Bonnes pratiques relatives au chiffrement et à la sécurité des données dans AzureAzure data security and encryption best practices

Cet article décrit les bonnes pratiques relatives au chiffrement et à la sécurité des données.This article describes best practices for data security and encryption.

Ces meilleures pratiques font l’objet d’un consensus et sont compatibles avec les capacités et fonctionnalités actuelles de la plateforme Azure.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Les opinions et technologies évoluent au fil du temps ; cet article est régulièrement mis à jour de manière à tenir compte de ces changements.Opinions and technologies change over time and this article is updated on a regular basis to reflect those changes.

Protection des donnéesProtect data

Pour assurer la protection des données dans le cloud, vous devez tenir compte des états que les données peuvent présenter, mais aussi des contrôles disponibles pour ces états.To help protect data in the cloud, you need to account for the possible states in which your data can occur, and what controls are available for that state. Les bonnes pratiques pour la sécurité et le chiffrement des données Azure s’apparentent aux états des données suivants :Best practices for Azure data security and encryption relate to the following data states:

  • Au repos : Ceci inclut tous les objets de stockage, conteneurs et types d’informations présents de manière statique sur un support physique, qu’il s’agisse d’un disque magnétique ou d’un disque optique.At rest: This includes all information storage objects, containers, and types that exist statically on physical media, whether magnetic or optical disk.
  • En transit : Quand des données sont transférées entre des composants, des emplacements ou des programmes, elles sont considérées comme étant « en transit ».In transit: When data is being transferred between components, locations, or programs, it’s in transit. Exemples : transfert sur le réseau, sur un bus des services (du réseau local au cloud et inversement, y compris les connexions hybrides telles que ExpressRoute), ou pendant un traitement d’entrée/sortie.Examples are transfer over the network, across a service bus (from on-premises to cloud and vice-versa, including hybrid connections such as ExpressRoute), or during an input/output process.

Choisir une solution de gestion des clésChoose a key management solution

La protection de vos clés est essentielle pour protéger vos données dans le cloud.Protecting your keys is essential to protecting your data in the cloud.

Azure Key Vault permet de protéger les clés de chiffrement et les secrets utilisés par les services et les applications cloud.Azure Key Vault helps safeguard cryptographic keys and secrets that cloud applications and services use. Key Vault rationalise le processus de gestion de clés et vous permet de garder le contrôle des clés qui accèdent à vos données et les chiffrent.Key Vault streamlines the key management process and enables you to maintain control of keys that access and encrypt your data. Les développeurs peuvent créer des clés pour le développement et le test en quelques minutes, puis les migrer en clés de production.Developers can create keys for development and testing in minutes, and then migrate them to production keys. Les administrateurs de sécurité peuvent accorder (et annuler) les autorisations sur les clés, si nécessaire.Security administrators can grant (and revoke) permission to keys, as needed.

Vous pouvez utiliser Key Vault pour créer plusieurs conteneurs sécurisés, désignés sous le terme de coffres.You can use Key Vault to create multiple secure containers, called vaults. Ces coffres s’appuient sur des modules de sécurité matérielle.These vaults are backed by HSMs. Les coffres contribuent à réduire les risques de perte accidentelle des informations de sécurité en centralisant le stockage des secrets d’application.Vaults help reduce the chances of accidental loss of security information by centralizing the storage of application secrets. En outre, les coffres de clés contrôlent et journalisent l’accès à l’ensemble de leur contenu.Key vaults also control and log the access to anything stored in them. Azure Key Vault peut gérer la demande et le renouvellement des certificats TLS (Transport Layer Security).Azure Key Vault can handle requesting and renewing Transport Layer Security (TLS) certificates. Il offre des fonctionnalités pour une solution robuste de gestion de cycle de vie de certificat.It provides features for a robust solution for certificate lifecycle management.

Azure Key Vault a été conçu pour prendre en charge les clés et les secrets d’application.Azure Key Vault is designed to support application keys and secrets. Il n’est pas destiné à faire office de magasin des mots de passe utilisateur.Key Vault is not intended to be a store for user passwords.

Voici les bonnes pratiques de sécurité relatives à l’utilisation de Key Vault.Following are security best practices for using Key Vault.

Bonne pratique : Accordez l’accès aux utilisateurs, aux groupes et aux applications au niveau d’une étendue spécifique.Best practice: Grant access to users, groups, and applications at a specific scope.
Détail : Utilisez des rôles RBAC prédéfinis.Detail: Use RBAC’s predefined roles. Par exemple, pour autoriser un utilisateur à gérer des coffres de clés, vous devez attribuer un rôle prédéfini Collaborateur de coffre de clés à cet utilisateur dans une étendue spécifique.For example, to grant access to a user to manage key vaults, you would assign the predefined role Key Vault Contributor to this user at a specific scope. L’étendue dans ce cas correspond à un abonnement, à un groupe de ressources ou simplement à un coffre de clés spécifique.The scope in this case would be a subscription, a resource group, or just a specific key vault. Si les rôles prédéfinis ne répondent pas à vos besoins, vous pouvez définir vos propres rôles.If the predefined roles don’t fit your needs, you can define your own roles.

Bonne pratique : Contrôlez ce à quoi les utilisateurs ont accès.Best practice: Control what users have access to.
Détail : L’accès à un coffre de clés est contrôlé via deux interfaces distinctes : le plan de gestion et le plan de données.Detail: Access to a key vault is controlled through two separate interfaces: management plane and data plane. Les contrôles d’accès au plan de gestion et au plan de données fonctionnent indépendamment.The management plane and data plane access controls work independently.

Utilisez la fonctionnalité RBAC pour contrôler le contenu auquel ont accès les utilisateurs.Use RBAC to control what users have access to. Par exemple, si vous souhaitez autoriser une application à utiliser les clés d’un coffre de clés, vous avez seulement besoin de lui accorder des autorisations d’accès au plan de données à l’aide de stratégies d’accès au coffre de clés. Aucun accès au plan de gestion n’est requis pour cette application.For example, if you want to grant an application access to use keys in a key vault, you only need to grant data plane access permissions by using key vault access policies, and no management plane access is needed for this application. À l’inverse, si vous souhaitez qu’un utilisateur puisse lire les propriétés et les balises d’un coffre, mais pas accéder aux clés, secrets ou certificats, vous pouvez lui accorder un accès en lecture à l’aide de la fonctionnalité RBAC. Aucun accès au plan de données n’est requis.Conversely, if you want a user to be able to read vault properties and tags but not have any access to keys, secrets, or certificates, you can grant this user read access by using RBAC, and no access to the data plane is required.

Bonne pratique : Stockez les certificats dans votre coffre de clés.Best practice: Store certificates in your key vault. Vos certificats ont une grande valeur.Your certificates are of high value. Entre de mauvaises mains, la sécurité de votre application ou de vos données peut être compromise.In the wrong hands, your application's security or the security of your data can be compromised.
Détail : Azure Resource Manager peut déployer de façon sécurisée des certificats stockés dans Azure Key Vault sur des machines virtuelles Azure quand ces dernières sont déployées.Detail: Azure Resource Manager can securely deploy certificates stored in Azure Key Vault to Azure VMs when the VMs are deployed. En définissant les stratégies d’accès appropriées pour le coffre de clés, vous contrôlez également qui peut accéder à votre certificat.By setting appropriate access policies for the key vault, you also control who gets access to your certificate. Le fait que vous puissiez gérer tous vos certificats en un seul endroit dans Azure Key Vault constitue un autre avantage.Another benefit is that you manage all your certificates in one place in Azure Key Vault. Pour plus d’informations, consultez Déployer des certificats sur les machines virtuelles à partir de coffres de clés gérés par les clients.See Deploy Certificates to VMs from customer-managed Key Vault for more information.

Bonne pratique : Veillez à pouvoir récupérer d’une suppression de coffres de clés ou d’objets de coffres de clés.Best practice: Ensure that you can recover a deletion of key vaults or key vault objects.
Détail : La suppression de coffres de clés ou d’objets de coffres de clés peut être faite par inadvertance ou être due à une activité malveillante.Detail: Deletion of key vaults or key vault objects can be inadvertent or malicious. Activez les fonctionnalités de suppression réversible et de protection contre le vidage de Key Vault, en particulier pour les clés utilisées pour chiffre des données au repos.Enable the soft delete and purge protection features of Key Vault, particularly for keys that are used to encrypt data at rest. La suppression de ces clés est similaire à une perte de données. Vous pouvez donc récupérer des coffres et objets de coffres supprimés si besoin.Deletion of these keys is equivalent to data loss, so you can recover deleted vaults and vault objects if needed. Effectuez des opérations de récupération Key Vault quotidiennement.Practice Key Vault recovery operations on a regular basis.

Notes

Si un utilisateur dispose d’autorisations de collaborateur (RBAC) pour le plan de gestion d’un coffre de clés, il peut s’accorder à lui-même l’accès au plan de données en définissant une stratégie d’accès au coffre de clés.If a user has contributor permissions (RBAC) to a key vault management plane, they can grant themselves access to the data plane by setting a key vault access policy. Il est recommandé de contrôler étroitement quels utilisateurs disposent d’un accès « Collaborateur » à vos coffres de clés afin de vous assurer que seules les personnes autorisées peuvent gérer vos coffres de clés, clés, secrets et certificats.We recommend that you tightly control who has contributor access to your key vaults, to ensure that only authorized persons can access and manage your key vaults, keys, secrets, and certificates.

Gestion de stations de travail sécuriséesManage with secure workstations

Notes

L’administrateur ou le propriétaire de l’abonnement doit utiliser une station de travail avec un accès sécurisé ou privilégié.The subscription administrator or owner should use a secure access workstation or a privileged access workstation.

Dans la mesure où la grande majorité des atteintes ciblent l’utilisateur final, le point de terminaison devient l’un des principaux points d’attaque.Because the vast majority of attacks target the end user, the endpoint becomes one of the primary points of attack. Si un pirate informatique compromet le point de terminaison, il peut se servir des informations d’identification pour accéder aux données de l’organisation.An attacker who compromises the endpoint can use the user’s credentials to gain access to the organization’s data. La plupart des attaques visant le point de terminaison exploitent le fait que les utilisateurs occupent le rôle d’administrateur dans leurs stations de travail locales.Most endpoint attacks take advantage of the fact that users are administrators in their local workstations.

Bonne pratique : Utilisez une station de travail de gestion sécurisée pour protéger les comptes, les tâches et les données sensibles.Best practice: Use a secure management workstation to protect sensitive accounts, tasks, and data.
Détail : Utilisez une station de travail avec accès privilégié pour réduire la surface d’attaque au sein des stations de travail.Detail: Use a privileged access workstation to reduce the attack surface in workstations. Ces stations de travail de gestion sécurisées peuvent vous aider à limiter certaines attaques, afin d’optimiser la sécurité de vos données.These secure management workstations can help you mitigate some of these attacks and ensure that your data is safer.

Bonne pratique : Appliquez une protection aux points de terminaison.Best practice: Ensure endpoint protection.
Détail : Appliquez des stratégies de sécurité sur l’ensemble des appareils utilisés pour consommer des données, quel que soit l’emplacement de ces dernières (dans le cloud ou en local).Detail: Enforce security policies across all devices that are used to consume data, regardless of the data location (cloud or on-premises).

Protection des données au reposProtect data at rest

Le chiffrement des données au repos est une étape obligatoire vers la confidentialité, la conformité et la souveraineté des données.Data encryption at rest is a mandatory step toward data privacy, compliance, and data sovereignty.

Bonne pratique : Appliquez le chiffrement des disques pour protéger vos données.Best practice: Apply disk encryption to help safeguard your data.
Détail : Utilisez Azure Disk Encryption.Detail: Use Azure Disk Encryption. Il permet aux administrateurs informatiques de chiffrer les disques des machines virtuelles IaaS Windows et Linux.It enables IT administrators to encrypt Windows and Linux IaaS VM disks. Il utilise la fonctionnalité standard BitLocker de Windows et la fonctionnalité dm-crypt de Linux pour chiffrer les volumes des disques du système d’exploitation et des données.Disk Encryption combines the industry-standard Windows BitLocker feature and the Linux dm-crypt feature to provide volume encryption for the OS and the data disks.

Stockage Azure et Azure SQL Database chiffrent les données au repos par défaut, et de nombreux services offrent le chiffrement en option.Azure Storage and Azure SQL Database encrypt data at rest by default, and many services offer encryption as an option. Vous pouvez utiliser Azure Key Vault pour garder le contrôle des clés qui accèdent à vos données et les chiffrent.You can use Azure Key Vault to maintain control of keys that access and encrypt your data. Consultez Prise en charge du modèle de chiffrement des fournisseurs de ressources Azure pour en savoir.See Azure resource providers encryption model support to learn more.

Bonnes pratiques : Utilisez le chiffrement pour réduire les risques d’accès non autorisé aux données.Best practices: Use encryption to help mitigate risks related to unauthorized data access.
Détail : Chiffrez vos lecteurs avant d’y écrire des données sensibles.Detail: Encrypt your drives before you write sensitive data to them.

Les organisations qui ne chiffrent pas leurs données sont plus exposées aux problèmes de confidentialité des données.Organizations that don’t enforce data encryption are more exposed to data-confidentiality issues. Par exemple, les utilisateurs non autorisés ou non fiables peuvent voler des données dans des comptes compromis ou accéder indûment à des données codées en ClearFormat.For example, unauthorized or rogue users might steal data in compromised accounts or gain unauthorized access to data coded in Clear Format. Les entreprises doivent prouver leur diligence et utiliser les contrôles de sécurité appropriés pour améliorer la sécurité des données afin de se conformer aux règlementations du secteur.Companies also must prove that they are diligent and using correct security controls to enhance their data security in order to comply with industry regulations.

Protection des données en transitProtect data in transit

La protection des données en transit doit être un aspect essentiel de votre stratégie de protection des données.Protecting data in transit should be an essential part of your data protection strategy. Comme les données transitent entre différents emplacements, dans les deux sens, nous vous recommandons d’utiliser systématiquement les protocoles SSL/TLS pour ces déplacements de données.Because data is moving back and forth from many locations, we generally recommend that you always use SSL/TLS protocols to exchange data across different locations. Dans certains cas, vous souhaiterez isoler l’intégralité du canal de communication entre vos infrastructures locales et sur le cloud, via un réseau privé virtuel (VPN).In some circumstances, you might want to isolate the entire communication channel between your on-premises and cloud infrastructures by using a VPN.

Pour les données qui transitent entre votre infrastructure locale et Azure, vous devez envisager le recours aux dispositifs de protection appropriés, comme HTTPS ou VPN.For data moving between your on-premises infrastructure and Azure, consider appropriate safeguards such as HTTPS or VPN. Lors de l’envoi du trafic chiffré entre un réseau virtuel Azure et un emplacement local sur l’Internet public, utilisez la passerelle VPN Azure.When sending encrypted traffic between an Azure virtual network and an on-premises location over the public internet, use Azure VPN Gateway.

Voici les bonnes pratiques relatives à la passerelle VPN Azure, et les protocoles SSL/TLS et HTTPS.Following are best practices specific to using Azure VPN Gateway, SSL/TLS, and HTTPS.

Bonne pratique : Sécurisez l’accès depuis plusieurs stations de travail locales à un réseau virtuel Azure.Best practice: Secure access from multiple workstations located on-premises to an Azure virtual network.
Détail : Utilisez un VPN de site à site.Detail: Use site-to-site VPN.

Bonne pratique : Sécurisez l’accès depuis une station de travail locale à un réseau virtuel Azure.Best practice: Secure access from an individual workstation located on-premises to an Azure virtual network.
Détail : Utilisez un VPN de point à site.Detail: Use point-to-site VPN.

Bonne pratique : Déplacez les jeux de données plus grands via une liaison WAN dédiée à haute vitesse.Best practice: Move larger data sets over a dedicated high-speed WAN link.
Détail : Utilisez ExpressRoute.Detail: Use ExpressRoute. Si vous choisissez d’utiliser ExpressRoute, vous pouvez également chiffrer les données au niveau des applications par le biais de SSL/TLS ou d’autres protocoles pour une protection renforcée.If you choose to use ExpressRoute, you can also encrypt the data at the application level by using SSL/TLS or other protocols for added protection.

Bonne pratique : Interagissez avec Stockage Azure via le portail Azure.Best practice: Interact with Azure Storage through the Azure portal.
Détail : Toutes les transactions se font via HTTPS.Detail: All transactions occur via HTTPS. L’API de stockage REST par le biais de HTTPS peut également être utilisée pour interagir avec le stockage Azure.You can also use Storage REST API over HTTPS to interact with Azure Storage.

Les organisations qui ne parviennent pas à protéger les données en transit sont plus sensibles aux attaques d’intercepteur, aux écoutes électroniques et au piratage de session.Organizations that fail to protect data in transit are more susceptible to man-in-the-middle attacks, eavesdropping, and session hijacking. Ces attaques peuvent être la première étape d’un processus visant à accéder à des données confidentielles.These attacks can be the first step in gaining access to confidential data.

Sécuriser des courriers, des documents et des données sensiblesSecure email, documents, and sensitive data

Vous tenez à contrôler et à sécuriser les courriers, les documents et les données sensibles que vous partagez en dehors de votre entreprise.You want to control and secure email, documents, and sensitive data that you share outside your company. Azure Information Protection est une solution basée sur le cloud aidant une organisation à classer, étiqueter et protéger ses documents et ses courriers.Azure Information Protection is a cloud-based solution that helps an organization to classify, label, and protect its documents and emails. Cela peut être fait automatiquement par les administrateurs qui définissent les règles et les conditions, manuellement par les utilisateurs, ou d’une manière mixte où les utilisateurs reçoivent des recommandations.This can be done automatically by administrators who define rules and conditions, manually by users, or a combination where users get recommendations.

La classification est identifiable à tout moment, quel que soit l’endroit où les données sont stockées ou avec qui elles sont partagées.Classification is identifiable at all times, regardless of where the data is stored or with whom it’s shared. Les étiquettes incluent des marquages visuels tels que les en-têtes, les pieds de page et les filigranes.The labels include visual markings such as a header, footer, or watermark. Les métadonnées sont ajoutées aux en-têtes des courriers et des fichiers en texte en clair.Metadata is added to files and email headers in clear text. Le texte en clair s’assure que les autres services, tels que les solutions pour éviter la perte de données, puissent identifier la classification et prendre les mesures appropriées.The clear text ensures that other services, such as solutions to prevent data loss, can identify the classification and take appropriate action.

La technologie de protection utilise Azure Rights Management (Azure RMS).The protection technology uses Azure Rights Management (Azure RMS). Cette technologie est intégrée à d’autres services cloud et applications Microsoft, comme Microsoft 365 et Azure Active Directory.This technology is integrated with other Microsoft cloud services and applications, such as Microsoft 365 and Azure Active Directory. Cette technologie de protection utilise des stratégies de chiffrement, d’identité et d’autorisation.This protection technology uses encryption, identity, and authorization policies. La protection appliquée à l’aide de Azure RMS reste associée aux documents et aux courriers, indépendamment de leur emplacement, au sein ou en dehors de votre organisation, des réseaux, des serveurs de fichiers et des applications.Protection that is applied through Azure RMS stays with the documents and emails, independently of the location—inside or outside your organization, networks, file servers, and applications.

Cette solution de protection des informations vous permet de contrôler vos données, même lorsqu’elles sont partagées avec d’autres personnes.This information protection solution keeps you in control of your data, even when it’s shared with other people. Vous pouvez aussi utiliser Azure RMS avec vos propres applications métier et solutions de protection des informations d’éditeurs de logiciels, qu’elles soient en local ou dans le cloud.You can also use Azure RMS with your own line-of-business applications and information protection solutions from software vendors, whether these applications and solutions are on-premises or in the cloud.

Nous vous recommandons :We recommend that you:

  • De déployer Azure Information Protection pour votre organisation.Deploy Azure Information Protection for your organization.
  • D’appliquer des étiquettes qui reflètent les besoins de votre entreprise.Apply labels that reflect your business requirements. Par exemple : Appliquez une étiquette nommée « Hautement confidentiel » à tous vos documents et courriers contenant des données ultrasecrètes, afin de classifier et protéger ces données.For example: Apply a label named “highly confidential” to all documents and emails that contain top-secret data, to classify and protect this data. Ensuite, seuls les utilisateurs autorisés peuvent accéder à ces données, avec les restrictions que vous spécifiez.Then, only authorized users can access this data, with any restrictions that you specify.
  • Configurez la journalisation de l’utilisation d’Azure RMS afin de surveiller l’utilisation du service de protection par votre organisation.Configure usage logging for Azure RMS so that you can monitor how your organization is using the protection service.

Les organisations bénéficiant d’une classification et d’une protection insuffisantes des données sont plus vulnérables aux fuites ou aux utilisations malveillantes des données.Organizations that are weak on data classification and file protection might be more susceptible to data leakage or data misuse. Avec une protection de fichier adaptée, vous pouvez analyser les flux de données pour obtenir des informations sur votre entreprise, détecter des comportements à risque et prendre les mesures correctives adéquates, suivre l’accès aux documents, etc.With proper file protection, you can analyze data flows to gain insight into your business, detect risky behaviors and take corrective measures, track access to documents, and so on.

Étapes suivantesNext steps

Consultez l’article Bonnes pratiques et tendances Azure relatives à la sécurité pour découvrir d’autres bonnes pratiques en matière de sécurité à appliquer dans le cadre de la conception, du déploiement et de la gestion de vos solutions cloud avec Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Les ressources suivantes fournissent des informations générales sur la sécurité Azure et les services Microsoft associés :The following resources are available to provide more general information about Azure security and related Microsoft services: