Quelles sont les pratiques de sécurité et de confidentialité des données de Microsoft Defender pour les applications Cloud ?

Notes

Nous avons renommé Microsoft Cloud App Security. C’est maintenant ce que l’on appelle Microsoft Defender pour les applications Cloud. Dans les semaines à venir, nous mettrons à jour les captures d’écran et les instructions ici et dans les pages associées. Pour plus d’informations sur la modification, consultez cette annonce. Pour en savoir plus sur le changement de nom récent des services de sécurité Microsoft, consultez le blog Microsoftsur la sécurité.

Notes

Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le cadre de vos obligations en vertu du Règlement général sur la protection des données. Si vous recherchez des informations générales sur le RGPD, consultez la section RGPD du portail Service Trust.

Microsoft Defender pour les applications Cloud est un composant essentiel de la pile de sécurité Microsoft Cloud. Il s’agit d’une solution complète qui permet à votre organisation de tirer pleinement parti de la promesse des applications cloud. Defender pour les applications Cloud vous permet de contrôler la visibilité complète, l’audit et les contrôles granulaires de vos données sensibles.

Defender pour les applications Cloud contient des outils qui permettent de découvrir l’informatique cachée et d’évaluer les risques tout en vous permettant d’appliquer des stratégies et d’examiner les activités. Cela vous permet de contrôler l’accès en temps réel et d’arrêter les menaces afin que votre organisation puisse se déplacer en toute sécurité vers le cloud.

Defender pour la conformité des applications Cloud

Dans un monde où des violations de données et des attaques se produisent tous les jours, il est primordial que les organisations choisissent un fournisseur CASB (Cloud Access Security Broker) qui met tout en œuvre pour protéger leurs données. Defender pour les applications Cloud, comme tous les produits et services Cloud de Microsoft, est conçu pour répondre aux exigences rigoureuses de nos clients en matière de sécurité et de confidentialité.

Pour aider les organisations à se conformer aux exigences nationales, régionales et sectorielles régissant la collecte et l’utilisation des données des individus, Defender pour les applications Cloud fournit un ensemble complet d’offres de conformité. Les offres de conformité incluent des certifications et des attestations.

Infrastructure et offres de conformité

Defender pour les applications Cloud est conforme à de nombreuses normes de conformité internationales et sectorielles, notamment :

Organisation Intitulé Description
logo d’attestation CSA. CSA STAR Attestation Azure et Intune ont obtenu la certification CSA (Cloud Security Alliance) STAR basée sur un audit indépendant.
logo de certification CSA. CSA STAR Certification Azure, Intune et Power BI ont obtenu la certification CSA (Cloud Security Alliance) STAR au niveau « Gold ».
logo de clauses type UE. Clauses contractuelles types de l'UE Microsoft offre des clauses contractuelles standard de l'Union européenne qui fournissent des garanties concernant les transferts de données personnelles.
logo HIPAA. HIPAA/HITECH Microsoft propose des & accords BAAs (Health Insurance Portability Accountability Act Business Associate Agreements).
logo ISO 9001. ISO 9001 Microsoft est certifié pour son implémentation en matière des normes de gestion de la qualité.
logo ISO 27001. ISO/IEC 27001 Microsoft est certifié pour son implémentation en matière des normes de gestion de la sécurité des informations.
logo ISO 27018. ISO/IEC 27018 Microsoft a été le premier fournisseur de cloud à adhérer à ce code de conduite pour la confidentialité du cloud.
logo PCI. PCI DSS Azure est conforme aux PCI DSS (normes de sécurité des données de l'industrie des cartes de paiement) Niveau 1 version 3.1.
logo SOC. Rapports SOC 1 et SOC 2 type 2 Les services cloud Microsoft respectent les normes SOC (Service Organization Controls) en matière de sécurité opérationnelle.
logo SOC. SOC 3 Les services cloud Microsoft respectent les normes SOC (Service Organization Controls) en matière de sécurité opérationnelle.
logo g-cloud. UK G-Cloud Le Crown Commercial Service a renouvelé la classification des services cloud Microsoft à la norme Government Cloud v6.

Pour plus d’informations, accédez à Offres Microsoft relatives à la conformité.

Confidentialité

Vous êtes le propriétaire de vos données

  • Dans Defender pour les applications Cloud, vos administrateurs peuvent afficher les données personnelles identifiables stockées dans le service à partir du portail à l’aide de la barre de recherche.

  • Les administrateurs peuvent rechercher les métadonnées ou l’activité d’un utilisateur. En cliquant sur une entité, vous ouvrez Utilisateurs et comptes. La page Utilisateurs et comptes fournit des détails complets sur l’entité qui sont tirés des applications cloud connectées. Elle fournit également l’historique des activités de l’utilisateur et les alertes de sécurité associées à l’utilisateur.

  • Vous possédez vos données et vous pouvez annuler les abonnements et demander la suppression de vos données à tout moment. Si vous ne renouvelez pas votre abonnement, vos données seront supprimées selon la chronologie spécifiée dans Conditions des services en ligne.

  • Si vous choisissez de mettre fin au service, vous pouvez emporter vos données avec vous.

Defender pour les applications Cloud est le processeur de vos données

  • Defender pour les applications Cloud utilise vos données uniquement à des fins cohérentes avec la fourniture des services auxquels vous êtes abonné.

  • Si un gouvernement approche Microsoft pour accéder à vos données, Microsoft redirige la requête vers vous, le client, dans la mesure du possible. Microsoft a contesté des demandes légales qui n’étaient pas valides, ce qui a interdit la divulgation d’une demande publique pour les données client. En savoir plus sur les personnes qui peuvent accéder à vos données et dans quelles conditions.

Contrôles de la confidentialité

  • Les contrôles de confidentialité vous aident à configurer les personnes de votre organisation qui ont accès au service et à qui ils peuvent accéder.

Mise à jour des données personnelles

Les données personnelles relatives aux utilisateurs sont dérivées de l’objet de l’utilisateur dans les applications SaaS utilisées. Pour cette raison, toutes les modifications apportées au profil utilisateur dans ces applications sont reflétées dans Defender pour les applications Cloud.

Emplacement des données

Defender pour les applications Cloud fonctionne actuellement dans les centres de distribution de l’Union européenne, au Royaume-Uni et au États-Unis (chaque « géo »). Les données client collectées par le service sont stockées au repos comme suit (a) pour les clients dont les locataires sont approvisionnés dans l’Union européenne ou le Royaume-Uni, dans l’Union européenne ou le Royaume-Uni ; (b) else, un centre de données de la géo qui est le plus proche de l’emplacement où le locataire de Azure Active Directory du client a été approvisionné ; ou (c) si defender pour les applications Cloud utilise un autre service en ligne Microsoft (par exemple, Azure Active Directory ou Azure CDN ) pour traiter ces données, la géolocalisation des données sera telle que définie par les règles de stockage des données de cet autre service en ligne.

Notes

Defender pour les applications Cloud utilise des centres de données Azure dans le monde entier pour offrir des performances optimisées via la géolocalisation. Cela signifie que la session d’un utilisateur peut être hébergée en dehors d’une région particulière, en fonction des modèles de trafic et de leur emplacement. Toutefois, pour protéger votre confidentialité, aucune donnée de session n’est stockée dans ces centres de données.

En savoir plus sur la confidentialité

Transparence

Microsoft fournit une transparence sur ses pratiques :

  • Partage avec vous où vos données sont stockées.
  • Affirmant que vos données sont utilisées uniquement pour fournir des services convenus.
  • Spécification sur la façon dont les ingénieurs Microsoft et les sous-traitants approuvés utilisent ces données pour fournir des services.

Microsoft utilise des contrôles stricts pour régir l’accès aux données client, en accordant le niveau d’accès le plus bas requis pour effectuer des tâches clés et en révoquant l’accès quand il n’est plus nécessaire.

Protection des données

Defender pour les applications Cloud applique la protection des données pendant l’inspection du contenu. Le contenu du fichier n’est pas stocké dans le centre de données Defender pour les applications Cloud. Seules les métadonnées des enregistrements de fichiers et toutes les correspondances identifiées sont stockées.

Rétention de données

Defender pour les applications Cloud conserve les données comme suit :

  • Journal d’activité : 180 jours
  • Données de découverte : 90 jours
  • Alertes : 180 jours
  • Journal de gouvernance : 120 jours

Vous pouvez en savoir plus sur les pratiques de Microsoft relatives aux données en lisant les des termes du contrat de service en ligne.

En savoir plus sur la transparence

Suppression des données personnelles

Une fois qu’un compte d’utilisateur a été supprimé d’une application Cloud connectée, Defender pour les applications Cloud supprimera automatiquement la copie des données dans les deux ans.

Exportation des données personnelles

Defender pour les applications Cloud vous permet d' Exporter des informations sur l’activité des utilisateurs et les alertes de sécurité dans le fichier CSV.

Flux de données

Defender pour les applications Cloud vous permet de travailler avec certaines données, telles que les alertes et les activités, sans interrompre le flux de travail de sécurité habituel. Par exemple, SecOP peut préférer afficher les alertes dans son produit SIEM préféré, tel que Microsoft Sentinel. Pour activer ce type de flux de travail, lors de l’intégration à Microsoft ou à des produits tiers, Defender pour les applications Cloud expose certaines données.

Le tableau suivant indique les données qui sont exposées pour chaque intégration de produit :

Produits Microsoft

Produit Données exposées Configuration
Microsoft 365 Defender Alertes et activités des utilisateurs Activé automatiquement sur Microsoft 365 Defender lors de l’intégration
Microsoft Sentinel Alertes et données de découverte Activé dans Defender pour les applications Cloud et configuré dans Microsoft Sentinel
Centre de sécurité et de conformité Office Alertes pour Office 365 Diffusé automatique dans le centre de sécurité et de conformité Office
Microsoft Defender pour le cloud Alertes pour Azure Activé par défaut dans Defender pour les applications Cloud ; peut être désactivé dans Microsoft Defender pour le Cloud
API de sécurité Microsoft Graph Alertes Disponible via l’API de sécurité Microsoft Graph
Microsoft Power Automate Alertes envoyées pour déclencher un flux automatisé Configuré dans Defender pour les applications Cloud

Produits tiers

Type d'intégration Données exposées Configuration
Utilisation d’un agent SIEM Alertes et événements Activé et configuré dans Defender pour les applications Cloud
Utilisation de l’API REST Defender for Cloud apps Alertes et événements Activé et configuré dans Defender pour les applications Cloud
Connecteur ICAP Fichier pour l’analyse DLP Activé et configuré dans Defender pour les applications Cloud

Notes

D’autres produits peuvent ne pas appliquer Defender pour les autorisations de sécurité basées sur les rôles des applications Cloud pour contrôler qui a accès à quelles données. Par conséquent, avant de procéder à l’intégration avec d’autres produits, assurez-vous de bien comprendre quelles sont les données envoyées au produit que vous souhaitez utiliser et qui y ont accès.

Sécurité

Chiffrement

Microsoft utilise la technologie de chiffrement pour protéger vos données au repos dans une base de données Microsoft et lorsqu’il transite entre les appareils des utilisateurs et Defender pour les centres de données des applications Cloud. En outre, toutes les communications entre Defender pour les applications Cloud et les applications connectées sont chiffrées à l’aide du protocole HTTPs.

Notes

Defender pour les applications Cloud s’appuie sur les protocoles TLS (Transport Layer Security) 1.2 + pour fournir un chiffrement de classe optimal. Les applications clientes natives et les navigateurs qui ne prennent pas en charge TLS 1.2+ ne sont pas accessibles lorsqu’ils sont configurés avec le contrôle de session. Toutefois, les applications SaaS qui utilisent TLS 1,1 ou une version antérieure apparaissent dans le navigateur comme utilisant TLS 1.2 + lorsqu’elles sont configurées avec Defender pour les applications Cloud.

Gestion de l’identité et de l’accès

Defender pour les applications Cloud vous permet de limiter l’accès des administrateurs au portail en fonction de la géolocalisation à l’aide de Azure Active Directory. Il est possible d’exiger l’authentification multifacteur pour accéder au portail Defender pour les applications Cloud à l’aide de Azure Active Directory.

Autorisations

Defender pour les applications Cloud prend en charge le contrôle d’accès en fonction du rôle. Office 365 et Azure Active Directory rôles administrateur général et administrateur de sécurité ont un accès complet à defender pour les applications Cloud, et les lecteurs de sécurité ont un accès en lecture. Pour plus d'informations.

Contrôles client pour la conformité de l’organisation

Déploiement étendu

Defender pour les applications Cloud vous permet d’étendre votre déploiement. La portée vous permet de gérer uniquement des groupes spécifiques à l’aide de Defender pour les applications Cloud, ou d’exclure des groupes spécifiques de Defender pour la gouvernance des applications Cloud. Pour plus d'informations, consultez Déploiement étendu.

Anonymisation

Vous pouvez choisir de conserver les rapports anonymes Cloud Discovery. Une fois que vos fichiers journaux sont téléchargés vers Microsoft Defender pour les applications Cloud, toutes les informations de nom d’utilisateur sont remplacées par des noms d’utilisateur chiffrés. Pour des investigations de sécurité spécifiques, vous pouvez résoudre le nom d’utilisateur réel. Les données privées sont chiffrées en utilisant AES-128 avec une clé dédiée par client. Pour plus d'informations.

sécurité et confidentialité pour defender pour les applications Cloud US government Cloud de la communauté du secteur public des clients élevés

pour plus d’informations sur les normes de conformité de defender pour les applications Cloud et sur l’emplacement des données pour les clients du secteur public des états-unis Cloud de la communauté du secteur public, consultez Enterprise Mobility + Security pour la description du service us government.

Étapes suivantes

Obtenez une version d’évaluation gratuite de Defender pour les applications Cloud et découvrez comment il répond aux défis de votre entreprise.