Identifier les informations, les classer selon leur importance, et enfin protéger les plus critiques, telles sont les étapes d’une démarche de classification. La question centrale de toute réflexion sur l’utilisation du Cloud computing ou d'une démarche d'ouverture vers le BYOD, est la maitrise des informations en fonction de leur degré de sensibilité. Au cours de cette session, vous découvrirez comment vous appuyer sur des modèles prêts à l’emploi pour classifier automatiquement vos données sensibles. Vous apprendrez comment implémenter facilement votre politique de classification et vous protégez contre la fuite d’information que les données soient stockées sur un serveur de fichiers Windows Server 2012 ou transitent à travers un serveur de messagerie Exchange Online/Exchange 2013. Vous découvrirez également comment protéger, restreindre et auditer l’usage de vos données les plus importantes à l’aide du nouveau Microsoft Rights Management Service (RMS).
Speakers : Arnaud Jumelet (Microsoft France), Jean-Yves Grasset (Microsoft)
Le business veut tout, tout de suite ? Etes-vous passé en mode IT as a Service ?
Classifier vos données pour envisager sereinement le Cloud et le BYOD !
1.
2. Classifier vos données pour
envisager sereinement le
Cloud et le BYOD !
Arnaud Jumelet
Jean-Yves Grasset
Direction Technique
Microsoft France
Sécurité
3. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
#mstechdays
Sécurité
4. DÉFIS ET PROTECTION DES DONNÉES
Comment le Cloud et le BYOD influent sur la protection des données
#mstechdays
Sécurité
6. Protection de l’information
• Classification
•
•
Disposer d’une taxonomie
Identifier les données sensibles par règles
•
•
Chiffrement
Contrôle d’accès en fonction de la classification
•
•
Droits numériques
Règles de détection
• Protection des données au repos
• Protection contre la fuite d’information
• Respect de la réglementation
#mstechdays
Sécurité
8. Classification : Taxonomie
Catégorie
Informations
personnelles
Propriété
Valeurs
Données personnelles
Haut; Modéré; Bas; Public; non personnel
Données de santé
Niveau de confidentialité
Sécurité de l’information
Niveau d’autorisation requis
Conformité
Juridique
Recherche de preuve (Discovery)
Immuabilité
Propriété intellectuelle
Gestion des
enregistrements
Rétention
Haut; Modéré; Bas
Haut; Modéré; Bas
Restreint; Utilisation interne; Public
SOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe
Harbor Framework; GLBA; ITAR; PIPEDA; EU Data Protection Directive;
Japanese Personal Information Privacy Act
Privilégié; Détenu
Oui/Non
Copyright; Trade Secret; Parent Application Document; Patent Supporting
Document
Impact
Organisationnel
#mstechdays
Date de début de rétention
Long terme; moyen terme; court terme; sans limite
<Date>
Haut; Modéré; Bas
Département
Ingénierie; Juridique; Ressources humaines …
Projet
Utilisation personnelle
<Projet>
Oui/Non
Sécurité
9. Types de classification
• Basée sur le répertoire dans lequel le fichier est créé
• Positionné par le “Propriétaire Métier” qui met en place le
répertoire
• Spécifiée par le producteur de l’information
• Modèles de document pour paramétrage par défaut
• Applications de saisie qui marquent les fichiers créés par
les utilisateurs
• Classification automatique basée sur le contenu ou autres
caractéristiques
• Solution intéressante pour classifier de grandes quantités
d’informations existantes
• Applications métier stockant des informations sous forme
de fichiers
• Applications de gestion de données
#mstechdays
Sécurité
10. Infrastructure de classification
Propriétés de
classification
Classificateur
de contenu
Classificateur
PowerShell
Classification
manuelle
Moteur de
classification
Données fichiers à
classifier
#mstechdays
Sécurité
Règles de
classification
(RegEx)
Règles de
classification
PSH script
Classificateur tiers
Règles de
classification
12. DLP : Protection contre la fuite d'information
– Les processus et les outils utilisés pour le suivi, le contrôle,
la prévention, la correction de la transmission et du
stockage des données, sur la base du contenu et de la
classification associée.
Source : Critical Controls for Effective Cyber Defense, http://www.sans.org/critical-security-controls/
#mstechdays
Sécurité
13. PRÉVENTION DE LA PERTE DES
DONNÉES (DLP)
Comment empêcher les données sensibles de sortir de l'entreprise
#mstechdays
Sécurité
14. Conformité : prévention de la perte des données (DLP)
Empêche les données sensibles de sortir
de l'entreprise en inspectant les
messages et les pièces jointes.
Émet une alerte quand des données
comme un numéro de Sécurité Sociale
ou de carte de crédit, sont envoyées par
email.
Les alertes peuvent être personnalisées
par l'administrateur pour des éléments de
propriété intellectuelle qui seraient
envoyés par email.
#mstechdays
Sécurité
Donnez aux utilisateurs les moyens de gérer la
conformité
•
Sensibilisation à une stratégie contextuelle
•
Sans interruption du flux de travail de l'utilisateur
•
Fonctionne même hors connexion
•
Configurable et personnalisable
•
L'administrateur peut personnaliser textes et actions
•
Modèles intégrés basés sur des règles standards
•
Importation de modèles de stratégies DLP en
provenance de partenaires en sécurité, ou définis par
vous-même
15. Modèles de stratégie DLP
• Modèles par défaut qui sont
basés sur un ensemble de
règlementations
– Importez des modèles de
stratégie DLP conçus par des
partenaires sécurité
– Construisez vos propres
modèles
#mstechdays
Sécurité
16. Détection de contenus sensibles
• Règles prédéfinies qui
détectent des types de
données sensibles
– Détection de contenu avancée
– Combinaison d'expressions
régulières, de dictionnaires et
des fonctions internes (ex:
valider la somme de contrôle sur
les numéros de cartes de crédit)
• Point d’extensibilité pour
définir d’autres types de
données
#mstechdays
Sécurité
17. CONFIGURATION
Empreintes de documents - Fingerprinting
Fabrikam Patent Form Tracking Number
Author Date Invention Title Names of all
authors...
Création de
l’EMPREINTE
1.
2.
3.
Contenu du
message et
de pièce
jointe
ANALYSE
Modèle de
document
Fabrikam Patent Form Tracking Number 12345
Author Alex Date 1/28/2014 Invention Title
Fabrikam Green Energy...
Création de
l’EMPREINTE
Verdict
#mstechdays
Représentation condensée du modèle
Le document n'est pas stocké
La représentation est stocké comme un
type d'information sensible
1.
2.
Présence temporaire en mémoire
Utilisé pour analyse et comparaison la
source d'empreintes créée lors de la
configuration
1.
2.
Comparaison des empreintes
Évalue par rapport à un coefficient
pour déclarer la vraisemblance
Sécurité
Règle de classification avec
génération de l’EMPREINTE
de référence
Evaluation
+ verdict
EMPREINTE du
document pour
évaluation
18. Conseils de stratégie - Policy Tips
Outlook
Formation des utilisateurs
•
•
Utilisation optimal sans perturber les
utilisateurs
•
Fonctionnement possible en mode
déconnecté
•
#mstechdays
Sensibilisation des utilisateurs par l'explication
•
OWA
Permet aux utilisateurs d’appréhender les
règles de conformité
Actions et textes personnalisables avec prise
en compte de la langue du client
Sécurité
19. PROTECTION CONTRE LA FUITE DE
DONNÉES SENSIBLES
Dans Exchange Online (Office 365)
#mstechdays
Sécurité
Design/UX/UI
20. En conclusion
• La classification des données permet de prendre en compte les défis
BYOD et Cloud en identifiant et protégeant les données sensibles
• Le "Data Loss Prevention" dans Exchange 2013 et Exchange Online aide à
résoudre les problèmes de conformité lors de l'usage des emails.
• Nous vous invitons à regarder également le nouveau Microsoft RMS.
• Sessions Tech.Days recommandées
–
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service Microsoft RMS
http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=f3fdf034-7753-4d31-b9e91f292a948fa2
–
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les boitiers HSM Thalès
http://www.microsoft.com/france/mstechdays/programmes/2014/fiche-session.aspx?ID=8d7cc94c-a0de-4f34-a37dc2f630226fa7
#mstechdays
Sécurité
21. Pour aller plus loin
•
•
•
•
#mstechdays
Livre Blanc « Data Classification for Cloud Readiness »
Livre Blanc « Microsoft IT Uses File Classification »
Billet « DLP in the new Exchange »
Billet « DLP in Office 365 »
Sécurité