Bonne pratique d’utilisation d’Azure Information Protection pour protéger ses données

Fin 2016 Microsoft a officialisé la sortie de la solution Azure Information Protection. Cette solution pilotée par le cloud est une sorte d’évolution de la suite RMS (Rights Management System). Elle vous permettra de créer une politique de classification de documents et ensuite appliquer des profils de protection afin de chiffrer des documents sensibles.

Chez Kyos nous avons commencé à évaluer l’outil en Juillet 2017. Nous avons rapidement compris que cette solution permettrait de protéger encore mieux tous types de document qu’ils soient stockés sur notre serveur de fichier, dans nos emails ou sur une solution cloud.

Cet article a pour but d’expliquer les fonctionnalités de base de la solution.

La première étape est de définir une classification de vos documents. Nous avons décidé de faire simple : Public, Privé, Confidentiel.

Sous confidentiel nous avons créé des restrictions par groupe.

Un bandeau apparait ensuite dans la suite Office et dans l’explorateur de fichier Windows.

Vous pouvez ensuite créer des règles de classification, par exemple si un document contient un mot clé comme « confidentiel », Word peut reclassifier pour vous le document ou vous suggérer de changer la classification.

La protection par défaut se fait à l’aide d’une clé master stocké dans un HSM dans un datacenter de Microsoft. Mais il est à noter que la solution permet également de faire du « Bring Your Own Key » en transférant une clé de votre HSM vers celui de Microsoft.

Une fois qu’un document est classifié ou protégé vous avez la possibilité de tracer qui a ouvert le document et depuis quel endroit.

Par exemple ici nous verrons l’ouverture d’un document depuis la Suisse.

Depuis sa sortie initiale de nombreuses fonctionnalités ont été ajoutées comme le partage de documents protégé avec des comptes invités. Il est également possible de classifier de manière rétroactive vos documents qui se trouvent sur vos serveurs de fichiers afin de les protéger ou nom. Cette classification peut même se faire en continu.

L’administrateur peut par exemple décider que si un document contient un numéro de carte de crédit il sera automatiquement protégé.

Pour terminer ce rapide tours d’horizon d’AIP il est important de savoir que ce produit est inclus dans la Suite Microsoft EMS (Enterprise Mobility and Security) et également dans la suite Microsoft 365.

Prochainement les labels AIPs devraient devenir le standard et remplacer les anciens labels présents à l’heure actuelle dans la suite Office 365.

Autheur : Thomas Eklund