Vue d'ensemble de la sécurité dans Office 2013
Sapplique à : Office 2013, Office 365 ProPlus
Dernière rubrique modifiée : 2016-12-16
Résumé : Découvrez les nouvelles fonctionnalités de sécurité d’Office 2013 : authentification, identité, catalogue et extension d’applications web, clé secrète, etc.
Public concerné : professionnels de l'informatique
Office 2013 intègre de nouvelles fonctionnalités d’authentification. Désormais, les utilisateurs créent un profil, se connectent une fois, puis accèdent aux fichiers Office locaux et dans le cloud et les utilisent en toute transparence sans se réidentifier. Les utilisateurs peuvent connecter plusieurs services (par exemple, le compte OneDrive Entreprise d’une organisation ou le compte OneDrive personnel d’un utilisateur) à leur profil Office. Après quoi, ils bénéficient d’un accès instantané à leurs fichiers et au stockage associé. Les utilisateurs s’authentifient une fois pour toutes les applications Office, y compris OneDrive. Ceci est vrai quel que soit le fournisseur d’identité, le compte Microsoft ou l’ID utilisateur utilisé pour accéder à Office 365 pour les professions libérales et les petites entreprises ou le protocole d’authentification utilisé par l’application. Il peut s’agir, par exemple, du protocole OAuth, de l’authentification basée sur les formulaires ou les revendications ou de l’authentification intégrée de Windows. Du point de vue de l’utilisateur, tous fonctionnent. Du point de vue des professionnels de l’informatique, ces services connectés peuvent être gérés en toute simplicité.
Cet article s'inscrit dans la Guide de sécurité Office 2013. Utilisez cette feuille de route comme point de départ pour accéder à des articles, téléchargements, affiches et vidéos qui vous aideront à évaluer la sécurité d'Office 2013. Vous êtes à la recherche d'informations de sécurité relatives à des applications Office 2013 ? Vous trouverez ces informations en recherchant « sécurité 2013 » sur Office.com. |
Authentification et identité dans Office 2013
La protection commence par l’authentification et l’identité. Dans cette version, Office apporte une évolution fondamentale : l’identité et l’authentification ne sont désormais plus centrées sur l’ordinateur, mais sont centrées sur l’utilisateur. Ce changement autorise une itinérance transparente des utilisateurs, qui peuvent ainsi accéder à leur contenu, ressources, dernières listes utilisées, paramètres, liens vers les communautés et personnalisation en passant d’un ordinateur de bureau à une tablette, un smartphone ou un ordinateur partagé ou public. Pour les administrateurs informatiques, les pistes d’audit et la conformité des utilisateurs sont également séparées par l’identité.
Dans ce nouvel environnement, les utilisateurs se connectent à Office 365 en utilisant l’une des identités suivantes :
Leur ID compte professionnel ou scolaire géré par Microsoft : pour une utilisation professionnelle d’Office 365, où les ID utilisateur hébergés par Microsoft pour les entreprises et les organisations de plus petite taille sont stockés dans le cloud. Ce scénario prend aussi en charge les ID utilisateur liés et l’authentification unique.
—ou—
Leur ID utilisateur fédéré détenu par l’organisation : pour une utilisation professionnelle d’Office 365, où les ID utilisateur d’entreprise sont stockés localement.
Leur compte Microsoft : en règle générale, les utilisateurs utilisent cette identité pour se connecter à Office 365 à des fins non professionnelles. Les utilisateurs peuvent avoir plusieurs Windows Live ID liés et se connecter une fois, s’authentifier et basculer d’un compte Microsoft à un autre dans le cadre d’une même session. Ils n’ont pas besoin de se réauthentifier.
L’administrateur informatique peut également configurer des utilisateur afin qu’ils utilisent l’authentification multifacteur pour Office 365. Cette dernière renforce la sécurité des utilisateurs par rapport à un simple mot de passe. Avec l’authentification multifacteur pour Office 365, les utilisateurs doivent accuser réception d’un appel téléphonique, d’un message texte ou d’une notification d’application sur leur smartphone après avoir entré correctement leur mot de passe. Ils ne peuvent se connecter qu’une fois ce deuxième facteur d’authentification satisfait. Pour connaître les étapes de configuration, consultez la page relative à la configuration de l’authentification multifacteur pour Office 365.
Du point de vue des administrateurs informatiques, Active Directory est au cœur de ce nouveau paradigme. Les administrateurs informatiques peuvent effectuer les tâches suivantes :
contrôler les stratégies de mot de passe utilisateur au niveau des périphériques et des services ;
utiliser des stratégies de groupe pour configurer l'environnement d'exploitation ;
gérer avec Forefront Identity Manager (FIM) ou les services AD FS (Active Directory Federation Services).
Le cloud offre les possibilités suivantes :
Les comptes d'utilisateur peuvent être gérés dans le cloud par l'intermédiaire d'un portail web : la configuration est simple. Vous pouvez approvisionner les utilisateurs manuellement pour une plus grande maîtrise. Aucun serveur n'est nécessaire. Microsoft gère tout à votre place.
Les annuaires locaux sont synchronisés par Active Directory sur le portail web : l'approvisionnement peut être automatisé et coexister avec les comptes gérés dans le cloud.
Les utilisateurs disposent d’une fonctionnalité d’authentification unique grâce aux services AD FS : l’approvisionnement peut être automatisé et l’authentification multifacteur est prise en charge.
Comme le montre la figure suivante, en tant qu’administrateur professionnel de l’informatique, vous êtes en charge des opérations. Si vous travaillez dans une petite entreprise, vous pouvez utiliser les services d’identité dans Microsoft Azure pour créer, gérer et authentifier vos utilisateurs. Les comptes d’utilisateur peuvent être gérés dans le cloud par l’intermédiaire d’un portail web et de Azure Active Directory dans le cloud Microsoft. Aucun serveur n’est nécessaire. Microsoft gère tout à votre place. Si l’identité et l’authentification sont entièrement gérées dans le cloud sans affinité vis-à-vis du magasin Active Directory sur site, les administrateurs informatiques peuvent quand même approvisionner les ID et l’accès utilisateur aux services et supprimer les privilèges d’accès au moyen du portail ou des cmdlets PowerShell.
À l’étape 1, les professionnels de l’informatique se connectent au Centre d’administration Office 365 d’accès web dans le cloud Microsoft. Ils demandent de nouveaux ID d’organisation ou gèrent ceux qui existent déjà.
À l’étape 2, ces demandes sont transmises à Azure AD.
À l’étape 3, dans le cas d’une demande de modification, la modification est effectuée et répercutée dans le Centre d’administration Office 365. Dans le cas d’une demande de nouvel ID, une demande est émise vers la plateforme d’approvisionnement d’ID.
À l’étape 4, les nouveaux ID et les ID existants modifiés sont répercutés dans le Centre d’administration Office 365.
Identité et authentification Office 365 entièrement gérées dans le cloud, sans interaction locale d’Active Directory.
Dans la figure suivante, une fois configurés dans le Centre d’administration Office 365 du cloud Microsoft, les utilisateurs peuvent se connecter à partir de n’importe quel appareil. En outre, Office 365 ProPlus peut être installé sur cinq de leurs appareils.
Une fois les utilisateurs approvisionnés (voir figure précédente), à l’étape 1, ils se connectent à Office avec l’une des identités suivantes :
Leur compte professionnel ou scolaire (par exemple, fabrice@contoso.onmicrosoft.com ou fabrice@contoso.com) ;
Leur compte Microsoft personnel (par exemple, alexisf@outlook.com).
À l’étape 2, Microsoft détermine l’emplacement d’authentification souhaité et les fichiers et paramètres Office que les utilisateurs comptent utiliser en fonction de l’identité choisie. Cette identité est associée à une instance Azure AD, et l’identité de courrier électronique et le mot de passe associé des utilisateurs sont transmis au serveur Azure AD approprié en vue de l’authentification.
À l’étape 3, la demande est testée, puis autorisée. Les applications Office sont diffusées vers l’appareil et prêtes à être utilisées. Les documents OneDrive Entreprise enregistrés associés à l’identité sont disponibles pour affichage, modification et enregistrement, localement sur l’appareil ou dans OneDrive Entreprise.
Approvisionnement des identités assuré par la synchronisation d’annuaires Azure. Il s’agit d’une authentification gérée dans le cloud.
La figure suivante montre un scénario faisant intervenir un déploiement hybride, à la fois sur site et dans le cloud. L’outil de synchronisation Azure AD du cloud Microsoft permet de maintenir la synchronisation entre les identités des utilisateurs de l’entreprise sur site et dans le cloud.
À l’étape 1, installez l’outil de synchronisation Azure AD. Cet outil permet d’appliquer dans Azure AD les dernières modifications apportées à l’annuaire local.
Aux étapes 2 et 3, créez des utilisateurs dans votre instance Active Directory sur site. L’outil de synchronisation Azure AD recherchera régulièrement sur votre serveur Active Directory sur site les nouvelles identités créées. Il approvisionne ensuite ces identités dans Azure AD, relie les identités sur site et dans le cloud les unes aux autres, et vous les présente par l’intermédiaire du Centre d’administration Office 365.
Aux étapes 4 et 5, les modifications apportées à l’identité dans l’instance Active Directory sur site sont synchronisées dans l’instance Azure AD et mises à votre disposition par l’intermédiaire du Centre d’administration Office 365.
Aux étapes 6 et 7, si des utilisateurs fédérés figurent parmi vos utilisateurs, ceux-ci se connectent à vos services AD FS. Ces derniers génèrent un jeton de sécurité qui est transmis à Azure AD. Le jeton est vérifié et validé, puis les utilisateurs sont autorisés à utiliser Office 365.
Approvisionnement des identités assuré par la synchronisation d’annuaire Azure, authentification gérée au niveau d’Active Directory Federation Server 2.0 et du cloud.
Dans l'expérience utilisateur, l'identité est exposée lors de la connexion de l'utilisateur.
L’interface utilisateur cliente : au début de chaque session, l’utilisateur peut choisir de se connecter à son cloud personnel avec son compte Microsoft, à son serveur d’entreprise local ou à un cloud géré par Microsoft pour des services (par exemple, Office 365) et pour ses documents, photos ou d’autres données.
Si l’utilisateur choisit de se connecter avec sa ID Microsoft, il utilise son compte Microsoft (appelé auparavant Passport ou Windows Live ID). Il peut aussi choisir de se connecter avec l’ID utilisateur dont il se sert pour accéder à Office 365.
Après quoi, une fois connecté, l’utilisateur est libre de changer d’identité à tout moment dans le mode Backstage de n’importe quelle application Office.
L’infrastructure cliente : en coulisse, les API d’authentification clientes permettent aux utilisateurs de se connecter et de se déconnecter dans le but de changer d’identité utilisateur. D’autres API assurent le suivi des paramètres d’itinérance (préférences et derniers documents utilisés) et des services accessibles à chaque identité.
Autres services d’identité dans le cloud : les utilisateurs sont automatiquement connectés à ces services natifs :
OneDrive, pour une authentification de compte Microsoft ou SharePoint Online pour une identité d’entreprise ;
itinérance des derniers fichiers utilisés et des paramètres ;
personnalisation ;
Activités de compte Microsoft
Les utilisateurs peuvent aussi se connecter à des services en nuage tiers après s’être connectés avec un compte Microsoft. Par exemple, s’ils se connectent à Facebook, la connexion suit avec cette identité.
Utilisation des paramètres de stratégie de groupe pour contrôler la configuration de postes de travail
Avec plus de 4 000 objets de contrôle de stratégie de groupe à votre disposition, vous pouvez utiliser la stratégie de groupe pour forcer des paramètres utilisateur pour Office. Autrement dit, vous pouvez créer pour vos utilisateurs toute une palette de configurations, allant de la plus légère à la plus restrictive en matière de gestion. Vos paramètres de stratégie de groupe ont toujours la priorité par rapport aux paramètres de l’Outil de personnalisation Office (OPO). Vous pouvez aussi utiliser les paramètres de stratégie de groupe pour désactiver certains formats de fichiers dont la sécurité n’est pas assurée sur le serveur. Voir la rubrique Configurer la sécurité en utilisant OPO ou la stratégie de groupe pour Office 2013 pour plus d’informations.
Un mot sur les centres de données Microsoft
Le programme Microsoft Data Center Security est axé sur les risques et il est multidimensionnel. Il prend en compte les personnes, les processus et la technologie. Le programme de confidentialité vise à s’assurer que des pratiques globales standard de haut niveau en matière de confidentialité sont respectées pour le traitement et le transfert de données. De même, les centres de données Microsoft sont physiquement sécurisés. L’ensemble des 65 000 mètres carrés et des dizaines de milliers de serveurs sont surveillés 24 heures sur 24, 7 jours sur 7. En cas de panne électrique, l’équivalent de plusieurs jours d’électricité auxiliaire est à disposition. Ces centres de données sont géographiquement redondants et situés en Amérique du Nord, Europe et Asie.
Office 365 n’analyse jamais vos messages électroniques ou vos documents pour établir des analyses, explorer les données, améliorer nos propres services ou en faire la publicité. Vous ou votre société avez toujours la maîtrise de vos données et pouvez les supprimer à tout moment de nos serveurs de centre de données.
Office 365 est conforme aux principales normes de l'industrie essentielles à l'entreprise, à savoir :
Certification ISO 27001 : Office 365 est conforme ou dépasse l'ensemble rigoureux de contrôles physiques, logiques, de processus et de gestion établis par la norme ISO/TEC 27001:2005.
Clauses types de l'UE : Office 365 est conforme ou en mesure de satisfaire aux clauses contractuelles standard voisines des clauses types de l'UE et au cadre des principes de la sphère de sécurité de l'UE.
Loi américaine HIPAA - Contrat de partenaire commercial : Office 365 est en mesure de satisfaire aux exigences de la loi américaine HIPAA avec tous les clients. Cette loi régit l'utilisation, la divulgation et la protection d'informations de santé protégées.
Catalogues et extensions web
Office 2013 s’accompagne d’un nouveau modèle d’extensibilité pour les clients Office qui permet aux développeurs web de créer des applications pour Office, des extensions web qui exploitent les possibilités du web pour étendre les clients Office. Une application pour Office est une région au sein d’une application Office qui contient une page web capable d’interagir avec le document pour enrichir le contenu et fournir de nouveaux types de contenu interactif et de nouvelles fonctionnalités. Les utilisateurs peuvent se procurer des applications pour Office auprès du nouvel Office Marketplace ou dans un catalogue privé sous la forme d’applications autonomes ou de sous-composants d’une solution de modèle de document ou encore d’une application SharePoint.
Dans le Centre de gestion de la confidentialité, sous Catalogues d'applications approuvés, vous pouvez contrôler applications pour Office, et notamment effectuer les actions suivantes :
désactiver toutes les applications ;
désactiver les applications de l'Office Store uniquement ;
ajouter ou supprimer des catalogues approuvés de tableau Catalogues approuvés ;
réinitialiser le mot de passe d'un document avec une clé secrète et le nouvel outil DocRecrypt
Office 2013 propose une nouvelle fonctionnalité de clé secrète. Celle-ci permet à l’administrateur informatique d’une organisation de déchiffrer les documents protégés par mot de passe à l’aide d’une clé secrète privée. Par exemple, si un document a été chiffré à l’aide de Word, Excel ou PowerPoint et que le propriétaire d’origine du document a oublié le mot de passe ou quitté l’organisation, l’administrateur informatique peut récupérer les données en utilisant la clé secrète privée.
La fonctionnalité de clé secrète fonctionne uniquement avec les fichiers enregistrés et chiffrés en utilisant le chiffrement de dernière génération. Il s’agit du chiffrement par défaut utilisé dans Office 2010 et Office 2013. Si, pour des raisons de compatibilité, le comportement par défaut a été modifié pour utiliser le format hérité, la fonctionnalité de clé secrète n’est pas disponible. Pour en savoir plus sur cette nouvelle fonctionnalité, voir la rubrique Supprimer ou réinitialiser les mots de passe de fichier dans Office 2013.
Signatures numériques
Parmi les améliorations apportées aux signatures numériques dans Office 2013 figurent les suivantes :
prise en charge des formats de fichiers Open Document (ODF v1.2) ;
amélioration des signatures XAdES (XML Advanced Electronic Signatures).
La prise en charge des formats de fichiers ODF v1.2 permet aux personnes de signer numériquement les documents ODF dans Office 2013 à l’aide de signatures numériques invisibles. Ces documents signés numériquement ne prennent pas en charge les lignes de signature ni les tampons. De plus, Office 2013 assure la vérification des signatures numériques des documents ODF signés à partir d’autres applications mais qui sont ouverts dans Office 2013.
L’amélioration des signatures XAdES dans Office 2013 se traduit notamment par une expérience utilisateur plus aboutie lorsque vous créez une signature numérique XAdES. Les utilisateurs obtiennent davantage d’informations détaillées sur la signature.
Gestion des droits relatifs à l'information (IRM)
Office 2013 intègre un nouveau client IRM, qui est doté d’une nouvelle interface utilisateur destinée à simplifier la sélection d’identité. Il prend aussi en charge la détection automatique des services sur les serveurs RMS (Rights Management Services). Par ailleurs, Office 2013 assure une prise en charge IRM en lecture seule pour les compléments d’application web (WAC) Microsoft Office. Ces compléments peuvent afficher les documents protégés par IRM dans une bibliothèque SharePoint ou les documents protégés par IRM joints à des messages dans Outlook Web Access (OWA).
Mode protégé
Office 2013 offre un mode protégé amélioré, à savoir une technologie de « bac à sable » (sandbox), quand Office 2013 est utilisé avec le système d’exploitation Windows 2012. Office 2013 utilise le composant AppContainer de Windows 2012, qui assure une isolation de processus plus forte tout en bloquant l’accès réseau à partir du bac à sable. Le mode protégé a été inauguré dans Office 2010. Ce mode contribue à limiter les attaques portées aux ordinateurs en ouvrant les fichiers dans un environnement restreint, si bien qu’ils peuvent être examinés avant d’être ouverts pour modification dans Excel, PowerPoint ou Word.
Office 2013, pensé pour la sécurité
Chez Microsoft, la sécurité est prise en compte à chaque étape du cycle de vie du logiciel. Chaque employé qui participe à la conception d’un composant ou produit Office est appelé à suivre une formation sur la sécurité et à se tenir au fait des évolutions du secteur et des menaces. Lors de la phase de conception d’un composant ou produit, l’équipe prend en compte la sécurité et la protection des données utilisateur et réfléchit à la façon de réduire les menaces qui pèsent sur elles au moyen du chiffrement, de l’authentification ou d’autres méthodes. Leurs décisions tiennent compte de l’environnement, de l’exposition prévue ou potentielle et de la sensibilité des données. L’équipe procède à plusieurs analyses de la vulnérabilité aux attaques et crée un plan de réponse aux incidents préalablement au lancement d’un produit Office.
Microsoft ne fait pas uniquement confiance à ses employés pour assurer la sécurité des données utilisateur. Des outils et des tests d'assurance qualité automatisés sont également utilisés. Ceux-ci appartiennent à trois catégories principales :
Tests fonctionnels : chaque partie de l’interface utilisateur est vérifiée pour s’assurer que l’entrée, la sortie et l’action utilisateur sont conformes au résultat attendu et annoncé.
Tests à données aléatoires (« fuzzing ») : des volumes importants de données aléatoires ou imprévues sont injectés dans le logiciel en vue de détecter les problèmes de sécurité éventuels. Les tests à données aléatoires ont joué un rôle important dans la conception de la version Office 2007, tout comme dans cette dernière version.
Pour les applications web : des outils d’analyse dynamique ou web sont utilisés pour identifier les bogues de sécurité potentiels comme l’exécution de script inter-site (XSS) ou l’attaque par injection de code SQL.
Les tests ne s'arrêtent jamais. Le Centre de réponse aux problèmes de sécurité Microsoft (MSRC) est chargé de traiter les problèmes de sécurité non détectés après le lancement d'un produit. Cette équipe peut se mobiliser rapidement et fournir des correctifs rapides aux clients.
Bref examen des progrès de sécurité réalisés par Office au fil du temps
Les contrôles de sécurité inaugurés dans Office XP, Office 2003, Office 2007 et Office 2010 ont contribué à réduire les attaques, à améliorer l’expérience utilisateur, à renforcer et limiter la surface d’attaque et à permettre aux administrateurs informatiques de mettre plus facilement sur pied une défense robuste contre les menaces tout en préservant la productivité des utilisateurs. Voici comment :
L’introduction des fonctionnalités suivantes a atténué les attaques à l’encontre d’Office :
Mode protégé
Protection du flux de documents
Gestion des correctifs
Agilité du chiffrement
Les fonctionnalités suivantes ont amélioré l'expérience utilisateur :
Centre de gestion de la confidentialité et barre de messages, emplacements approuvés, éditeurs approuvés et décisions d'approbation difficiles
Invites de sécurité pouvant être actionnées
Améliorations de la fonctionnalité Chiffrer avec mot de passe
Inspecteur de document
Prise en charge des formats de fichiers XML
Office a renforcé la surface d’attaque via les fonctionnalités suivantes :
Prise en charge de la prévention de l'exécution des données
Application de la stratégie de groupe
Prise en charge de l'horodatage approuvé pour les signatures numériques
Contrôle et mise en œuvre de la complexité des mots de passe liés aux domaines
Améliorations du renforcement du chiffrement
Prise en charge de CryptoAPI
Office a réduit la surface d’attaque via les fonctionnalités suivantes :
Validation de fichier Office
Paramètres de blocage de fichiers étendus
Sécurité des contrôles ActiveX
« Bit d'arrêt » ActiveX
Vérification de l'intégrité des fichiers chiffrés
Niveaux de sécurité des macros
Informations supplémentaires sur le « file fuzzing »
La technique du « file fuzzing » est employée pour identifier les vulnérabilités inconnues dans divers formats de fichiers. L’équipe Office a analysé des millions de fichiers des millions de fois et détecté puis résolu des centaines de vulnérabilités.
Informations supplémentaires sur la prévention de l’exécution des données
Cette technologie matérielle et logicielle, qui a été intégrée à Windows et étendue à toutes les applications Office à partir d’Office 2010, permet d’identifier les fichiers qui tentent d’exécuter du code dans la mémoire réservée. Cette protection est toujours activée pour les versions 64 bits et est configurable via les paramètres de stratégie de groupe dans les versions 32 bits. Si du code non autorisé est détecté, l’application concernée se ferme automatiquement.
Informations supplémentaires sur le Mode protégé
Le Mode protégé, qui permet un affichage sécurisé des fichiers suspects, a été inauguré dans Office 2010. Désormais, grâce au composant AppContainer de Windows 2012, qui n'est pas accessible en réseau, l'isolation de processus progresse encore en efficacité.
Voir aussi
Guide de sécurité Office 2013
Vue d'ensemble de l'identité, de l'authentification et de l'autorisation dans Office 2013
Comparer les fonctionnalités de sécurité dans Office 365 et Office 2013 SKU
Planification de la Gestion des droits relatifs à l'information (IRM) dans Office 2013
Planification des paramètres de signature numérique pour Office 2013