Partager via


Aperçu sur le chiffrement et la gestion des clés

Quel rôle le chiffrement joue-t-il dans la protection du contenu client ?

La plupart des services cloud d’entreprise Microsoft sont multilocataires, ce qui signifie que le contenu client peut être stocké sur le même matériel physique que les autres clients. Pour protéger la confidentialité du contenu client, Microsoft services en ligne chiffrer toutes les données au repos et en transit avec certains des protocoles de chiffrement les plus puissants et les plus sécurisés disponibles.

Le chiffrement ne remplace pas les contrôles d’accès forts. La stratégie de contrôle d’accès de Microsoft ZSA (Zero Standing Access) protège le contenu client contre tout accès non autorisé par les employés de Microsoft. Le chiffrement complète le contrôle d’accès en protégeant la confidentialité du contenu client où qu’il soit stocké et en empêchant la lecture du contenu en transit entre les systèmes Microsoft services en ligne ou entre Microsoft services en ligne et le client.

Comment Microsoft services en ligne chiffrer les données au repos ?

Tout le contenu client dans Microsoft services en ligne est protégé par une ou plusieurs formes de chiffrement. Les serveurs Microsoft utilisent BitLocker pour chiffrer les lecteurs de disque contenant du contenu client au niveau du volume. Le chiffrement fourni par BitLocker protège le contenu client en cas d’expiration d’autres processus ou contrôles (par exemple, le contrôle d’accès ou le recyclage du matériel) susceptibles d’entraîner un accès physique non autorisé aux disques contenant du contenu client.

En plus du chiffrement au niveau du volume, Microsoft services en ligne utiliser le chiffrement au niveau de la couche application pour chiffrer le contenu client. Le chiffrement de service fournit des fonctionnalités de protection et de gestion des droits en plus d’une protection de chiffrement forte. Il permet également la séparation entre les systèmes d’exploitation Windows et les données client stockées ou traitées par ces systèmes d’exploitation.

Comment Microsoft services en ligne chiffre-t-il les données en transit ?

Microsoft services en ligne utiliser des protocoles de transport forts, tels que TLS (Transport Layer Security), pour empêcher des parties non autorisées d’espionner les données client pendant qu’elles se déplacent sur un réseau. Parmi les exemples de données en transit, citons les messages électroniques en cours de remise, les conversations qui ont lieu dans une réunion en ligne ou les fichiers répliqués entre les centres de données.

Pour Microsoft services en ligne, les données sont considérées comme « en transit » chaque fois que l’appareil d’un utilisateur communique avec un serveur Microsoft ou qu’un serveur Microsoft communique avec un autre serveur.

Comment Microsoft services en ligne gérer les clés utilisées pour le chiffrement ?

Le chiffrement fort est uniquement aussi sécurisé que les clés utilisées pour chiffrer les données. Microsoft utilise ses propres certificats de sécurité et les clés associées pour chiffrer les connexions TLS pour les données en transit. Pour les données au repos, les volumes protégés par BitLocker sont chiffrés avec une clé de chiffrement de volume complète, qui est chiffrée avec une clé de master de volume, qui à son tour est liée au module de plateforme sécurisée (TPM) sur le serveur. BitLocker utilise des algorithmes conformes à la norme FIPS 140-2 pour garantir que les clés de chiffrement ne sont jamais stockées ou envoyées en clair sur le réseau.

Le chiffrement de service fournit une autre couche de chiffrement pour les données client au repos, offrant aux clients deux options pour la gestion des clés de chiffrement : les clés gérées par Microsoft ou la clé client. Lors de l’utilisation de clés gérées par Microsoft, Microsoft services en ligne générer et stocker automatiquement les clés racines utilisées pour le chiffrement de service de manière sécurisée.

Les clients qui doivent contrôler leurs propres clés de chiffrement racine peuvent utiliser le chiffrement de service avec la clé client Microsoft Purview. À l’aide de la clé client, les clients peuvent générer leurs propres clés de chiffrement à l’aide d’un module de service matériel (HSM) local ou d’Azure Key Vault (AKV). Les clés racines du client sont stockées dans AKV, où elles peuvent être utilisées comme racine de l’un des trousseaux qui chiffre les données ou les fichiers de boîte aux lettres client. Les clés racines du client ne sont accessibles qu’indirectement par le code de service en ligne Microsoft pour le chiffrement des données et ne sont pas accessibles directement par les employés de Microsoft.

Les services en ligne de Microsoft sont régulièrement auditées pour vérifier la conformité aux réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés au chiffrement et à la gestion des clés.

Azure et Dynamics 365

Audits externes Section Date du dernier rapport
ISO 27001

Déclaration d’applicabilité
Certificat
A.10.1 : Contrôles de chiffrement
A.18.1.5 : Contrôles de chiffrement
8 avril 2024
ISO 27017

Déclaration d’applicabilité
Certificat
A.10.1 : Contrôles de chiffrement
A.18.1.5 : Contrôles de chiffrement
8 avril 2024
ISO 27018

Déclaration d’applicabilité
Certificat
A.11.6 : Chiffrement des informations d’identification personnelle transmises sur des réseaux de transmission de données publics 8 avril 2024
SOC 1
SOC 2
SOC 3
DS-1 : Stockage sécurisé des certificats et clés de chiffrement
DS-2 : les données client sont chiffrées en transit
DS-3 : Communication interne des composants Azure chiffrée en transit
DS-4 : Contrôles et procédures de chiffrement
16 août 2024

Microsoft 365

Audits externes Section Date du dernier rapport
FedRAMP SC-8 : Confidentialité et intégrité de la transmission
SC-13 : Utilisation du chiffrement
SC-28 : Protection des informations au repos
21 août 2024
ISO 27001/27017

Déclaration d’applicabilité
Certification (27001)
Certification (27017)
A.10.1 : Contrôles de chiffrement
A.18.1.5 : Contrôles de chiffrement
Mars 2022
ISO 27018

Déclaration d’applicabilité
Certificat
A.11.6 : Chiffrement des informations d’identification personnelle transmises sur des réseaux de transmission de données publics Mars 2022
SOC 2 CA-44 : Chiffrement des données en transit
CA-54 : Chiffrement des données au repos
CA-62 : Chiffrement de boîte aux lettres par clé client
CA-63 : Suppression des données de clé client
CA-64 : Clé client
23 janvier 2024
SOC 3 CUEC-16 : Clés de chiffrement client
CUEC-17 : Coffre de clés client
CUEC-18 : Rotation des clés client
23 janvier 2024