Création d’une empreinte numérique de document

La prise d’empreintes digitales de document est une fonctionnalité de Microsoft Purview qui prend un formulaire standard que vous fournissez et crée un type d’informations sensibles (SIT) basé sur ce formulaire. L’empreinte digitale des documents vous permet de protéger plus facilement les informations sensibles en identifiant les formulaires standard utilisés dans votre organization. Cet article décrit les concepts derrière la prise d’empreintes digitales des documents et explique comment créer une empreinte digitale de document à l’aide de l’interface utilisateur ou de PowerShell.

Les empreintes digitales des documents incluent les avantages suivants :

• Les SIT créés à partir de la prise d’empreintes digitales de document peuvent être utilisés comme méthode de détection dans les stratégies DLP étendues à Exchange, SharePoint, OneDrive, Teams et Appareils.
• L’étiquetage automatique MIP peut utiliser l’empreinte digitale des documents comme méthode de détection dans Exchange, SharePoint et OneDrive.
• Les fonctionnalités d’empreinte digitale de document peuvent être gérées via l’interface utilisateur de Microsoft Purview.
• La correspondance partielle est prise en charge.
• La correspondance exacte est prise en charge.
• Amélioration de la précision de la détection
• Prise en charge de la détection dans plusieurs langues, y compris les langues codées sur deux octets telles que le chinois, le japonais et le coréen.

Scénario de base pour la prise d’empreintes digitales de document

Comme mentionné, la fonctionnalité d’empreinte digitale de document convertit une forme standard d’informations en un type d’informations sensibles (SIT), que vous pouvez utiliser dans les règles de vos stratégies DLP. Par exemple, vous pouvez créer une empreinte numérique de document basée sur un modèle de brevet vierge, puis créer une stratégie DLP qui détecte et bloque tous les modèles de brevet sortants comportant des informations sensibles. Si vous le souhaitez, vous pouvez configurer des conseils de stratégie pour informer les expéditeurs qu’ils peuvent envoyer des informations sensibles et que l’expéditeur doit vérifier que les destinataires sont qualifiés pour recevoir les brevets. Ce processus fonctionne avec n'importe quel formulaire texte utilisé dans votre organisation. Voici d’autres exemples de formulaires que vous pouvez charger :

• Formulaires officiels
• Formulaires de conformité relatifs à la loi américaine HIPAA (Health Insurance Portability Accountability Act)
• Formulaires d'informations sur les employés pour les services de ressources humaines
• Formulaires personnalisés créés spécialement pour votre organisation

Dans l'idéal, votre organisation a pour habitude professionnelle d'utiliser certains formulaires pour la transmission d'informations sensibles. Pour activer la détection, chargez un formulaire vide à convertir en empreinte digitale du document. Ensuite, configurez une stratégie correspondante. Une fois ces étapes terminées, DLP détecte tous les documents dans le courrier sortant qui correspondent à cette empreinte digitale.

Pour plus d’informations sur la conception d’une stratégie DLP, consultez Concevoir une stratégie de protection contre la perte de données.

Pour plus d’informations sur la création et le déploiement d’une stratégie DLP, consultez Créer et déployer des stratégies de protection contre la perte de données.

Fonctionnement des empreintes digitales des documents

Vous savez que les documents n’ont pas d’empreintes digitales réelles, mais le nom permet d’expliquer la fonctionnalité. De la même façon que les empreintes digitales d’une personne ont des modèles uniques, les formulaires fréquemment utilisés (modèles) peuvent avoir des modèles de mots qui lui sont propres. Vous pouvez utiliser le sit basé sur ce modèle pour détecter les fichiers créés à l’aide du même modèle. C’est pourquoi le chargement d’un formulaire ou d’un modèle crée le type d’empreinte de document le plus efficace. Chaque personne qui remplit un formulaire utilise le même ensemble de mots d’origine, puis ajoute ses propres mots au document. Les documents à analyser ne peuvent pas être protégés par mot de passe et doivent contenir tout le texte du formulaire d’origine.

Le modèle de brevet contient les champs vides Titre du brevet, Inventeurs et Description, ainsi que des descriptions pour chacun de ces champs , c’est le modèle de mot. Lorsque vous chargez le modèle de brevet d’origine, il se trouve dans l’un des types de fichiers pris en charge et en texte brut. MIcrosoft Purview convertit ce modèle de mot en une empreinte de document, qui est un petit fichier XML Unicode contenant une valeur de hachage unique qui représente le texte d’origine. Par mesure de sécurité, le document d’origine lui-même n’est pas stocké ; seule la valeur de hachage est stockée. Le document d’origine ne peut pas être reconstruit à partir de la valeur de hachage. L’empreinte digitale du brevet est représentée dans un SIT que vous pouvez utiliser comme condition dans une stratégie DLP.

Par exemple, si vous configurez une stratégie DLP qui empêche les employés réguliers d’envoyer des messages sortants contenant des brevets, DLP utilise le sit d’empreinte digitale de brevet pour détecter les brevets et bloquer ces e-mails. Vous pouvez également laisser votre service juridique être en mesure d’envoyer des brevets à d’autres organisations, car il a un besoin métier pour le faire. Pour permettre à des services spécifiques d’envoyer des informations sensibles, créez des exceptions pour ces services dans votre stratégie DLP. Vous pouvez également les autoriser à remplacer un conseil de stratégie par une justification métier.

Limites de l’empreinte numérique de document

Les empreintes digitales des documents ne détectent pas les informations sensibles dans les cas suivants :

• Si les fichiers sont protégés par mot de passe
• Fichiers qui contiennent uniquement des images
• Si les documents ne contiennent pas l'intégralité du texte du formulaire d'origine utilisé pour créer l'empreinte numérique de document
• Fichiers de plus de 4 Mo

Les empreintes digitales sont stockées dans un pack de règles distinct. Ce pack de règles a une taille maximale de 150 Ko. Compte tenu de cette limite, vous pouvez créer environ 50 empreintes digitales par locataire.

Les exemples suivants montrent ce qui se passe si vous créez une empreinte digitale de document basée sur un modèle de brevet. Toutefois, vous pouvez utiliser n’importe quel formulaire comme base pour créer une empreinte digitale de document.

Exemple : Créer un document de brevet qui correspond à l’empreinte digitale du document d’un modèle de brevet

Sélectionnez l’onglet approprié pour le portail que vous utilisez. Selon votre plan Microsoft 365, le portail de conformité Microsoft Purview est mis hors service ou sera bientôt mis hors service.

Pour en savoir plus sur le portail Microsoft Purview, consultez Portail Microsoft Purview. Pour en savoir plus sur le portail de conformité, consultez portail de conformité Microsoft Purview.

Exemple PowerShell d’un document de brevet correspondant à l’empreinte digitale d’un document d’un modèle de brevet

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Correspondance partielle

Pour configurer la correspondance partielle d’une empreinte digitale de document, lorsque vous définissez les options de configuration lors du chargement du modèle, définissez le niveau de confiance, choisissez Faible, Moyen ou Élevé, et indiquez la quantité de texte du fichier qui doit correspondre à l’empreinte digitale en termes de pourcentage compris entre 30 % et 90 %.

Un niveau de confiance élevé retourne le moins de faux positifs, mais peut entraîner davantage de faux négatifs. Les niveaux de confiance faibles ou moyens retournent plus de faux positifs, mais peu de faux négatifs à zéro.

• faible niveau de confiance : les éléments correspondants contiennent le moins de faux négatifs, mais le plus de faux positifs. Une confiance faible renvoie toutes les correspondances de confiance faible, moyenne et élevée.
• confiance moyenne : les éléments correspondants contiennent un nombre moyen de faux positifs et de faux négatifs. Confiance moyenne retourne toutes les correspondances de confiance moyenne et haute.
• confiance élevée : les éléments correspondants contiennent le moins de faux positifs, mais le plus de faux négatifs.

Correspondance exacte

Pour configurer la correspondance exacte d’une empreinte digitale de document, sélectionnez Exact comme valeur pour le niveau de confiance élevé. Lorsque vous définissez le niveau de confiance élevé sur Exact, seuls les fichiers qui ont exactement le même texte que l’empreinte digitale sont détectés. Si le fichier présente même un petit écart par rapport à l’empreinte digitale, il n’est pas détecté.

Vous utilisez déjà des SIT d’empreinte digitale ?

Vos empreintes digitales et vos stratégies/règles existantes pour ces empreintes digitales doivent continuer à fonctionner. Si vous ne souhaitez pas utiliser les dernières fonctionnalités d’empreinte digitale, vous n’avez rien à faire.

Si vous disposez d’une licence E5 et que vous souhaitez utiliser les dernières fonctionnalités d’empreinte digitale, vous avez 2 choix :

• Créez une empreinte digitale.
• migrer une stratégie vers la version la plus récente.

Créer un type d’informations sensibles personnalisé basé sur l’empreinte digitale des documents à l’aide de PowerShell

Actuellement, vous pouvez créer une empreinte digitale de document uniquement dans PowerShell sécurité & conformité.

Pour créer un sit personnalisé basé sur une empreinte digitale de document, utilisez l’applet de commande New-DlpSensitiveInformationType . L’exemple suivant crée une empreinte digitale de document nommée « Contoso Customer Confidential » en fonction du fichier C :\Mes documents\Contoso Customer Form.docx.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Enfin, ajoutez le type d’informations sensibles « Contoso Customer Confidential » à une stratégie DLP dans le portail de conformité Microsoft Purview. Cet exemple ajoute une règle à une stratégie DLP existante, nommée « ConfidentialPolicy ».

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

Vous pouvez également utiliser le sit d’empreinte digitale dans les règles de flux de courrier dans Exchange, comme illustré dans l’exemple suivant. Pour exécuter cette commande, vous devez d’abord vous connecter à Exchange PowerShell. Notez également que la synchronisation des SIT avec le Centre d’administration Exchange prend du temps.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP peut désormais détecter les documents qui correspondent à l’empreinte digitale du document Form.docx client Contoso.

Pour plus d’informations sur la syntaxe et les paramètres, consultez :

• New-DlpFingerprint
• New-DlpSensitiveInformationType
• Remove-DlpSensitiveInformationType
• Set-DlpSensitiveInformationType
• Get-DlpSensitiveInformationType

Modifier, tester ou supprimer une empreinte digitale de document

Pour ce faire, dans le portail Microsoft Purview, ouvrez le sit d’empreinte digitale que vous souhaitez modifier, tester ou supprimer, puis choisissez l’icône appropriée.

Pour ce faire via PowerShell, exécutez les commandes suivantes :

Modifier une empreinte digitale d’un document

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Tester une empreinte digitale de document

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Supprimer une empreinte digitale de document

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Migrer un sit d’empreinte digitale existant vers un via le portail Microsoft Purview

1. Ouvrez le portail > Microsoft Purview Information Protection>Classifiers>Types d’informations sensibles.
2. Ouvrez le sit contenant l’empreinte digitale que vous souhaitez migrer.
3. Choisissez Modifier.
4. Chargez à nouveau le même fichier d’empreinte digitale.
5. Passez en revue les paramètres > d’empreinte digitale Terminé.

Migrer une empreinte digitale à l’aide de PowerShell

Entrez la commande suivante :

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"