Cette page a été traduite par l'API Cloud Translation.

Activer la découverte des données sensibles

Ce document décrit la fonctionnalité de découverte des données sensibles de la protection des données sensibles, son fonctionnement dans chaque niveau de service Security Command Center et comment l'activer.

Avant de commencer

Pour utiliser la découverte des données sensibles avec Security Command Center, effectuez les tâches suivantes.

Activer Security Command Center

Activez Security Command Center. Selon la façon dont vous activez Security Command Center, vous pouvez encourir des frais supplémentaires pour la protection des données sensibles. Pour en savoir plus, consultez Tarifs Discovery pour les clients Security Command Center.

Assurez-vous que Security Command Center est configuré pour accepter les résultats de Sensitive Data Protection.

Par défaut, Security Command Center est configuré pour accepter les résultats de la protection des données sensibles. Si votre organisation a désactivé Sensitive Data Protection en tant que service intégré, vous devez le réactiver pour recevoir les résultats de la découverte des données sensibles. Pour en savoir plus, consultez Ajouter un service intégré. Google Cloud

Configurer les autorisations

Pour obtenir les autorisations nécessaires pour configurer la découverte des données sensibles, demandez à votre administrateur de vous accorder les rôles IAM suivants dans l'organisation :

Objectif	Rôle prédéfini	Autorisations pertinentes
Créer une configuration d'analyse de découverte et afficher des profils de données	Administrateur DLP (`roles/dlp.admin`)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
Créez un projet à utiliser comme conteneur d'agent de service¹.	Créateur de projet (`roles/resourcemanager.projectCreator`)	resourcemanager.organizations.get resourcemanager.projects.create
Accorder l'accès à la découverte²	Choisissez l'une des options suivantes : Administrateur de l'organisation (`roles/resourcemanager.organizationAdmin`) Administrateur de sécurité (`roles/iam.securityAdmin`)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setiamPolicy

¹ Si vous ne disposez pas du rôle Créateur de projet (roles/resourcemanager.projectCreator), vous pouvez quand même créer une configuration d'analyse, mais le conteneur d'agent de service que vous utilisez doit être un projet existant.

² Si vous ne disposez pas du rôle Administrateur de l'organisation (roles/resourcemanager.organizationAdmin) ni du rôle Administrateur de la sécurité (roles/iam.securityAdmin), vous pouvez quand même créer une configuration d'analyse. Une fois que vous avez créé la configuration d'analyse, un membre de votre organisation disposant de l'un de ces rôles doit accorder l'accès à la découverte à l'agent de service.

Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Avantages

Cette fonctionnalité présente les avantages suivants :

Vous pouvez utiliser les résultats de la protection des données sensibles pour identifier et corriger les failles et les configurations incorrectes de vos ressources qui peuvent exposer des données sensibles au public ou à des acteurs malveillants.
Vous pouvez utiliser les résultats de Sensitive Data Protection pour ajouter du contexte au processus de tri et hiérarchiser les menaces ciblant les ressources contenant des données sensibles.
Vous pouvez configurer la simulation de chemin d'attaque pour hiérarchiser automatiquement les ressources en fonction de la sensibilité des données qu'elles contiennent. Pour en savoir plus, consultez Définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données.

Découverte des données sensibles dans Security Command Center Enterprise

Security Command Center Enterprise inclut un abonnement au service de découverte de la protection des données sensibles au niveau de l'organisation. Avec cet abonnement, vous n'êtes pas facturé pour Sensitive Data Protection lorsque vous exécutez la découverte des données sensibles au niveau de l'organisation ou du dossier. Pour en savoir plus, consultez la section Capacité de découverte dans Enterprise et Premium de ce document.

Lorsque vous activez le niveau Enterprise de Security Command Center, la découverte des données sensibles est automatiquement activée pour tous les types de ressources compatibles au niveau de l'organisation. Ce processus d'activation automatique est une opération ponctuelle qui ne s'applique qu'aux types de ressources compatibles au moment de l'activation du niveau Enterprise. Si Sensitive Data Protection ajoute la prise en charge de la découverte pour de nouveaux types de ressources ultérieurement, vous devrez activer manuellement ces types de découverte. Pour obtenir des instructions, consultez Activer la découverte avec les paramètres par défaut dans une organisation dans ce document.

Découverte des données sensibles dans Security Command Center Premium

Si vous avez activé Security Command Center Premium au niveau de l'organisation, votre abonnement Premium inclut un abonnement au niveau de l'organisation au service de découverte de la protection des données sensibles. Avec cet abonnement, vous n'êtes pas facturé pour Sensitive Data Protection lorsque vous exécutez la découverte des données sensibles au niveau de l'organisation ou du dossier. Pour en savoir plus, consultez la section Capacité de découverte dans Enterprise et Premium de ce document.

Important : Lorsque vous configurez la découverte des données sensibles, assurez-vous que le champ d'application de votre configuration (également appelé parent) correspond à votre organisation et non à un projet. Votre abonnement au niveau de l'organisation inclut la découverte au niveau de l'organisation uniquement. Si vous utilisez un champ d'application au niveau du projet, vous devez vous acquitter de frais de découverte distincts.

Pour utiliser votre abonnement au niveau de l'organisation afin d'exécuter la découverte sur un seul projet, consultez Profiler des projets ou des éléments de données sélectionnés dans une organisation ou un dossier dans la documentation Sensitive Data Protection.

Pour découvrir les données sensibles au niveau de l'organisation, consultez Activer la découverte avec les paramètres par défaut dans une organisation dans ce document.
Si vous avez activé Security Command Center Premium au niveau du projet, vous pouvez activer la découverte des données sensibles au niveau du projet et obtenir les résultats dans Security Command Center. Toutefois, cette fonctionnalité est facturée séparément. Pour activer la découverte au niveau du projet, consultez Créer une configuration d'analyse dans la documentation de Sensitive Data Protection.

Pour déterminer le type d'activation de votre instance Security Command Center, consultez Afficher votre type d'activation actuel.

Découverte des données sensibles dans Security Command Center Standard

Si vous disposez de Security Command Center Standard, vous pouvez activer la découverte des données sensibles et obtenir les résultats dans Security Command Center. Toutefois, cette fonctionnalité est facturée séparément.

Fonctionnement

Le service de découverte Sensitive Data Protection vous aide à protéger les données dans votre organisation en identifiant l'emplacement des données sensibles et à haut risque.

Dans Sensitive Data Protection, le service de découverte génère des profils de données qui fournissent des métriques et des insights sur vos données à différents niveaux de détail.
Dans Security Command Center, le service de découverte génère des résultats.

Résultats générés

La protection des données sensibles génère des résultats d'observation dans Security Command Center qui indiquent les niveaux de sensibilité et de risque liés aux données calculés pour vos données. Vous pouvez utiliser ces résultats pour orienter votre réponse lorsque vous rencontrez des menaces et des failles liées à vos ressources de données. Pour obtenir la liste des types de résultats générés, consultez Résultats d'observation du service Discovery.

Ces résultats peuvent permettre de désigner automatiquement les ressources à forte valeur ajoutée en fonction de la sensibilité des données. Pour en savoir plus, consultez Utiliser les insights sur la découverte pour identifier les ressources à forte valeur ajoutée dans ce document.
Sensitive Data Protection génère des résultats sur les failles et les erreurs de configuration dans Security Command Center lorsqu'il détecte des données non protégées à sensibilité élevée ou modérée. Pour obtenir la liste des types de résultats générés, consultez les pages suivantes :
- Résultats de failles du service de découverte Sensitive Data Protection
- Résultats de configuration incorrecte du service de découverte Sensitive Data Protection

Pour obtenir la liste complète des résultats de Sensitive Data Protection, consultez Sensitive Data Protection.

Latence de génération des résultats

Selon la taille de votre organisation, les résultats de Sensitive Data Protection peuvent commencer à s'afficher dans Security Command Center quelques minutes après l'activation de la découverte des données sensibles. Pour les grandes entreprises ou celles dont les configurations spécifiques affectent la génération de résultats, il peut s'écouler jusqu'à 12 heures avant que les premiers résultats n'apparaissent dans Security Command Center.

Ensuite, Sensitive Data Protection génère des résultats dans Security Command Center quelques minutes après que le service de découverte a analysé vos ressources.

Activer la découverte avec les paramètres par défaut dans une organisation

Pour activer la découverte, vous devez créer une configuration de découverte pour chaque source de données que vous souhaitez analyser. Vous pouvez modifier les configurations après les avoir créées. Pour personnaliser les paramètres lors de la création d'une configuration, consultez plutôt Créer une configuration d'analyse.

Pour activer la découverte avec les paramètres par défaut au niveau de l'organisation, procédez comme suit :

Dans la console Google Cloud , accédez à la page Protection des données sensibles > Activer la découverte.

Accéder à "Activer la détection"
Vérifiez que vous consultez l'organisation pour laquelle vous avez activé Security Command Center.
Dans le volet Activer la découverte, dans le champ Conteneur d'agent de service, définissez le projet à utiliser comme conteneur d'agent de service. Dans ce projet, le système crée un agent de service et lui attribue automatiquement les rôles de découverte requis.
- Pour créer automatiquement un projet à utiliser comme conteneur d'agent de service, procédez comme suit :
  1. Cliquez sur Créer.
  2. Indiquez le nom, le compte de facturation et l'organisation parente du nouveau projet. Vous pouvez également modifier l'ID du projet.
  3. Cliquez sur Créer.
  L'attribution des rôles à l'agent de service du nouveau projet peut prendre quelques minutes.
- Pour sélectionner un projet que vous avez déjà utilisé pour des opérations de découverte, cliquez sur le champ Conteneur d'agent de service, puis sélectionnez le projet.
Pour consulter les paramètres par défaut, cliquez sur l'icône de développement .
Dans la section Activer la découverte, cliquez sur Activer pour chaque type de découverte que vous souhaitez activer. L'activation d'un type de découverte permet d'effectuer les opérations suivantes :
- BigQuery : crée une configuration de découverte pour profiler les tables BigQuery dans l'ensemble de l'organisation. La protection des données sensibles commence à profiler vos données BigQuery et envoie les profils à Security Command Center.
- Cloud SQL : crée une configuration de découverte pour profiler les tables Cloud SQL dans l'ensemble de l'organisation. Sensitive Data Protection commence à créer des connexions par défaut pour chacune de vos instances Cloud SQL. Ce processus peut prendre quelques heures. Une fois les connexions par défaut prêtes, vous devez autoriser Sensitive Data Protection à accéder à vos instances Cloud SQL en mettant à jour chaque connexion avec les identifiants appropriés de l'utilisateur de la base de données.
- Failles liées aux secrets et aux identifiants : crée une configuration de découverte pour détecter et signaler les secrets non chiffrés dans les variables d'environnement Cloud Run. La protection des données sensibles commence à analyser vos variables d'environnement.
- Cloud Storage : crée une configuration de découverte pour profiler les buckets Cloud Storage dans l'ensemble de l'organisation. La protection des données sensibles commence à profiler vos données Cloud Storage et envoie les profils à Security Command Center.
- Ensembles de données Vertex AI : crée une configuration de découverte pour profiler les ensembles de données Vertex AI dans l'ensemble de l'organisation. La protection des données sensibles commence à profiler vos ensembles de données Vertex AI et envoie les profils à Security Command Center.
- Amazon S3 : crée une configuration de découverte pour profiler toutes les données Amazon S3 auxquelles votre connecteur AWS a accès.
  
  Remarque : Cette fonctionnalité nécessite Security Command Center Enterprise. Vous devez d'abord créer un connecteur AWS disposant des autorisations AWS nécessaires pour la découverte Sensitive Data Protection.
- Azure Blob Storage : crée une configuration de découverte pour profiler toutes les données Azure Blob Storage auxquelles votre connecteur Azure a accès.
  
  Remarque : Cette fonctionnalité nécessite Security Command Center Enterprise. Vous devez d'abord créer un connecteur Azure disposant des autorisations Azure nécessaires pour la découverte de la protection des données sensibles.
Pour afficher les configurations de découverte que vous venez de créer, cliquez sur Accéder à la configuration de découverte.

Si vous avez activé la découverte Cloud SQL, la configuration de la découverte est créée en mode suspendu avec des erreurs indiquant l'absence d'identifiants. Consultez Gérer les connexions à utiliser avec la découverte pour attribuer les rôles IAM requis à votre agent de service et fournir les identifiants utilisateur de la base de données pour chaque instance Cloud SQL.
Fermez le volet.

Pour afficher les résultats générés par la protection des données sensibles, consultez Examiner les résultats de la protection des données sensibles dans la consoleGoogle Cloud .

Personnaliser les configurations d'analyse

Chaque type de découverte que vous activez possède une configuration d'analyse de découverte que vous pouvez personnaliser. Par exemple, vous pouvez effectuer les opérations suivantes :

Ajustez la fréquence d'analyse.
Spécifiez des filtres pour les éléments de données que vous ne souhaitez pas reprofiler.
Modifiez le modèle d'inspection, qui définit les types d'informations que Sensitive Data Protection recherche.
Publiez les profils de données générés dans d'autres services Google Cloud .
Modifiez le conteneur d'agent de service.

Utiliser les insights sur la découverte pour identifier les ressources de forte valeur

Security Command Center peut désigner automatiquement une ressource contenant des données de sensibilité élevée ou moyenne comme ressource à forte valeur. Pour les ressources à forte valeur, Security Command Center fournit des scores d'exposition aux attaques et des visualisations de chemins d'attaque. Vous pouvez les utiliser pour hiérarchiser la sécurité des ressources contenant des données sensibles. Pour en savoir plus, consultez Définir automatiquement les valeurs de priorité des ressources en fonction de la sensibilité des données.

Capacité de découverte dans Enterprise et Premium

Si vos besoins en matière de découverte de données sensibles dépassent la capacité allouée aux clients Security Command Center Enterprise ou Premium (au niveau de l'organisation), Sensitive Data Protection peut augmenter temporairement votre capacité. Toutefois, cette augmentation n'est pas garantie et dépend de la disponibilité des ressources de calcul. Si vous avez besoin de plus de capacité de découverte, contactez votre responsable de compte ou un spécialiste des ventesGoogle Cloud . Pour en savoir plus, consultez Surveiller l'utilisation dans la documentation de Sensitive Data Protection.