La prévention de la perte de données n’est pas une science exacte, mais la NASA n’a pas réussi à la mettre en œuvre dans Microsoft 365.

L’Office de l’Inspecteur Général de la NASA a passé en revue le régime de confidentialité de l’agence spatiale et a constaté de nombreuses bonnes choses – mais des améliorations sont nécessaires. Dans une vérification publiée mardi [PDF], l’OIG a constaté que la NASA dispose d’un « programme de confidentialité complet qui comprend des processus pour déterminer si les systèmes informatiques collectent, stockent et transmettent des informations d’identification personnelle (PII) ; la publication de notes d’information sur les systèmes de dossiers ; et la fourniture d’une formation générale en matière de confidentialité à son personnel ». C’est un jugement bienvenu, compte tenu du fait que la NASA emploie environ 16 000 personnes et – comme toutes les agences gouvernementales – recueille des informations personnelles à leur sujet et sur les contrats, partenaires et membres du grand public avec lesquels elle entre en contact. Mais le document constate également que l’agence « doit prendre des mesures supplémentaires pour mieux protéger les informations personnelles des individus qu’elle recueille, utilise et conserve ». Parmi ces mesures figure la mise en œuvre de la protection contre la perte de données (DLP) dans Microsoft 365. La NASA utilise la suite de Microsoft et met en œuvre ses fonctionnalités DLP. Cependant, actuellement, les utilisateurs signalent eux-mêmes les pertes de données – et l’ont fait 118 fois entre octobre 2021 et mars 2023. Cependant, les données collectées pour ces incidents « n’ont pas identifié de manière cohérente le nombre de comptes affectés, la manière dont les PII ont été divulguées, les causes profondes et les risques, ni une évaluation des risques assignée ou des leçons apprises ».