Protéger vos données avec Azure Information Protection AIP et Office 365

L’évolution des services Cloud pousse l’entreprise à se dématérialiser et à vivre en de multiples lieux à la fois. Chaque jour les organisations partagent des données sensibles avec leurs partenaires, clients et collaborateurs et de plus en plus la collaboration s’opère à distance via des périphériques mobiles trop souvent non sécurisés. Les services de sécurité Microsoft Azure offrent un ensemble d’outils de protection qui, avec le bon accompagnement, peuvent être très simplement mis en place.

Découvrez Azure Information Protection qui vous permettra de protéger vos données sensibles au travers de tous les services Office 365 !

Sécuriser vos données sensibles avec Azure Information Protection

Avec la montée en puissance des cyberattaques, la sécurité des données est devenue un enjeu majeur pour les entreprises. Le manque de connaissances sur le sujet est une des grandes difficultés auxquels toutes nos organisations font face. D’année en année, les attaques sont de plus en plus nombreuses et de plus en plus violentes, sans tomber dans une paranoïa générale, il est essentiel de mettre en place les recommandations et bonnes pratiques minimales.

Dans un monde numérique de partage et toujours plus mobile, comment s’assurer que les données sensibles de votre entreprise ne seront-elles pas compromises ou perdues hors d’un cadre contrôlé ? Depuis de nombreuses années, Microsoft propose des services de sécurité de plus en plus complets et performants. Sa plateforme Cloud Azure propose ainsi un large panel d’outils de sécurité qui permettent à une entreprise de protéger tous les aspects de son système informatique.

L’avantage des services Microsoft Azure réside dans leur intégration avec les services Office 365 et les systèmes d’exploitation Windows qui sont largement répandus dans le monde. Microsoft Azure Information Protection permet de classifier, protéger et traquer les données de votre entreprise grâce à un service flexible qui s’adaptera à votre organisation. En bénéficiant de notre accompagnement, vous pourrez profiter de toute la puissance du service Azure AIP avec Office 365 !

Qu’est-ce que Azure Information Protection (AIP) ?

Azure est la plateforme cloud publique de Microsoft qui regroupe des centaines de services de toutes natures. Microsoft Azure est véritablement une extension d’Office 365 et apporte un lot non négligeable d’outils plus que nécessaire pour gérer votre système informatique. L’avantage supplémentaire d’Azure est qu’elle vous permet d’intégrer des applications Cloud tierces ainsi que des vos propres applications métiers qui pourront ainsi plus facilement s’intégrer à votre environnement Office 365. En exploitant les services Active Directory avec Office 365, Azure vous permet de développer une infrastructure hybride pour gérer tous vos utilisateurs et ainsi étendre très rapidement la protection à l’ensemble de votre système informatique.

Le service Azure Information Protection (AIP) se concentre sur la protection des données sensibles de votre entreprise peu importe leur lieux de stockage et la manière dont vos utilisateurs y accèdent. Le service offre donc une protection totale sur tous les services Cloud de Microsoft : SharePoint Online, Exchange Online, OneDrive for business, Microsoft Teams, Skype for Business, Office 365 et plus. Peu importe le nombre de partage, d’accès aux documents ou encore la multiplicité des lieux de stockage (smartphones, ordinateurs, tablettes,…), vos données sont toujours protégés par différents systèmes : chiffrement, classification des données avec étiquettes et autres politiques contre la perte de données (Data Loss Prevention, DLP).

Nos environnements de travail sont de plus en plus mobiles et de nombreuses entreprises autorisent le BYOD (Bring Your Own Device) permettant ainsi aux employés d’utiliser leurs périphériques personnels pour accèder aux données de l’entreprise. Tous vos utilisateurs comptent de plus en plus sur des applications tierces et les services cloud pour collaborer avec leurs partenaires et clients. L’exposition de vos données aux risques de perte ou de vol est donc une préoccupation bien réelle !

Grâce à AIP, vous pourrez simplement regagner plus de contrôle ce qui vous permettra de plus facilement atteindre vos objectifs de sécurité, de conformité et d’exigences réglementaires grâce à différents outils :

• Protection complète et persistante : peu importe la localisation des fichiers sensibles ou qui les partage, les protocoles de protection sont toujours actifs ;
• Surveillez et analysez vos données : découvrez qui partage vos données, sur quels périphérique ou services elles sont partagées et à quelle fréquence. Vous pouvez même restreindre ou révoquer l’accès aux données si vous estimez que l’accès n’est pas sûr ;
• Définissez qui peut accéder aux données et ce qu’ils peuvent en faire : Non seulement vous pourrez définir quels utilisateurs peuvent accéder à vos données mais également définir ce que les utilisateurs peuvent faire avec ces données grâce à la définition de plusieurs niveaux d’accès. Par exemple, vous pouvez accorder le droit à un groupe d’utilisateur d’afficher et modifier un fichier mais interdire l’impression ou le partage de ce même fichier.
• Classer facilement les données : La classification des données grâce à un ensemble d’étiquettes vous permettra de contrôler et protéger les plus sensibles avec des politiques de sécurité qui s’appliqueront automatiquement.
• Mise en place de clés de chiffrement : Que vos données soient stockées sur un disque dur ou dans le Cloud, vous pouvez décider de mettre en place des clés de chiffrement qui empêcheront ainsi l’accès à tous les documents aux utilisateurs qui ne possèdent pas la clé de décryptage. Le chiffrement est une protection très puissante pour empêcher des utilisateurs malveillants d’accéder à vos fichiers en dehors de l’organisation.

Avec Office 365 Entreprise ou Business, Azure Information Protection vous aide à protéger les données entre les différents services de collaboration tels que SharePoint, Exchange et les outils bureautiques Office. L’intégration de cette protection est totalement transparente sur tous vos documents Office, ce qui vous permet de protéger en permanence la propriété intellectuelle de votre entreprise.

Azure Information protection aide à préserver la sécurité de vos informations que ce soit en ligne ou hors connexion car vos fichiers sont en permanence sous protection. Le chiffrement des messages avec Office 365 permet de partager en toute sécurité des informations avec des destinataires internes ou externes à votre organisation. Des modèles de politique de protection complète existent et peuvent être appliqué pour protéger très rapidement votre organisation. Vous aurez bien entendu la possibilité de définir des politiques plus personnalisés pour répondre aux besoins de vos usagers grâce à l’accompagnement de nos experts Office 365 et Azure.

Découvrez comment Azure Information Protection protège vos données avec Azure Rights Management

Azure Rights Management Service ou Azure RMS est le nom de la technologie exploitée par Azure Information Protection pour protéger vos données. Azure RMS fonctionne sur tous les périphériques que ce soit smartphones, tablettes ou ordinateurs. Cette technologie utilise le cryptage avancé pour gérer les politiques d’autorisations et d’identifications. L’avantage de cette technologie est que vos fichiers et messages sont donc protégés même lorsqu’ils quittent les limites de votre système informatique.

Nous ne détaillerons pas ici comment cette technologie fonctionne mais il est important de comprendre que ce service n’agit pas comme un coffre-fort sécurisé mais que Azure RMS crypte les données au niveau de l’application qui crée le fichier ou le modifie. Le fichier porte en lui le niveau de protection et ne pourra donc être ouvert ou modifié que par la personne disposant des droits d’accès. Chaque document dispose d’une clé unique intégré dans son header ce qui garantit la protection en tout temps et en tous lieux. Cette solution de protection des informations vous permet donc de garder le contrôle de vos données, même quand vous les partagez avec d’autres personnes en dehors de l’entreprise.

Par exemple, vous pouvez configurer un classeur Excel pour qu’il soit accessible uniquement par les personnes de votre entreprise tout en déterminant le degré de modification (lecture seule, empêcher son impression, etc.). De la même façon, vous pouvez configurer les mails et empêcher leur transfert ou l’utilisation de l’option « Répondre à tous » (ce qui est dans bien souvent dans cas le choix le plus judicieux…).

Les paramètres de protection sont définis et inclus dans votre politique de classification des documents et mails. L’utilisateur pourra ainsi appliquer très simplement le niveau de protection en sélectionnant l’étiquette qui convient (« confidentiel », « données internes », « grand public », etc.).

La technologie Azure RMS est intégrée à tous les services Cloud et applications de Microsoft, telles qu’Office 365 et Azure Active Directory. Il est également possible de l’utiliser avec vos propres applications métier et avec les solutions de protection d’autres éditeurs de logiciels, que ce soit on-premise ou dans le cloud. Certaines applications prennent en charge la protection mais pas la classification. Le modèle de protection des données reste actif mais vous ne pourrez pas modifier l’étiquette appliquée par cette application. 

La classification des données et les étiquettes avec AIP

Azure Information Protection (parfois appelée AIP) est une solution basée sur le cloud qui permet à une organisation de classifier ses documents et e-mails avec des étiquettes pour y appliquer automatiquement des protections. Vos administrateurs définissent les règles et les conditions de la protection. Ces étiquettes peuvent s’appliquer automatiquement selon le groupe auquel appartient l’utilisateur ou manuellement par l’utilisateur lui-même, qui peuvent éventuellement recevoir des suggestions de la part des administrateurs selon les données identifiées dans le document.

Par exemple, vous pouvez décider d’appliquer par défaut une étiquette du type « confidentiel » pour les plus hauts dirigeants de votre entreprise sur tous les documents qu’ils créeront. Vous pouvez de plus laissez ce dirigeant modifier la nature de cette étiquette tout en l’avertissant qu’il est conseillé de laisser cette étiquette si les données sont d’ordre interne.

L’image ci-dessous illustre la manière dont un utilisateur percevra l’action du Azure Information Protection dans son logiciel Word. Dans cet exemple, le service AIP a détecté la présence d’un format d’information considéré comme sensible par l’administrateur (par exemple un numéro de sécurité sociale). Quand cet utilisateur tente d’enregistrer son document Word contenant l’information sensible, une info-bulle personnalisée lui recommande l’étiquette « Confidential » que l’administrateur a configurée. L’utilisateur clique alors sur appliquer l’étiquette, la classification s’opère et le document est protégé.

Une fois que le contenu classifié, vous pouvez suivre et contrôler son utilisation. Vous pouvez analyser les informations sur son activité, détecter les comportements à risque et prendre des mesures correctives, suivre l’accès aux documents, empêcher la fuite de données ou une mauvaise utilisation des données, etc.

Chaque étiquette peut également intégrer des marquages visuels sur les documents comme les en-têtes, pieds de page ou filigranes. Des métadonnées sont ajoutées aux fichiers et aux en-têtes des mails, ce qui permet aux autres services, comme les solutions de prévention de perte de données, d’identifier la classification et prendre les mesures appropriées pour protéger ces fichiers.

Classification et la protection de documents existants

Vos utilisateurs possèdent déjà un certain nombre de documents, les classifier à la main serait donc un travail fastidieux et peu efficient. Vos ensembles de données actuels qu’ils soient locaux ou djà sur le Cloud peuvent être classifié rapidement en automatisant ces actions.

Pour les banques de données locales, le scanner Azure Information Protection permet de détecter, classifier et protéger des documents. Ce scanner fonctionne sur des dossiers locaux, des partages réseau, des sites SharePoint Server ainsi que la majorité des bibliothèques.

Vous pouvez aussi utiliser vos règles de protection pour détecter automatiquement les informations sensibles et appliquer les étiquettes spécifiques correspondantes. Pour être certain de protéger à minima tous vos documents, vous pouvez dans un premier temps appliquer une étiquette par défaut à tous les documents sans inspecter le contenu des fichiers.

La fonctionnalité « Analyseur de fichier » vous offre aussi la possibilité de consulter des rapports permettant de découvrir rapidement des informations sensibles dont vous ignorez peut-être que certains utilisateurs sont en leurs possessions et ne devraient peut-être pas. Cette fonctionnalité est particulièrement utile pour gérer les données personnelles sensibles dans le cas du RGPD.

Appliquer des étiquettes et classifier les emails avec Azure Information Protection

Le service de sécurité Azure Information Protection permettent également d’appliquer une classification aux e-mails.

Le mail ci-dessus a été classé sous l’étiquette « Général ». Un pied de page a été automatiquement ajouté avec comme annotation « Sensibilité : Général ». Ce pied de page est un indicateur visuel pour que tous les destinataires comprennent qu’il s’agit de données professionnelles qui ne doivent pas être envoyées à l’extérieur de l’organisation. Cette étiquette est incorporée aux en-têtes de courriel afin que les services d’e-mail puissent inspecter cette valeur et empêcher son envoi à l’extérieur de l’organisation si nécessaire.

AIP gère également le chiffrement des documents afin que seules les personnes autorisées ne puissent consulter les informations qu’ils contiennent.

La protection des accès aux documents avec Azure Information Protection

Le chiffrement des messages et des documents avec AIP vous permettra de :

• Assurer un chiffrement simple et automatique des documents et robuste sans investir lourdement dans d’autres solutions ;
• Envoyer des messages chiffrés et protégés à des destinataires internes et externes à votre organisation (avec les utilisateurs Office 365 mais aussi de logiciels de services de courriers tiers tels que Gmail et Hotmail par exemple).
• Déchiffrer et lire des messages chiffrés en toute sécurité, sans avoir à installer de logiciel supplémentaire ;
• Gérez simplement les données sensibles à l’aide de l’application de règles de transport Exchange.

La protection des fichiers s’intègre très simplement avec les outils bureautiques et services de collaboration Office 365. Une barre d’information supplémentaire proposant le choix de l’étiquette la plus adaptée au degré de sécurité du fichier s’affiche dans les applications Office, comme illustré ci-dessus dans Excel.

Pour classer et protéger d’autres types de fichiers, et pour prendre en charge plusieurs fichiers à la fois, les utilisateurs peuvent cliquer avec le bouton droit sur les documents à partir de leur explorateur de fichiers Windows (voir capture ci-contre).

Les administrateurs, et utilisateurs les plus avancés, peuvent aussi utiliser les commandes PowerShell gérer plus efficacement la classification de plusieurs fichiers à la fois. 

Une fois le document classifié et protégé, le suivi des documents pour surveiller les accès et la localisation peut être réalisé sur une plateforme spécifique. À partir de celle-ci, les administrateurs peuvent révoquer l’accès à ces documents s’ils l’estiment nécessaire.

Crypter les e-mails professionnels pour plus de sécurité

L’exploitation du service Azure Information protection avec votre environnement Office 365 vous permet de bénéficier pleinement de toute l‘intégration des outils avec Exchange Online (le service de messagerie mail ayant pour client mail Outlook). Vous pourrez ainsi envoyer des mails cryptés à tous les utilisateurs en étant certain qu’ils puissent le lire quel que soit son périphérique tant qu’ils disposent de la clé de décryptage adéquat.

Ainsi vous pouvez envoyer des informations sensibles à des adresses e-mail personnelles avec un compte Gmail ou Hotmail ou à des utilisateurs ne disposant pas de compte Office 365 ou enregistré sur Azure AD. Vous serez certain que la personne qui ouvre ce message est bien votre destinataire.  

Ce scénario nécessite les nouvelles fonctionnalités de chiffrement de messages d’Office 365. Si les destinataires n’arrivent pas à ouvrir le mail crypté dans leur client de messagerie natif, ils peuvent utiliser une seconde méthode avec un code secret à usage.

Par exemple, si vous envoyez un email protégé sur une adresse personnelle Gmail, votre destinataire verra une interface de connexion apparaître avant de pouvoir accéder au contenu du message comme illustré ci-contre.  

En mettant en place les fonctionnalités Azure Information Protection, vos utilisateurs verront donc de nouveaux boutons apparaître sur leur client mail Outlook : les étiquettes de classification (ou labels) et le bouton « Ne pas transférer » qui empêche dès lors toute possibilité de transfert du message par le destinataire.

Les règles de protection peuvent s’appliquer automatiquement à tous vos utilisateurs ou certains groupes selon la définition de votre politique de sécurité. Les documents Office joints avec votre mail bénéficient eux aussi automatiquement de la stratégie de protection sélectionnée pour le mail envoyé.

Comment profiter des services Azure Information Protection ?

Les services de sécurité Azure sont développés pour une intégration parfaite avec Office 365 et les systèmes d’exploitation Windows ainsi que de nombreuses autres applications tierces et concurrentes. Microsoft fournit un volume conséquent de documentation mais qui nécessite très souvent un bagage technique important pour anticiper les problématiques de configuration et de déploiement. La réglementation affectant votre secteur tel que le RGPD vous pousse peut-être à déployer ce type de services qui peuvent s’avérer complexe à configurer.

Pour exploiter au maximum votre investissement sur Office 365 et Azure, nous vous proposons donc une offre d’accompagnement nommé « MyOffice365 » qui vise à tirer le meilleur des fonctionnalités de ces services Cloud tout en bénéficiant de toute notre expérience en tant que partenaire Microsoft depuis plus de 10 ans. Vous pouvez retrouver plus de détails sur cet accompagnement dans nos articles et document de présentation :

Le plan « Azure Information Protection pour Office 365 » est inclus dans les plans Office 365 Entreprise E3 et E5 mais il est aussi possible de les acheter seuls (en « stand alone ») en complément des licences Office 365 suivantes :

• Office 365 Entreprise E1 et K1,
• Exchange Online Plan 1 et Plan 2

Les plans Microsoft 365 Entreprise E3 et E5 contiennent respectivement les plans AIP Plan 1 et AIP Plan 2. Retrouvez une présentation détaillée des licences Microsoft 365 dans notre article :