Sécurité

Classifier vos données pour envisager

sereinement le Cloud et le BYOD !Arnaud Jumelet

Jean-Yves GrassetDirection Technique

Microsoft France

#mstechdaysSécurité

Depuis votre smartphone sur :http://notes.mstechdays.fr

De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les Techdays !

Donnez votre avis !

Sécurité#mstechdays

DÉFIS ET PROTECTION DES DONNÉESComment le Cloud et le BYOD influent sur la protection des données

#mstechdaysSécurité

Les défis actuels

Les données deviennent l’actif à protéger

#mstechdaysSécurité

Protection de l’information• Classification

• Disposer d’une taxonomie• Identifier les données sensibles par

règles• Protection des données au repos

• Chiffrement• Contrôle d’accès en fonction de la

classification• Protection contre la fuite d’information

• Droits numériques• Règles de détection

• Respect de la réglementation

Sécurité#mstechdays

CLASSIFICATION DES DONNÉES

Comment identifier les données critiques pour mieux les protéger

#mstechdaysSécurité

Classification : TaxonomieCatégorie Propriété Valeurs

Informations personnelles

Données personnelles Haut; Modéré; Bas; Public; non personnel

Données de santé Haut; Modéré; BasSécurité de

l’informationNiveau de confidentialité Haut; Modéré; BasNiveau d’autorisation requis Restreint; Utilisation interne; Public

Juridique

ConformitéSOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Harbor Framework; GLBA; ITAR; PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act

Recherche de preuve (Discovery) Privilégié; DétenuImmuabilité Oui/Non

Propriété intellectuelle Copyright; Trade Secret; Parent Application Document; Patent Supporting Document

Gestion des enregistrements

Rétention Long terme; moyen terme; court terme; sans limiteDate de début de rétention <Date>

Organisationnel

Impact Haut; Modéré; Bas

Département Ingénierie; Juridique; Ressources humaines …Projet <Projet>Utilisation personnelle Oui/Non

#mstechdaysSécurité

Types de classification

Manuelle • Spécifiée par le producteur de l’information• Modèles de document pour paramétrage par

défaut• Applications de saisie qui marquent les fichiers

créés par les utilisateurs

Basée sur la localisation

• Basée sur le répertoire dans lequel le fichier est créé

• Positionné par le “Propriétaire Métier” qui met en place le répertoire

Classification Automatique

• Classification automatique basée sur le contenu ou autres caractéristiques

• Solution intéressante pour classifier de grandes quantités d’informations existantes

• Applications métier stockant des informations sous forme de fichiers

• Applications de gestion de données

Application

#mstechdaysSécurité

Infrastructure de classification

Active Directory

Moteur de classification

Données fichiers à classifier

Classification manuelle

Propriétés de classification Classificateu

r de contenu Règles de classification (RegEx)

Classificateur PowerShell

Règles de classification PSH script

Classificateur tiers Règles de

classification

démo

Design/UX/UI#mstechdays

Sécurité

CLASSIFICATION

Infrastructure de classification et règles

#mstechdaysSécurité

– Les processus et les outils utilisés pour le suivi, le contrôle, la prévention, la correction de la transmission et du stockage des données, sur la base du contenu et de la classification associée.

DLP : Protection contre la fuite d'information

Source : Critical Controls for Effective Cyber Defense, http://www.sans.org/critical-security-controls/

Sécurité#mstechdays

PRÉVENTION DE LA PERTE DES DONNÉES (DLP)Comment empêcher les données sensibles de sortir de l'entreprise

#mstechdaysSécurité

Conformité : prévention de la perte des données (DLP)Empêche les données sensibles de sortir de l'entreprise en inspectant les messages et les pièces jointes.

Émet une alerte quand des données comme un numéro de Sécurité Sociale ou de carte de crédit, sont envoyées par email.

Les alertes peuvent être personnalisées par l'administrateur pour des éléments de propriété intellectuelle qui seraient envoyés par email.

Donnez aux utilisateurs les moyens de gérer la conformité• Sensibilisation à une stratégie contextuelle

• Sans interruption du flux de travail de l'utilisateur

• Fonctionne même hors connexion

• Configurable et personnalisable

• L'administrateur peut personnaliser textes et actions

• Modèles intégrés basés sur des règles standards

• Importation de modèles de stratégies DLP en provenance de partenaires en sécurité, ou définis par vous-même

#mstechdaysSécurité

• Modèles par défaut qui sont basés sur un ensemble de règlementations– Importez des modèles de

stratégie DLP conçus par des partenaires sécurité

– Construisez vos propres modèles

Modèles de stratégie DLP

#mstechdaysSécurité

• Règles prédéfinies qui détectent des types de données sensibles– Détection de contenu avancée– Combinaison d'expressions

régulières, de dictionnaires et des fonctions internes (ex: valider la somme de contrôle sur les numéros de cartes de crédit)

• Point d’extensibilité pour définir d’autres types de données

Détection de contenus sensibles

#mstechdaysSécurité

Empreintes de documents - Fingerprinting

Fabrikam Patent Form Tracking Number Author Date Invention Title Names of all authors...

Modèle de document

1. Représentation condensée du modèle 2. Le document n'est pas stocké 3. La représentation est stocké comme

un type d'information sensible

Création de l’EMPREINTE

Fabrikam Patent Form Tracking Number 12345 Author Alex Date 1/28/2014 Invention Title Fabrikam Green Energy...

Contenu du message et de pièce jointe

1. Présence temporaire en mémoire 2. Utilisé pour analyse et comparaison

la source d'empreintes créée lors de la configuration

Création de l’EMPREINTE

1. Comparaison des empreintes2. Évalue par rapport à un coefficient

pour déclarer la vraisemblanceVerdict

CO

NFI

GU

RATIO

NA

NA

LYSE

Règle de classification avec génération de

l’EMPREINTE de référence

EMPREINTE du document pour

évaluation

Evaluation

+ verdict

#mstechdaysSécurité

Conseils de stratégie - Policy TipsOutlook

OWA

Formation des utilisateurs• Permet aux utilisateurs

d’appréhender les règles de conformité

• Sensibilisation des utilisateurs par l'explication

• Utilisation optimal sans perturber les utilisateurs

• Fonctionnement possible en mode déconnecté

• Actions et textes personnalisables avec prise en compte de la langue du client

démo

Design/UX/UI#mstechdays

Sécurité

PROTECTION CONTRE LA FUITE DE DONNÉES SENSIBLESDans Exchange Online (Office 365)

#mstechdaysSécurité

• La classification des données permet de prendre en compte les défis BYOD et Cloud en identifiant et protégeant les données sensibles

• Le "Data Loss Prevention" dans Exchange 2013 et Exchange Online aide à résoudre les problèmes de conformité lors de l'usage des emails.

• Nous vous invitons à regarder également le nouveau Microsoft RMS.

• Sessions Tech.Days recommandées– Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service Microsoft

RMShttp://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=f3fdf034-7753-4d31-b9e9-1f292a948fa2

– Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès

http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=8d7cc94c-a0de-4f34-a37d-c2f630226fa7

En conclusion

#mstechdaysSécurité

• Livre Blanc « Data Classification for Cloud Readiness »

• Livre Blanc « Microsoft IT Uses File Classification »

• Billet « DLP in the new Exchange »• Billet « DLP in Office 365 »

Pour aller plus loin

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Digital is business