Protéger vos données d’entreprise à l’aide de la Protection des informations Windows (WIP)
Remarque
À compter de juillet 2022, Microsoft déprécie Windows Information Protection (WIP). Microsoft continuera à prendre en charge WIP sur les versions prises en charge de Windows. Les nouvelles versions de Windows n’incluront pas de nouvelles fonctionnalités pour WIP et ne seront pas prises en charge dans les futures versions de Windows. Pour plus d’informations, consultez Annonce de l’extinction de Windows Information Protection.
Pour vos besoins en matière de protection des données, Microsoft vous recommande d’utiliser Protection des données Microsoft Purview et Protection contre la perte de données Microsoft Purview. Purview simplifie la configuration et fournit un ensemble avancé de fonctionnalités.
S’applique à :
- Windows 10
- Windows 11
Avec l’augmentation du nombre d’appareils appartenant aux employés dans l’entreprise, il existe également un risque croissant de fuite accidentelle de données via des applications et des services, tels que la messagerie électronique, les réseaux sociaux et le cloud public, qui échappent au contrôle de l’entreprise. Par exemple, lorsqu’un employé envoie les dernières photos d’ingénierie depuis son compte de messagerie personnel, copie et colle des informations sur un produit dans un tweet ou enregistre un rapport commercial en cours dans son stockage cloud public.
La fonction Protection des informations Windows (WIP), auparavant appelée Protection des données d’entreprise (PDE), protège les systèmes contre la fuite potentielle de données sans interférer davantage avec l’expérience de l’employé. Cette fonctionnalité contribue également à protéger les applications et données d’entreprise contre les fuites accidentelles sur les appareils appartenant à l’entreprise et les appareils personnels que les employés apportent au travail sans nécessiter de modification de l’environnement ou d’autres applications. Azure Rights Management, une autre technologie de protection des données, fonctionne également avec WIP. Il étend la protection des données pour les données qui quittent l’appareil, par exemple lorsque des pièces jointes sont envoyées à partir d’une version d’entreprise d’un client de messagerie rights management.
Important
Bien que Windows Information Protection puisse arrêter les fuites accidentelles de données d’employés honnêtes, il n’est pas destiné à empêcher les insiders malveillants de supprimer des données d’entreprise. Pour plus d’informations sur les avantages offerts par WIP, consultez Pourquoi utiliser WIP ? plus loin dans cette rubrique.
Vidéo : Protéger les données d’entreprise contre toute copie accidentelle au mauvais endroit
Conditions préalables
Vous aurez besoin de ce logiciel pour exécuter Windows Information Protection dans votre entreprise :
| Système d’exploitation | Solution de gestion |
|---|---|
| Windows 10, version 1607 ou ultérieure | Microsoft Intune -OU- Microsoft Configuration Manager – OU – Votre solution de gestion des appareils mobiles (GPM) tierce actuelle à l’échelle de l’entreprise. Pour plus d’informations sur les solutions GPM tierces, consultez la documentation fournie avec votre produit. Si votre GPM tiers n’a pas de prise en charge de l’interface utilisateur pour les stratégies, reportez-vous à la documentation csp EnterpriseDataProtection . |
Qu’est-ce que le contrôle des données d’entreprise ?
Pour assurer une collaboration efficace, vous devez partager les données avec d’autres utilisateurs au sein de l’entreprise. Ce partage peut provenir d’un extrême où tout le monde a accès à tout sans aucune sécurité. Un autre extrême est lorsque les gens ne peuvent rien partager et que tout est hautement sécurisé. La plupart des entreprises se situent à un certain niveau entre ces deux extrêmes, leur réussite reposant sur un équilibre entre la fourniture d’un accès aux données requise et le risque de divulgation inadéquate des données.
En tant qu’administrateur, vous pouvez déterminer quels utilisateurs seront autorisés à accéder à vos données grâce au contrôle des accès (via des informations d’identification d’employé, par exemple). Toutefois, le simple fait qu’une personne ait le droit d’accéder à vos données ne garantit pas que les données restent dans les emplacements sécurisés de l’entreprise. Ainsi, les contrôles d’accès sont un bon début, ils ne sont pas suffisants.
Au final, toutes ces mesures de sécurité ont une chose en commun : les employés supportent assez mal les désagréments liés aux restrictions de sécurité et recherchent assez vite un moyen de les contourner. Par exemple, si vous n’autorisez pas les employés à partager des fichiers via un système protégé, les employés se tournent vers une application externe qui manque probablement de contrôles de sécurité.
Utilisation des systèmes de protection contre la perte de données
Pour aider à résoudre cette insuffisance de sécurité, les entreprises ont développé des systèmes de protection contre la perte de données (également appelés DLP). Ces systèmes nécessitent les éléments suivants :
Un ensemble de règles définissant le mode d’identification et de classement des données à protéger adopté par le système. Par exemple, un ensemble de règles peut contenir une règle qui identifie les numéros de carte de crédit et une autre, qui identifie les numéros de Sécurité sociale.
Une méthode d’analyse des données de l’entreprise, visant à déterminer si elles répondent à l’une ou l’autre des règles que vous avez définies. Actuellement, Microsoft Exchange Server et Exchange Online fournissent ce service pour les e-mails en transit, alors que Microsoft SharePoint et SharePoint Online le fournissent pour le contenu stocké dans des bibliothèques de documents.
La possibilité de spécifier le comportement appliqué lorsque les données correspondent à une règle, notamment si les employés peuvent contourner la mise en œuvre. Par exemple, dans Microsoft SharePoint et SharePoint Online, le système Protection contre la perte de données Microsoft Purview vous permet d’avertir vos employés que les données partagées incluent des informations sensibles et de les partager quand même (avec une entrée de journal d’audit facultative).
Malheureusement, les systèmes de protection contre la perte de données présentent leurs propres problèmes. Par exemple, moins l’ensemble de règles est détaillé, plus les faux positifs sont créés. Ce comportement peut amener les employés à croire que les règles ralentissent leur travail et doivent être contournées afin de rester productifs, ce qui peut entraîner un blocage incorrect ou une libération incorrecte des données. Autre problème majeur : les systèmes de protection contre la perte de données doivent être implémentés à grande échelle pour être efficaces. Par exemple, si votre entreprise utilise un système de protection contre la perte de données pour protéger la messagerie, mais non le partage de fichiers ou le stockage de documents, il se peut qu’une fuite des données survienne au niveau des canaux non protégés. Le plus gros problème des systèmes de protection contre la perte de données est peut-être qu’ils fournissent une expérience démentante qui interrompt le flux de travail naturel des employés. Il peut arrêter certaines opérations (telles que l’envoi d’un message avec une pièce jointe que le système considère comme sensible) tout en autorisant d’autres opérations, souvent selon des règles subtiles que l’employé ne voit pas et ne peut pas comprendre.
Utilisation de systèmes de gestion des droits relatifs à l’information
Pour résoudre les éventuels problèmes liés aux systèmes de protection contre la perte de données, les entreprises ont mis en place des mécanismes de gestion des droits relatifs à l’information (ou IRM). Ces mécanismes intègrent des fonctions de protection directement dans les documents. Ainsi, lorsqu’un employé crée un document, il détermine le type de protection à appliquer. Par exemple, un employé peut choisir d’empêcher tout transfert, toute impression ou tout partage du document en dehors de l’organisation.
Une fois que le type de protection est défini, l’application de création chiffre le document afin que seules les personnes autorisées puissent l’ouvrir et ce, uniquement dans des applications compatibles. Lorsqu’un employé ouvre le document, l’application est chargée de mettre en œuvre les protections spécifiées. Étant donné que la protection voyage avec le document, si une personne autorisée l’envoie à une personne non autorisée, la personne non autorisée ne sera pas en mesure de le lire ou de le modifier. Toutefois, pour que les systèmes de gestion des droits relatifs à l’information fonctionnent correctement, vous devez les déployer et les configurer dans un environnement de serveur et dans un environnement de client. Et, étant donné que seuls les clients compatibles peuvent travailler avec des documents protégés, le travail d’un employé peut être interrompu de manière inattendue s’il tente d’utiliser une application non compatible.
Par ailleurs, que se passe-t-il lorsqu’un employé quitte l’entreprise ou désinscrit un appareil ?
Enfin, il existe un risque de fuite de données de votre entreprise lorsqu’un employé quitte ou annule l’inscription d’un appareil. Auparavant, vous effaçiez toutes les données d’entreprise de l’appareil, ainsi que toutes les autres données personnelles sur l’appareil.
Avantages de la fonctionnalité WIP
Windows Information Protection fournit :
Séparation évidente entre les données personnelles et les données d’entreprise, sans que les employés aient besoin de basculer entre les environnements ou les applications.
Protection des données supplémentaire pour les applications métiers existantes, sans mise à jour nécessaire des applications.
Possibilité d’effacer les données d’entreprise des appareils inscrits à la GPM Intune tout en conservant les données personnelles.
Utilisation des rapports d’audit pour le suivi des problèmes et les mesures correctives.
Intégration à votre système de gestion existant (Microsoft Intune, Microsoft Configuration Manager ou votre système de gestion des appareils mobiles (GPM) actuel) pour configurer, déployer et gérer les Information Protection Windows pour votre entreprise.
Pourquoi utiliser la fonctionnalité WIP ?
Windows Information Protection est le mécanisme de gestion des applications mobiles (GAM) sur Windows 10. WIP vous offre une nouvelle façon de gérer l’application de la stratégie de données pour les applications et les documents sur Windows 10 systèmes d’exploitation de bureau, ainsi que la possibilité de supprimer l’accès aux données d’entreprise des appareils d’entreprise et personnels (après l’inscription dans une solution de gestion d’entreprise, comme Intune).
Modifiez votre approche de l’application de la stratégie de données. En tant qu’administrateur d’entreprise, vous devez maintenir la conformité de votre stratégie de données et d’accès aux données. Windows Information Protection permet de protéger l’entreprise sur les appareils d’entreprise et les appareils appartenant à l’employé, même lorsque l’employé n’utilise pas l’appareil. Lorsque les employés créent du contenu sur un appareil protégé d’entreprise, ils peuvent choisir de l’enregistrer sous un document de travail. S’il s’agit d’un document de travail, il est géré localement en tant que données d’entreprise.
Gérez vos documents d’entreprise, applications et modes de chiffrement.
Copie ou téléchargement de données d’entreprise. Lorsqu’un employé ou une application télécharge du contenu à partir d’un emplacement tel que SharePoint, un partage réseau ou un site web d’entreprise, tout en utilisant un appareil protégé par la fonctionnalité WIP, la fonctionnalité WIP chiffre les données sur l’appareil.
Utilisation d’applications protégées. Les applications gérées (applications que vous avez incluses dans la liste Applications protégées de votre stratégie WIP) sont autorisées à accéder à vos données d’entreprise et interagissent différemment lorsqu’elles sont utilisées avec des applications non autorisées, non compatibles avec l’entreprise ou uniquement personnelles. Par exemple, si la gestion WIP est définie sur Bloquer, vos employés peuvent copier et coller d’une application protégée vers une autre application protégée, mais pas vers des applications personnelles. Imaginez qu’une personne rh souhaite copier une description de travail d’une application protégée vers le site web professionnel interne, un emplacement protégé par l’entreprise, mais commet une erreur et tente de coller dans une application personnelle à la place. L’action de collage échoue et une notification s’affiche, indiquant que l’application n’a pas pu coller en raison d’une restriction de stratégie. Lorsque cette personne colle correctement le contenu sur le site web de recherche d’emploi, cela fonctionne sans problème.
Applications gérées et restrictions. La fonctionnalité WIP vous permet de contrôler quelles applications peuvent accéder aux données d’entreprise et les utiliser. Après avoir ajouté une application à votre liste d’applications protégées, l’application est approuvée avec des données d’entreprise. L’accès à vos données d’entreprise est interdit aux applications qui ne figurent pas dans cette liste, selon votre mode de gestion WIP.
Vous n’avez pas besoin de modifier les applications métier qui ne touchent jamais aux données personnelles pour les répertorier en tant qu’applications protégées ; incluez-les simplement dans la liste des applications protégées.
Choix du niveau d’accès aux données. La fonctionnalité WIP vous permet de bloquer, d’autoriser les remplacements ou d’auditer les actions de partage des données des employés. Le masquage des remplacements interrompt l’action immédiatement. Le fait d’autoriser les remplacements permet d’indiquer à l’employé qu’il existe un risque, tout en le laissant continuer à partager les données lors de l’enregistrement et de l’audit de l’action. En mode silencieux, il suffit de journaliser l’action sans arrêter tout ce que l’employé aurait pu remplacer lors de l’utilisation de ce paramètre ; collecte d’informations qui peuvent vous aider à voir les modèles de partage inapproprié afin que vous puissiez prendre des mesures éducatives ou rechercher des applications qui doivent être ajoutées à votre liste d’applications protégées. Pour en savoir plus sur les méthodes de collecte de vos journaux d’audit, consultez Comment collecter des journaux des événements d’audit de Protection des informations Windows (WIP).
Chiffrement des données au repos. Windows Information Protection permet de protéger les données d’entreprise sur les fichiers locaux et sur les supports amovibles.
Les applications telles que Microsoft Word fonctionnent avec WIP pour assurer la continuité de la protection des données sur les fichiers locaux et les médias amovibles. Ces applications sont ici désignées d’entreprise. Par exemple, si un employé ouvre du contenu chiffré par WIP à partir de Word, modifie le contenu, puis tente d’enregistrer la version modifiée sous un autre nom, Word applique automatiquement windows Information Protection au nouveau document.
Protection contre la divulgation accidentelle de données en espaces publics. Windows Information Protection permet de protéger vos données d’entreprise contre le partage accidentel vers des espaces publics, tels que le stockage dans le cloud public. Par exemple, si Dropbox™ ne figure pas dans votre liste d’applications protégées, les employés ne pourront pas synchroniser les fichiers chiffrés avec leur stockage cloud personnel. Au lieu de cela, si l’employé stocke le contenu dans une application de votre liste d’applications protégées, comme Microsoft OneDrive Entreprise, les fichiers chiffrés peuvent se synchroniser librement dans le cloud d’entreprise, tout en conservant le chiffrement localement.
Protection contre la divulgation accidentelle de données sur des médias amovibles. Windows Information Protection permet d’empêcher les données d’entreprise de fuir lorsqu’elles sont copiées ou transférées sur un support amovible. Par exemple, si un employé place des données d’entreprise sur un lecteur USB (Universal Serial Bus) qui contient également des données personnelles, les données d’entreprise restent chiffrées, contrairement aux données personnelles.
Suppression de l’accès aux données d’entreprise sur des appareils protégés d’entreprise. Windows Information Protection permet aux administrateurs de révoquer les données d’entreprise d’un ou de plusieurs appareils inscrits à mdm, tout en laissant les données personnelles seules. Il s’agit d’un avantage lorsqu’un employé quitte votre entreprise, ou si un appareil est volé. Après avoir déterminé que l'accès aux données doit être supprimé, vous pouvez utiliser Microsoft Intune pour désinscrire l'appareil. Ainsi, lorsque ce dernier se connecte au réseau, la clé de chiffrement de l'utilisateur de l'appareil est révoquée et les données d'entreprise deviennent illisibles.
Remarque
Pour la gestion des appareils Surface, il est recommandé d’utiliser current Branch de Microsoft Configuration Manager.
Configuration Manager vous permet également de révoquer des données d’entreprise. Toutefois, il procède pour cela à une réinitialisation aux paramètres d’usine de l’appareil.
Fonctionnement de WIP
Windows Information Protection permet de relever vos défis quotidiens dans l’entreprise. Notamment :
Prévention contre la fuite de données d’entreprise, même sur les appareils appartenant à un employé ne pouvant pas être verrouillé.
Réduction des frustrations pour l’employé en raison de stratégies de gestion des données restrictives sur les appareils appartenant à l’entreprise.
Préservation de la propriété et du contrôle de vos données d’entreprise.
Aide au contrôle du réseau et de l’accès aux données et au partage des données pour les applications qui ne sont pas compatibles avec l’entreprise
Scénarios d’entreprise
Windows Information Protection traite actuellement ces scénarios d’entreprise :
Vous pouvez chiffrer les données de l’entreprise sur les appareils personnels et professionnels.
Vous pouvez effacer à distance les données d’entreprise sur les ordinateurs gérés, y compris les ordinateurs appartenant à un employé, sans affecter les données personnelles.
Vous pouvez protéger des applications spécifiques qui peuvent accéder à des données d’entreprise clairement reconnaissables par les employés. Vous pouvez également empêcher des applications non protégées d’accéder aux données d’entreprise.
Vos employés ne sont plus interrompus dans leur tâche lors du basculement entre les applications personnelles et les applications d’entreprise lorsque les stratégies d’entreprise sont en place. Il n’est pas nécessaire de changer d’environnement ou de vous connecter plusieurs fois.
Modes de protection WIP
Les données d’entreprise sont automatiquement chiffrées après leur chargement sur un appareil à partir d’une source d’entreprise ou si un employé marque les données comme étant d’entreprise. Ensuite, lorsque les données d’entreprise sont écrites sur le disque, Windows Information Protection utilise le système de fichiers EFS (Encrypting File System) fourni par Windows pour les protéger et les associer à votre identité d’entreprise.
Votre stratégie de Information Protection Windows inclut une liste d’applications approuvées qui sont protégées pour accéder aux données d’entreprise et les traiter. Cette liste d’applications est implémentée par le biais de la fonctionnalité AppLocker. Elle contrôle les applications autorisées à s’exécuter et informe le système d’exploitation Windows que certaines applications peuvent modifier les données d’entreprise. Les applications incluses dans cette liste n’ont pas besoin d’être modifiées pour ouvrir des données d’entreprise, car leur présence dans la liste permet à Windows de déterminer s’il faut leur accorder l’accès. Toutefois, les développeurs d’applications peuvent désormais utiliser un nouvel ensemble d’interfaces de programmation d’applications (API) pour créer des applications compatibles, capables d’utiliser et de modifier des données d’entreprise et des données personnelles. Il s’agit là d’une nouveauté de Windows 10. L’un des avantages énormes de l’utilisation d’applications compatibles est que les applications à double usage, comme Microsoft Word, peuvent être utilisées avec moins de préoccupations concernant le chiffrement des données personnelles par erreur, car les API permettent à l’application de déterminer si les données appartiennent à l’entreprise ou si elles appartiennent à l’utilisateur.
Remarque
Pour en savoir plus sur les méthodes de collecte de vos journaux d’audit, consultez Comment collecter des journaux des événements d’audit de Protection des informations Windows (WIP).
Vous pouvez définir votre stratégie de Information Protection Windows pour utiliser 1 mode de protection et de gestion sur 4 :
| Mode | Description |
|---|---|
| Bloquer | Windows Information Protection recherche des pratiques de partage de données inappropriées et empêche l’employé d’effectuer l’action. Il peut s’agir du partage de données d’entreprise sur des applications non protégées par l’entreprise en plus du partage de données d’entreprise entre des applications ou du partage en dehors du réseau de votre organisation. |
| Autoriser les remplacements | Windows Information Protection recherche un partage de données inapproprié, en prévenant les employés s’ils font quelque chose de potentiellement dangereux. Toutefois, ce mode de gestion permet à l’employé de remplacer la stratégie et de partager les données, en consignant l’action dans le journal d’audit. |
| Silencieux | Windows Information Protection s’exécute en mode silencieux, en journalise le partage de données inapproprié, sans arrêter quoi que ce soit qui aurait été invité à interagir avec les employés en mode Autoriser les remplacements. Les actions non autorisées, comme des applications tentant d’accéder de manière inappropriée à une ressource réseau ou à des données protégées par WIP, sont toujours bloquées. |
| Désactivé | Windows Information Protection est désactivé et ne permet pas de protéger ou d’auditer vos données. Une fois que vous avez désactivé la fonctionnalité WIP, une tentative de déchiffrement des fichiers balisés WIP sur les disques connectés localement est effectuée. Vos informations de stratégie et de déchiffrement précédents ne sont pas automatiquement réappliquées si vous réactivez Windows Information Protection. |
Désactiver la fonctionnalité WIP
Vous pouvez désactiver la Protection des informations Windows et les restrictions afin de déchiffrer tous les appareils gérés par la fonctionnalité WIP et de rétablir les paramètres pré-WIP et ce, sans aucune perte de données. Toutefois, cela n’est pas recommandé. Si vous choisissez de désactiver WIP, vous pouvez toujours la réactiver, mais vos informations de déchiffrement et de stratégie ne seront pas automatiquement réappliquées.
Étapes suivantes
Une fois que vous avez décidé d’utiliser WIP dans votre environnement, créez une stratégie Windows Information Protection (WIP).
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour