Utilisation de Data Loss Prevention dans Office 365 (DLP)

Je vous propose de voir comment nous pouvons rapidement mettre en place une stratégie DLP (Data Loss Prevention) pour vérifier la présence de documents illicites au sein de notre tenant Office 365.

Nous allons prendre un scénario assez basique mais vous verrez que la limite sera essentiellement votre imagination. 😉

Vous devez vous connecter sur votre portail d’administration Office 365 avec un compte Global Administrator. Une fois que c’est fait, accédez simplement à l’URL suivante : https://protection.office.com.

Création d’une nouvelle règle Data Loss Prevention (DLP)

Dans le menu latéral gauche, cherchez Data loss prevention et cliquez dessus. Sélectionnez la sous-option Policy.

Cliquez sur le bouton Create a policy pour créer une nouvelle règle.

Dans la fenêtre qui s’ouvre vous allez alors pouvoir choisir quelles sont les informations que vous voulez rechercher au sein de vos documents. Office 365.

Vous verrez qu’il existe par défaut de nombreux réglages puisqu’il est possible de détecter :

• des données financières de plusieurs pays (comptes bancaires, RIB, IBAN, …) ;
• des données médicales basées sur des dictionnaires de mots ;
• des informations liées à la GDPR (General Data Protection Regulation) pour les pays européens ;
• … et vous pourrez également créer vos propres règles qui seraient basées sur des RegEx ou autres (nous y reviendrons dans un prochain article).

Mais pour notre exemple, nous allons imaginer que nous cherchons simplement à contrôler les numéros de cartes de crédit.

Cliquez sur la catégorie Financial puis U.S. Financial Data. Vous verrez alors que nous serons capables de détecter les numéros que l’on peut trouver sur nos cartes de crédits (car ils obéissent à des règles précises).

Cliquez sur Next.

Donnez maintenant un nom à votre règle. Dans mon cas j’ai choisi : My Financial Data Policy. La description est facultative.

Dans l’étape suivante, vous allez pouvoir choisir quels sont les éléments de votre Tenant pour lesquels on doit rechercher ces informations. Autrement dit, surveillez-vous ces éléments uniquement sur Teams, Exchange Online, etc.

Je conserve l’option par défaut pour chercher partout : OneDrive for Business, SharePoint Online, etc.

Dans la fenêtre qui suit nous allons pouvoir personnaliser notre règle. Doit-on rechercher uniquement les éléments fournis par les réglages par défaut ou souhaitons-nous ajouter (ou supprimer) certains éléments.

Si vous cliquez sur Edit, vous verrez qu’il y a de nombreuses possibilités de réglages qui sont déjà intégrés par Microsoft (et de nouvelles possibilités sont constamment ajoutées).

• Passeport français,
• Numéros de carte d’identité,
• Permis de conduire,
• Etc.

Pour l’exemple, nous allons conserver les réglages par défaut, à savoir :

• Credit Cart Number,
• U.S. Bank Account Number,
• ABA Routing Number.

Nous allons prendre l’hypothèse que tant que les informations restent en interne cela convient. Mais que dès que c’est envoyé à un correspondant externe à l’organisation, alors cela doit être bloqué.

Sélectionnez donc l’option : Detect when this content is shared… with people outside my organization.

Cliquez sur Next.

Enfin, pour les derniers réglages, vous pouvez conserver l’ensemble des réglages par défaut.

Cliquez sur Next.

Il ne vous reste alors plus qu’à activer immédiatement votre règle. Sélectionnez l’option Yes, turn it on right away.

Puis validez en cliquant sur Create.

Test de notre règle Data Loss Prevention (DLP)

Pour tester notre règle, il suffit de créer un fichier test. Vous pouvez par exemple remplir un document Txt ou Word avec les informations suivantes :

Visa 4007 0000 0002 7
Visa 4024 0071 2765 3
Visa 4222 2222 2222 2
Visa 4556 0692 7520 1
Visa 4556 3818 1280 6
Visa 4911 8300 0000 0
Visa 4916 1839 3508 2
Visa 4916 6034 5252 8
Visa 4929 0000 0000 6
Visa 4012 8888 8888 1881
Visa 4012 8888 8888 1881
Visa 4111 1111 1111 1111
Visa 4111 1111 1111 1111
Visa 4444 3333 2222 1111
Visa 4539 1050 1153 9664
Visa 4544 1821 7453 7267
Visa 4716 9147 0653 4228
Visa 4916 5417 1375 7159
Visa 4916 6156 3934 6972

Si vous tendez d’envoyer ce fichier sur un site SharePoint Online ou même au sein de votre OneDrive, le fichier va immédiatement être bloqué (et l’information va remonter dans la console Office 365 Security & Compliance) :

Et comme souhaité, vous ne pourrez pas non plus partager de fichier par email. Lorsque vous allez tenter de l’envoyer à un correspondant bénéficiant d’une adresse email externe – vous aurez le message suivant :

Vous pourrez malgré tout appuyer sur Envoyer mais l’email ne sera pas délivré et vous recevrez alors une alerte plus précise sur le conflit.

En résumé, c’est une bonne façon de protéger et contrôler les accès au sein de votre Tenant Office 365. Il existe de multiples possibilités de configuration que je vous encourage à découvrir ! 🙂

Plus d’infos sur le lien TechNet suivant : https://docs.microsoft.com/fr-fr/microsoft-365/compliance/data-loss-prevention-policies?view=o365-worldwide.