Quelles sont les pratiques de sécurité et de confidentialité des données Microsoft Defender for Cloud Apps ?

Notes

Nous avons renommé Microsoft Cloud App Security. C’est maintenant appelé Microsoft Defender for Cloud Apps. Dans les semaines à venir, nous allons mettre à jour les captures d’écran et les instructions ici et dans les pages associées. Pour plus d’informations sur la modification, consultez cette annonce. Pour en savoir plus sur le renommage récent des services de sécurité Microsoft, consultez le blog Microsoft Ignite Security.

Notes

Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le cadre de vos obligations en vertu du Règlement général sur la protection des données. Si vous recherchez des informations générales sur le RGPD, consultez la section RGPD du portail Service Trust.

Microsoft Defender for Cloud Apps est un composant essentiel de la pile microsoft Cloud Security. Il s’agit d’une solution complète qui permet à votre organisation de tirer pleinement parti de la promesse des applications cloud. Defender pour le cloud Apps vous permet de contrôler grâce à une visibilité complète, à l’audit et aux contrôles granulaires sur vos données sensibles.

Defender pour le cloud Apps dispose d’outils qui permettent de découvrir l’informatique fantôme et d’évaluer les risques tout en vous permettant d’appliquer des stratégies et d’examiner les activités. Cela vous permet de contrôler l’accès en temps réel et d’arrêter les menaces afin que votre organisation puisse se déplacer en toute sécurité vers le cloud.

conformité des applications Defender pour le cloud

Dans un monde où des violations de données et des attaques se produisent tous les jours, il est primordial que les organisations choisissent un fournisseur CASB (Cloud Access Security Broker) qui met tout en œuvre pour protéger leurs données. Defender pour le cloud Apps, comme tous les produits et services cloud Microsoft, est conçu pour répondre aux exigences rigoureuses en matière de sécurité et de confidentialité de nos clients.

Pour aider les organisations à se conformer aux exigences nationales, régionales et spécifiques au secteur régissant la collecte et l’utilisation des données des individus, Defender pour le cloud Apps fournit un ensemble complet d’offres de conformité. Les offres de conformité incluent des certifications et des attestations.

Infrastructure et offres de conformité

Defender pour le cloud Apps répond à de nombreuses normes de conformité internationales et spécifiques à l’industrie, notamment, mais pas limitée à :

Organisation Intitulé Description
logo csa attestation. CSA STAR Attestation Azure et Intune ont obtenu la certification CSA (Cloud Security Alliance) STAR basée sur un audit indépendant.
logo csa certification. CSA STAR Certification Azure, Intune et Power BI ont obtenu la certification CSA (Cloud Security Alliance) STAR au niveau « Gold ».
logo EU model clauses. Clauses contractuelles types de l'UE Microsoft offre des clauses contractuelles standard de l'Union européenne qui fournissent des garanties concernant les transferts de données personnelles.
logo HIPAA. HIPAA/HITECH Microsoft propose des contrats & d’association d’affaires (BAA) d’assurance-santé.
logo iso 9001. ISO 9001 Microsoft est certifié pour son implémentation en matière des normes de gestion de la qualité.
logo iso 27001. ISO/IEC 27001 Microsoft est certifié pour son implémentation en matière des normes de gestion de la sécurité des informations.
logo iso 27018. ISO/IEC 27018 Microsoft a été le premier fournisseur de cloud à adhérer à ce code de conduite pour la confidentialité du cloud.
logo PCI. PCI DSS Azure est conforme aux PCI DSS (normes de sécurité des données de l'industrie des cartes de paiement) Niveau 1 version 3.1.
logo SOC. Rapports SOC 1 et SOC 2 type 2 Les services cloud Microsoft respectent les normes SOC (Service Organization Controls) en matière de sécurité opérationnelle.
logo SOC. SOC 3 Les services cloud Microsoft respectent les normes SOC (Service Organization Controls) en matière de sécurité opérationnelle.
logo g-cloud. UK G-Cloud Le Crown Commercial Service a renouvelé la classification des services cloud Microsoft à la norme Government Cloud v6.

Pour plus d’informations, accédez à Offres Microsoft relatives à la conformité.

Confidentialité

Vous êtes le propriétaire de vos données

  • Dans Defender pour le cloud Applications, vos administrateurs peuvent afficher les données personnelles identifiables stockées dans le service à partir du portail à l’aide de la barre de recherche.

  • Les administrateurs peuvent rechercher les métadonnées ou l’activité d’un utilisateur. En cliquant sur une entité, vous ouvrez Utilisateurs et comptes. La page Utilisateurs et comptes fournit des détails complets sur l’entité qui sont tirés des applications cloud connectées. Elle fournit également l’historique des activités de l’utilisateur et les alertes de sécurité associées à l’utilisateur.

  • Vous possédez vos données et vous pouvez annuler les abonnements et demander la suppression de vos données à tout moment. Si vous ne renouvelez pas votre abonnement, vos données seront supprimées selon la chronologie spécifiée dans Conditions des services en ligne.

  • Si vous choisissez de mettre fin au service, vous pouvez emporter vos données avec vous.

Defender pour le cloud Apps est le processeur de vos données

  • Defender pour le cloud Apps utilise vos données uniquement à des fins cohérentes avec la fourniture des services auxquels vous vous abonnez.

  • Si un gouvernement approche Microsoft pour accéder à vos données, Microsoft redirige la requête vers vous, le client, dans la mesure du possible. Microsoft a contesté des demandes légales qui n’étaient pas valides, ce qui a interdit la divulgation d’une demande publique pour les données client. En savoir plus sur les personnes qui peuvent accéder à vos données et dans quelles conditions.

Contrôles de la confidentialité

  • Les contrôles de confidentialité vous aident à configurer qui dans votre organisation a accès au service et à ce qu’ils peuvent accéder.

Mise à jour des données personnelles

Les données personnelles relatives aux utilisateurs sont dérivées de l’objet de l’utilisateur dans les applications SaaS utilisées. En raison de cela, toutes les modifications apportées au profil utilisateur dans ces applications sont reflétées dans Defender pour le cloud Apps.

Localisation des données

Defender pour le cloud Apps fonctionne actuellement dans des centres de données dans l’Union européenne, au Royaume-Uni et au États-Unis (chacun d’eux est « Géo »). Les données client collectées par le service sont stockées au repos comme suit (a) pour les clients dont les locataires sont approvisionnés dans l’Union européenne ou au Royaume-Uni, dans l’Union européenne ou au Royaume-Uni; (b) sinon, un centre de données dans la zone géographique le plus proche de l’emplacement où le locataire Azure Active Directory du client a été approvisionné ; ou (c) si Defender pour le cloud Apps utilise un autre service en ligne Microsoft (par exemple, Azure Active Directory ou Azure CDN ) pour traiter ces données, la géolocalisation des données sera définie par les règles de stockage des données de cet autre service en ligne.

Notes

Defender pour le cloud Apps utilise des centres de données Azure dans le monde entier pour fournir des performances optimisées via la géolocalisation. Cela signifie que la session d’un utilisateur peut être hébergée en dehors d’une région particulière, en fonction des modèles de trafic et de leur emplacement. Toutefois, pour protéger votre confidentialité, aucune donnée de session n’est stockée dans ces centres de données.

En savoir plus sur la confidentialité

Transparence

Microsoft fournit une transparence sur ses pratiques :

  • Partage avec vous où vos données sont stockées.
  • Affirmant que vos données sont utilisées uniquement pour fournir des services convenus.
  • Spécification sur la façon dont les ingénieurs Microsoft et les sous-traitants approuvés utilisent ces données pour fournir des services.

Microsoft utilise des contrôles stricts pour régir l’accès aux données client, en accordant le niveau d’accès le plus bas requis pour effectuer des tâches clés et en révoquant l’accès quand il n’est plus nécessaire.

Protection des données

Defender pour le cloud Apps applique la protection des données lors de l’inspection du contenu. Le contenu du fichier n’est pas stocké dans le centre de données Defender pour le cloud Apps. Seules les métadonnées des enregistrements de fichiers et toutes les correspondances identifiées sont stockées.

Rétention de données

Defender pour le cloud Apps conserve les données comme suit :

  • Journal d’activité : 180 jours
  • Données de découverte : 90 jours
  • Alertes : 180 jours
  • Journal de gouvernance : 120 jours

Vous pouvez en savoir plus sur les pratiques de Microsoft relatives aux données en lisant les des termes du contrat de service en ligne.

En savoir plus sur la transparence

Suppression des données personnelles

Une fois le compte d’un utilisateur supprimé d’une application cloud connectée, Defender pour le cloud Apps supprime automatiquement la copie des données dans les deux ans.

Exportation des données personnelles

Defender pour le cloud Apps vous offre la possibilité d’exporter vers CSV toutes les informations d’alerte d’utilisateur et d’alerte de sécurité.

Flux de données

Defender pour le cloud Apps vous offre la commodité d’utiliser certaines données, telles que les alertes et les activités, sans perturber votre workflow de sécurité habituel. Par exemple, SecOps peut préférer afficher les alertes dans leur produit SIEM préféré, tel que Microsoft Sentinel. Pour activer ces flux de travail, lors de l’intégration à des produits Microsoft ou tiers, Defender pour le cloud Apps expose certaines données via celles-ci.

Le tableau suivant indique les données qui sont exposées pour chaque intégration de produit :

Produits Microsoft

Produit Données exposées Configuration
Microsoft 365 Defender Alertes et activités des utilisateurs Activé automatiquement sur Microsoft 365 Defender lors de l’intégration
Microsoft Sentinel Alertes et données de découverte Activé dans Defender pour le cloud Apps et configuré dans Microsoft Sentinel
Centre de conformité Microsoft 365 Alertes pour Office 365 Flux automatique vers Centre de conformité Microsoft 365
Microsoft Defender pour le cloud Alertes pour Azure Activé par défaut dans Defender pour le cloud Apps ; peut être désactivé dans Microsoft Defender pour le cloud
API de sécurité Microsoft Graph Alertes Disponible via l’API de sécurité Microsoft Graph
Microsoft Power Automate Alertes envoyées pour déclencher un flux automatisé Configuré dans Defender pour le cloud Apps

Produits tiers

Type d'intégration Données exposées Configuration
Utilisation d’un agent SIEM Alertes et événements Activé et configuré dans Defender pour le cloud Apps
Utilisation de l’API REST Defender pour le cloud Apps Alertes et événements Activé et configuré dans Defender pour le cloud Apps
Connecteur ICAP Fichier pour l’analyse DLP Activé et configuré dans Defender pour le cloud Apps

Notes

D’autres produits peuvent ne pas appliquer les autorisations de sécurité basées sur les rôles Defender pour le cloud Apps pour contrôler qui a accès aux données. Par conséquent, avant de procéder à l’intégration avec d’autres produits, assurez-vous de bien comprendre quelles sont les données envoyées au produit que vous souhaitez utiliser et qui y ont accès.

Sécurité

Chiffrement

Microsoft utilise la technologie de chiffrement pour protéger vos données au repos dans une base de données Microsoft et lorsqu’elles transitent entre les appareils utilisateur et les centres de données Defender pour le cloud Apps. En outre, toutes les communications entre Defender pour le cloud Apps et les applications connectées sont chiffrées à l’aide du protocole HTTPS.

Notes

Defender pour le cloud Apps tire parti des protocoles TLS (Transport Layer Security) 1.2+ pour fournir un chiffrement de classe optimale. Les applications clientes natives et les navigateurs qui ne prennent pas en charge TLS 1.2+ ne sont pas accessibles lorsqu’ils sont configurés avec le contrôle de session. Toutefois, les applications SaaS qui utilisent TLS 1.1 ou une version antérieure s’affichent dans le navigateur comme utilisant TLS 1.2+ lorsqu’elles sont configurées avec Defender pour le cloud Apps.

Gestion de l’identité et de l’accès

Defender pour le cloud Apps vous permet de limiter l’accès des administrateurs au portail en fonction de la géolocalisation à l’aide de Azure Active Directory. Il est possible d’exiger une authentification multifacteur pour accéder au portail Defender pour le cloud Apps à l’aide de Azure Active Directory.

Autorisations

Defender pour le cloud Apps prend en charge le contrôle d’accès en fonction du rôle. Office 365 et les rôles d’administrateur général et d’administrateur de sécurité Azure Active Directory disposent d’un accès complet aux lecteurs Defender pour le cloud Apps et Security disposent d’un accès en lecture. Pour plus d'informations.

Contrôles client pour la conformité de l’organisation

Déploiement étendu

Defender pour le cloud Apps vous permet d’étendre votre déploiement. L’étendue vous permet de régir uniquement des groupes spécifiques à l’aide de Defender pour le cloud Apps ou d’exclure des groupes spécifiques de la gouvernance Defender pour le cloud Apps. Pour plus d'informations, consultez Déploiement étendu.

Anonymisation

Vous pouvez choisir de conserver les rapports anonymes Cloud Discovery. Une fois vos fichiers journaux chargés sur Microsoft Defender for Cloud Apps, toutes les informations de nom d’utilisateur sont remplacées par des noms d’utilisateur chiffrés. Pour des investigations de sécurité spécifiques, vous pouvez résoudre le nom d’utilisateur réel. Les données privées sont chiffrées en utilisant AES-128 avec une clé dédiée par client. Pour plus d'informations.

Sécurité et confidentialité pour les clients Defender pour le cloud Apps US Government Cloud de la communauté du secteur public High

Pour plus d’informations sur les normes de conformité Defender pour le cloud Apps et l’emplacement des données pour les clients us Government Cloud de la communauté du secteur public High, consultez Enterprise Mobility + Security pour la description du service us Government.

Étapes suivantes

Obtenez un essai gratuit de Defender pour le cloud Apps et découvrez comment il répond aux défis de votre entreprise.