Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Fundamentals, Education Standard et Education Plus. Comparer votre édition
La protection contre la perte de données pour Gmail est également disponible pour les utilisateurs Cloud Identity Premium qui disposent aussi d'une licence pour les éditions Google Workspace incluant Gmail.
Vous pouvez créer des règles de protection contre la perte de données dans la console d'administration Google pour gérer les contenus sensibles que vos utilisateurs partagent dans leurs e-mails. Avec la protection contre la perte de données pour Gmail, les règles s'appliquent aux messages envoyés à des personnes au sein de votre organisation et en dehors. Elles permettent d'identifier les informations sensibles et d'éviter leur partage inapproprié.
Sur cette page
- Fonctionnalités de la protection contre la perte de données pour Gmail
- Comment fonctionne la protection contre la perte de données pour Gmail ?
- À propos de l'analyse synchrone et asynchrone
- Résultats de l'analyse synchrone et asynchrone
- Qu'est-ce qui est analysé ?
- Types de pièces jointes compatibles
- Plusieurs pièces jointes
- Comment la protection contre la perte de données interagit-elle avec les autres règles liées aux e-mails ?
- Protection contre la perte de données dans Gmail et groupes
- Créer des règles de protection contre la perte de données pour Gmail
- Examiner les événements des règles de protection contre la perte de données à l'aide de l'outil d'investigation sur la sécurité
- Exporter les cas de non-respect de la protection contre la perte de données à l'aide de BigQuery
- Faites-nous part de vos commentaires
Fonctionnalités de la protection contre la perte de données pour Gmail
Avec la protection contre la perte de données pour Gmail, vous pouvez effectuer les actions suivantes :
- Créez des règles de protection contre la perte de données pour Gmail ou d'autres applications Google Workspace qui utilisent la protection contre la perte de données, y compris Gmail, Google Chat et Google Drive.
- Utilisez les règles de protection contre la perte de données pour déclencher les actions appropriées en cas de non-respect des règles :
- Bloquer le message : bloquez la distribution des e-mails et envoyez une notification à l'utilisateur.
- Avertir les utilisateurs : informez les utilisateurs des informations sensibles détectées dans le message, mais autorisez-les à l'envoyer quand même.
- Mettre le message en quarantaine : mettez un message en quarantaine pour qu'il soit examiné par un administrateur avant d'être envoyé ou renvoyé.
- Audit uniquement : envoyez le message et consignez l'événement de protection contre la perte de données pour un audit ultérieur afin d'évaluer l'impact des nouvelles règles.
- Définissez des conditions à l'aide de chaînes de texte, et de détecteurs prédéfinis et personnalisés (par exemple, des mots clés et des expressions régulières).
- Ajoutez des règles permettant d'appliquer automatiquement des libellés de classification aux nouveaux messages en fonction des conditions que vous spécifiez. Par exemple, appliquez un libellé de classification Confidentiel lorsque les messages contiennent des informations sensibles, financières ou permettant d'identifier personnellement l'utilisateur.
- Détectez lorsque le mode confidentiel est activé pour un message et utilisez cet état comme condition pour autoriser les utilisateurs à envoyer des messages incluant du contenu sensible.
- Appliquez des règles pour des unités organisationnelles ou des groupes spécifiques, ou pour l'ensemble de votre organisation.
- Signalez les cas de non-respect des règles aux administrateurs dans le centre d'alerte afin qu'ils puissent analyser le problème.
- Analysez le texte des images dans toutes les pièces jointes des messages à l'aide de la reconnaissance optique des caractères (OCR).
Comment fonctionne la protection contre la perte de données pour Gmail ?
Lorsqu'un utilisateur envoie un e-mail, la protection contre la perte de données l'analyse pour détecter tout contenu sensible. Si un message ou une pièce jointe enfreint une règle, l'action définie dans cette règle s'applique au message.
Résumé du flux :
- Ajoutez des règles de protection contre la perte de données qui définissent le contenu sensible et l'action à effectuer sur les messages contenant du contenu sensible.
- Lorsqu'un utilisateur envoie un e-mail, la protection contre la perte de données analyse le contenu pour détecter les cas de non-respect des règles.
- Si une règle est appliquée, la protection contre la perte de données exécute l'action définie dans cette règle.
- Tous les événements sont consignés dans les événements du journal des règles afin d'être examinés.
À propos de l'analyse synchrone et asynchrone
Avec la protection contre la perte de données pour Gmail, les règles peuvent être analysées de manière synchrone ou asynchrone :
Analyse synchrone : les règles de protection contre la perte de données sont analysées lorsque l'utilisateur clique sur Envoyer. L'utilisateur est averti de la présence de contenu sensible avant que le message ne quitte sa boîte aux lettres. Gmail sur le Web et l'application mobile Gmail effectuent une analyse synchrone.
Analyse asynchrone : les règles de protection contre la perte de données sont analysées après que le message a quitté la boîte aux lettres de l'expéditeur. Les utilisateurs sont informés que le message a été bloqué ou mis en quarantaine avant d'être distribué au destinataire. L'analyse asynchrone se produit lorsqu'un utilisateur envoie un message à l'aide d'une application de messagerie tierce et que l'analyse synchrone échoue.
Résultats de l'analyse synchrone et asynchrone
Analyse synchrone : Gmail sur le Web ou sur mobile
Lorsqu'une règle avec l'action Bloquer le message est déclenchée :
- Une alerte s'affiche, indiquant que le message ne peut pas être envoyé dans son état actuel. Vous pouvez ajouter un message personnalisé dans la règle pour cette alerte.
- L'alerte contient l'option Retour à l'édition, qui permet à l'utilisateur de revenir à l'édition du message et de modifier ou de supprimer le contenu sensible.
- Lorsque l'utilisateur renvoie le message après l'avoir modifié, celui-ci est à nouveau analysé et vérifié par rapport à toutes les règles applicables.
Lorsqu'une règle avec l'action Avertir les utilisateurs est déclenchée :
- Une alerte s'affiche, indiquant que le message peut comporter du contenu sensible. Vous pouvez ajouter un message d'alerte personnalisé dans les options de configuration de la règle.
- L'alerte contient l'option Retour à l'édition, qui permet à l'utilisateur de revenir à l'édition du message et de modifier ou de supprimer le contenu sensible.
- L'alerte contient l'option Envoyer quand même, qui permet à l'utilisateur d'envoyer le message dans son état actuel.
Lorsqu'une règle avec l'action Mettre le message en quarantaine est déclenchée :
- Une alerte s'affiche, indiquant que le message peut comporter du contenu sensible. Vous pouvez ajouter un message d'alerte personnalisé dans les options de configuration de la règle.
- La boîte de dialogue contient l'option Retour à l'édition, qui permet à l'utilisateur de revenir éventuellement à l'édition du message et de modifier ou de supprimer le contenu sensible.
- Elle contient également le bouton Envoyer pour examen, qui permet à l'utilisateur d'envoyer le message pour qu'il soit examiné par un administrateur ou un autre utilisateur autorisé. Après avoir examiné le message, l'administrateur peut approuver sa distribution auprès du destinataire, ou le refuser et bloquer son envoi.
Lorsqu'une règle avec l'action Audit uniquement est déclenchée :
- L'utilisateur ne voit aucune alerte et le message est distribué aux destinataires.
- L'événement du message est enregistré dans les journaux d'audit.
Remarque : Les messages analysés de manière synchrone peuvent être analysés une nouvelle fois de manière asynchrone, à titre de mesure de sécurité supplémentaire. Cela peut entraîner le blocage du message, même si aucune boîte de dialogue n'a été présentée lors de l'analyse synchrone.
Analyse asynchrone : Gmail avec SMTP et application de messagerie tierce
Lorsqu'une règle avec l'action Bloquer le message est déclenchée :
- Le message s'affiche dans la boîte aux lettres Messages envoyés de l'expéditeur.
- L'expéditeur est informé que le message a été bloqué. Vous pouvez ajouter un message personnalisé dans la règle pour cette alerte.
Lorsqu'une règle avec l'action Avertir les utilisateurs est déclenchée :
- Le message s'affiche dans la boîte aux lettres Messages envoyés de l'expéditeur.
- L'expéditeur est informé que le message a été bloqué. Vous pouvez ajouter un message personnalisé dans la règle pour cette alerte.
- Pour les messages envoyés à l'aide d'applications de messagerie tierces connectées à Gmail via SMTP, les règles avec l'action Avertir les utilisateurs se comportent comme des règles avec l'action Bloquer le message.
Lorsqu'une règle avec l'action Mettre le message en quarantaine est déclenchée :
- Le message s'affiche dans la boîte aux lettres Messages envoyés de l'expéditeur.
- Si le message n'a pas été envoyé, l'expéditeur reçoit une alerte indiquant qu'il a été mis en quarantaine. Vous pouvez ajouter un message personnalisé dans la règle pour cette alerte.
Lorsqu'une règle avec l'action Audit uniquement est déclenchée :
- L'expéditeur ne reçoit aucune notification et le message est distribué au destinataire.
Analyse asynchrone : Gmail sur le Web ou sur mobile
Lorsque vous utilisez Gmail sur le Web ou dans une application mobile, les messages sont analysés de manière asynchrone une nouvelle fois par mesure de sécurité supplémentaire.
Lorsqu'une règle avec l'action Bloquer le message est déclenchée :
- Le message s'affiche dans la boîte aux lettres Messages envoyés de l'expéditeur.
- L'expéditeur est informé que le message a été bloqué. Vous pouvez ajouter un message personnalisé dans la règle pour cette alerte.
Lorsqu'une règle avec l'action Avertir les utilisateurs est déclenchée, le message est envoyé :
- L'expéditeur peut voir le message dans sa boîte aux lettres Messages envoyés.
- L'événement du message est enregistré dans les événements du journal des règles.
Lorsqu'une règle avec l'action Mettre le message en quarantaine est déclenchée :
- L'expéditeur peut voir le message dans sa boîte aux lettres Messages envoyés.
- Il est susceptible de recevoir une notification ultérieurement si le réviseur a empêché l'envoi du message.
Lorsqu'une règle avec l'action Audit uniquement est déclenchée :
- L'expéditeur ne reçoit aucune notification et le message est distribué au destinataire.
Messages créés automatiquement par d'autres produits Google
Gmail envoie des notifications et des messages automatiques créés par d'autres services Google et Google Workspace, y compris Google Agenda, Docs et Drive. Par exemple, lorsqu'un utilisateur crée un événement dans Agenda et invite des personnes, un message Gmail contenant les informations sur l'événement est créé et envoyé aux participants. Le message est analysé côté serveur. Si le contenu du message répond aux conditions de certaines règles, l'action associée est appliquée.
Lorsqu'une règle avec l'action Bloquer le message est déclenchée :
- Le message s'affiche dans la boîte aux lettres Messages envoyés de l'expéditeur.
- L'expéditeur est informé que le message a été bloqué. Vous pouvez ajouter un message personnalisé dans la règle pour cette notification.
Lorsqu'une règle avec l'action Avertir les utilisateurs est déclenchée :
- Le message est envoyé.
- L'expéditeur peut voir le message dans sa boîte aux lettres Messages envoyés.
- L'événement du message est enregistré dans les événements du journal des règles.
Lorsqu'une règle avec l'action Mettre le message en quarantaine est déclenchée :
- L'expéditeur est susceptible de recevoir une notification ultérieurement si le réviseur a empêché l'envoi du message.
Lorsqu'une règle avec l'action Audit uniquement est déclenchée :
- Le message est envoyé.
- L'expéditeur ne reçoit aucune notification.
Qu'est-ce qui est analysé ?
Seuls les messages sortants sont analysés. Les conditions Type de contenu à analyser ajoutées à la règle déterminent la partie du message qui est analysée :
Tous les contenus : l'objet, les destinataires, l'expéditeur, les champs Cci et Cc, et le corps du message sont analysés de manière synchrone. Les pièces jointes sont analysées de manière asynchrone. Les pièces jointes incluent des fichiers et des images. Les noms des pièces jointes sont également analysés. Pour en savoir plus, consultez la section Types de fichiers compatibles sur cette page.
Les pièces jointes ne peuvent pas être utilisées comme condition pour appliquer une action Avertissement, car elles sont toujours analysées de manière asynchrone.Important : L'option Tous les contenus n'analyse que cinq types d'en-têtes : Objet, À, De, Cci et Cc. Ces en-têtes sont immédiatement disponibles pour l'analyse synchrone. Pour analyser tous les en-têtes d'un message, nous vous recommandons d'utiliser l'une des options suivantes :
- Ajouter une condition avec l'opérateur OR pour analyser les en-têtes de l'e-mail
- Créer une règle distincte pour analyser spécifiquement les en-têtes de l'e-mail
En-têtes de l'e-mail : contenu des en-têtes de l'e-mail. La plupart des en-têtes sont analysés de manière asynchrone, mais les en-têtes "Objet", "À", "De", "Cci" et "Cc" sont analysés de manière asynchrone et synchrone. Pour éviter de perturber vos utilisateurs, n'appliquez pas de condition d'exclusion (condition NOT) aux en-têtes d'e-mail non disponibles. Les en-têtes d'e-mails sont analysés afin d'identifier les informations sensibles.
Corps : le corps du message est analysé de manière synchrone et les pièces jointes de manière asynchrone.
Objet : l'objet est analysé de manière synchrone.
Libellé de classification : libellés de classification appliqués manuellement par un utilisateur ou automatiquement à l'aide d'une règle de protection contre la perte de données. Une règle ne peut pas avoir à la fois la condition Libellé de classification et Appliquer des libellés de classification comme action.
État du mode confidentiel : indique si le mode confidentiel est activé pour le message. Nous vous recommandons d'utiliser cette condition avec d'autres conditions de règle. Par exemple, si le corps du message contient un numéro d'identification fiscale et que le mode confidentiel n'est pas activé, l'envoi du message est bloqué. Pour en savoir plus, consultez Protéger les messages Gmail grâce au mode confidentiel.
Types de pièces jointes acceptés
Les règles de protection contre la perte de données analysent les types de pièces jointes suivants :
- Types de documents : TXT, DOC, DOCX, RTF, HTML, XHTML, XML, PDF, PPT, PPTX, ODP, ODS, ODT, XLS, XLSX, PS, CSS, CSV, JSON, SH
- Types de fichiers image (si la reconnaissance optique des caractères est activée) : EPS, BMP, GIF, JPEG, PNG et images contenues dans des fichiers PDF
- Types de fichiers compressés : BZIP, RAR, TAR, ZIP
- Types de fichiers personnalisés : HWP, KML, KMZ, SDC, SDD, SDW, SXC, SXI, SXW, WML, XPS
Plusieurs pièces jointes
Si un message comporte plusieurs pièces jointes, la règle est déclenchée si l'une d'elles correspond à la condition de la règle. Cela peut parfois entraîner des résultats inattendus pour les règles incluant la condition NOT. Par exemple, si la condition NOT(contenu incluant un numéro de sécurité sociale) est utilisée et que l'une des pièces jointes contient numéro de sécurité sociale, la condition est vraie et la règle ne sera pas déclenchée.
Comment la protection contre la perte de données interagit-elle avec les autres règles liées aux e-mails ?
Les règles de protection contre la perte de données sont évaluées avant les règles de conformité du contenu et les règles de routage.
Si les règles de protection contre la perte de données ne bloquent pas et ne mettent pas en quarantaine un message, celui-ci est ensuite évalué par les règles de conformité du contenu et de routage. Si une règle de conformité du contenu ou de routage applique une action qui crée une autre copie du message (par exemple, ajout d'un destinataire), la protection contre la perte de données analyse les nouvelles copies du message avant de les envoyer.
Pour en savoir plus, consultez Définir des règles de filtrage avancé du contenu des e-mails.
Protection contre la perte de données dans Gmail et groupes
Cette section décrit comment les règles de protection contre la perte de données dans Gmail interagissent avec les groupes.
Les règles de protection contre la perte de données ne s'appliquent aux groupes que si elles sont définies pour l'ensemble de l'organisation. Les règles de protection contre la perte de données n'acceptent que l'action "Refuser" pour les groupes. Les actions "Avertissement" et "Zone de quarantaine" ne sont pas disponibles pour les groupes.
Créer des règles de protection contre la perte de données pour Gmail
-
Accédez à Menu
Règles > Créer une règle > Protection des données.
Vous devez disposer des droits d'affichage et de gestion des règles de protection contre la perte de données.
- Indiquez le nom de la règle et éventuellement une description.
- Dans la section Applications, cochez la case Message envoyé pour Gmail.
- (Facultatif) Pour vérifier si la reconnaissance optique des caractères est activée, cliquez sur Vérifier, puis cochez l'option Gmail pour activer l'OCR pour Gmail.
- Cliquez sur Continuer.
Dans la section Actions, sous Gmail, sélectionnez une option.
Toutes les actions sont consignées dans les événements du journal des règles.
- Bloquer le message : n'envoie pas le message immédiatement et affiche une alerte à l'expéditeur concernant les informations potentiellement sensibles qu'il contient. L'expéditeur peut modifier le message et l'envoyer à nouveau.
- Avertir les utilisateurs : n'envoie pas le message immédiatement et affiche une alerte à l'expéditeur. L'expéditeur peut envoyer le message tel quel, ou le modifier et l'envoyer à nouveau.
Remarque : Étant donné que les pièces jointes sont toujours analysées de manière asynchrone, vous ne pouvez pas les utiliser comme condition pour l'action Avertir les utilisateurs dans une règle. - Mettre le message en quarantaine : n'envoie pas le message immédiatement et affiche une alerte à l'expéditeur. L'expéditeur peut envoyer le message tel quel, ou l'envoyer pour examen à un administrateur ou à une autre personne qualifiée. Vous devez sélectionner une option dans le menu Conditions de mise en quarantaine.
- Audit uniquement : le message est envoyé. Aucune alerte ne s'affiche. Le message est analysé par rapport aux règles et enregistré en tant qu'événement susceptible d'être examiné par un administrateur ultérieurement.
- Appliquer un libellé de classification : applique un libellé de classification aux messages qui répondent aux conditions. Vous devez sélectionner une option dans les menus Champ de libellé et Option de champ.
- Ajouter une note personnalisée : ajoute un en-tête ou un pied de page personnalisé aux e-mails correspondants.
Dans le champ Indiquez quand appliquer cette action, indiquez si l'action doit s'appliquer aux messages internes, externes ou aux deux.
(Facultatif) Pour créer une alerte personnalisée, cochez la case Personnaliser le message dans le champ Message utilisateur, puis saisissez le texte de l'alerte. Les alertes peuvent inclure des URL et comporter jusqu'à 300 caractères (y compris les caractères des URL). Si vous ne créez pas de message personnalisé, la boîte de dialogue affiche le message par défaut.
(Facultatif) Pour définir le niveau de gravité des événements de message signalés, sélectionnez Faible, Moyen ou Élevé dans Alertes. Le niveau de gravité est consigné dans les événements du journal des règles et peut servir à examiner les incidents.
(Facultatif) Pour envoyer une alerte concernant les événements de message (un message déclenché par cette règle), cochez la case Centre d'alerte. Vous pouvez également envoyer une notification concernant l'alerte aux super-administrateurs en cochant l'option Tous les super-administrateurs. Saisissez d'autres notifications d'alerte pour d'autres destinataires.
Cliquez sur Continuer.
Dans Champ d'application, choisissez une option :
- Pour appliquer la règle à l'ensemble de votre organisation, sélectionnez Tous les utilisateurs de domain.name.
- Pour appliquer la règle à des unités organisationnelles ou à des groupes spécifiques, sélectionnez Unités organisationnelles et/ou groupes, puis incluez ou excluez les unités organisationnelles et les groupes en question.
Dans le champ Conditions concernant les contenus, cliquez sur Ajouter une condition, puis sélectionnez la partie du message qui est analysée.
Important : Si vous créez une règle de protection contre la perte de données sans condition, elle analyse toutes les parties du message et applique l'action spécifiée à tous les messages Gmail.
- Tous les contenus : analyse l'en-tête, l'objet, le corps et les pièces jointes du message.
- Corps : analyse le corps du message et les pièces jointes.
- Libellé de classification : analyse les libellés de classification appliqués aux messages.
- État du mode confidentiel : vérifie si le mode confidentiel est activé pour les messages.
- En-têtes de l'e-mail : analyse l'en-tête et l'objet du message. Si le message est envoyé avec le chiffrement côté client Google Workspace (CSE), seul le contenu des en-têtes de l'e-mail (y compris l'objet) peut être analysé.
- Objet : analyse uniquement l'objet du message.
Cliquez sur Éléments à rechercher, puis sélectionnez les options et les attributs de votre analyse. Pour en savoir plus sur chaque champ, consultez la section À propos des options et des attributs pour "Éléments à rechercher" sur cette page.
Cliquez sur Continuer et consultez les détails de la règle.
Définissez l'état de la règle :
- Actif : la règle s'exécute immédiatement.
- Inactif : la règle est ajoutée, mais ne s'exécute pas immédiatement. Vous avez ainsi le temps d'examiner la règle et de la partager avec d'autres utilisateurs avant de l'appliquer. Pour déclencher la règle ultérieurement, dans la console d'administration, accédez à SécuritéContrôle des accès et des donnéesProtection des donnéesGérer les règles, définissez l'état sur Actif cliquez sur Confirmer.
Cliquez sur Créer.
À propos des options et des attributs pour "Éléments à rechercher"
Les options Éléments à rechercher varient en fonction du type de contenu que vous avez choisi d'analyser. Pour les conditions de règle Gmail, vous pouvez analyser les éléments suivants :
- Correspond à un type de données prédéfini (recommandé)
- Contient une chaîne de texte
- Contient le mot
- Correspond à l'expression régulière
- Correspond aux mots d'une liste de mots
- Est un libellé de classification
- Est activé ou désactivé (état du mode confidentiel uniquement)
Vous pouvez utiliser les opérateurs AND, OR ou NOT avec les conditions. Pour en savoir plus sur l'utilisation de ces opérateurs avec des conditions, consultez Exemples de règles de protection contre la perte de données avec des opérateurs de conditions imbriqués.
| Éléments à rechercher | Attributs |
|---|---|
| Correspond à un type de données prédéfini |
Type de données : sélectionnez un type de données prédéfini. Pour en savoir plus, consultez Utiliser les détecteurs de contenu prédéfinis. Seuil de probabilité : sélectionnez un seuil de probabilité. Les seuils disponibles sont les suivants :
Ces seuils reflètent le niveau de confiance du système de protection contre la perte de données envers le résultat de la recherche de correspondance. En général, le seuil "Très élevé" renvoie moins de contenu et s'avère plus précis. Le seuil "Très faible" est censé correspondre à davantage de fichiers, mais sa précision est moindre. Nombre minimal de correspondances uniques : saisissez le nombre minimal de fois qu'un résultat de recherche de correspondance doit apparaître de manière unique dans un document pour déclencher l'action. Nombre minimal de correspondances : saisissez le nombre minimal de fois que les résultats de la recherche de correspondance doivent apparaître dans un document pour déclencher l'action. Comment fonctionnent le nombre minimal de correspondances et le nombre minimal de correspondances uniques ? Prenons par exemple deux listes de numéros de sécurité sociale. La première liste contient 50 occurrences du même numéro et la deuxième liste contient 50 numéros uniques. Si la valeur "Nombre minimal de correspondances" est égale à 10, les résultats se déclenchent pour les deux listes, car elles contiennent au moins 10 correspondances. Cependant, si la valeur "Nombre minimal de correspondances uniques" est égale à 10, et que la valeur "Nombre minimal de correspondances" est égale à 1, les résultats ne se déclenchent que pour la deuxième liste, car elle comporte 10 correspondances, concernant toutes des valeurs uniques. |
| Contient une chaîne de texte | Saisissez le contenu pour lequel chercher une correspondance : saisissez une sous-chaîne, un nombre ou d'autres caractères à rechercher. Indiquez si le contenu est sensible à la casse. Dans le cas d'une sous-chaîne, si la règle contient le mot "clé", une correspondance sera établie avec un document contenant le mot "clé". |
| Contient le mot | Saisissez le contenu pour lequel chercher une correspondance : saisissez le mot, le nombre ou d'autres caractères à rechercher. |
| Correspond à l'expression régulière |
Nom de l'expression régulière : détecteur personnalisé d'expressions régulières. Nombre minimal de détections du format : saisissez le nombre minimal de fois que le format exprimé par l'expression régulière doit apparaître dans un document pour déclencher l'action. |
| Correspond aux mots d'une liste de mots |
Nom de la liste de mots : sélectionnez une liste de mots personnalisée. Mode de correspondance : sélectionnez N'importe quel mot ou Nombre minimal de mots uniques. Nombre total de fois minimum qu'un mot a été détecté : saisissez le nombre minimal de fois qu'un mot doit être détecté pour déclencher l'action. Nombre minimal de mots uniques détectés : saisissez le nombre minimal de mots uniques devant être détectés pour déclencher l'action (disponible uniquement pour l'option Nombre minimal de mots uniques). |
Examiner les événements des règles de protection contre la perte de données à l'aide de l'outil d'investigation sur la sécurité
Rechercher des événements de journaux des règles
L'exemple suivant permet d'effectuer une recherche pour examiner les messages Gmail qui ont déclenché une règle de protection contre la perte de données. Vous pouvez utiliser d'autres conditions dans votre recherche ou n'en indiquer aucune.
-
Dans la console d'administration Google, accédez à Menu
SécuritéCentre de sécuritéOutil d'investigation.Vous devez disposer du droit d'administrateur Centre de sécurité.
- Cliquez sur Source de donnéesÉvénements du journal des règles.
- Cliquez sur Générateur de conditionsAjouter une conditionAttributType de règle.
- Sélectionnez DLP.
- Cliquez sur Rechercher.
Dans les résultats de recherche en bas de la page, vous pouvez consulter une liste d'événements avec des détails sur chacun d'entre eux.Remarque : Les extraits de contenu sensible ne sont pas compatibles avec la protection contre la perte de données dans Gmail. Par conséquent, la colonne Comporte du contenu sensible affiche "Faux" même si un message comporte du contenu sensible ayant déclenché une règle de protection contre la perte de données.
- Faites défiler la page jusqu'à la colonne ID de ressource, puis cliquez sur Menu
pour afficher Événements de journaux Gmail et ID du message. - Cliquez sur Rechercher pour ouvrir une nouvelle page de recherche dans laquelle Événements de journaux Gmail est la source de données.
- Pour consulter des détails supplémentaires, cliquez sur l'ID du message de n'importe quelle ligne dans les résultats de recherche. Un panneau latéral contenant des détails supplémentaires sur votre investigation s'affiche.
- Si vous y êtes invité, indiquez pourquoi vous souhaitez consulter le contenu Gmail, puis cliquez sur Confirmer.
Exporter les cas de non-respect de la protection contre la perte de données à l'aide de BigQuery
Vous pouvez exporter les cas de non-respect de la protection contre la perte de données consignés dans les événements du journal des règles vers des tableaux personnalisés pour un examen plus approfondi. Pour en savoir plus, consultez Configurer les exportations de journaux de service vers BigQuery.
Envoyer des commentaires
Dans la console d'administration, sur n'importe quelle page concernant la protection des données, cliquez sur Envoyer des commentaires.
Articles associés
- Protection contre la perte de données et libellés de classification automatique dans Gmail
- Afficher les limites relatives au contenu et à la taille des règles de protection contre la perte de données
- Lire les images à l'aide de la reconnaissance optique des caractères
- Options de routage et de distribution des e-mails pour Google Workspace
- Configurer une zone de quarantaine pour les e-mails
- Événements de journaux des règles