Avec la création d’Office 365, l’un des objectifs de Microsoft était de regrouper deux services auparavant séparés. À l’origine, les étiquettes d’Office 365 avaient été créées sous l’appellation d’ «étiquettes de rétention », et étaient utilisées pour définir le laps de temps durant lequel des contenus seraient conservés dans Office 365. Les étiquettes Azure Information Protection étaient émises par un service Azure dans l’optique de contrôler l’accès aux contenus.

Si l’on s’interroge plus généralement sur l’intérêt d’étiqueter des documents, les raisons qui viennent spontanément à l’esprit peuvent se résumer ainsi : « combien de temps faut-il conserver ces informations » et « dans quelles circonstances ce document doit-il être accessible ? »

Ces questions relèvent essentiellement de deux principes : la rétention et la confidentialité. La rétention est généralement régie par la réglementation, qui stipule par exemple que « les documents financiers doivent être conservés pendant au moins sept ans. » La confidentialité relève davantage de la sécurité, par exemple « Où ce contenu peut-il être consulté, et par qui ? » Ces critères sont généralement définis par différentes équipes à l’occasion de réunions professionnelles, et une stratégie d’étiquetage cohérente exige l’application des DEUX principes.

Prenons l’exemple des contrats. Un contrat, quelle que soit sa nature, doit parfois être conservé pendant trois ans. Mais tous les contrats n’ont pas le même niveau de confidentialité. Un contrat d’achat de bonbonnes d’eau pour le bureau sera parfaitement anodin, alors qu’un contrat pour la fourniture de dérivés financiers à certains clients (contenant parfois leurs numéros fiscaux) pourra être de nature plus sensible.

Les étiquettes de rétention dans Office 365

Voici comment Microsoft gère aujourd’hui les étiquettes dans Office 365. N’oubliez pas que dans l’environnement décrit dans mon exemple, des licences E3 ont été attribuées à tous les utilisateurs actifs.

Malcolm Singer est un administrateur informatique qui doit créer de nouvelles étiquettes de rétention et de confidentialité. Il se rend donc au Centre de gestion de la sécurité et de la conformité, accède à la fonction « Classement » et décide de commencer par les étiquettes de rétention.

Lorsque Malcom crée une nouvelle étiquette, il va :

  • Lui donner un nom qui sera visible par les utilisateurs
  • Noter d’éventuels commentaires pour les futurs administrateurs
  • Rédiger une description pour les utilisateurs qui peuvent ne pas savoir précisément ce que l’étiquette signifie

S’il est possible de créer une étiquette de rétention sans paramètres, tout l’intérêt de ces étiquettes est de définir une période de rétention, puis de définir ce qui se passera à l’issue de cette période.

Dans le cas qui nous occupe, les contrats doivent être conservés pendant trois ans. Après cette étape, c’est Cindy, du service financier, qui est chargée de les relire. Le compte à rebours démarre dès que le contenu est étiqueté.

Les étiquettes de rétention prévoient la possibilité de déclarer un document en tant que Dossier SharePoint, ce qui signifie qu’il ne pourra pas être modifié ou supprimé. Les mégadonnées d’un fichier peuvent cependant être modifiées. Dans le cas présent, Malcom n’active pas le paramètre permettant de déclarer du contenu en tant que fichier.

Une fois l’étiquette créée, elle doit être publiée pour pouvoir être disponible. Les étiquettes sont publiées conformément à la règle d’étiquetage mise en place, et les étiquettes individuelles peuvent être publiées selon les critères de plusieurs règles.

Lorsqu’une étiquette de rétention est publiée selon une règle d’étiquetage, elle peut être mise à la disposition de tous les services Office 365 pris en charge (Groups, Exchange, SharePoint et OneDrive), ou limitée à certains services spécifiques. Si l’on opte pour la seconde option, une règle d’étiquetage peut également être limitée à certains utilisateurs, ou groupes d’utilisateurs, spécifiques. Un cas d’utilisation assez courant pourrait être le suivant : « Le service X a des critères d’étiquetage très précis qui ne s’appliquent pas aux autres services. »

Dans ce cas, la règle d’étiquetage sera accessible à tous les employés, dans l’ensemble des services.

Pourquoi c’est important

Pourquoi ces règles sont-elles importantes ?

Le service financier dispose peut-être d’un système très élaboré d’étiquettes qu’il peut utiliser pour identifier les règles de rétention applicables. Il peut avoir des étiquettes pour les contrats, les notes de crédit, les dettes et les créances, etc.

Malcom a peut-être déjà créé une dizaine d’étiquettes pour le service financier, qu’il a classées sous la dénomination « Règle de rétention des contenus financiers ».

Le mois suivant, l’équipe chargée des Installations informe Malcom qu’elle veut s’assurer de ne supprimer aucun contrat. Suite à cette discussion, Malcom se dit que la définition de « Contrat » utilisée pour la fonction Finance fonctionne assez bien pour les Installations, mais que celles-ci n’ont pas besoin des autres étiquettes. Suite à cette discussion, Malcom crée une nouvelle « Règle de rétention pour les Installations » comportant une seule étiquette, pour les contrats. Le champ d’application de ces deux règles sera limité au service des Installations (pour la première règle) et au service financier (pour la seconde).

Les étiquettes de confidentialité dans Office 365

Les choses sont un peu plus complexes en ce qui concerne les étiquettes de confidentialité. Nous devons tenir compte du fait que certaines fonctionnalités auparavant exclusives à Azure Information Protection (AIP) sont désormais intégrées aux licences Office 365 Entreprise.

Attention, cela ne signifie pas qu’Azure Information Protection est inclus dans Office 365. Il s’agit de l’ajout d’une fonctionnalité aux licences Office 365 Entreprise (une fonctionnalité qui était auparavant uniquement disponible dans le cadre du service AIP).

Il existe des différences importantes entre les étiquettes de confidentialité et les étiquettes de rétention. Tout d’abord, les étiquettes de confidentialité comportent des onglets pour la prévention des pertes de données, la configuration du cryptage et le marquage. Les étiquettes de confidentialité visent également plutôt à contrôler la façon dont les contenus sont gérés, alors que les étiquettes de rétention indiquent combien de temps les entreprises doivent conserver les contenus.

La partie « cryptage » peut être un peu trompeuse, car les paramètres configurables sont assez granulaires et non spécifiques à une méthode de cryptage particulière. Si vous connaissez l’ancienne Gestion des droits relatifs à l’information (IRM), vous retrouverez facilement vos repères !

Pour commencer, vous pouvez décider si vous souhaitez appliquer la règle uniquement aux fichiers, ou aux e-mails et aux fichiers. Vous pouvez définir une durée de validité d’accès aux données limitée ou exiger que l’utilisateur soit connecté pour pouvoir y accéder. Vous pouvez également mettre en place une durée de validité d’accès aux fichiers hors ligne : fini les disques durs saturés et l’accès permanent aux fichiers des projets terminés.

De plus, vous pouvez accorder des autorisations spécifiques à des utilisateurs, ou des groupes d’utilisateurs, spécifiques dans votre environnement ou par adresse mail ou nom de domaine. Vous pouvez définir ces personnes par fonction (co-auteur, copropriétaire, lecteur ou réviseur), ou en créant des paramètres personnalisés à partir de la liste de paramètres ci-dessous.

Dans l’exemple cité plus haut, j’ai appliqué des règles identiques de champ d’application et d’accès à jkmccoy and julie.wins, mais jkmccoy peut uniquement voir les contenus étiquetés « TLM Secret », tandis que julie.wins est considérée comme co-auteur pour les contenus étiquetés « TLM Secret ».

Le marquage de contenu est très facile. Il s’agit simplement d’insérer des marques dans un document, que ce soit pour saisir du texte dans l’en-tête ou le pied de page ou pour inclure un texte en filigrane sur toute la page. Pour l’instant, toutes ces marques ne peuvent être que du texte (pas d’images définies).

Enfin les étiquettes de confidentialité vous permettent d’activer la protection contre la perte de données sur les points de terminaison. En actionnant cette commande, vous activez la protection des informations de Windows pour protéger le document.

Dans mon prochain article, je vous expliquerai l’intérêt des étiquettes automatiques. Pourquoi compter sur des êtres humains faillibles pour ajouter des étiquettes ? Facilitez les tâches d’étiquetage de vos salariés en automatisant ce processus !


Vous voulez recevoir d’autres articles passionnants sur Office 365 ? Abonnez-vous à notre blog pour recevoir nos mises à jour hebdomadaires !