Qu'est-ce que la gestion des droits relatifs à l'information (IRM) ?
La gestion des droits relatifs à l'information (IRM, Information Rights Management) est une forme de technologie de sécurité informatique utilisée pour protéger les documents contenant des informations confidentielles contre tout accès non autorisé. Contrairement à la gestion des droits numériques (DRM, Digital Rights Management) traditionnelle qui s'applique aux œuvres numériques produites en série, telles que les chansons et les films, les mesures IRM s'appliquent aux documents, feuilles de calcul et présentations créés par des particuliers. L'IRM protège les fichiers contre la copie, l'affichage, l'impression, le transfert, la suppression et la modification non autorisés.
Toutefois, pour bien l'appréhender, ses utilisations et ses avantages, il est important de comprendre la gestion des droits numériques (DRM) et ses liens avec l'IRM.
Différence entre DRM et IRM
Le DRM fait référence à une série de technologies de contrôle d'accès utilisées pour limiter l'accès, l'édition ou la modification d'œuvres numériques protégées par le droit d'auteur au-delà des conditions de service convenues. L'objectif principal du DRM est de protéger la propriété intellectuelle contre la copie et la distribution sans indemnisation appropriée des propriétaires de l'œuvre.
Le plus souvent, le DRM est appliqué aux médias produits en série, notamment aux jeux vidéo, aux logiciels, aux CD audio, aux DVD, aux disques Blue-ray et aux livres électroniques. Les mesures DRM peuvent prendre la forme de chiffrement, de brouillage, de filigranes numériques, de clés de CD, etc.
La loi DMCA (Digital Millenium Copyright Act), qui modifie la loi américaine sur le droit d'auteur, a érigé en infraction l'utilisation de techniques destinées à contourner la technologie DRM. Le DRM reste toutefois une technologie controversée, certains le qualifiant même d'anticoncurrentiel. D'autres le critiquent car il limite aussi l'utilisation normale d'un produit acheté par l'utilisateur.
Comme mentionné précédemment, la gestion des droits relatifs à l'information (IRM) est l'application des mesures DRM aux documents créés par des personnes, par exemple les documents Microsoft Office, les PDF, les e-mails, etc. Contrairement au DRM, qui est généralement destiné à protéger les contenus numériques protégés par des droits d'auteur, l'IRM est le plus souvent destiné à protéger la sécurité des informations hautement confidentielles présentes dans un document.
Un hôpital peut, par exemple, appliquer l'IRM aux dossiers des patients afin de rester conforme aux dispositions de la norme HIPAA-HITECH et d'empêcher l'accès à ces informations dans le cas où ces dossiers tomberaient entre de mauvaises mains. Un autre exemple est l'application de mesures IRM aux communications de la direction de l'entreprise pour protéger les informations confidentielles contre toute divulgation aux médias ou à la concurrence.
La loi HIPAA exige que les entités concernées, y compris les partenaires commerciaux, mettent en place des mesures de protection techniques, physiques et administratives pour les informations médicales protégées. Ces mesures de protection visent à protéger non seulement la confidentialité, mais également l'intégrité et l'accessibilité des données.
Le bureau OCR (Office of Civil Rights) du département HHS (Health and Human Services) est en charge des infractions non pénales de la loi HIPAA. La non-conformité peut entraîner des amendes allant de 100 $ à 50 000 $ par infraction « à la même disposition », par année civile.
De nombreux règlements liés à la conformité HIPAA du bureau OCR ont donné lieu à des amendes de plus d'un million de dollars. L'indemnisation la plus importante depuis septembre 2016 s'est élevée à 5,5 millions de dollars, à l'encontre de l'association Advocate Health Care à la suite de plusieurs compromissions ayant affecté un total de 4 millions de personnes.
Outre les sanctions civiles, les individus et les entreprises peuvent être tenus responsables au niveau pénal lorsqu'ils obtiennent ou divulguent des informations médicales protégées en toute connaissance de cause, sous de mauvais prétextes ou dans l'intention de les utiliser à des fins commerciales ou malveillantes. Les infractions pénales en vertu de la loi HIPAA relèvent de la compétence du ministère de la Justice des États-Unis et sont passibles d'une peine d'emprisonnement pouvant aller jusqu'à 10 ans, en sus des amendes.
Fonctionnalités IRM
Une solution IRM chiffre généralement les fichiers afin de mettre en œuvre les stratégies d'accès. Une fois le document chiffré, des règles IRM supplémentaires peuvent être appliquées à un document pour autoriser/refuser des activités spécifiques. Dans certains cas, un document peut uniquement être affiché et l'utilisateur ne peut pas copier/coller le contenu dans le document. Dans d'autres, la règle IRM peut empêcher un utilisateur de prendre des captures d'écran du document, de l'imprimer ou de le modifier.
Les sociétés peuvent créer et appliquer des règles IRM personnalisées au niveau de l'entreprise, du service, du groupe ou de l'utilisateur en fonction des exigences de sécurité, de conformité et de gouvernance des données.
L'un des avantages souvent cités de l'IRM est la persistance de ces mesures de protection même lorsque les fichiers sont partagés avec des tiers. Même si l'utilisateur est déconnecté du réseau de l'entreprise, les règles IRM continuent de protéger le document. En d'autres termes, les documents protégés par la solution IRM restent totalement sûrs, d'où qu'ils soient accédés.
Limitations de l'IRM
L'un des reproches adressés aux solutions IRM est d'exiger que l'utilisateur dispose d'un logiciel IRM spécialisé installé sur son ordinateur pour ouvrir tout fichier protégé par les mesures IRM. C'est la raison pour laquelle de nombreuses entreprises cherchent à limiter la protection IRM aux fichiers dont le contenu doit être impérativement protégé.
Bien qu'une solution IRM puisse résoudre la plupart des problèmes de sécurité liés au partage des documents, il existe encore des solutions de contournement simples qui rendent ces mesures inopérantes. Un simple appareil photo (ou smartphone) peut capturer une image d'un fichier protégé par IRM. La plupart des ordinateurs Apple peuvent également réduire à néant la protection conférée par les mesures IRM d'un simple clic de la combinaison Cmd-Maj-4 qui active la capture d'écran. Il en va de même pour les logiciels tiers qui fournissent des fonctionnalités de capture d'écran.
Prise en charge de l'IRM par Microsoft 365
Le service Microsoft AD Rights Management est une solution IRM populaire pour les données hébergées sur les serveurs de messagerie et de fichiers locaux, et Microsoft 365 est désormais le service cloud d'entreprise le plus populaire. Microsoft 365 dispose de fonctionnalités IRM dans plusieurs offres de produits, optimisées par Microsoft Azure. À la différence du service Microsoft Active Directory Rights Management, utilisé depuis des années en tant que solution locale pour la sécurité des données, Microsoft Azure Rights Management est la solution IRM de Microsoft pour le cloud.
Les organisations qui ont synchronisé leur serveur Active Directory avec le serveur Azure Rights Management peuvent également transférer leurs modèles de stratégie IRM de Microsoft 365 vers les applications Microsoft Office de leurs utilisateurs installées en local. De manière générale, il existe trois méthodes pour appliquer la protection IRM à un document dans Microsoft 365.
Les administrateurs Microsoft 365 peuvent activer certaines fonctionnalités de gestion des droits qui permettent aux propriétaires de sites SharePoint de créer des règles IRM et de les appliquer à différentes bibliothèques ou listes. Les utilisateurs qui chargent des fichiers dans cette bibliothèque sont alors assurés que le document restera protégé conformément aux règles IRM.
Les entreprises qui souhaitent un contrôle plus granulaire peuvent configurer Microsoft Azure avec les services Advanced Rights Management Services. Cette fonctionnalité permet aux administrateurs de créer des modèles de stratégie pour des utilisateurs individuels et des groupes d'utilisateurs. L'un des avantages conférés par l'activation de cette fonctionnalité est de pouvoir ensuite envoyer les stratégies en mode Push aux applications de bureau Office de l'utilisateur ou du groupe.
Les deux premières approches sont basées sur les sites, les utilisateurs et les groupes, et peuvent appliquer la protection IRM aux fichiers qui ne la nécessitent pas. Un service CASB peut être intégré à Microsoft 365 et à des offres IRM pour négocier l'application des mesures IRM à certains fichiers en fonction du contenu ou du contexte. Par exemple, un service CASB peut appliquer des protections IRM aux fichiers contenant des données sensibles téléchargés sur des équipements non managés à partir de Microsoft 365.
Les administrateurs et les propriétaires de sites peuvent limiter l'activité en appliquant des paramètres pour activer le mode lecture seule sur des documents, désactiver la copie de texte et limiter la possibilité d'enregistrer des copies locales, ou encore interdire l'impression du fichier. Les formats de fichiers pris en charge incluent les formats PDF, Word, PowerPoint, Excel ou XML pour chaque solution, ainsi que les formats XPS.
Fonctionnement de la solution IRM dans Exchange Online
Pour Exchange Online IRM, Microsoft a créé les services AD RMS (Active Directory Rights Management Services) pour protéger les e-mails. Ici, les autorisations sont ajoutées directement à l'e-mail, ce qui permet de protéger le message en ligne, hors ligne, sur le réseau et hors réseau.
L'expéditeur d'un e-mail peut appliquer des restrictions qui limitent la capacité du destinataire à enregistrer un message, à le transférer, à l'imprimer ou à en extraire les informations.