En octobre 2020, Google Workspace a lancé un nouveau rapport sur la protection des données destiné aux administrateurs des organisations qui utilisent les éditions Business Standard, Business Plus, Enterprise Essentials, Enterprise Standard et Enterprise Plus. Contrairement aux autres rapports de sécurité déjà disponibles pour les administrateurs Workspace, Google envoie automatiquement ce rapport aux administrateurs.
Le rapport informe les administrateurs des données potentiellement sensibles, telles que les numéros de carte de crédit, les dates de naissance et les numéros d'identification gouvernementaux, détectés par le système. Par exemple, j'ai reçu mon premier e-mail avec “Informations sur la protection des données” le 3 décembre 2020. Le système a identifié que 4 % des fichiers (305 sur 7 555 éléments partagés) contenant du contenu sensible étaient partagés en externe ( Figure A ).
Si la protection contre la perte de données (DLP) est un problème, les administrateurs Google Workspace peuvent suivre les étapes ci-dessous après avoir reçu chaque rapport d'informations sur la protection des données.
Figure A
1. Passez en revue les principaux points à retenir
L'e-mail répertorie certaines des données importantes partagées en externe. Dans mon cas, le système comportait les trois types de données suivants :
- 131 fichiers avec Global – ICD 10-CM Lexicon (Classification internationale des maladies, 10e édition)
- 319 fichiers avec Global – ICD 9-CM Lexicon (comme ci-dessus, mais 9e édition)
- 13 fichiers avec États-Unis – Numéro de permis de conduire
Cela vous donne une indication rapide des trois principaux types de données qui peuvent être disponibles pour les personnes extérieures à votre organisation.
2. Accéder au rapport d'informations sur la protection des données
Ensuite, suivez le lien Afficher le rapport dans l'e-mail ou accédez au rapport d'informations sur la protection des données dans la console d'administration Google à l'adresse https://admin.google.com/ac/dp ( Figure B ). Vous devrez peut-être vous connecter avec votre compte administrateur.
Figure B
Le rapport répertorie plusieurs types de données, ainsi que le nombre de fichiers détectés avec chaque type de données et le nombre de ces fichiers partagés en externe. Dans mon cas, par exemple, “Global – Adresse e-mail” était l'élément le plus fréquemment partagé. Cependant, ce type de données n'est pas vraiment un problème de sécurité pour moi, car j'inclus souvent mon adresse e-mail dans des présentations et des documents partagés publiquement.
3. Communiquer les préoccupations
Prenez une capture d'écran de votre résumé des informations sur la protection des données et partagez-la avec les personnes appropriées de votre organisation avec un bref rappel de sécurité :
“Une récente analyse automatisée de la protection des données de Google Workspace a identifié quelques problèmes de sécurité potentiels. Bien que certains d'entre eux puissent être de faux positifs, c'est un bon rappel de faire attention à toutes les données que vous partagez. »
Vous pouvez également inclure une phrase supplémentaire qui résume les éléments les plus préoccupants du rapport. Par exemple, dans mon cas, je pourrais ajouter : “Assurez-vous de ne pas partager d'informations sensibles, telles que des informations médicales personnellement identifiables”. Différentes organisations auront sans aucun doute différentes priorités et préoccupations en matière de sécurité à souligner.
4. Configurer une règle de protection des données personnalisée
Les administrateurs d'organisations qui utilisent les éditions Google Workspace Enterprise ou Education peuvent créer une règle de protection des données pour traiter des sujets de préoccupation spécifiques. Pour ce faire, connectez-vous à la console d'administration et accédez à https://admin.google.com/ac/dp/rules/ pour ajouter une nouvelle règle ou modifier une règle existante.
Lorsque vous choisissez Ajouter une règle , le système vous guide à travers la séquence en quatre étapes suivante pour configurer la règle de protection des données ( Figure C ).
Figure C
- Nom et portée : où vous sélectionnez si la règle s'applique à l'ensemble de l'organisation, à des unités organisationnelles spécifiques ou à des groupes spécifiques.
- Déclencheurs et conditions : où vous spécifiez les critères auxquels le contenu doit correspondre (par exemple, un texte spécifique, un détecteur par défaut, un détecteur de regex ou un détecteur de liste de mots). Vous pouvez ajouter plusieurs détecteurs conditionnels dans une règle.
- Actions : où vous choisissez d'avertir les gens avant de partager ou de bloquer complètement le partage de certains contenus, ainsi que de choisir d'informer des administrateurs spécifiques de l'exposition de données détectée.
- Révision : où tous les paramètres ci-dessus sont affichés avant de créer (ou de mettre à jour) la règle.
Si vous avez configuré la règle pour vous alerter ou alerter d'autres personnes, préparez-vous à une première série d'e-mails car la règle détecte les conditions qui correspondent à vos paramètres spécifiés. Après cette première série d'alertes, l'activité a tendance à diminuer, à moins que plusieurs personnes ne partagent activement les données de déclenchement, ce qui est exactement ce que vous souhaitez.
Dans mon cas, j'ai configuré une règle pour rechercher le partage de permis de conduire américain identifié dans mon rapport d'analyse de la protection des données. Heureusement, la règle m'a aidé à comprendre que le seul numéro de licence réel partagé était un numéro de licence fictif trouvé dans une capture d'écran de l'enregistrement de démonstration d'un fournisseur de base de données. J'avais partagé la capture d'écran avec un éditeur externe.
Quelle est votre approche de la protection des données ?
Si vous êtes un administrateur Google Workspace et que vous avez reçu un rapport sur la protection des données, avez-vous trouvé ces informations utiles ? Avez-vous, comme moi, informé les autres des données partagées ? Et, si vous utilisez les éditions Education ou Enterprise, avez-vous ajouté une nouvelle règle pour aider à identifier les données partagées préoccupantes ? Faites-moi savoir comment vous éduquez et alertez les membres de votre organisation sur les données sensibles partagées, soit dans les commentaires ci-dessous, soit sur Twitter (@awolber).