Sécurité
Classifier vos données pour envisager
sereinement le Cloud et le BYOD !Arnaud Jumelet
Jean-Yves GrassetDirection Technique
Microsoft France
#mstechdaysSécurité
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
Donnez votre avis !
Sécurité#mstechdays
DÉFIS ET PROTECTION DES DONNÉESComment le Cloud et le BYOD influent sur la protection des données
#mstechdaysSécurité
Les défis actuels
Les données deviennent l’actif à protéger
#mstechdaysSécurité
Protection de l’information• Classification
• Disposer d’une taxonomie• Identifier les données sensibles par
règles• Protection des données au repos
• Chiffrement• Contrôle d’accès en fonction de la
classification• Protection contre la fuite d’information
• Droits numériques• Règles de détection
• Respect de la réglementation
Sécurité#mstechdays
CLASSIFICATION DES DONNÉES
Comment identifier les données critiques pour mieux les protéger
#mstechdaysSécurité
Classification : TaxonomieCatégorie Propriété Valeurs
Informations personnelles
Données personnelles Haut; Modéré; Bas; Public; non personnel
Données de santé Haut; Modéré; BasSécurité de
l’informationNiveau de confidentialité Haut; Modéré; BasNiveau d’autorisation requis Restreint; Utilisation interne; Public
Juridique
ConformitéSOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Harbor Framework; GLBA; ITAR; PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act
Recherche de preuve (Discovery) Privilégié; DétenuImmuabilité Oui/Non
Propriété intellectuelle Copyright; Trade Secret; Parent Application Document; Patent Supporting Document
Gestion des enregistrements
Rétention Long terme; moyen terme; court terme; sans limiteDate de début de rétention <Date>
Organisationnel
Impact Haut; Modéré; Bas
Département Ingénierie; Juridique; Ressources humaines …Projet <Projet>Utilisation personnelle Oui/Non
#mstechdaysSécurité
Types de classification
Manuelle • Spécifiée par le producteur de l’information• Modèles de document pour paramétrage par
défaut• Applications de saisie qui marquent les fichiers
créés par les utilisateurs
Basée sur la localisation
• Basée sur le répertoire dans lequel le fichier est créé
• Positionné par le “Propriétaire Métier” qui met en place le répertoire
Classification Automatique
• Classification automatique basée sur le contenu ou autres caractéristiques
• Solution intéressante pour classifier de grandes quantités d’informations existantes
• Applications métier stockant des informations sous forme de fichiers
• Applications de gestion de données
Application
#mstechdaysSécurité
Infrastructure de classification
Active Directory
Moteur de classification
Données fichiers à classifier
Classification manuelle
Propriétés de classification Classificateu
r de contenu Règles de classification (RegEx)
Classificateur PowerShell
Règles de classification PSH script
Classificateur tiers Règles de
classification
démo
Design/UX/UI#mstechdays
Sécurité
CLASSIFICATION
Infrastructure de classification et règles
#mstechdaysSécurité
– Les processus et les outils utilisés pour le suivi, le contrôle, la prévention, la correction de la transmission et du stockage des données, sur la base du contenu et de la classification associée.
DLP : Protection contre la fuite d'information
Source : Critical Controls for Effective Cyber Defense, http://www.sans.org/critical-security-controls/
Sécurité#mstechdays
PRÉVENTION DE LA PERTE DES DONNÉES (DLP)Comment empêcher les données sensibles de sortir de l'entreprise
#mstechdaysSécurité
Conformité : prévention de la perte des données (DLP)Empêche les données sensibles de sortir de l'entreprise en inspectant les messages et les pièces jointes.
Émet une alerte quand des données comme un numéro de Sécurité Sociale ou de carte de crédit, sont envoyées par email.
Les alertes peuvent être personnalisées par l'administrateur pour des éléments de propriété intellectuelle qui seraient envoyés par email.
Donnez aux utilisateurs les moyens de gérer la conformité• Sensibilisation à une stratégie contextuelle
• Sans interruption du flux de travail de l'utilisateur
• Fonctionne même hors connexion
• Configurable et personnalisable
• L'administrateur peut personnaliser textes et actions
• Modèles intégrés basés sur des règles standards
• Importation de modèles de stratégies DLP en provenance de partenaires en sécurité, ou définis par vous-même
#mstechdaysSécurité
• Modèles par défaut qui sont basés sur un ensemble de règlementations– Importez des modèles de
stratégie DLP conçus par des partenaires sécurité
– Construisez vos propres modèles
Modèles de stratégie DLP
#mstechdaysSécurité
• Règles prédéfinies qui détectent des types de données sensibles– Détection de contenu avancée– Combinaison d'expressions
régulières, de dictionnaires et des fonctions internes (ex: valider la somme de contrôle sur les numéros de cartes de crédit)
• Point d’extensibilité pour définir d’autres types de données
Détection de contenus sensibles
#mstechdaysSécurité
Empreintes de documents - Fingerprinting
Fabrikam Patent Form Tracking Number Author Date Invention Title Names of all authors...
Modèle de document
1. Représentation condensée du modèle 2. Le document n'est pas stocké 3. La représentation est stocké comme
un type d'information sensible
Création de l’EMPREINTE
Fabrikam Patent Form Tracking Number 12345 Author Alex Date 1/28/2014 Invention Title Fabrikam Green Energy...
Contenu du message et de pièce jointe
1. Présence temporaire en mémoire 2. Utilisé pour analyse et comparaison
la source d'empreintes créée lors de la configuration
Création de l’EMPREINTE
1. Comparaison des empreintes2. Évalue par rapport à un coefficient
pour déclarer la vraisemblanceVerdict
CO
NFI
GU
RATIO
NA
NA
LYSE
Règle de classification avec génération de
l’EMPREINTE de référence
EMPREINTE du document pour
évaluation
Evaluation
+ verdict
#mstechdaysSécurité
Conseils de stratégie - Policy TipsOutlook
OWA
Formation des utilisateurs• Permet aux utilisateurs
d’appréhender les règles de conformité
• Sensibilisation des utilisateurs par l'explication
• Utilisation optimal sans perturber les utilisateurs
• Fonctionnement possible en mode déconnecté
• Actions et textes personnalisables avec prise en compte de la langue du client
démo
Design/UX/UI#mstechdays
Sécurité
PROTECTION CONTRE LA FUITE DE DONNÉES SENSIBLESDans Exchange Online (Office 365)
#mstechdaysSécurité
• La classification des données permet de prendre en compte les défis BYOD et Cloud en identifiant et protégeant les données sensibles
• Le "Data Loss Prevention" dans Exchange 2013 et Exchange Online aide à résoudre les problèmes de conformité lors de l'usage des emails.
• Nous vous invitons à regarder également le nouveau Microsoft RMS.
• Sessions Tech.Days recommandées– Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service Microsoft
RMShttp://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=f3fdf034-7753-4d31-b9e9-1f292a948fa2
– Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès
http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=8d7cc94c-a0de-4f34-a37d-c2f630226fa7
En conclusion
#mstechdaysSécurité
• Livre Blanc « Data Classification for Cloud Readiness »
• Livre Blanc « Microsoft IT Uses File Classification »
• Billet « DLP in the new Exchange »• Billet « DLP in Office 365 »
Pour aller plus loin
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business
Top Related