Partager via


Stratégies de transfert de données dans la gestion des risques de confidentialité

Le transfert de données personnelles présente des risques, en particulier lorsqu’elles sont transférées en dehors de votre organization, ou envoyées entre certains services ou emplacements géographiques au sein de votre organization. Par exemple, si les données sont envoyées via des e-mails non chiffrés ou à des destinataires non autorisés, les données peuvent ne plus être sécurisées. Les activités de transfert de données comme celles-ci peuvent avoir un impact réglementaire ou violer les pratiques de confidentialité établies de l’organisation.

Les stratégies de transfert de données dans Gestion des risques de confidentialité Microsoft Priva vous permettent de surveiller les transferts de données personnelles en dehors de votre organization, ainsi que les transferts internes entre différents services ou pays ou régions. Lorsqu’une correspondance de stratégie est détectée, vous pouvez envoyer des notifications aux utilisateurs dans Microsoft Teams ou des e-mails avec des options de correction qui incluent la révocation de l’accès, la conservation ou la suppression d’éléments (voir les détails à l’étape 10 du processus de création de stratégie).

Notre processus de configuration de stratégie facilite la définition des conditions de stratégie. Vous disposez d’un contrôle total sur le minutage et la fréquence des alertes des e-mails et des conseils dans Microsoft Teams qui portent l’attention des utilisateurs sur les pratiques de gestion des données sécurisées.

Il existe deux façons de créer une stratégie : à partir d’un modèle, qui est notre option « prête à l’emploi » rapide à l’aide des paramètres par défaut ; ou l’option personnalisée , qui est un processus guidé pour définir des conditions, des alertes et des notifications.

Configuration rapide : Utiliser un modèle avec les paramètres par défaut

La stratégie de transfert de données par défaut détecte quand des données personnelles sont envoyées à des destinataires en dehors de votre organization. Par exemple, il détecte lorsqu’un utilisateur de votre organization envoie un e-mail Exchange à un destinataire externe dans les champs À, Cc ou Cci.

Pour créer une stratégie de transfert de données par défaut, procédez comme suit :

  1. Connectez-vous à l’un des portails suivants à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365 :

  2. Accédez à la solution de gestion des risques de confidentialité et sélectionnez la page Stratégies .

  3. Sélectionnez Créer une stratégie.

  4. Dans la zone Transferts de données , sélectionnez Créer.

  5. Un volet volant contient les détails de la stratégie. La sélection de l’option Afficher les paramètres affiche les paramètres par défaut. Vous pouvez modifier les paramètres à partir d’ici, ce qui vous permet d’accéder au processus guidé décrit ci-dessous. Pour continuer à créer votre stratégie à l’aide des paramètres par défaut, entrez simplement un nom descriptif, puis sélectionnez Créer une stratégie.

Votre stratégie est créée et vous la trouverez dans votre page Stratégies . Il commence en mode test afin que vous puissiez surveiller son fonctionnement avant de l’activer.

Paramètres de stratégie de transfert de données par défaut

Une stratégie de transfert de données créée à partir du modèle détecte :

  • Lorsque des données personnelles au sein de votre organization sont transférées ou partagées avec un destinataire ou un emplacement en dehors de votre organization.

  • Lorsque des données personnelles sont partagées en externe à partir de l’un de ces emplacements au sein de votre organization :

    • Exchange. Exemple : envoi d’un e-mail contenant des données personnelles à une adresse e-mail de destinataire qui se trouve en dehors de votre organization.
    • OneDrive et SharePoint. Exemples : envoi d’un lien vers un fichier ou un site contenant des données personnelles à une personne en dehors de votre organization ; copie ou déplacement d’un fichier vers un emplacement OneDrive ou SharePoint situé en dehors de votre organization.
    • Teams. Exemple : envoi d’un message de conversation Teams contenant des données personnelles à un destinataire qui se trouve en dehors de votre organization.
  • Types de données basés sur les groupes de classification suivants :

    • Règlement général sur la protection des données (RGPD) de l’UE
    • Informations d’identification personnelle aux États-Unis
    • US Patriot Act
    • Loi sur les notifications de violation de l’État des États américains
    • Us Gramm-Leach-Bliley Act (GLBA)
    • Us Health Insurance Portability and Accountability Act (HIPAA)
    • Australia Health Records Act (HRIP)
    • Loi australienne sur la protection des données personnelles
    • Informations d’identification personnelle au Japon
    • Japon Protection des informations personnelles

Configuration personnalisée : Processus de création de stratégie guidé

L’option de stratégie personnalisée est un processus guidé pour créer une stratégie en définissant des conditions, en désignant la gravité et la fréquence des alertes et en activant les Notifications par e-mail utilisateur.

Effectuez les étapes ci-dessous pour créer une stratégie de transfert de données :

  1. Connectez-vous à l’un des portails suivants à l’aide des informations d’identification d’un compte administrateur dans votre organization Microsoft 365 :

  2. Accédez à la solution de gestion des risques de confidentialité et sélectionnez la page Stratégies .

  3. Sélectionnez Créer une stratégie.

  4. Dans la zone Personnalisé , sélectionnez Créer.

  5. Dans la page Nom et type , sélectionnez le modèle de stratégie Transferts de données . Entrez un nom de stratégie qui vous aidera à l’identifier facilement à partir de votre liste dans la page Stratégies , entrez une description facultative, puis sélectionnez Suivant.

  6. Dans la page Sources de données, sélectionnez toutes les sources de données dans Microsoft 365 que la stratégie doit couvrir. Choisissez parmi les comptes de messagerie Exchange, les comptes OneDrive, les messages de conversation et de canal Teams et les sites SharePoint.

    Dans SharePoint, vous pouvez désigner tous les sites ou des sites spécifiques. Si vous sélectionnez Sites SharePoint spécifiques, vous pouvez entrer l’URL du site dans le champ URL. Vous pouvez également sélectionner +Choisir des sites, puis, dans le volet volant, case activée la zone à gauche du nom de site que vous souhaitez sélectionner.

    En savoir plus sur le choix des sources de données. Lorsque vous avez terminé, sélectionnez Suivant.

  7. Dans la page Données à surveiller , choisissez le type de données personnelles que votre stratégie doit surveiller. Il existe deux options :

    • Groupes de classification : regroupements de types d’informations sensibles utilisés pour détecter du contenu lié à des données personnelles ou à des réglementations spécifiques. Si vous sélectionnez cette option, vous devez sélectionner +Ajouter des groupes de classification pour choisir un ou plusieurs groupes dans la liste fournie.
    • Types d’informations sensibles individuels : sélectionnez cette option pour choisir parmi une liste de types d’informations sensibles individuels.

    En savoir plus sur le choix des données à surveiller. Lorsque vous avez terminé de sélectionner les données à surveiller, sélectionnez Suivant.

  8. Dans la page Utilisateurs et groupes, choisissez les utilisateurs de votre organization la stratégie s’applique. Vous pouvez sélectionner tous les utilisateurs individuels et tous les groupes de distribution Office 365, ou vous pouvez sélectionner des utilisateurs et des groupes spécifiques. En savoir plus sur le choix des utilisateurs et des groupes. Lorsque vous avez terminé, sélectionnez Suivant.

  9. Dans la page Conditions , sélectionnez le type de condition de transfert de données détecté par la stratégie :

    • Transferts en dehors de votre organization : détecte les transferts d’utilisateurs ou de groupes au sein de votre organization vers des utilisateurs externes ou invités en dehors de votre organization.
    • Transferts entre les frontières ou régions du pays : pour cette option, vous allez sélectionner une région d’expéditeur et une région de destinataire. Choisissez vos pays ou régions désignés dans les volets volants qui s’affichent, puis sélectionnez Ajouter.
    • Transferts entre utilisateurs : détecte les transferts en fonction des attributs Microsoft Entra des utilisateurs, tels que les services, le code postal ou les titres de poste.
    • Transferts entre groupes Microsoft 365 : détecte les transferts entre les utilisateurs de deux groupes Microsoft 365. Cela inclut les boîtes aux lettres Exchange et les sites SharePoint associés aux groupes.
    • Transferts entre sites SharePoint : détecte quand un élément contenant des données personnelles a été copié ou déplacé d’un site SharePoint vers un autre site SharePoint.
  10. Dans la page Résultats , décidez s’il faut avertir les utilisateurs lorsque les conditions de stratégie sont remplies. Vous pouvez choisir l’une des options suivantes, ou les deux, ou choisir l’une ou l’autre en laissant les cases à cocher vides :

    • Lorsque le contenu correspond à la condition de stratégie, donnez aux utilisateurs des conseils de stratégie et des recommandations : les conseils de gestion des données s’affichent dans le instance de Microsoft Teams d’un utilisateur lorsqu’il effectue une action qui correspond aux conditions de la stratégie. Vous devez fournir une URL pour votre formation de confidentialité préférée, qui apparaîtra également dans le conseil.

    • Envoyer un e-mail de notification aux utilisateurs lorsqu’une correspondance de stratégie se produit : les utilisateurs reçoivent une notification par e-mail lorsque leurs actions correspondent à des conditions de stratégie. Après avoir case activée la zone, vous pouvez afficher un aperçu et modifier l’e-mail, puis définir la fréquence et fournir un lien vers la formation sur la confidentialité (en savoir plus sur les e-mails de notification). Les options de correction dans les e-mails dépendent de la source de données :

      • À partir de SharePoint ou OneDrive , les options de correction sont Révoquer l’accès et Conserver.
      • À partir de Teams , les options de correction sont Corbeille et Conserver.
      • À partir d’Exchange , l’option de correction est Conserver.

      Lorsque vous avez terminé de définir les résultats, sélectionnez Suivant.

  11. Dans la page Alertes , utilisez le bouton bascule pour activer les alertes qu’un administrateur verra dans la page Alertes de la section Stratégies de gestion des risques de confidentialité. Vous allez désigner la fréquence à laquelle les alertes sont générées, les seuils de correspondance avant la génération des alertes et la gravité des alertes. En savoir plus sur la définition d’alertes pour les correspondances de stratégie. Lorsque vous avez terminé, sélectionnez Suivant.

  12. Dans la page Mode , choisissez le mode dans lequel placer la stratégie : Testez-la en premier ou Activez-la immédiatement. En mode test, aucune alerte ou notification n’est envoyée. En savoir plus sur les recommandations et les éléments à analyser lors du test d’une stratégie. Lorsque vous avez terminé, sélectionnez Suivant.

  13. Dans la page Terminer , passez en revue vos choix. Sélectionnez Modifier sous l’une des sections pour ajuster les paramètres. Lorsque vous êtes satisfait des paramètres de votre stratégie, sélectionnez Envoyer pour créer la stratégie.

Après quelques secondes, vous verrez une confirmation que la stratégie a été créée. Sélectionnez Terminé dans la page de confirmation, qui vous amène à la page Stratégies où vous verrez la nouvelle stratégie en haut du tableau.

Étapes suivantes

Pour plus d’informations sur la modification et la gestion des stratégies, consultez Stratégies de gestion des risques de confidentialité .

Microsoft Priva exclusion de responsabilité légale