Partager via

Chiffrement dans le cloud Microsoft

  • Article

Les données client dans les services cloud d’entreprise de Microsoft sont protégées par plusieurs technologies et processus, y compris diverses formes de chiffrement. (Les données client de ce document incluent Exchange Online contenu de boîte aux lettres, le corps des e-mails, les entrées de calendrier et le contenu des pièces jointes de courrier électronique, et, le cas échéant, le contenu Skype Entreprise, le contenu du site SharePoint et les fichiers stockés dans les sites, ainsi que les fichiers chargés sur OneDrive ou Skype Entreprise.) Microsoft utilise plusieurs méthodes de chiffrement, protocoles et chiffrements dans ses produits et services. Le chiffrement permet de fournir un chemin sécurisé pour que les données client transitent par nos services cloud, et contribue à protéger la confidentialité des données client stockées dans nos services cloud. Microsoft utilise certains des protocoles de chiffrement les plus puissants et les plus sécurisés disponibles pour fournir des barrières contre l’accès non autorisé aux données client. Une gestion appropriée des clés est également un élément essentiel des bonnes pratiques de chiffrement, et Microsoft veille à ce que toutes les clés de chiffrement gérées par Microsoft soient correctement sécurisées.

Les données client stockées dans les services cloud d’entreprise de Microsoft sont protégées à l’aide d’une ou plusieurs formes de chiffrement. (Plusieurs auditeurs non-Microsoft valident indépendamment notre stratégie de chiffrement et son application. Les rapports de ces audits sont disponibles sur le portail d’approbation de services.)

Microsoft fournit des technologies côté service qui chiffrent les données client au repos et en transit. Par exemple, pour les données client au repos, Microsoft Azure utilise BitLocker et DM-Crypt, et Microsoft 365 utilise BitLocker, Azure Storage Service Encryption, DKM ( Distributed Key Manager ) et le chiffrement de service Microsoft 365. Pour les données client en transit, Azure, Office 365, le support commercial Microsoft, Microsoft Dynamics 365, Microsoft Power BI et Visual Studio Team Services utiliser des protocoles de transport sécurisé standard, tels que IPsec (Internet Protocol Security) et TLS (Transport Layer Security), entre les centres de données Microsoft et entre les appareils utilisateur et Centres de données Microsoft.

En plus du niveau de base de sécurité de chiffrement fourni par Microsoft, nos services cloud incluent également des options de chiffrement que vous pouvez gérer. Par exemple, vous pouvez activer le chiffrement pour le trafic entre leurs machines virtuelles Azure et leurs utilisateurs. Avec les réseaux virtuels Azure, vous pouvez utiliser le protocole IPsec standard pour chiffrer le trafic entre votre passerelle VPN d’entreprise et Azure. Vous pouvez également chiffrer le trafic entre les machines virtuelles de votre réseau virtuel. En outre, Chiffrement de messages Microsoft Purview vous permet d’envoyer des messages chiffrés à n’importe qui.

Suivant le Standard sécurité opérationnelle de l’infrastructure à clé publique, qui est un composant de la stratégie de sécurité Microsoft, Microsoft utilise les fonctionnalités de chiffrement incluses dans le système d’exploitation Windows pour les certificats et les mécanismes d’authentification. Ces mécanismes incluent l’utilisation de modules de chiffrement conformes à la norme FIPS ( Federal Information Processing Standards ) 140-2 du gouvernement américain. Vous pouvez rechercher les numéros de certificat NIST (National Institute of Standards and Technology) appropriés pour Microsoft à l’aide du programme de validation de module de chiffrement (CMVP).

[REMARQUE] La stratégie de sécurité Microsoft n’est pas disponible en téléchargement public. Pour plus d’informations sur la stratégie, contactez Microsoft.

FIPS 140-2 est une norme conçue spécifiquement pour valider les modules de produit qui implémentent le chiffrement plutôt que les produits qui les utilisent. Les modules de chiffrement implémentés dans un service peuvent être certifiés comme répondant aux exigences en matière de force de hachage, de gestion des clés, etc. Les modules de chiffrement et les chiffrements utilisés pour protéger la confidentialité, l’intégrité ou la disponibilité des données dans les services cloud de Microsoft respectent la norme FIPS 140-2.

Microsoft certifie les modules de chiffrement sous-jacents utilisés dans nos services cloud à chaque nouvelle version du système d’exploitation Windows :

  • Azure et Azure U.S. Government
  • Dynamics 365 et Dynamics 365 U.S. Governement
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense

Le chiffrement des données client au repos est fourni par plusieurs technologies côté service, notamment BitLocker, DKM, Azure Storage Service Encryption et le chiffrement de service dans Exchange, OneDrive et SharePoint. Le chiffrement du service Microsoft 365 inclut une option permettant d’utiliser des clés de chiffrement gérées par le client qui sont stockées dans Azure Key Vault. Cette option de clé gérée par le client est appelée Clé client et est disponible pour Exchange, SharePoint, OneDrive, les fichiers Teams et les PC cloud Windows 365 (en préversion publique).

Pour les données client en transit, tous les serveurs Office 365 négocient des sessions sécurisées à l’aide de TLS par défaut avec les ordinateurs clients pour sécuriser les données client. Par exemple, Office 365 négocie des sessions sécurisées pour Skype Entreprise, Outlook, Outlook sur le web, les clients mobiles et les navigateurs web.

(Tous les serveurs côté client négocient avec TLS 1.2 par défaut.)

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.