Pratiques de sécurité et de confidentialité des données de Microsoft Cloud App Security

S’applique à : Microsoft Cloud App Security

Important

Les noms des produits Microsoft de protection contre les menaces changent. Vous trouverez ici plus d’informations sur ce sujet et sur les autres mises à jour. Nous allons très prochainement mettre à jour les noms des produits et des documents.

Notes

Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le cadre de vos obligations en vertu du Règlement général sur la protection des données. Si vous recherchez des informations générales sur le RGPD, consultez la section RGPD du portail Service Trust.

Microsoft Cloud App Security est un composant critique de la pile Microsoft Cloud Security. Il s’agit d’une solution complète qui permet à votre organisation de tirer pleinement parti de la promesse des applications cloud. Cloud App Security vous permet de contrôler la visibilité complète, l’audit et les contrôles granulaires de vos données sensibles.

Cloud App Security comporte des outils qui permettent de découvrir l’informatique fantôme et d’évaluer les risques tout en appliquant des stratégies et en examinant les activités. Cela vous permet de contrôler l’accès en temps réel et d’arrêter les menaces afin que votre organisation puisse se déplacer en toute sécurité vers le cloud.

Conformité Cloud App Security

Dans un monde où des violations de données et des attaques se produisent tous les jours, il est primordial que les organisations choisissent un fournisseur CASB (Cloud Access Security Broker) qui met tout en œuvre pour protéger leurs données. Comme tous les produits et services cloud Microsoft, Cloud App Security est conçu pour répondre aux demandes les plus rigoureuses de nos clients en matière de sécurité et de confidentialité.

Pour aider les organisations à se conformer aux exigences nationales, régionales et sectorielles régissant la collecte et l’utilisation de données individuelles, Cloud App Security propose un ensemble complet d’offres de conformité. Les offres de conformité incluent des certifications et des attestations.

Infrastructure et offres de conformité

Cloud App Security est conforme à de nombreuses normes de conformité internationales et sectorielles, notamment :

Organisation Intitulé Description
logo d’attestation CSA. CSA STAR Attestation Azure et Intune ont obtenu la certification CSA (Cloud Security Alliance) STAR basée sur un audit indépendant.
logo de certification CSA. CSA STAR Certification Azure, Intune et Power BI ont obtenu la certification CSA (Cloud Security Alliance) STAR au niveau « Gold ».
logo de clauses type UE. Clauses contractuelles types de l'UE Microsoft offre des clauses contractuelles standard de l'Union européenne qui fournissent des garanties concernant les transferts de données personnelles.
logo HIPAA. HIPAA/HITECH Microsoft propose des accords de partenariat en matière de HIPAA (Health Insurance Portability & Accountability Act).
logo ISO 9001. ISO 9001 Microsoft est certifié pour son implémentation en matière des normes de gestion de la qualité.
logo ISO 27001. ISO/IEC 27001 Microsoft est certifié pour son implémentation en matière des normes de gestion de la sécurité des informations.
logo ISO 27018. ISO/IEC 27018 Microsoft a été le premier fournisseur de cloud à adhérer à ce code de conduite pour la confidentialité du cloud.
logo PCI. PCI DSS Azure est conforme aux PCI DSS (normes de sécurité des données de l'industrie des cartes de paiement) Niveau 1 version 3.1.
logo SOC. Rapports SOC 1 et SOC 2 type 2 Les services cloud Microsoft respectent les normes SOC (Service Organization Controls) en matière de sécurité opérationnelle.
logo SOC. SOC 3 Les services cloud Microsoft respectent les normes SOC (Service Organization Controls) en matière de sécurité opérationnelle.
logo g-cloud. UK G-Cloud Le Crown Commercial Service a renouvelé la classification des services cloud Microsoft à la norme Government Cloud v6.

Pour plus d’informations, accédez à Offres Microsoft relatives à la conformité.

Confidentialité

Vous êtes le propriétaire de vos données

  • Dans Cloud App Security, vos administrateurs peuvent afficher sur le portail les données d’identification personnelle stockées dans le service à l’aide de la barre de recherche.

  • Les administrateurs peuvent rechercher les métadonnées ou l’activité d’un utilisateur. En cliquant sur une entité, vous ouvrez Utilisateurs et comptes. La page Utilisateurs et comptes fournit des détails complets sur l’entité qui sont tirés des applications cloud connectées. Elle fournit également l’historique des activités de l’utilisateur et les alertes de sécurité associées à l’utilisateur.

  • Vous possédez vos données et vous pouvez annuler les abonnements et demander la suppression de vos données à tout moment. Si vous ne renouvelez pas votre abonnement, vos données seront supprimées selon la chronologie spécifiée dans Conditions des services en ligne.

  • Si vous choisissez de mettre fin au service, vous pouvez emporter vos données avec vous.

Cloud App Security est le responsable du traitement de vos données

  • Cloud App Security utilise vos données uniquement à des fins cohérentes avec la fourniture des services auxquels vous êtes abonné.

  • Si un gouvernement approche Microsoft pour accéder à vos données, Microsoft redirige la requête vers vous, le client, dans la mesure du possible. Microsoft a contesté des demandes légales qui n’étaient pas valides, ce qui a interdit la divulgation d’une demande publique pour les données client. En savoir plus sur les personnes qui peuvent accéder à vos données et dans quelles conditions.

Contrôles de la confidentialité

  • Les contrôles de la confidentialité vous aident à configurer les personnes de votre organisation qui ont accès au service et à quoi elles peuvent accéder.

Mise à jour des données personnelles

Les données personnelles relatives aux utilisateurs sont dérivées de l’objet de l’utilisateur dans les applications SaaS utilisées. Par conséquent, toutes les modifications apportées au profil utilisateur dans ces applications sont reflétées dans Cloud App Security.

Localisation des données

Cloud App Security fonctionne actuellement dans des centres de données qui se trouvent dans l’Union européenne, au Royaume-Uni et aux États-Unis (chacune de ces régions constituant une zone géographique). Les données client collectées par le service sont stockées au repos comme suit : (a) pour les clients dont les locataires sont provisionnés dans l’Union européenne ou au Royaume-Uni, soit dans l’Union européenne soit au Royaume-Uni ; (b) sinon, dans un centre de données situé dans la zone géographique la plus proche de l’endroit où le locataire Azure Active Directory du client a été provisionné ; ou, (c) si Cloud App Security utilise un autre service en ligne Microsoft (comme Azure Active Directory ou Azure CDN) pour traiter ces données, dans une zone géographique définie par les règles de stockage des données de cet autre service en ligne.

Notes

Cloud App Security utilise les centres de données Azure dans le monde entier pour offrir des performances optimisées grâce à la géolocalisation. Cela signifie que la session d’un utilisateur peut être hébergée en dehors d’une région particulière, en fonction des modèles de trafic et de leur emplacement. Toutefois, pour protéger votre confidentialité, aucune donnée de session n’est stockée dans ces centres de données.

En savoir plus sur la confidentialité

Transparence

Microsoft fournit une transparence sur ses pratiques :

  • Partage avec vous où vos données sont stockées.
  • Affirmant que vos données sont utilisées uniquement pour fournir des services convenus.
  • Spécification sur la façon dont les ingénieurs Microsoft et les sous-traitants approuvés utilisent ces données pour fournir des services.

Microsoft utilise des contrôles stricts pour régir l’accès aux données client, en accordant le niveau d’accès le plus bas requis pour effectuer des tâches clés et en révoquant l’accès quand il n’est plus nécessaire.

Protection des données

Cloud App Security applique une protection des données pendant l’inspection du contenu. Le contenu du fichier n’est pas stocké dans le centre de données Cloud App Security. Seules les métadonnées des enregistrements de fichiers et toutes les correspondances identifiées sont stockées.

Rétention de données

Cloud App Security conserve les données comme suit :

  • Journal d’activité : 180 jours
  • Données de découverte : 90 jours
  • Alertes : 180 jours
  • Journal de gouvernance : 120 jours

Vous pouvez en savoir plus sur les pratiques de Microsoft relatives aux données en lisant les des termes du contrat de service en ligne.

En savoir plus sur la transparence

Suppression des données personnelles

Une fois qu’un compte d’utilisateur est supprimé d’une application cloud connectée, Cloud App Security supprime automatiquement la copie de ces données dans un délai de deux ans.

Exportation des données personnelles

Cloud App Security offre la possibilité d’exporter au format CSV toutes les informations relatives aux alertes de sécurité et à l’activité des utilisateurs.

Flux de données

Cloud App Security vous offre la possibilité de travailler avec certaines données, telles que les alertes et les activités, sans interrompre le flux de travail de sécurité habituel. Par exemple, SecOP peut préférer afficher les alertes dans le produit SIEM préféré, par exemple Azure Sentinel. Pour activer ce type de flux de travail, lors de l’intégration à Microsoft ou à des produits tiers, Cloud App Security expose certaines données par leur intermédiaire.

Le tableau suivant indique les données qui sont exposées pour chaque intégration de produit :

Produits Microsoft

Produit Données exposées Configuration
Microsoft 365 Defender Alertes et activités des utilisateurs Activé automatiquement sur Microsoft 365 Defender lors de l’intégration
Azure Sentinel Alertes et données de découverte Activé dans Cloud App Security et configurés dans Azure Sentinel
Centre de sécurité et de conformité Office Alertes pour Office 365 Diffusé automatique dans le centre de sécurité et de conformité Office
Azure Security Center Alertes pour Azure Activé par défaut dans Cloud App Security ; peut être désactivé dans Azure Security Center
API de sécurité Microsoft Graph Alertes Disponible via l’API de sécurité Microsoft Graph
Microsoft Power Automate Alertes envoyées pour déclencher un flux automatisé Configuré dans Cloud App Security

Produits tiers

Type d'intégration Données exposées Configuration
Utilisation d’un agent SIEM Alertes et événements Activé et configuré dans Cloud App Security
Utilisation de l’API REST de Cloud App Security Alertes et événements Activé et configuré dans Cloud App Security
Connecteur ICAP Fichier pour l’analyse DLP Activé et configuré dans Cloud App Security

Notes

D’autres produits peuvent ne pas appliquer des autorisations de sécurité basée sur les rôles Cloud App Security pour contrôler qui a accès à quelles données. Par conséquent, avant de procéder à l’intégration avec d’autres produits, assurez-vous de bien comprendre quelles sont les données envoyées au produit que vous souhaitez utiliser et qui y ont accès.

Sécurité

Chiffrement

Microsoft utilise la technologie de chiffrement pour protéger vos données pendant qu’elles sont au repos dans une base de données Microsoft et lorsqu’elles transitent entre les appareils des utilisateurs et les centres de données de Cloud App Security. En outre, toutes les communications entre Cloud App Security et les applications connectées sont chiffrées à l’aide du protocole HTTPS.

Notes

Cloud App Security s’appuie sur les protocoles TLS (Transport Layer Security) 1.2+ pour fournir un chiffrement de pointe. Les applications clientes natives et les navigateurs qui ne prennent pas en charge TLS 1.2+ ne sont pas accessibles lorsqu’ils sont configurés avec le contrôle de session. Toutefois, les applications SaaS qui utilisent TLS 1.1 ou une version antérieure apparaissent dans le navigateur comme utilisant TLS 1.2+ lorsqu’elles sont configurées avec Cloud App Security.

Gestion des identités et des accès

Cloud App Security permet de limiter l’accès des administrateurs au portail en fonction de leur géolocalisation à l’aide d’Azure Active Directory. Il est possible d’exiger l’authentification multifacteur pour accéder au portail Microsoft Cloud App Security avec Azure Active Directory.

Autorisations

Cloud App Security prend en charge le contrôle d’accès en fonction du rôle. Les rôles administrateur général et administrateur général d’Office 365 et d’Azure Active Directory ont un accès complet à Cloud App Security et les lecteurs de sécurité ont un accès en lecture. Pour plus d'informations.

Contrôles client pour la conformité de l’organisation

Déploiement étendu

Cloud App Security permet de définir l’étendue du déploiement. L’étendue vous permet de gérer uniquement des groupes spécifiques à l’aide de Cloud App Security ou d’exclure des groupes spécifiques de la gouvernance Cloud App Security. Pour plus d'informations, consultez Déploiement étendu.

Anonymisation

Vous pouvez choisir de conserver les rapports anonymes Cloud Discovery. Une fois que vos fichiers journaux sont téléchargés vers Microsoft Cloud App Security, toutes les informations de nom d’utilisateur sont remplacées par des noms d’utilisateur chiffrés. Pour des investigations de sécurité spécifiques, vous pouvez résoudre le nom d’utilisateur réel. Les données privées sont chiffrées en utilisant AES-128 avec une clé dédiée par client. Pour plus d'informations.

Sécurité et confidentialité pour les clients US Government GCC High de Cloud App Security

Pour avoir des informations sur les normes de conformité Cloud App Security et sur l’emplacement des données des clients US Government GCC High, consultez la description Enterprise Mobility + Security for US Government.

Étapes suivantes

Obtenez une version d’évaluation gratuite de Cloud App Security et découvrez comment il répond aux défis de votre entreprise.