Sécuriser les données sensibles sur Microsoft 365 : déploiement d’une stratégie de classification et DLP à l’échelle mondiale

Comment Cyberlift a déployé une stratégie de classification et DLP à l’échelle mondiale, pour sécuriser les données sensibles sur Microsoft 365 d'un groupe du CAC40 ?

‍

Contexte

‍

Dans le cadre d'un projet majeur pour une entreprise du CAC 40, Cyberlift a orchestré la sécurisation de leurs données sensibles et réglementées.  

Ce leader industriel français, implanté dans plus de 60 pays, avait entrepris une migration massive vers Microsoft 365, exposant ses données critiques aux vulnérabilités du cloud. Face à l'impossibilité d'identifier efficacement ses données sensibles, Cyberlift a accompagné le déploiement de la solution Purview, depuis l'implémentation d'un système de classification jusqu'à l'application de règles DLP robustes, garantissant ainsi la conformité et la protection des données stockées sur M365.

Défis

‍

• Exposition massive des données sensibles dans le cloud  

La pandémie de COVID-19 a précipité l'adoption de SharePoint Online, OneDrive, Teams et Exchange Online, multipliant les risques de sécurité pour les données.

‍

• Système de classification inefficace  

La structure existante d'étiquettes de sensibilité ne répondait pas aux besoins des métiers conduisant à son abandon par les utilisateurs. Il était impossible d’identifier le niveau de sensibilité des informations des données du SI.

‍

• Optimisation budgétaire critique  

Face aux coûts élevés des solutions DLP, l’objectif était de maximiser l'utilisation des outils de prévention déjà inclus dans les licences existantes.

‍

Solutions apportées par Cyberlift

‍

Sur trois années, Cyberlift a piloté la mise en place d'un système de classification et de protection des données adapté aux spécificités de l'entreprise.

‍

• Élaboration d'une stratégie à trois ans de protection des données  

Une cartographie de la localisation des données sensibles et des solutions de sécurité existantes a permis d'identifier les opportunités de protection par canal avec les outils déjà existants. Cette analyse a abouti à un plan stratégique sur trois ans visant à garantir la confidentialité des informations.

‍

• Conception d'une taxonomie de sensibilité adaptée

L'architecture des étiquettes de sensibilité a été repensée pour répondre aux besoins des 60 pays et des diverses activités du groupe. Cette nouvelle taxonomie, fruit d'une collaboration étroite avec les métiers, les équipes juridiques, DPO et sécurité, offre simplicité d'utilisation et protection renforcée avec un contrôle d'accès et marquage visuel.

‍

• Implémentation de Microsoft Information Protection (MIP/MPIP) à l'échelle mondiale  

Le déploiement a suivi une méthodologie rigoureuse : validation technique des spécifications, phase pilote auprès des VIP et métiers clés, puis déploiement général accompagné d'un plan d'adoption utilisateur.

‍

• Structuration de la gouvernance DLP  

Ce modèle opérationnel cible avait pour objectif de collecter au plus proche les besoins de règles DLP, de les déployer et d'accompagner le déploiement auprès des équipes techniques et des métiers.  

‍

• Mise en œuvre de règles DLP personnalisées sur Exchange et M365

Une approche progressive a été adoptée : sécurisation prioritaire des données étiquetées et réglementées, protection contre les risques liés aux IA génératives, puis déploiement de règles métiers spécifiques.

‍

Résultats et bénéfices pour le client

‍

• Alignement stratégique des étiquettes de sensibilité  

La nouvelle classification à 4 niveaux répond exigences de protection des différents métiers. Ces nouvelles étiquettes visent à identifier efficacement la sensibilité des informations et à les protéger à l’aide de marquage visuel et du chiffrement.  

‍

• Engagement du top management

La sensibilisation du Comex et du top management (6 000 VIP) a catalysé l'adoption du projet à tous les niveaux de l'organisation. Des projets d’adoption utilisateur et de mesure de l’efficacité ont été mené localement.

‍

• Appropriation réussie par les métiers  

Avec l’implication des équipes communication et data governance les métiers se sont approprié les étiquettes de sensibilité pour ajouter la classification des données au sein de leurs process.

‍

• Prévention efficace des fuites de données  

Plus de 90 fuites de données sensibles potentielles ont été identifiées et bloquées, notamment des données de recherche critiques et des données personnelles soumises au RGPD.