Partager via


Protections et les risques de chiffrement

Microsoft 365 suit une infrastructure de contrôle et de conformité qui se concentre sur les risques pour le service et les données client. Le service implémente un large ensemble de technologies et de méthodes basées sur des processus, appelées contrôles, pour atténuer ces risques. L’identification, l’évaluation et l’atténuation des risques par le biais de contrôles sont un processus continu.

L’implémentation de contrôles dans les couches de nos services cloud, telles que les installations, le réseau, les serveurs, les applications, les utilisateurs (tels que les administrateurs Microsoft) et les données, forme une stratégie de défense en profondeur. La clé de cette stratégie est que de nombreux contrôles différents sont implémentés dans différentes couches pour vous protéger contre les scénarios de risque identiques ou similaires. Cette approche multicouche fournit une protection de sécurité en cas de défaillance d’un contrôle.

Certains scénarios à risque et les technologies de chiffrement actuellement disponibles qui les atténuent sont répertoriés dans ce tableau. Dans de nombreux cas, ces scénarios sont également atténués par d’autres contrôles implémentés dans Microsoft 365.

Technologie de chiffrement Services Gestion des clés Scénario de risque Valeur
BitLocker Exchange et SharePoint Microsoft Les disques ou les serveurs sont volés ou recyclés de manière incorrecte. BitLocker offre une approche de sécurité automatique pour vous protéger contre la perte de données due au vol ou au recyclage incorrect de matériel (serveur/disque).
Chiffrement de service SharePoint et OneDrive ; Échanger Microsoft Un pirate informatique interne ou externe tente d’accéder à des fichiers/données individuels en tant qu’objet blob. Les données chiffrées ne peuvent pas être déchiffrées sans accès aux clés. Permet d’atténuer le risque qu’un pirate informatique accède aux données.
Clé client SharePoint, OneDrive et Exchange Client N/A (Cette fonctionnalité est conçue comme une fonctionnalité de conformité, et non comme une atténuation des risques.) Aide les clients à respecter la réglementation interne et les obligations de conformité, et la possibilité de quitter le service et de révoquer l’accès de Microsoft aux données
Tls (Transport Layer Security) entre Microsoft 365 et les clients Exchange, SharePoint, OneDrive, Teams et Viva Engage Microsoft, Client Attaque de l’intercepteur ou autre pour appuyer sur le flux de données entre Microsoft 365 et les ordinateurs clients via Internet. Cette implémentation apporte de la valeur à Microsoft et aux clients et garantit l’intégrité des données à mesure qu’elles circulent entre Microsoft 365 et le client.
TLS entre les centres de données Microsoft Exchange, SharePoint et OneDrive Microsoft Attaque de l’intercepteur ou autre pour exploiter le flux de données client entre les serveurs Microsoft 365 situés dans différents centres de données Microsoft. Cette implémentation est une autre méthode de protection des données contre les attaques entre les centres de données Microsoft.
Azure Rights Management (Azure RMS) (inclus dans Microsoft 365 ou Azure Information Protection) Exchange, SharePoint et OneDrive Client Les données tombent entre les mains d’une personne qui ne doit pas avoir accès aux données. Azure Information Protection utilise Azure RMS, qui fournit de la valeur aux clients en utilisant des stratégies de chiffrement, d’identité et d’autorisation pour sécuriser les fichiers et les e-mails sur plusieurs appareils. Azure RMS fournit des options de configuration où tous les e-mails provenant de Microsoft 365 qui correspondent à certains critères (par exemple, tous les e-mails à une certaine adresse) peuvent être automatiquement chiffrés avant d’être envoyés à un autre destinataire.
S/MIME Exchange Client Une personne qui n’est pas le destinataire prévu a obtenu un e-mail. S/MIME permet de s’assurer que seul le destinataire prévu peut déchiffrer un e-mail chiffré.
Chiffrement des messages Microsoft Purview Exchange, SharePoint Client Une personne qui n’est pas le destinataire prévu a obtenu un e-mail et ses pièces jointes protégées. Le chiffrement des messages vous permet de configurer votre locataire afin que les e-mails provenant de Microsoft 365 qui correspondent à certains critères (par exemple, tous les e-mails à une certaine adresse) soient automatiquement chiffrés avant d’être envoyés.
PROTOCOLE TLS SMTP (Simple Mail Transfer Protocol) avec des organization partenaires Exchange Client Email est intercepté via une attaque de l’intercepteur ou une autre attaque en transit d’un locataire Microsoft 365 vers un partenaire organization. Vous permet d’envoyer et de recevoir tous les e-mails entre votre client Microsoft 365 et les organization de courrier de votre partenaire à l’intérieur d’un canal SMTP chiffré.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Technologies de chiffrement disponibles dans les environnements multilocataires

Technologie de chiffrement Implémenté par Algorithme et force d’échange de clés Gestion des clés* Normes fiPS (Federal Information Processing Standards) 140-2 validées
BitLocker Exchange Advanced Encryption Standard (AES) 256 bits La clé externe AES est stockée dans un coffre secret et dans le registre du serveur Exchange. Le coffre secret est un dépôt sécurisé qui nécessite une élévation et des approbations de haut niveau pour y accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. Oui
SharePoint AES 256 bits La clé externe AES est stockée dans un coffre secret. Le coffre secret est un dépôt sécurisé qui nécessite une élévation et des approbations de haut niveau pour y accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. Oui
Skype Entreprise AES 256 bits La clé externe AES est stockée dans un coffre secret. Le coffre secret est un dépôt sécurisé qui nécessite une élévation et des approbations de haut niveau pour y accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. Oui
Chiffrement de service SharePoint AES 256 bits Les clés utilisées pour chiffrer les objets blob sont stockées dans la base de données de contenu SharePoint. La base de données de contenu SharePoint est protégée par des contrôles d’accès à la base de données et un chiffrement au repos. Le chiffrement est effectué à l’aide du chiffrement transparent des données (TDE) dans Azure SQL Database. Ces secrets sont au niveau du service pour SharePoint, et non au niveau du locataire. Ces secrets (parfois appelés clés master) sont stockés dans un dépôt sécurisé distinct appelé magasin de clés. TDE assure la sécurité au repos de la base de données active et des sauvegardes de base de données et des journaux des transactions. Lorsque les clients fournissent la clé facultative, la clé est stockée dans Azure Key Vault, et le service utilise la clé pour chiffrer une clé de locataire, qui est utilisée pour chiffrer une clé de site, qui est ensuite utilisée pour chiffrer les clés au niveau du fichier. Essentiellement, une nouvelle hiérarchie de clés est introduite lorsque le client fournit une clé. Oui
Skype Entreprise AES 256 bits Chaque élément de données est chiffré à l’aide d’une clé de 256 bits générée de manière aléatoire différente. La clé de chiffrement est stockée dans un fichier XML de métadonnées correspondant, qui est chiffré par une clé de master par conférence. La clé master est également générée de manière aléatoire une fois par conférence. Oui
Exchange AES 256 bits Chaque boîte aux lettres est chiffrée à l’aide d’une stratégie de chiffrement des données qui utilise des clés de chiffrement contrôlées par Microsoft ou par le client (lorsque la clé client est utilisée). Oui
TLS entre Microsoft 365 et les clients/partenaires Exchange TLS opportuniste prenant en charge plusieurs suites de chiffrement Le certificat TLS pour Exchange (outlook.office.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root.

Le certificat racine TLS pour Exchange est un certificat SHA1RSA 2048 bits émis par Baltimore CyberTrust Root.
Oui, quand TLS 1.2 avec force de chiffrement 256 bits est utilisé
SharePoint TLS 1.2 avec AES 256

Chiffrement de données dans OneDrive et SharePoint
Le certificat TLS pour SharePoint (*.sharepoint.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root.

Le certificat racine TLS pour SharePoint est un certificat SHA1RSA 2048 bits émis par Baltimore CyberTrust Root.
Oui
Microsoft Teams TLS 1.2 avec AES 256

Forum aux questions sur Microsoft Teams – Aide Administration
Le certificat TLS pour Microsoft Teams (teams.microsoft.com, edge.skype.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root.

Le certificat racine TLS pour Microsoft Teams est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root.
Oui
TLS entre les centres de données Microsoft Tous les services Microsoft 365 TLS 1.2 avec AES 256

Protocole SRTP (Secure Real-Time Transport Protocol)
Microsoft utilise une autorité de certification gérée et déployée en interne pour les communications de serveur à serveur entre les centres de données Microsoft. Oui
Azure Rights Management (inclus dans Microsoft 365 ou Azure Information Protection) Exchange Prend en charge le mode de chiffrement 2, une implémentation de chiffrement RMS mise à jour et améliorée. Il prend en charge RSA 2048 pour la signature et le chiffrement, et SHA-256 pour le hachage dans la signature. Géré par Microsoft. Oui
SharePoint Prend en charge le mode de chiffrement 2, une implémentation de chiffrement RMS mise à jour et améliorée. Il prend en charge RSA 2048 pour la signature et le chiffrement, et SHA-256 pour la signature. Géré par Microsoft, qui est le paramètre par défaut ; ou

Géré par le client, qui est une alternative aux clés gérées par Microsoft. Les organisations qui disposent d’un abonnement Azure géré par l’informatique peuvent utiliser byOK (Apportez votre propre clé) et journaliser son utilisation sans frais supplémentaires. Pour plus d’informations, consultez Implémentation d’apporter votre propre clé. Dans cette configuration, les modules de sécurité matériels nCipher (HSM) sont utilisés pour protéger vos clés.
Oui
S/MIME Exchange Syntaxe de message de chiffrement Standard 1.5 (Standard de chiffrement à clé publique (PKCS) #7) Dépend de l’infrastructure à clé publique gérée par le client déployée. Le client gère les clés et Microsoft n’a jamais accès aux clés privées utilisées pour la signature et le déchiffrement. Oui, lorsqu’il est configuré pour chiffrer les messages sortants avec 3DES ou AES256
Chiffrement des messages Microsoft Purview Exchange Identique à Azure RMS (Mode de chiffrement 2 - RSA 2048 pour la signature et le chiffrement, et SHA-256 pour la signature) Utilise Azure Information Protection comme infrastructure de chiffrement. La méthode de chiffrement utilisée dépend de l’endroit où vous obtenez les clés RMS servant à chiffrer et déchiffrer les messages. Oui
SMTP TLS avec des organization partenaires Exchange TLS 1.2 avec AES 256 Le certificat TLS pour Exchange (outlook.office.com) est un certificat SHA-256 2048 bits avec chiffrement RSA émis par DigiCert Services cloud CA-1.

Le certificat racine TLS pour Exchange est un certificat SHA-1 2048 bits avec chiffrement RSA émis par l’autorité de certification racine GlobalSign – R1.

Pour des raisons de sécurité, nos certificats changent de temps à autre.
Oui, quand TLS 1.2 avec force de chiffrement 256 bits est utilisé

*Les certificats TLS référencés dans ce tableau sont destinés aux centres de données américains ; Les centres de données non américains utilisent également des certificats SHA256RSA 2048 bits.

Technologies de chiffrement disponibles dans les environnements de la communauté cloud du secteur public

Technologie de chiffrement Implémenté par Algorithme et force d’échange de clés Gestion des clés* FIPS 140-2 Validé
BitLocker Exchange AES 256 bits La clé externe AES est stockée dans un coffre secret et dans le registre du serveur Exchange. Le coffre secret est un dépôt sécurisé qui nécessite une élévation et des approbations de haut niveau pour y accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. Oui
SharePoint AES 256 bits La clé externe AES est stockée dans un coffre secret. Le coffre secret est un dépôt sécurisé qui nécessite une élévation et des approbations de haut niveau pour y accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. Oui
Skype Entreprise AES 256 bits La clé externe AES est stockée dans un coffre secret. Le coffre secret est un dépôt sécurisé qui nécessite une élévation et des approbations de haut niveau pour y accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. Oui
Chiffrement de service SharePoint AES 256 bits Les clés utilisées pour chiffrer les objets blob sont stockées dans la base de données de contenu SharePoint. Les bases de données de contenu SharePoint sont protégées par des contrôles d’accès aux bases de données et un chiffrement au repos. Le chiffrement est effectué à l’aide de TDE dans Azure SQL Database. Ces secrets sont au niveau du service pour SharePoint, et non au niveau du locataire. Ces secrets (parfois appelés clés master) sont stockés dans un dépôt sécurisé distinct appelé magasin de clés. TDE assure la sécurité au repos de la base de données active et des sauvegardes de base de données et des journaux des transactions. Lorsque les clients fournissent la clé facultative, la clé client est stockée dans Azure Key Vault. Le service utilise la clé pour chiffrer une clé de locataire, qui est utilisée pour chiffrer une clé de site, qui est ensuite utilisée pour chiffrer les clés de niveau fichier. Essentiellement, une nouvelle hiérarchie de clés est introduite lorsque le client fournit une clé. Oui
Skype Entreprise AES 256 bits Chaque élément de données est chiffré à l’aide d’une clé de 256 bits générée de manière aléatoire différente. La clé de chiffrement est stockée dans un fichier XML de métadonnées correspondant. Une clé de master par conférence chiffre ce fichier XML. La clé master est également générée de manière aléatoire une fois par conférence. Oui
Exchange AES 256 bits Chaque boîte aux lettres est chiffrée à l’aide d’une stratégie de chiffrement des données qui utilise des clés de chiffrement contrôlées par Microsoft ou par le client (lorsque la clé client est utilisée). Oui
TLS entre Microsoft 365 et les clients/partenaires Exchange TLS opportuniste prenant en charge plusieurs suites de chiffrement Le certificat TLS pour Exchange (outlook.office.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root.

Le certificat racine TLS pour Exchange est un certificat SHA1RSA 2048 bits émis par Baltimore CyberTrust Root.
Oui, quand TLS 1.2 avec force de chiffrement 256 bits est utilisé
SharePoint TLS 1.2 avec AES 256 Le certificat TLS pour SharePoint (*.sharepoint.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root.

Le certificat racine TLS pour SharePoint est un certificat SHA1RSA 2048 bits émis par Baltimore CyberTrust Root.
Oui
Microsoft Teams Forum aux questions sur Microsoft Teams – Aide Administration Le certificat TLS pour Microsoft Teams (teams.microsoft.com ; edge.skype.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root.

Le certificat racine TLS pour Microsoft Teams est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root.
Oui
TLS entre les centres de données Microsoft Exchange, SharePoint, Skype Entreprise TLS 1.2 avec AES 256 Microsoft utilise une autorité de certification gérée et déployée en interne pour les communications de serveur à serveur entre les centres de données Microsoft. Oui
Protocole SRTP (Secure Real-Time Transport Protocol)
service Azure Rights Management Exchange Prend en charge le mode de chiffrement 2, une implémentation de chiffrement RMS mise à jour et améliorée. Il prend en charge RSA 2048 pour la signature et le chiffrement, et SHA-256 pour le hachage dans la signature. Géré par Microsoft. Oui
SharePoint Prend en charge le mode de chiffrement 2, une implémentation de chiffrement RMS mise à jour et améliorée. Il prend en charge RSA 2048 pour la signature et le chiffrement, et SHA-256 pour le hachage dans la signature. Géré par Microsoft, qui est le paramètre par défaut ; ou

Géré par le client (également appelé BYOK), qui est une alternative aux clés gérées par Microsoft. Les organisations qui disposent d’un abonnement Azure géré par l’informatique peuvent utiliser BYOK et journaliser son utilisation sans frais supplémentaires. Pour plus d’informations, consultez Implémentation d’apporter votre propre clé.

Dans le scénario BYOK, les HSM nCipher sont utilisés pour protéger vos clés.
Oui
S/MIME Exchange Syntaxe de message de chiffrement Standard 1.5 (PKCS #7) Dépend de l’infrastructure à clé publique déployée. Oui, lorsqu’il est configuré pour chiffrer les messages sortants avec 3DES ou AES-256.
Chiffrement de messages Office 365 Exchange Identique à Azure RMS (mode de chiffrement 2 - RSA 2048 pour la signature et le chiffrement, et SHA-256 pour le hachage dans la signature) Utilise Azure RMS comme infrastructure de chiffrement. La méthode de chiffrement utilisée dépend de l’endroit où vous obtenez les clés RMS servant à chiffrer et déchiffrer les messages.

Si vous utilisez Azure RMS pour obtenir les clés, le mode de chiffrement 2 est utilisé. Si vous utilisez Active Directory (AD) RMS pour obtenir les clés, le mode de chiffrement 1 ou 2 est utilisé. La méthode utilisée dépend de votre déploiement AD RMS local. Le mode de chiffrement 1 est le processus de chiffrement d’origine AD RMS. Il prend en charge RSA 1024 pour la signature et le chiffrement, et SHA-1 pour la signature. Toutes les versions actuelles de RMS prennent en charge ce mode, à l’exception des configurations BYOK qui utilisent des HSM.
Oui
SMTP TLS avec des organization partenaires Exchange TLS 1.2 avec AES 256 Le certificat TLS pour Exchange (outlook.office.com) est un certificat SHA-256 2048 bits avec chiffrement RSA émis par DigiCert Services cloud CA-1.

Le certificat racine TLS pour Exchange est un certificat SHA-1 2048 bits avec chiffrement RSA émis par l’autorité de certification racine GlobalSign – R1.

Pour des raisons de sécurité, nos certificats changent de temps à autre.
Oui, lorsque TLS 1.2 avec force de chiffrement 256 bits est utilisé.

*Les certificats TLS référencés dans ce tableau sont destinés aux centres de données américains ; Les centres de données non américains utilisent également des certificats SHA256RSA 2048 bits.