Protections et les risques de chiffrement
Microsoft 365 suit une infrastructure de contrôle et de conformité qui se concentre sur les risques pour le service et les données client. Le service implémente un large ensemble de technologies et de méthodes basées sur des processus, appelées contrôles, pour atténuer ces risques. L’identification, l’évaluation et l’atténuation des risques par le biais de contrôles sont un processus continu.
L’implémentation de contrôles dans les couches de nos services cloud, telles que les installations, le réseau, les serveurs, les applications, les utilisateurs (tels que les administrateurs Microsoft) et les données, forme une stratégie de défense en profondeur. La clé de cette stratégie est que de nombreux contrôles différents sont implémentés dans différentes couches pour vous protéger contre les scénarios de risque identiques ou similaires. Cette approche multicouche fournit une protection de sécurité en cas de défaillance d’un contrôle.
Certains scénarios à risque et les technologies de chiffrement actuellement disponibles qui les atténuent sont répertoriés dans ce tableau. Dans de nombreux cas, ces scénarios sont également atténués par d’autres contrôles implémentés dans Microsoft 365.
Technologie de chiffrement | Services | Gestion des clés | Scénario de risque | Valeur |
---|---|---|---|---|
BitLocker | Exchange et SharePoint | Microsoft | Les disques ou les serveurs sont volés ou recyclés de manière incorrecte. | BitLocker offre une approche de sécurité automatique pour vous protéger contre la perte de données due au vol ou au recyclage incorrect de matériel (serveur/disque). |
Chiffrement de service | SharePoint et OneDrive ; Échanger | Microsoft | Un pirate informatique interne ou externe tente d’accéder à des fichiers/données individuels en tant qu’objet blob. | Les données chiffrées ne peuvent pas être déchiffrées sans accès aux clés. Permet d’atténuer le risque qu’un pirate informatique accède aux données. |
Clé client | SharePoint, OneDrive et Exchange | Client | N/A (Cette fonctionnalité est conçue comme une fonctionnalité de conformité, et non comme une atténuation des risques.) | Aide les clients à respecter la réglementation interne et les obligations de conformité, et la possibilité de quitter le service et de révoquer l’accès de Microsoft aux données |
Tls (Transport Layer Security) entre Microsoft 365 et les clients | Exchange, SharePoint, OneDrive, Teams et Viva Engage | Microsoft, Client | Attaque de l’intercepteur ou autre pour appuyer sur le flux de données entre Microsoft 365 et les ordinateurs clients via Internet. | Cette implémentation apporte de la valeur à Microsoft et aux clients et garantit l’intégrité des données à mesure qu’elles circulent entre Microsoft 365 et le client. |
TLS entre les centres de données Microsoft | Exchange, SharePoint et OneDrive | Microsoft | Attaque de l’intercepteur ou autre pour exploiter le flux de données client entre les serveurs Microsoft 365 situés dans différents centres de données Microsoft. | Cette implémentation est une autre méthode de protection des données contre les attaques entre les centres de données Microsoft. |
Azure Rights Management (Azure RMS) (inclus dans Microsoft 365 ou Azure Information Protection) | Exchange, SharePoint et OneDrive | Client | Les données tombent entre les mains d’une personne qui ne doit pas avoir accès aux données. | Azure Information Protection utilise Azure RMS, qui fournit de la valeur aux clients en utilisant des stratégies de chiffrement, d’identité et d’autorisation pour sécuriser les fichiers et les e-mails sur plusieurs appareils. Azure RMS fournit des options de configuration où tous les e-mails provenant de Microsoft 365 qui correspondent à certains critères (par exemple, tous les e-mails à une certaine adresse) peuvent être automatiquement chiffrés avant d’être envoyés à un autre destinataire. |
S/MIME | Exchange | Client | Une personne qui n’est pas le destinataire prévu a obtenu un e-mail. | S/MIME permet de s’assurer que seul le destinataire prévu peut déchiffrer un e-mail chiffré. |
Chiffrement des messages Microsoft Purview | Exchange, SharePoint | Client | Une personne qui n’est pas le destinataire prévu a obtenu un e-mail et ses pièces jointes protégées. | Le chiffrement des messages vous permet de configurer votre locataire afin que les e-mails provenant de Microsoft 365 qui correspondent à certains critères (par exemple, tous les e-mails à une certaine adresse) soient automatiquement chiffrés avant d’être envoyés. |
PROTOCOLE TLS SMTP (Simple Mail Transfer Protocol) avec des organization partenaires | Exchange | Client | Email est intercepté via une attaque de l’intercepteur ou une autre attaque en transit d’un locataire Microsoft 365 vers un partenaire organization. | Vous permet d’envoyer et de recevoir tous les e-mails entre votre client Microsoft 365 et les organization de courrier de votre partenaire à l’intérieur d’un canal SMTP chiffré. |
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Technologies de chiffrement disponibles dans les environnements multilocataires
Technologie de chiffrement | Implémenté par | Algorithme et force d’échange de clés | Gestion des clés* | Normes fiPS (Federal Information Processing Standards) 140-2 validées |
---|---|---|---|---|
BitLocker | Exchange | Advanced Encryption Standard (AES) 256 bits | La clé externe AES est stockée dans un coffre secret et dans le registre du serveur Exchange. Le coffre secret est un dépôt sécurisé qui nécessite une élévation et des approbations de haut niveau pour y accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. | Oui |
SharePoint | AES 256 bits | La clé externe AES est stockée dans un coffre secret. Le coffre secret est un dépôt sécurisé qui nécessite une élévation et des approbations de haut niveau pour y accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. | Oui | |
Skype Entreprise | AES 256 bits | La clé externe AES est stockée dans un coffre secret. Le coffre secret est un dépôt sécurisé qui nécessite une élévation et des approbations de haut niveau pour y accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. | Oui | |
Chiffrement de service | SharePoint | AES 256 bits | Les clés utilisées pour chiffrer les objets blob sont stockées dans la base de données de contenu SharePoint. La base de données de contenu SharePoint est protégée par des contrôles d’accès à la base de données et un chiffrement au repos. Le chiffrement est effectué à l’aide du chiffrement transparent des données (TDE) dans Azure SQL Database. Ces secrets sont au niveau du service pour SharePoint, et non au niveau du locataire. Ces secrets (parfois appelés clés master) sont stockés dans un dépôt sécurisé distinct appelé magasin de clés. TDE assure la sécurité au repos de la base de données active et des sauvegardes de base de données et des journaux des transactions. Lorsque les clients fournissent la clé facultative, la clé est stockée dans Azure Key Vault, et le service utilise la clé pour chiffrer une clé de locataire, qui est utilisée pour chiffrer une clé de site, qui est ensuite utilisée pour chiffrer les clés au niveau du fichier. Essentiellement, une nouvelle hiérarchie de clés est introduite lorsque le client fournit une clé. | Oui |
Skype Entreprise | AES 256 bits | Chaque élément de données est chiffré à l’aide d’une clé de 256 bits générée de manière aléatoire différente. La clé de chiffrement est stockée dans un fichier XML de métadonnées correspondant, qui est chiffré par une clé de master par conférence. La clé master est également générée de manière aléatoire une fois par conférence. | Oui | |
Exchange | AES 256 bits | Chaque boîte aux lettres est chiffrée à l’aide d’une stratégie de chiffrement des données qui utilise des clés de chiffrement contrôlées par Microsoft ou par le client (lorsque la clé client est utilisée). | Oui | |
TLS entre Microsoft 365 et les clients/partenaires | Exchange | TLS opportuniste prenant en charge plusieurs suites de chiffrement | Le certificat TLS pour Exchange (outlook.office.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour Exchange est un certificat SHA1RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui, quand TLS 1.2 avec force de chiffrement 256 bits est utilisé |
SharePoint | TLS 1.2 avec AES 256 Chiffrement de données dans OneDrive et SharePoint |
Le certificat TLS pour SharePoint (*.sharepoint.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour SharePoint est un certificat SHA1RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui | |
Microsoft Teams | TLS 1.2 avec AES 256 Forum aux questions sur Microsoft Teams – Aide Administration |
Le certificat TLS pour Microsoft Teams (teams.microsoft.com, edge.skype.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour Microsoft Teams est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui | |
TLS entre les centres de données Microsoft | Tous les services Microsoft 365 | TLS 1.2 avec AES 256 Protocole SRTP (Secure Real-Time Transport Protocol) |
Microsoft utilise une autorité de certification gérée et déployée en interne pour les communications de serveur à serveur entre les centres de données Microsoft. | Oui |
Azure Rights Management (inclus dans Microsoft 365 ou Azure Information Protection) | Exchange | Prend en charge le mode de chiffrement 2, une implémentation de chiffrement RMS mise à jour et améliorée. Il prend en charge RSA 2048 pour la signature et le chiffrement, et SHA-256 pour le hachage dans la signature. | Géré par Microsoft. | Oui |
SharePoint | Prend en charge le mode de chiffrement 2, une implémentation de chiffrement RMS mise à jour et améliorée. Il prend en charge RSA 2048 pour la signature et le chiffrement, et SHA-256 pour la signature. |
Géré par Microsoft, qui est le paramètre par défaut ; ou Géré par le client, qui est une alternative aux clés gérées par Microsoft. Les organisations qui disposent d’un abonnement Azure géré par l’informatique peuvent utiliser byOK (Apportez votre propre clé) et journaliser son utilisation sans frais supplémentaires. Pour plus d’informations, consultez Implémentation d’apporter votre propre clé. Dans cette configuration, les modules de sécurité matériels nCipher (HSM) sont utilisés pour protéger vos clés. |
Oui | |
S/MIME | Exchange | Syntaxe de message de chiffrement Standard 1.5 (Standard de chiffrement à clé publique (PKCS) #7) | Dépend de l’infrastructure à clé publique gérée par le client déployée. Le client gère les clés et Microsoft n’a jamais accès aux clés privées utilisées pour la signature et le déchiffrement. | Oui, lorsqu’il est configuré pour chiffrer les messages sortants avec 3DES ou AES256 |
Chiffrement des messages Microsoft Purview | Exchange | Identique à Azure RMS (Mode de chiffrement 2 - RSA 2048 pour la signature et le chiffrement, et SHA-256 pour la signature) | Utilise Azure Information Protection comme infrastructure de chiffrement. La méthode de chiffrement utilisée dépend de l’endroit où vous obtenez les clés RMS servant à chiffrer et déchiffrer les messages. | Oui |
SMTP TLS avec des organization partenaires | Exchange | TLS 1.2 avec AES 256 | Le certificat TLS pour Exchange (outlook.office.com) est un certificat SHA-256 2048 bits avec chiffrement RSA émis par DigiCert Services cloud CA-1. Le certificat racine TLS pour Exchange est un certificat SHA-1 2048 bits avec chiffrement RSA émis par l’autorité de certification racine GlobalSign – R1. Pour des raisons de sécurité, nos certificats changent de temps à autre. |
Oui, quand TLS 1.2 avec force de chiffrement 256 bits est utilisé |
*Les certificats TLS référencés dans ce tableau sont destinés aux centres de données américains ; Les centres de données non américains utilisent également des certificats SHA256RSA 2048 bits.
Technologies de chiffrement disponibles dans les environnements de la communauté cloud du secteur public
Technologie de chiffrement | Implémenté par | Algorithme et force d’échange de clés | Gestion des clés* | FIPS 140-2 Validé |
---|---|---|---|---|
BitLocker | Exchange | AES 256 bits | La clé externe AES est stockée dans un coffre secret et dans le registre du serveur Exchange. Le coffre secret est un dépôt sécurisé qui nécessite une élévation et des approbations de haut niveau pour y accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. | Oui |
SharePoint | AES 256 bits | La clé externe AES est stockée dans un coffre secret. Le coffre secret est un dépôt sécurisé qui nécessite une élévation et des approbations de haut niveau pour y accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. | Oui | |
Skype Entreprise | AES 256 bits | La clé externe AES est stockée dans un coffre secret. Le coffre secret est un dépôt sécurisé qui nécessite une élévation et des approbations de haut niveau pour y accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. | Oui | |
Chiffrement de service | SharePoint | AES 256 bits | Les clés utilisées pour chiffrer les objets blob sont stockées dans la base de données de contenu SharePoint. Les bases de données de contenu SharePoint sont protégées par des contrôles d’accès aux bases de données et un chiffrement au repos. Le chiffrement est effectué à l’aide de TDE dans Azure SQL Database. Ces secrets sont au niveau du service pour SharePoint, et non au niveau du locataire. Ces secrets (parfois appelés clés master) sont stockés dans un dépôt sécurisé distinct appelé magasin de clés. TDE assure la sécurité au repos de la base de données active et des sauvegardes de base de données et des journaux des transactions. Lorsque les clients fournissent la clé facultative, la clé client est stockée dans Azure Key Vault. Le service utilise la clé pour chiffrer une clé de locataire, qui est utilisée pour chiffrer une clé de site, qui est ensuite utilisée pour chiffrer les clés de niveau fichier. Essentiellement, une nouvelle hiérarchie de clés est introduite lorsque le client fournit une clé. | Oui |
Skype Entreprise | AES 256 bits | Chaque élément de données est chiffré à l’aide d’une clé de 256 bits générée de manière aléatoire différente. La clé de chiffrement est stockée dans un fichier XML de métadonnées correspondant. Une clé de master par conférence chiffre ce fichier XML. La clé master est également générée de manière aléatoire une fois par conférence. | Oui | |
Exchange | AES 256 bits | Chaque boîte aux lettres est chiffrée à l’aide d’une stratégie de chiffrement des données qui utilise des clés de chiffrement contrôlées par Microsoft ou par le client (lorsque la clé client est utilisée). | Oui | |
TLS entre Microsoft 365 et les clients/partenaires | Exchange | TLS opportuniste prenant en charge plusieurs suites de chiffrement | Le certificat TLS pour Exchange (outlook.office.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour Exchange est un certificat SHA1RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui, quand TLS 1.2 avec force de chiffrement 256 bits est utilisé |
SharePoint | TLS 1.2 avec AES 256 | Le certificat TLS pour SharePoint (*.sharepoint.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour SharePoint est un certificat SHA1RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui | |
Microsoft Teams | Forum aux questions sur Microsoft Teams – Aide Administration | Le certificat TLS pour Microsoft Teams (teams.microsoft.com ; edge.skype.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour Microsoft Teams est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui | |
TLS entre les centres de données Microsoft | Exchange, SharePoint, Skype Entreprise | TLS 1.2 avec AES 256 | Microsoft utilise une autorité de certification gérée et déployée en interne pour les communications de serveur à serveur entre les centres de données Microsoft. | Oui |
Protocole SRTP (Secure Real-Time Transport Protocol) | ||||
service Azure Rights Management | Exchange | Prend en charge le mode de chiffrement 2, une implémentation de chiffrement RMS mise à jour et améliorée. Il prend en charge RSA 2048 pour la signature et le chiffrement, et SHA-256 pour le hachage dans la signature. | Géré par Microsoft. | Oui |
SharePoint | Prend en charge le mode de chiffrement 2, une implémentation de chiffrement RMS mise à jour et améliorée. Il prend en charge RSA 2048 pour la signature et le chiffrement, et SHA-256 pour le hachage dans la signature. |
Géré par Microsoft, qui est le paramètre par défaut ; ou Géré par le client (également appelé BYOK), qui est une alternative aux clés gérées par Microsoft. Les organisations qui disposent d’un abonnement Azure géré par l’informatique peuvent utiliser BYOK et journaliser son utilisation sans frais supplémentaires. Pour plus d’informations, consultez Implémentation d’apporter votre propre clé. Dans le scénario BYOK, les HSM nCipher sont utilisés pour protéger vos clés. |
Oui | |
S/MIME | Exchange | Syntaxe de message de chiffrement Standard 1.5 (PKCS #7) | Dépend de l’infrastructure à clé publique déployée. | Oui, lorsqu’il est configuré pour chiffrer les messages sortants avec 3DES ou AES-256. |
Chiffrement de messages Office 365 | Exchange | Identique à Azure RMS (mode de chiffrement 2 - RSA 2048 pour la signature et le chiffrement, et SHA-256 pour le hachage dans la signature) | Utilise Azure RMS comme infrastructure de chiffrement. La méthode de chiffrement utilisée dépend de l’endroit où vous obtenez les clés RMS servant à chiffrer et déchiffrer les messages. Si vous utilisez Azure RMS pour obtenir les clés, le mode de chiffrement 2 est utilisé. Si vous utilisez Active Directory (AD) RMS pour obtenir les clés, le mode de chiffrement 1 ou 2 est utilisé. La méthode utilisée dépend de votre déploiement AD RMS local. Le mode de chiffrement 1 est le processus de chiffrement d’origine AD RMS. Il prend en charge RSA 1024 pour la signature et le chiffrement, et SHA-1 pour la signature. Toutes les versions actuelles de RMS prennent en charge ce mode, à l’exception des configurations BYOK qui utilisent des HSM. |
Oui |
SMTP TLS avec des organization partenaires | Exchange | TLS 1.2 avec AES 256 | Le certificat TLS pour Exchange (outlook.office.com) est un certificat SHA-256 2048 bits avec chiffrement RSA émis par DigiCert Services cloud CA-1. Le certificat racine TLS pour Exchange est un certificat SHA-1 2048 bits avec chiffrement RSA émis par l’autorité de certification racine GlobalSign – R1. Pour des raisons de sécurité, nos certificats changent de temps à autre. |
Oui, lorsque TLS 1.2 avec force de chiffrement 256 bits est utilisé. |
*Les certificats TLS référencés dans ce tableau sont destinés aux centres de données américains ; Les centres de données non américains utilisent également des certificats SHA256RSA 2048 bits.