Quelles solutions métiers et sécurité vous offre la suite Office 365 pour vous aider à vous mettre en conformité avec le RGPD.
Présentation données par Jean-François Berenguer et Sébastien Paulet lors de l'aOS Aix en Provence du 21 Juin 2018
3. aOS Aix-en-Provence
21 Juin 2018
RGPD – le 25 mai est passé. Rien n’est jamais trop
tard avec les solutions de sécurité Microsoft
@jfberenguer_pro & @SP_twit
4. aOS Aix-en-Provence
21 Juin 2018
Présentation des conférenciers
Enterprise Solutions
Architect
SPT Conseil
Speaker on
#DMS, #Archiving,
#SharePoint,
#Scrum, #Lean,
#Ergonomy
Blog
https://sppublish.wordpress.com
Cloud Trotteur
Fan de
#Rugby et #Chocolat
@projetlys
6. aOS Aix-en-Provence
21 Juin 2018
25 mai 2018 = un nouveau passage à l’an 2000 ?
6
D-DAY
An 2000
RGPD Théorie
Les exigences
perdurent
…Pas vraiment
7. aOS Aix-en-Provence
21 Juin 2018
25 mai 2018 = un nouveau passage à l’an 2000 ?
7
D-DAY
An 2000
RGPD Théorie
RGPD Réalité
Panique
Les exigences
perdurent
…Pas vraiment
9. aOS Aix-en-Provence
21 Juin 2018
Responsabilité
Gouvernance des données
et gestion des droits
Responsabilité
SharePoint
Online Hybride
Azure/
IaaS Localement
Points de terminaison
clients
Gestion des comptes et
des accès
Infrastructure d identités
et d annuaires
Contrôles réseau
Applications
Système d exploitation
Réseau physique
Centre de données
physique
ClientMicrosoft
Hôtes physiques
• Engagement depuis 2014
• Dans les conditions d'utilisation :
"Microsoft s’engage envers l’ensemble
de ses clients à appliquer les
Conditions du GDPR à compter du
25 mai 2018. " + une annexe dédiée
• Revu et approuvé par le G29
11. aOS Aix-en-Provence
21 Juin 2018
Obligation du responsable des
traitements
Article 5 - les données à caractère personnel doivent être :
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que
celui-ci est respecté (responsabilité).
TRANSPARENCE
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement
d'une manière incompatible avec ces finalités […];
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles
sont traitées (minimisation des données);
FINALITE
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les
données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées,
soient effacées ou rectifiées sans tarder (exactitude);
MAJ / EXPORT /
SUPPRESSION
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée
n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées[…];
DUREE DE
RETENTION
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la
protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts
d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et
confidentialité);
SECURITE
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté,
transparence
12. aOS Aix-en-Provence
21 Juin 2018
Transparence
• New! : Disclamer pour les utilisateurs extérieurs
• New! : Multi geo
capability
• New! : Yammer et les
index du moteur de
recherche seront eux aussi
geo localisés.
• New! : Data center FR
Q2 2018
13. aOS Aix-en-Provence
21 Juin 2018
Finalité - Identifier les contenus
personnels
• Faites l’inventaire des données personnelles pouvant apparaitre
-> Registre des traitements -> revision des plans de classement
Risque
Facilité
14. aOS Aix-en-Provence
21 Juin 2018
Finalité - Classification transverse –
Labels / Etiquettes
• Définissez « Typologie » de contenus transverse à l’entreprise.
• 1 seule par contenu
• Gestion : « Sécurité et conformité »
> « Classifications » > « Etiquettes » > … >
« Publier les étiquettes »
• Peut être appliquée manuellement par
l’utilisateur final depuis les programmes clients
ou les interfaces web
• Rapport disponibles
• Detection automatique possible
15. aOS Aix-en-Provence
21 Juin 2018
Détecter – Protection contre la perte des
données - Data Loss Prevention Policies
• Application de comportements en fonction des étiquettes
• Exemple : Possibilité de bloquer ou alerter
lors de l’accès ou du partage
• Rapports disponibles
16. aOS Aix-en-Provence
21 Juin 2018
Records Management - Retention
policies
• Durée de rétention par bibliothèque ou par content type ou par
étiquette dans SharePoint
• Formule : « XX année/mois/semaine/jours après [métadonnées] »
alors supprimer/déclarer comme enregistrement
• New! : Arrivée annoncée de rétentions basées sur événements
17. aOS Aix-en-Provence
21 Juin 2018
eDiscovery
• Recherche cross boites mails/OneDrives/SharePoints
• Possibilité :
• D’exporter
• Geler
• Suspendre les périodes
de rétention
• New! : eDiscovery
sur messages Yammer
20. aOS Aix-en-Provence
21 Juin 2018
Enterprise Mobility +Security
IDENTITY - DRIVEN SECURITY
Microsoft
Intune
Azure Information
Protection
Protect your users,
devices, and apps
Detect threats early
with visibility and
threat analytics
Protect your data,
everywhere
Extend enterprise-grade security
to your cloud and SaaS apps
Manage identity with hybrid
integration to protect application
access from identity attacks
Microsoft
Advanced Threat Analytics
Microsoft Cloud App Security
Azure Active Directory
Premium
21. aOS Aix-en-Provence
21 Juin 2018
What does Cloud App Security
provide?
Discovery
Gain complete visibility and
context for cloud usage and
shadow IT—no agents required
Data control
Shape your cloud environment with
granular controls and policy setting
for access, data sharing, and DLP
Threat protection
Identify high-risk usage and security
incidents, detect abnormal user
behavior, and prevent threats
Integrate with existing security, mobility, and encryption solutions
22. aOS Aix-en-Provence
21 Juin 2018
Cloud App Security
Il faut dans un premier
temps vérifier la
présence de Shadow IT,
qui pourraient
engendrer des
traitements de DCP hors
de contrôle de
l’entreprise.
23
23. aOS Aix-en-Provence
21 Juin 2018
Cloud App Security
Via les
mécanismes de
détection, mettre
en œuvre des
stratégies
permettant de
remonter des
alertes suivants
des critères définis
24
26. aOS Aix-en-Provence
21 Juin 2018
Protection des données avec Azure
Information
Protection
Classification
et labellisation
Classifier les données selon
leur sensibilité et appliquer
des labels
Protection
Encrypter les données
sesnsibles et définir
les droits d’usage et
les marques visuelles
quand nécessaire
Monitoring
Tracking et reporting
des fichiers pour
maintenir le contrôle
27. aOS Aix-en-Provence
21 Juin 2018
Azure Information Protection
28
La donnée est créée,
importée et modifiée de
divers endroits
Donnée détectée
Sur les divers
périphériques, cloud,
environnements on-prem
Donnée Classifiée et
labellisée
Selon la sensibilité
(strategies de
protection / retention)
Donnée protégée
selon la stratégie
La protection peut
prendre différentes
formes : encryption,
permissions, marque
visuelle, rétention,
effacement, ou
action DLP (blocage
du partage)
La donnée voyage et est
partagée
La protection est persistente et
suit la donnée
Suivi de la donnée
Reporting sur le partage,
l’utilisation, possibilité de
remédier en cas d’abus
Rétention, expiration,
effacement de la
donnée
Via des stratégies de
gouvernance
28. aOS Aix-en-Provence
21 Juin 2018
Azure Information Protection
Une fois les données
inventoriées et les
traitements
cartographiés,
utilisation d’AIP afin de
réaliser leur
classification et
labellisation,
29
PERSONAL
HIGHLY
CONFIDENTIAL
CONFIDENTIAL
GENERAL
PUBLIC
29. aOS Aix-en-Provence
21 Juin 2018
Azure Information Protection
Classification
automatique et
labels
persistants
30
La donnée est
classifiée en fonction,
de son contenu
La donnée sensible est
automatiquement
détectée
30. aOS Aix-en-Provence
21 Juin 2018
Protection
L’IT peut positionner des strategies pour contôler
protéger et ajouter des marques visuelles
Stratégies de protection
Azure Information Protection encrypte les fichiers
en fonction des stratégies
Encryption des fichiers
31. aOS Aix-en-Provence
21 Juin 2018
Azure Security Center
Solution permettant
d’identifier très
rapidement si la
sécurité du SI est
compromise, de
mener les
diagnostics et de
réagir.
32
RGPD : 72h