Les difficultés de la définition d’un type de données sensibles

Sommaire

 

Les numéros de téléphone font obstacle

Un article explique comment le nouveau modèle de prévention des pertes de données (DLP) GDPR a rencontré quelques problèmes parce que ses règles ont bloqué des courriels parfaitement légitimes en raison de la présence de numéros de téléphone dans les auto-signatures des utilisateurs. Les auto-signatures de courriels comportent beaucoup d’informations sur les personnes : 

  • leur nom ;
  • leur fonction ;
  • le nom de leur entreprise ;
  • leur adresse professionnelle, leurs numéros de téléphone et parfois même leur numéro d’immatriculation. 

Il est véritablement difficile de trouver des règles qui sélectionnent les données personnelles pour bloquer la transmission de ces informations à l’extérieur de l’entreprise tout en laissant les communications commerciales normales circuler sans entrave. Microsoft a rendu les règles du modèle DLP GDPR un peu trop sensibles, ce qui a entraîné le blocage des courriels. Bien sûr, on peut se demander pourquoi les tests n’ont pas permis de repérer un tel problème. Il n’y a pas de bonne réponse à cette question, sauf pour dire que la diversité des auto-signatures et l’éventail des informations portées par elles sont assez larges. Le spectre complet de ce que vous pourriez trouver à travers 28 pays de l’Union Européenne pourrait ne pas avoir été inclus dans la suite de tests.

 

Déploiement central du Cloud

L’une des caractéristiques agréables du Cloud est que les changements peuvent être effectués de manière centralisée et ensuite récupérés par les locataires sans intervention de l’administrateur. Microsoft modifie les règles du modèle GDPR pour les rendre moins sensibles aux numéros de téléphone. Vous pouvez vous attendre à un correctif dans quelque temps.

 

Des types de données sensibles 

Vous pouvez vous essayer à la définition de vos propres types de données sensibles personnalisés via la section Classifications du Centre de sécurité et de conformité.