Tâches rapides pour bien démarrer avec la conformité dans Microsoft Purview

Si vous débutez avec Microsoft Purview et que vous vous demandez par où commencer, cet article fournit des conseils sur les principes de base et hiérarchise les tâches de conformité importantes. Cet article vous aidera à prendre rapidement en main la gestion et la surveillance de vos données, la protection des informations et la réduction des risques internes.

Cet article est également utile si vous découvrez la meilleure façon de gérer les risques, de protéger vos données et de rester conforme aux réglementations et normes avec un personnel nouvellement distant. Les employés collaborent maintenant et se connectent entre eux de nouvelles façons, et ce changement signifie que vos processus et contrôles de conformité existants peuvent avoir besoin de s’adapter. L’identification et la gestion de ces nouveaux risques de conformité au sein de votre organization sont essentielles pour protéger vos données et minimiser les menaces et les risques.

Une fois que vous avez effectué ces tâches de conformité de base, envisagez d’étendre la couverture de conformité dans votre organization en implémentant des solutions Microsoft Purview supplémentaires.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Tâche 1 : Configurer les autorisations de conformité

Il est important de gérer qui dans votre organization a accès au portail de conformité Microsoft Purview pour afficher le contenu et effectuer des tâches de gestion. Microsoft 365 fournit des rôles d’administration spécifiques à la conformité et à l’utilisation des outils inclus dans le portail de conformité Microsoft Purview.

Commencez par attribuer des autorisations de conformité aux personnes de votre organization afin qu’elles puissent effectuer ces tâches et empêcher les personnes non autorisées d’accéder à des zones en dehors de leurs responsabilités. Vous devez vous assurer que vous avez attribué les personnes appropriées aux rôles Administrateur des données de conformité et Administrateur de la conformité avant de commencer à configurer et à implémenter les solutions de conformité incluses dans Microsoft 365. Vous devez également affecter des utilisateurs à l’Microsoft Entra rôle de lecteur global pour afficher les données dans le Gestionnaire de conformité.

Pour obtenir des instructions détaillées sur la configuration des autorisations et l’attribution de personnes à des rôles d’administrateur, consultez Autorisations dans le portail de conformité Microsoft Purview.

Tâche 2 : Connaître votre état de conformité

Il est difficile de savoir où aller si vous ne savez pas où vous êtes. Pour répondre à vos besoins en matière de conformité, vous devez comprendre votre niveau de risque actuel et quelles mises à jour peuvent être nécessaires en ces temps en constante évolution. Que votre organization soit nouveau pour les exigences de conformité ou que vous ayez une expérience approfondie des normes et réglementations qui régissent votre secteur d’activité, la meilleure chose à faire pour améliorer la conformité est de comprendre où en est votre organization.

Le Gestionnaire de conformité Microsoft Purview peut vous aider à comprendre la posture de conformité de votre organization et à mettre en évidence les domaines qui peuvent nécessiter une amélioration. Le Gestionnaire de conformité utilise un tableau de bord centralisé pour calculer un score basé sur les risques, en mesurant votre progression dans l’exécution d’actions qui contribuent à réduire les risques liés à la protection des données et aux normes réglementaires. Vous pouvez également utiliser le Gestionnaire de conformité comme outil pour suivre toutes vos évaluations des risques. Il fournit des fonctionnalités de flux de travail pour vous aider à évaluer efficacement vos risques à l’aide d’un outil commun.

Pour obtenir des instructions pas à pas sur la prise en main du Gestionnaire de conformité, consultez Prise en main du Gestionnaire de conformité.

Importante

La sécurité et la conformité sont étroitement intégrées pour la plupart des organisations. Il est important que votre organization traite des domaines de base de la sécurité, de la protection contre les menaces et de la gestion des identités et des accès afin de fournir une approche de défense en profondeur de la sécurité et de la conformité.

Vérifiez votre degré de sécurisation Microsoft 365 dans le portail Microsoft Defender et effectuez les tâches décrites dans les articles suivants :

Tâche 3 : Activer l’audit pour votre organization

Maintenant que vous avez déterminé l’état actuel de votre organization et que vous pouvez gérer les fonctions de conformité, l’étape suivante consiste à vous assurer que vous disposez des données pour mener des enquêtes de conformité et générer des rapports sur les activités réseau et utilisateur dans votre organization. L’activation de l’audit est également un prérequis important pour les solutions de conformité décrites plus loin dans cet article.

Les insights fournis par le journal d’audit sont un outil précieux pour vous aider à faire correspondre vos exigences de conformité à des solutions qui peuvent vous aider à gérer et à surveiller les domaines de conformité nécessitant une amélioration. La journalisation d’audit doit être activée avant que les activités soient enregistrées et avant que vous puissiez effectuer des recherches dans le journal d’audit. Lorsqu’elle est activée, l’activité des utilisateurs et des administrateurs de votre organization est enregistrée dans le journal d’audit et conservée pendant 90 jours, et jusqu’à un an en fonction de la licence attribuée aux utilisateurs.

Pour obtenir des instructions détaillées sur l'activation de l'audit, consultez Activer ou désactiver la recherche dans le journal d'audit.

Tâche 4 : Créer des stratégies pour vous avertir des problèmes de conformité potentiels

Microsoft fournit plusieurs stratégies d’alerte intégrées qui permettent d’identifier les abus d’autorisations d’administrateur, l’activité des programmes malveillants, les menaces externes et internes potentielles et les risques de gestion du cycle de vie des données. Ces stratégies sont activées par défaut, mais vous devrez peut-être configurer des alertes personnalisées pour vous aider à gérer les exigences de conformité spécifiques à votre organization.

Utilisez les outils de stratégie d’alerte et de tableau de bord d’alerte pour créer des stratégies d’alerte personnalisées et afficher les alertes générées lorsque les utilisateurs effectuent des activités qui correspondent aux conditions de stratégie. Il peut s’agir, par exemple, d’utiliser des stratégies d’alerte pour suivre les activités des utilisateurs et des administrateurs qui affectent les exigences de conformité, les autorisations et les incidents de perte de données dans votre organization.

Pour obtenir des instructions pas à pas pour créer des stratégies d’alerte personnalisées, consultez Stratégies d’alerte dans Microsoft 365.

Tâche 5 : Classifier et protéger les données sensibles

Pour accomplir leur travail, les membres de votre organization collaborer avec d’autres personnes à l’intérieur et à l’extérieur du organization. Cela signifie que le contenu ne reste plus derrière un pare-feu : il peut être itinérant partout, sur les appareils, les applications et les services. Et quand il est itinérant, vous souhaitez qu’il le fasse de manière sécurisée et protégée qui répond aux stratégies métier et de conformité de votre organization.

Les étiquettes de confidentialité vous permettent de classifier et de protéger les données de votre organization, tout en veillant à ce que la productivité des utilisateurs et leur capacité à collaborer ne soient pas entravées. Utilisez des étiquettes de confidentialité pour appliquer des restrictions de chiffrement et d’utilisation pour appliquer des marquages visuels et protéger les informations sur les plateformes et les appareils, localement et dans le cloud.

Pour obtenir des instructions pas à pas sur la configuration et l’utilisation des étiquettes de confidentialité, consultez Prise en main des étiquettes de confidentialité.

Tâche 6 : Configurer des stratégies de rétention

Une stratégie de rétention vous permet de décider de manière proactive s’il faut conserver le contenu, supprimer le contenu, ou les deux, conserver, puis supprimer le contenu à la fin d’une période de rétention spécifiée. Ces actions peuvent être nécessaires pour se conformer aux réglementations du secteur et aux stratégies internes, et pour réduire vos risques en cas de litige ou de violation de la sécurité.

Lorsque le contenu est soumis à une stratégie de rétention, les utilisateurs peuvent continuer à modifier et à travailler avec le contenu comme si rien n’avait changé. Le contenu est conservé sur place, à son emplacement d’origine. Toutefois, si quelqu’un modifie ou supprime du contenu soumis à la stratégie de rétention, une copie du contenu d’origine est enregistrée dans un emplacement sécurisé où il est conservé pendant que la stratégie de rétention de ce contenu est en vigueur.

Vous pouvez rapidement mettre en place des stratégies de rétention pour plusieurs services dans votre environnement Microsoft 365, notamment les messages Teams et Viva Engage, la messagerie Exchange, les sites SharePoint et les comptes OneDrive. Il n’existe aucune limite au nombre d’utilisateurs, de boîtes aux lettres ou de sites qu’une stratégie de rétention peut inclure automatiquement. Toutefois, si vous avez besoin d’être plus sélectif, vous pouvez le faire en configurant une étendue adaptative basée sur une requête pour cibler dynamiquement des instances spécifiques, ou une étendue statique qui spécifie des instances spécifiques à inclure ou toujours exclure.

Pour obtenir des instructions pas à pas sur la configuration des stratégies de rétention, consultez Créer et configurer des stratégies de rétention. Étant donné que les stratégies de rétention constituent la pierre angulaire d’une stratégie de gestion du cycle de vie des données pour les applications et services Microsoft 365, consultez également Prise en main de la gestion du cycle de vie des données.

Tâche 7 : Configurer des informations sensibles et des stratégies linguistiques inappropriées

La protection des informations sensibles et la détection des incidents de harcèlement en milieu de travail et leur action sont des éléments importants de la conformité aux politiques et normes internes. La conformité des communications dans Microsoft Purview permet de réduire ces risques en vous aidant à détecter, capturer et prendre rapidement des mesures correctives pour les e-mails et les communications Microsoft Teams. Il s’agit notamment de communications inappropriées contenant des grossièretés, des menaces, du harcèlement et des communications qui partagent des informations sensibles à l’intérieur et à l’extérieur de votre organization.

Un modèle de stratégie de texte prédéfini Détecter les messages inappropriés vous permet d’case activée communications internes et externes pour les correspondances de stratégie afin qu’elles puissent être examinées par les réviseurs désignés. Les réviseurs peuvent examiner les e-mails, Microsoft Teams, Viva Engage ou les communications tierces dans votre organization et prendre les mesures correctives appropriées pour s’assurer qu’ils sont conformes aux normes de votre organization.

Le modèle prédéfini Détecter les informations sensibles vous permet de créer rapidement une stratégie pour case activée courrier électronique et les communications Microsoft Teams contenant des types d’informations sensibles ou des mots clés définis pour vous assurer que les données importantes ne sont pas partagées avec des personnes qui ne doivent pas y avoir accès. Ces activités peuvent inclure des communications non autorisées sur des projets confidentiels ou des règles propres à l’industrie sur les opérations d’initiés ou d’autres activités de collusion.

Pour obtenir des instructions pas à pas pour planifier et configurer la conformité des communications, consultez Planifier la conformité des communications et Bien démarrer avec la conformité des communications. Pour plus d’informations sur les licences de conformité des communications, consultez Guide de gestion des licences Microsoft 365 pour la sécurité & la conformité.

Tâche 8 : Voir ce qui se passe avec vos éléments sensibles

Les étiquettes de confidentialité, les types d’informations sensibles, les étiquettes et stratégies de rétention et les classifieurs pouvant être formés peuvent être utilisés pour classifier et étiqueter des éléments sensibles dans Exchange, SharePoint et OneDrive, comme vous l’avez vu dans les tâches précédentes. La dernière étape de votre parcours de tâche rapide consiste à voir quels éléments ont été étiquetés et quelles actions vos utilisateurs effectuent sur ces éléments sensibles. l’explorateur de contenu et l’explorateur d’activités offrent cette visibilité.

Explorateur de contenu

L’Explorateur de contenu vous permet d’afficher, dans leur format natif, tous les éléments qui ont été classés comme un type d’informations sensibles ou qui appartiennent à une certaine classification par un classifieur pouvant être formé, ainsi que tous les éléments auxquels une étiquette de confidentialité ou de rétention est appliquée.

Pour obtenir des instructions pas à pas sur l’utilisation de l’Explorateur de contenu, consultez Connaître vos données - Vue d’ensemble de la classification des données et Bien démarrer avec l’Explorateur de contenu.

Explorateur d’activités

L’Explorateur d’activités vous aide à surveiller ce qui est fait avec vos éléments sensibles classifiés et étiquetés sur :

  • SharePoint
  • Exchange
  • OneDrive

Plus de 30 filtres différents sont à votre disposition. Parmi ceux-ci, figurent :

  • plage de dates
  • type d’activité
  • emplacement
  • utilisateur
  • étiquette de confidentialité
  • étiquette de rétention
  • chemin d’accès du fichier
  • Stratégie DLP

Pour obtenir des instructions pas à pas sur l’utilisation de l’Explorateur d’activités, consultez Prise en main de l’Explorateur d’activités.

Prochaines étapes

Maintenant que vous avez configuré les principes de base de la gestion de la conformité pour votre organization, envisagez les solutions de conformité suivantes dans Microsoft Purview pour vous aider à protéger les informations sensibles et à détecter et à agir sur les risques internes supplémentaires.

Configurer des étiquettes de rétention

Alors que les stratégies de rétention s’appliquent automatiquement à tous les éléments au niveau du conteneur (tels que les sites SharePoint, les boîtes aux lettres utilisateur, etc.), les étiquettes de rétention s’appliquent à des éléments individuels, tels qu’un document SharePoint ou un e-mail. Vous pouvez appliquer ces étiquettes manuellement ou automatiquement.

Les étiquettes de rétention peuvent être utilisées dans le cadre de votre stratégie de gouvernance des données pour conserver ce dont vous avez besoin et supprimer ce dont vous n’avez pas besoin. Utilisez ces étiquettes lorsque vous avez besoin d’exceptions à vos stratégies de rétention lorsque des documents ou des e-mails spécifiques nécessitent des paramètres de rétention ou de suppression différents. Par exemple, votre stratégie SharePoint conserve tous les documents pendant trois ans, mais des documents professionnels spécifiques doivent être conservés pendant cinq ans. Pour plus d’informations, consultez Créer des étiquettes de rétention pour les exceptions à vos stratégies de rétention.

Toutefois, les étiquettes de rétention, lorsqu’elles sont utilisées avec la gestion des enregistrements, fournissent de nombreuses autres options de gestion pour prendre en charge les documents et les e-mails au niveau de l’élément. Ce niveau de gestion des données est bien adapté aux éléments à valeur élevée pour les exigences de gestion des dossiers commerciaux, juridiques ou réglementaires. Pour plus d’informations, consultez Prise en main de la gestion des enregistrements.

Identifier et définir les types d’informations sensibles

Définissez des types d’informations sensibles en fonction du modèle contenu dans les informations contenues dans les données de votre organization. Utiliser des types d’informations sensibles intégrés permet d’identifier et de protéger les numéros de carte de crédit, les numéros de compte bancaire, les numéros de passeport, etc. Vous pouvez également créer des types d’informations sensibles personnalisés spécifiques à votre organization.

Pour obtenir des instructions pas à pas pour définir des types d’informations sensibles personnalisés, consultez Créer des types d’informations sensibles personnalisés dans le portail de conformité Microsoft Purview

Évitez les pertes de données

Protection contre la perte de données Microsoft Purview stratégies (DLP) vous permettent d’identifier, de surveiller et de protéger automatiquement les informations sensibles dans votre organization Microsoft 365. Utilisez des stratégies DLP pour identifier les éléments sensibles dans les services Microsoft, empêcher le partage accidentel d’éléments sensibles et aider les utilisateurs à apprendre à rester conformes sans interrompre leur workflow.

Pour obtenir des instructions pas à pas pour configurer des stratégies DLP, consultez Créer et déployer des stratégies de protection contre la perte de données. Pour plus d’informations sur les licences de gestion des pertes de données, consultez Guide de gestion des licences Microsoft 365 pour la sécurité & la conformité.

Détecter et agir sur les risques internes

De plus en plus, les employés ont de plus en plus accès à la création, à la gestion et au partage de données sur un large éventail de plateformes et de services. Dans la plupart des cas, les organisations disposent de ressources et d’outils limités pour identifier et atténuer les risques à l’échelle de organization tout en respectant les exigences de conformité et les normes de confidentialité des employés. Ces risques peuvent inclure le vol de données par des employés sortants et les fuites de données d’informations en dehors de votre organization par un surpartage accidentel ou une intention malveillante.

La gestion des risques internes utilise l’ensemble des indicateurs de service et tiers pour vous aider à identifier, trier et agir rapidement sur les activités des utilisateurs à risque. À l’aide des journaux de Microsoft 365 et de Microsoft Graph, la gestion des risques internes vous permet de définir des stratégies spécifiques pour identifier les indicateurs de risque et prendre des mesures pour atténuer ces risques.

Pour obtenir des instructions détaillées sur la planification et la configuration des stratégies de gestion des risques internes, consultez Planifier la gestion des risques internes et Bien démarrer avec la gestion des risques internes. Pour plus d’informations sur les licences de gestion des risques internes, consultez Guide de gestion des licences Microsoft 365 pour la sécurité & la conformité.