Découvrez quelles données sensibles – numéros de carte de crédit, informations médicales, carte d’identité gouvernementale, etc. – les membres de votre organisation ont partagé en externe.
Image: Andy Wolber / TechRepublic
En octobre 2020, Google Workspace a lancé un nouveau rapport sur la protection des données pour les administrateurs des organisations qui utilisent les éditions Business Standard, Business Plus, Enterprise Essentials, Enterprise Standard et Enterprise Plus. Contrairement à d’autres rapports de sécurité déjà disponibles pour les administrateurs Workspace, Google envoie ce rapport automatiquement aux administrateurs.
Le rapport informe les administrateurs des données potentiellement sensibles, telles que les numéros de carte de crédit, les dates de naissance et les numéros d’identification gouvernementale, détectées par le système. Par exemple, j’ai reçu mon premier e-mail avec « Données sur la protection des données » le 3 décembre 2020. Le système a identifié que 4% des fichiers (305 sur 7 555 éléments partagés) contenant du contenu sensible étaient partagés en externe (Figure A).
Si la protection contre la perte de données (DLP) est un problème, les administrateurs de Google Workspace peuvent souhaiter suivre les étapes ci-dessous après avoir reçu chaque rapport d’information sur la protection des données.
VOIR: Google Sheets: trucs et astuces (Téléchargement TechRepublic)
Figure A
Comme cet exemple l’indique, l’e-mail d’informations sur la protection des données concentre l’attention d’un administrateur Google Workspace sur les trois principaux types de données sensibles partagées en dehors de l’organisation.
1. Passez en revue les principaux points à retenir
L’e-mail répertorie certains des données significatives partagé en externe. Dans mon cas, le système comportait les trois types de données suivants:
- 131 fichiers avec Global – ICD 10-CM Lexicon (Classification internationale des maladies, 10e édition)
- 319 fichiers avec Global – ICD 9-CM Lexicon (comme ci-dessus, mais 9e édition)
- 13 fichiers avec États-Unis – Numéro de permis de conduire
Cela vous donne une indication rapide des trois principaux types de données qui peuvent être disponibles pour les personnes extérieures à votre organisation.
2. Accédez au rapport d’informations sur la protection des données
Ensuite, suivez le lien Afficher le rapport dans l’e-mail ou accédez au rapport sur la protection des données dans la console d’administration Google à l’adresse https://admin.google.com/ac/dp (Figure B). Vous devrez peut-être vous connecter avec votre compte administrateur.
Figure B
Dans la console d’administration de Google Workspace, le tableau des informations sur la protection des données résume les préoccupations importantes par type de données.
Le rapport répertorie plusieurs types de données, ainsi que le nombre de fichiers détectés avec chaque type de données et le nombre de ces fichiers partagés en externe. Dans mon cas, par exemple, « Global – Adresse e-mail » était l’élément le plus fréquemment partagé. Cependant, ce type de données ne pose pas vraiment de problème de sécurité pour moi, car j’inclus souvent mon adresse e-mail dans des présentations et des documents partagés publiquement.
3. Communiquez vos préoccupations
Prenez une capture d’écran du résumé de vos informations sur la protection des données et partagez-le avec les personnes appropriées de votre organisation avec un bref rappel de sécurité:
« Une récente analyse automatisée de la protection des données de Google Workspace a identifié quelques problèmes de sécurité potentiels. Bien que certains d’entre eux puissent être des faux positifs, c’est un bon rappel pour être attentif aux données que vous partagez. »
Vous pouvez également inclure une phrase supplémentaire qui résume les éléments les plus préoccupants du rapport. Par exemple, dans mon cas, je pourrais ajouter: « Assurez-vous de ne pas partager d’informations sensibles, telles que des informations médicales personnellement identifiables. » Différentes organisations auront sans aucun doute des priorités et des préoccupations de sécurité différentes à souligner.
4. Configurer une règle de protection des données personnalisée
Les administrateurs des organisations qui utilisent les éditions Google Workspace Enterprise ou Education peuvent souhaiter créer une règle de protection des données pour résoudre des problèmes spécifiques. Pour ce faire, connectez-vous à la console d’administration et accédez à https://admin.google.com/ac/dp/rules/ pour ajouter une nouvelle règle ou modifier une règle existante.
Quand tu choisis Ajouter une règle, le système vous guide à travers la séquence en quatre étapes suivante pour configurer la règle de protection des données (Figure C).
Figure C
Certaines éditions de Google Workspace permettent à un administrateur de créer des règles de protection des données supplémentaires. Ces règles peuvent aider à avertir les utilisateurs lorsqu’ils tentent de partager des types spécifiques de données sensibles ou de bloquer complètement la tentative.
- Nom et portée: Où vous sélectionnez si la règle s’applique à l’ensemble de l’organisation, à des unités organisationnelles spécifiques ou à des groupes spécifiques.
- Déclencheurs et conditions: Où vous spécifiez les critères auxquels le contenu doit correspondre (par exemple, un texte spécifique, un détecteur par défaut, un détecteur de regex ou un détecteur de liste de mots). Vous pouvez ajouter plusieurs détecteurs conditionnels dans une règle.
- Actions: Où vous choisissez d’avertir les gens avant de partager ou de bloquer complètement le partage de certains contenus, ainsi que de décider de notifier des administrateurs spécifiques de l’exposition de données détectée.
- La revue: Où tous les paramètres ci-dessus sont affichés avant de créer (ou de mettre à jour) la règle.
Si vous avez configuré la règle pour vous alerter, vous ou d’autres personnes, préparez-vous à une première série d’e-mails, car la règle détecte les conditions qui correspondent à vos paramètres spécifiés. Après ce premier ensemble d’alertes, l’activité a tendance à diminuer – à moins que plusieurs personnes ne partagent activement les données de déclenchement, ce qui est exactement ce que vous voulez.
Dans mon cas, j’ai configuré une règle pour retrouver le partage de permis de conduire américain identifié dans mon rapport d’analyse de la protection des données. Heureusement, la règle m’a aidé à comprendre que le seul numéro de licence réel partagé était un numéro de licence fictif trouvé dans une capture d’écran de l’enregistrement de démonstration d’un fournisseur de base de données. J’avais partagé la capture d’écran avec un éditeur externe.
Quelle est votre approche de la protection des données?
Si vous êtes un administrateur Google Workspace et que vous avez reçu un rapport sur la protection des données, avez-vous trouvé ces informations utiles? Avez-vous, comme moi, informé les autres des données partagées? Et, si vous utilisez les éditions Éducation ou Entreprise, avez-vous ajouté une nouvelle règle pour vous aider à identifier les données partagées préoccupantes? Faites-moi savoir comment vous éduquez et alertez les personnes de votre organisation sur les données sensibles partagées, soit dans les commentaires ci-dessous, soit sur Twitter (@awolber).
