Publication des étiquettes de confidentialité avec Microsoft Purview

Hey ! Si vous êtes ici, c’est que vous avez déjà créé votre première étiquette de confidentialité.

Félicitations ! Vous venez de franchir une étape que beaucoup d’entreprises négligent encore,
alors qu’elle est cruciale pour la gouvernance et la sécurisation des données.

Au-delà de la sécurité, cela permet aussi de structurer vos données, de faciliter leur exploitation
et de donner un cadre clair à vos IA internes.

Pourquoi publier une étiquette ?

Créer une étiquette, c’est bien. La publier, c’est indispensable.

Une publication d’étiquette consiste à :

➡️ Rendre les étiquettes accessibles aux utilisateurs

➡️ Les assigner à des utilisateurs ou groupes

➡️ Définir leur comportement côté utilisateur

Sans publication : les étiquettes existent… mais ne sont pas utilisables.

Mise en place pas à pas

On repart sur le portail Purview :
https://compliance.microsoft.com/

Naviguez vers :

Protection des données (1)
Stratégies (2)
Stratégies de publication des étiquettes (3)
Publier une étiquette (4)

Navigation vers la publication d’étiquette dans Microsoft Purview

Choix des étiquettes

Choisissez les étiquettes que vous souhaitez publier.

Bonne pratique : créez une stratégie par logique métier ou par bloc d’étiquettes.

Par exemple, vous pouvez prévoir une stratégie pour les utilisateurs standards
et une autre pour des populations spécifiques.

Si vous déployez vos étiquettes pour toute l’entreprise, il est souvent préférable de les regrouper
dans une seule stratégie afin de simplifier l’administration.

Choix des étiquettes de confidentialité à publier

Recommandation : si vous devez déployer plusieurs étiquettes pour l’ensemble des utilisateurs,
essayez de les intégrer dans une même stratégie lorsque cela reste cohérent.

Attribution des utilisateurs

Vous pouvez attribuer votre stratégie à des unités d’administration, à des groupes ou à des utilisateurs.

Dans notre exemple, nous n’utilisons pas d’unités d’administration. Nous allons donc cibler des groupes
ou des utilisateurs directement.

Choix des unités d’administration dans la stratégie d’étiquette

Attention : par défaut, la stratégie par défaut est publié pour « Tous les utilisateurs » !

Dans le cadre d’un POC, testez toujours sur un groupe pilote ou sur un périmètre restreint.
Pour cela, cliquez sur Modifier puis choisissez les utilisateurs ou groupes concernés.

Modification du ciblage utilisateurs pour la stratégie de publication

Paramètres de stratégie : le cœur du sujet

Après le choix des utilisateurs, vous arrivez sur l’écran le plus intéressant de la publication :
celui qui définit le comportement des étiquettes côté utilisateur.

Paramètres de stratégie de publication des étiquettes de confidentialité

🔒 Justification obligatoire

Si un utilisateur supprime une étiquette ou applique une étiquette moins restrictive,
il devra obligatoirement fournir une justification.

Pourquoi l’activer ?

Audit de sécurité
Traçabilité des actions
Prévention des abus

Cette option peut être perçue comme contraignante si votre stratégie n’est pas bien calibrée,
notamment si l’étiquette par défaut n’est pas la plus adaptée aux usages courants.

🏷️ Obliger la classification

Cette option empêche l’utilisateur d’enregistrer un document ou d’envoyer un email
sans appliquer une étiquette.

Impact :

✔️ Garantit un niveau de classification très élevé
❌ Peut devenir bloquant si le déploiement est trop rapide

À activer après une phase de test, de POC et d’accompagnement au changement,
afin d’éviter un rejet utilisateur.

📊 Étiquetage obligatoire pour Power BI / Fabric

Cette option s’applique aux contenus créés ou modifiés dans Microsoft Power BI et Microsoft Fabric.

Elle permet d’imposer la classification des jeux de données, rapports et tableaux de bord,
ce qui devient particulièrement pertinent dès lors que la donnée BI contient des informations sensibles.

🔗 Lien vers une page d’aide personnalisée

Cette option ajoute un lien cliquable directement dans les applications comme Word, Outlook ou Excel.

Ce lien peut rediriger vers :

Une documentation interne
Un guide utilisateur
Une page SharePoint

C’est une excellente option pour améliorer l’adoption et réduire les sollicitations du support.

L’étiquette par défaut : un vrai choix stratégique

On arrive maintenant à l’un des sujets les plus débattus dans les projets Purview :
l’étiquette par défaut appliquée aux utilisateurs.

Cette étiquette peut s’appliquer lorsque :

L’utilisateur crée un nouveau fichier
L’utilisateur ouvre un fichier existant

Seule l’auto-labellisation permet de classifier automatiquement un fichier
sans que celui-ci soit ouvert par l’utilisateur.

Sur ce sujet, deux grandes écoles existent parmi les experts Purview :

École 1 : une étiquette plus restrictive par défaut

Cette approche apporte davantage de sécurité dès le départ,
mais elle peut aussi freiner l’adoption si les utilisateurs ont le sentiment
que les contraintes sont trop fortes.

École 2 : laisser plus de liberté à l’utilisateur

Cette approche facilite l’adhésion, mais augmente aussi le risque
de voir des documents sous-classifiés ou mal protégés.

De mon côté, je recommande souvent l’application du label Interne par défaut.

Pourquoi ? Parce qu’il apporte un premier niveau de sécurisation tout en laissant à l’utilisateur
la possibilité d’ajuster la classification selon son besoin réel.

Oui, c’est un compromis. Mais dans beaucoup de contextes, c’est aussi l’option la plus équilibrée
entre sécurité, simplicité et adoption.

Illustration humoristique sur le choix de l’étiquette par défaut

A vous de choisir selon vos utilisateurs, leur maturité mais aussi votre besoin et contexte.

Déclinaison par usage

📁 Fichiers

Paramètres de publication pour les fichiers

📧 Emails

Paramètres de publication pour les emails

Dans cette section dédiée aux emails, vous pouvez définir une étiquette par défaut,
qui peut être différente de celle choisie pour les fichiers.

Vous pouvez également activer l’héritage automatique depuis les pièces jointes.

Exemple : si un email est classé Interne mais qu’il contient
une pièce jointe étiquetée Confidentiel, alors le mail peut hériter automatiquement
de l’étiquette Confidentiel.

Ce comportement devient très utile dans les scénarios DLP,
notamment pour empêcher l’envoi vers l’externe d’un email contenant une pièce jointe sensible.

📅 Réunions

Le même principe peut être appliqué aux réunions et éléments de calendrier,
même si cette fonctionnalité reste moins utilisée dans la plupart des projets.

Paramètres de publication pour les réunions

📊 Power BI

Même logique également pour Power BI, avec la possibilité d’encadrer l’étiquetage
des contenus analytiques.

Paramètres de publication pour Power BI

Nommer la stratégie

Lorsque votre configuration est terminée, il ne vous reste plus qu’à donner un nom clair à votre stratégie.

Ce nom doit être simple, explicite et rappeler immédiatement l’objectif de la publication.

Exemple : Labels – Public / Interne / Confidentiel – Emails & Fichiers

La publication peut prendre jusqu’à 24 heures avant d’être visible pour les utilisateurs.

Conclusion

Vos étiquettes sont maintenant publiées. C’est une étape essentielle, mais ce n’est pas encore la fin du projet.

The Journey Continues by Esther Kustanowitz

La suite logique consiste à configurer les politiques de Data Loss Prevention (DLP)
afin d’éviter la fuite ou la perte de données en fonction des étiquettes appliquées.

Sans DLP, vos étiquettes servent principalement à classifier les contenus.

Elles structurent l’information,
mais ne suffisent pas à elles seules à la protéger.