L’absence de stratégie robuste de sécurité et de confidentialité peut avoir des conséquences inimaginables pour votre organisation. En parallèle, les utilisateurs n’ont jamais généré autant de données à caractère personnel entre leurs différents appareils et réseaux personnels et professionnels. Au cours de cette présentation Ignite, Microsoft a présenté un nouvel outil de gestion de la confidentialité conçu pour permettre aux administrateurs et aux utilisateurs finaux d’atténuer facilement les risques et de garantir la conformité à l’intérieur et à l’extérieur de leur organisation.
Plus le volume de données à caractère personnel générées augmente, plus le risque de violation des données est grand. Pas moins de 800 violations de données ont été signalées au cours du premier semestre de cette année, ce qui représente trois quarts de la totalité des violations de données enregistrées en 2020.
Face à ce chiffre alarmant en hausse constante, les réglementations et normes mondiales en matière de confidentialité se multiplient pour aider les organisations à renforcer leur sécurité. Ce type de réglementation a déjà été mis en place dans 129 pays sur 194 afin de protéger les données et les droits de confidentialité. D’ici 2023, 65 % de la population mondiale devraient être couverts par une réglementation sur la confidentialité moderne, contre 10 % aujourd’hui.
La confidentialité concerne tout le monde, d’une identité unique à la plus grande organisation qui soit. Les organisations et les entreprises devraient faire preuve de la plus grande vigilance lors du traitement des données et informations privées de leurs clients afin de conserver et renforcer la confiance des clients. Cependant, la gestion de la confidentialité n’est pas une tâche facile. Voici les trois principaux défis auxquels les organisations sont confrontées et que Microsoft souhaite résoudre grâce à ce nouvel outil de gestion de la confidentialité.
Incapacité à identifier et gérer efficacement les données à caractère personnel: certaines organisations utilisent encore une approche manuelle/traditionnelle en matière de mappage des données, comme l’utilisation de feuilles de calcul, d’e-mails et la communication en personne.
Manque de contexte concernant l’utilisation de ces données et de visibilité sur les risques associés: existence de flux et de plans d’actions adaptés pour atténuer les risques relatifs aux données collectées.
Gestion manuelle des demandes de droits de la personne concernée: besoin de solution permettant d’automatiser les processus et les requêtes à grande échelle pour économiser des ressources et du temps.
Qu’est-ce que Privacy Management pour Microsoft 365 ?
Privacy Management est un outil accessible depuis le Centre de conformité Microsoft 365 qui propose une solution moderne pour gérer les besoins en matière de confidentialité et y répondre. Ses principales fonctionnalités sont les suivantes :
Découverte automatique des données sans avoir à faire d’enquête et visibilité sur les risques possibles,
Proposition d’actions pour atténuer les risques critiques pour la confidentialité,
Aider les organisations à adopter une approche proactive de la confidentialité.
Les fonctions suivantes de l’outil Privacy Management répondent aux trois défis principaux mentionnés ci-dessus.
1. Visualiser et obtenir des informations
En tant qu’administrateur, vous pourrez, dans le tableau de bord de synthèse, avoir une vue d’ensemble du niveau de confidentialité de votre organisation. Vous voyez le volume de données à caractère personnel (numéro de carte de sécurité sociale, cartes de crédits, etc.) existant dans votre entité, leur emplacement et la manière dont elles sont déplacées. Vous avez également un affichage complet des principales tendances et correspondances de stratégie et des risques associés.
Cela vous permet d’avoir une vision granulaire des données que vous voulez voir plus en détail. Vous pouvez filtrer la liste en fonction de vos besoins, par exemple les données adaptées à un accès public comme vous le voyez ci-dessous. Les propriétaires sont même rendus anonymes afin de respecter la confidentialité.
La page de profil des données vous permet de voir facilement le type et le volume de données à caractère personnel, le lieu de stockage des données et la répartition par site.
2. Donner les moyens aux employés de prendre des décisions intelligentes pour la gestion des données
La vignette rouge de l’onglet Vue d’ensemble montre les risques pour la confidentialité auxquels sont exposés les organisations. Ces risques sont répartis en trois catégories.
Réduction des données au minimum: identification du contenu contenant des données à caractère personnel qui n’a pas été utilisé depuis longtemps.
Surexposition des données: identification du contenu contenant des données à caractère personnel susceptible d’être mal partagé ou exposé.
Transfert des données: identification des données à caractère personnel qui ont été déplacées au-delà des frontières, à l’intérieur et à l’extérieur de l’organisation.
À partir de cette alerte, vous avez accès à plus d’informations sur le risque (pourquoi ces données ont-elles été marquées en premier lieu ?) et pouvez prendre immédiatement des mesures depuis le tableau de bord en retirant les droits d’accès, en supprimant le document ou en appliquant l’étiquette appropriée au document. Vous pouvez également notifier les propriétaires et les laisser prendre les mesures nécessaires.
Afin de permettre aux utilisateurs et aux propriétaires de prendre immédiatement les mesures nécessaires concernant leurs données, vous pouvez les informer des risques possibles ou créer des stratégies auxquelles ils devront se conformer pour continuer. Comme vous pouvez le voir dans l’animation ci-dessous, les données à caractère personnel ont été bloquées dans Microsoft Teams par la stratégie mise en place. Les utilisateurs doivent fournir une justification professionnelle pour s’y conformer.
Voici un autre exemple de stratégie de confidentialité concernant la surexposition des données. Le propriétaire des données a reçu un résumé par e-mail mentionnant un fichier qui a fait l’objet d’un accès malveillant. Le propriétaire des données peut agir directement depuis l’e-mail dans Outlook.
Il suffit de quelques clics dans les modèles pour mettre en œuvre et utiliser ces stratégies. Ces stratégies peuvent également être personnalisées avec plus de 100 options, comme l’extension d’une stratégie à un site spécifique et l’ajout des liens et ressources de formation présents dans votre environnement.
Par la suite, vous pourrez voir combien d’utilisateurs prennent les mesures suggérées ainsi que la manière dont vos stratégies fonctionnent dans votre organisation.
3. Demandes de droits de la personne concernée
Privacy Management permet aux administrateurs d’automatiser et gérer les demandes de la personne concernée à grande échelle en quelques clics seulement.
Après avoir saisi les informations importantes sur l’utilisateur, vous pouvez ajouter des attributs personnels comme un pseudo et une adresse. Vous pouvez également indiquer des règlements spécifiques ou préciser le nom et la description de la demande, et c’est terminé !
Vous pouvez ensuite consulter l’ensemble des demandes ainsi que les informations détaillées de chaque demande, comme ce qui a été fait et les actions nécessaires suivantes. Il est également possible d’intégrer ce processus à d’autres solutions comme ServiceNow pour suivre la progression ou définir des rappels de calendrier.
Cette solution de protection de la confidentialité puissante devrait aider les administrateurs à atteindre un niveau de sécurité renforcé dans leur organisation. Cet outil est accessible depuis le Centre de conformité Microsoft 365 avec une licence Microsoft 365 ou Office 365. Cela étant dit, AvePoint propose une solution similaire depuis un certain temps déjà. Il s’agit de Policies & Insights. Cette solution peut être mise en œuvre au niveau du document, mais également de l’espace de travail, pour un éventail d’options de confidentialité encore plus fourni. Pour en savoir plus sur ces fonctionnalités, lisez cet article (en anglais) ou demandez une démonstration dès aujourd’hui !
Adrian is currently a member of AvePoint's project management team. In his previous role as a Content Marketing specialist at AvePoint, Adrian covered the latest trends and topics on what’s new in technology, SaaS Management & Governance, SaaS Backup and Data Management.