisés sont intégrés à la DLP et les métriques résultantes sont utilisées pour l’apprentissage automatique (ML, Machine Learning)	Microsoft Purview Information Protection Utilisez Microsoft Purview Information Protection pour classifier les données en fonction des types d’informations sensibles et des classifieurs entraînés par ML. Consultez l’aide Microsoft dans 4.3.5.

4.7 Contrôle d’accès aux données

Les services Microsoft 365 et Stockage Azure sont intégrés à Microsoft Entra ID pour l’autorisation basée sur l’identité. Microsoft Entra ID prend en charge le contrôle d’accès en fonction du rôle (RBAC, role-based access control) et le contrôle d’accès en fonction des attributs (ABAC, attribute-based access control).

Les rôles et groupes de sécurité Microsoft Entra fournissent aux organisations un contrôle d’accès en fonction du rôle. Les groupes de sécurité dynamiques utilisent des attributs définis selon les objets utilisateurs, groupes et appareils pour définir l’appartenance en fonction d’expressions enrichies et d’ensembles de règles.

L’ABAC de Microsoft Entra ID utilise des attributs de sécurité personnalisés, c’est-à-dire des attributs spécifiques à l’entreprise que vous pouvez définir et attribuer à des objets Microsoft Entra. Les attributs de sécurité personnalisés stockent des informations sensibles. L’accès pour afficher ou modifier les attributs de sécurité personnalisés est limité aux rôles d’Administrateurs d’attributs.

Descriptions et résultats des activités du DoD	Conseils et recommandations de Microsoft
`Target` 4.7.1 Intégrer l’accès DAAS à la stratégie SDS – Partie 1 En utilisant la stratégie de stockage défini par logiciel (SDS, Software Defined Storage) d’entreprise du DoD, la stratégie DAAS (Data, Assets, Applications, and Services) est développée dans un esprit d’intégration. Le guide d’implémentation SDS est développé par les organisations du DoD en raison de son caractère spécifique à l’environnement. Résultats : - La stratégie DAAS affinée basée sur les attributs est développée avec un appui au niveau de l’entreprise et de l’organisation - Le plan d’intégration SDS est développé pour prendre en charge la stratégie DAAS	Microsoft Entra ID Implémentez des données, des ressources, des applications et des services (DAAS) basés sur des attributs avec Microsoft Entra ID en utilisant des mécanismes tels que le contrôle d’accès basé sur des attributs Azure (Azure ABAC), le filtrage personnalisé d’attributs de sécurité pour les applications, ainsi que les groupes de sécurité dynamiques. - Contrôles basés sur des attributs Attributs de sécurité personnalisés Définissez des attributs de sécurité personnalisés et attribuez une valeur aux utilisateurs. Configurez les conditions d’attribution de rôle pour Azure ABAC, pour les rôles Azure. Cette fonctionnalité est actuellement en préversion pour les autorisations de compte de Stockage Azure. - Azure ABAC - Gérer l’accès aux attributs de sécurité personnalisés - Gérer les attributs avec la délégation Utilisez des attributs de sécurité personnalisés pour l’autorisation d’application dynamique affinée. Attribuez des attributs de sécurité personnalisés et utilisez des filtres d’attributs (préversion) pour les applications dans les stratégies d’accès conditionnel. - Gérer les attributs de sécurité personnalisés de l’application Groupes de sécurité dynamiques Utilisez des groupes de sécurité dynamiques afin d’attribuer un accès aux ressources qui prennent en charge les groupes Microsoft Entra ID pour accorder des autorisations. Cela inclut les groupes de rôles Microsoft 365, les rôles d’application pour les applications Microsoft Entra ID, les rôles Azure et les attributions d’applications. Les stratégies d’accès conditionnel utilisent des groupes dynamiques et appliquent des niveaux d’autorisation pour les utilisateurs avec différentes valeurs d’attribut. - Règles d’appartenance de groupe dynamique - Émettre des revendications à partir de conditions
`Advanced` 4.7.2 Intégrer l’accès DAAS à la stratégie SDS – Partie 2 Les organisations du DoD implémentent de manière automatisée la stratégie DAAS. Résultat : - La stratégie DAAS affinée basée sur des attributs est implémentée de manière automatisée	API Microsoft GraphAutomatisez la configuration des stratégies d’accès conditionnel, des attributs de sécurité personnalisés, des groupes de sécurité dynamiques et d’autres fonctionnalités d’ID Microsoft Entra à l’aide de l’API Microsoft Graph.
`Advanced` 4.7.3 Intégrer l’accès DAAS à la stratégie SDS – Partie 3 La technologie et/ou les fonctionnalités SDS nouvellement implémentées sont intégrées à la stratégie DAAS selon une méthode basée sur les risques. Une approche par phases doit être adoptée lors de l’implémentation pour mesurer les résultats et s’adapter en conséquence. Résultats : - La SDS est intégrée à la fonctionnalité de stratégie DAAS - Toutes les données de toutes les applications sont protégées par une stratégie DAAS affinée basée sur des attributs.	Applications Microsoft Defender pour le cloud Intégrez Microsoft Purview et les applications Microsoft Defender pour le cloud. Créez des stratégies de fichiers pour appliquer des processus automatisés à l’aide des API de fournisseur de services cloud. - intégrer des stratégies de fichiers - Information Protection
`Target` 4.7.4 Intégrer une ou plusieurs solutions et des stratégies avec un fournisseur d’identité d’entreprise – Partie 1 Les organisations du DoD développent un plan d’intégration en utilisant la stratégie et la technologie/les fonctionnalités du SDS avec la solution du fournisseur d’identité d’entreprise. Résultat : - Le plan d’intégration entre la SDS et l’IdP faisant autorité est développé pour prendre en charge l’accès existant au bureau en tant que service (DAAS, desktop as a service)	Microsoft Entra ID Les services de stockage Microsoft 365 comme SharePoint Online et OneDrive Entreprise sont intégrés à Microsoft Entra ID. Configurez les services du Stockage Azure afin qu’ils puissent être intégrés à Microsoft Entra ID pour l’autorisation basée sur l’identité des requêtes faites aux services Blob, Fichier, File d’attente et Table. - Microsoft Entra ID - Autoriser le stockage Azure Dans la galerie d’applications, intégrez d’autres solutions SDS à Microsoft Entra ID. - Galerie d’applications
`Advanced` 4.7.5 Intégrer une ou plusieurs solutions et des stratégies avec le fournisseur d’identité d’entreprise – Partie 2 La technologie et/ou les fonctionnalités du SDS nouvellement implémentées sont intégrées au fournisseur d’identité d’entreprise en suivant le plan d’intégration. Les attributs d’identité requis pour répondre aux fonctionnalités cibles de Confiance Zéro sont requis pour l’intégration. Résultat : - Intégration complète avec les outils d’IdP d’entreprise et SDS pour prendre en charge tous les outils de bureau en tant que service (DAAS, desktop as a service) affinés et basés sur des attributs	Effectuez les activités 4.7.1 et 4.7.4.
`Advanced` 4.7.6 Implémenter l’outil SDS et/ou intégrer à l’outil DRM – Partie 1 En fonction de la nécessité de disposer d’un outil SDS, une nouvelle solution est implémentée, ou une solution existante est identifiée qui répond aux exigences des fonctionnalités à intégrer aux solutions de protection contre la perte de données (DLP), de gestion des droits numériques (DRM)/Protection et Machine Learning (ML). Résultat : - Si des outils sont nécessaires, veillez à ce qu’il existe des intégrations prises en charge avec les outils DLP, DRM et ML	Microsoft Purview Microsoft Purview Information Protection DRM et Microsoft Purview DLP s’intègrent en mode natif aux clients Office et aux services Microsoft 365. Les intégrations sont natives et ne nécessitent aucun déploiement supplémentaire. - Vue d’ensemble de Purview Utilisez le Kit de développement logiciel (SDK) Microsoft Information Protection (SDK MIP) pour créer des outils personnalisés afin d’appliquer des étiquettes et une protection aux fichiers. Consultez l’aide Microsoft dans 4.4.2.
`Advanced` 4.7.7 Implémenter un outil SDS et/ou s’intégrer à un outil DRM – Partie 2 Les organisations du DoD configurent la fonctionnalité SDS et/ou la solution à intégrer à l’infrastructure DLP et DRM/Protection sous-jacente de façon appropriée. Les intégrations de niveau inférieur permettent une protection et une réponse plus efficaces. Résultat : - Intégration de l’infrastructure SDS à l’infrastructure DLP et DRM existante	Microsoft 365 et Microsoft Purview Microsoft Purview protège le contenu Microsoft 365 avec la DLP et la DRM, sans recours à davantage d’infrastructure. - Protéger les données sensibles

Étapes suivantes

Configurer les services cloud Microsoft pour la stratégie Confiance Zéro du DoD :

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2024-04-18