Quelles sont les pratiques de sécurité et de confidentialité des données Microsoft Defender for Cloud Apps ?
Notes
Nous avons renommé Microsoft Cloud App Security. C’est maintenant appelé Microsoft Defender for Cloud Apps. Dans les semaines à venir, nous allons mettre à jour les captures d’écran et les instructions ici et dans les pages associées. Pour plus d’informations sur la modification, consultez cette annonce. Pour en savoir plus sur le renommage récent des services de sécurité Microsoft, consultez le blog microsoft Ignite Security.
Microsoft Defender for Cloud Apps fait désormais partie de Microsoft 365 Defender. Le portail Microsoft 365 Defender permet aux administrateurs de sécurité d’effectuer leurs tâches de sécurité dans un emplacement unique. Cela simplifie les flux de travail et ajoute les fonctionnalités des autres services Microsoft 365 Defender. Microsoft 365 Defender sera l’accueil de la surveillance et de la gestion de la sécurité sur vos identités, données, appareils, applications et infrastructure Microsoft. Pour plus d’informations sur ces modifications, consultez Microsoft Defender for Cloud Apps dans Microsoft 365 Defender.
Notes
Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le cadre de vos obligations en vertu du Règlement général sur la protection des données. Si vous recherchez des informations générales sur le RGPD, consultez la section RGPD du portail Service Trust.
Microsoft Defender for Cloud Apps est un composant essentiel de la pile Microsoft Cloud Security. Il s’agit d’une solution complète qui permet à votre organisation de tirer pleinement parti de la promesse des applications cloud. Defender pour le cloud Apps vous contrôle grâce à une visibilité, un audit et des contrôles granulaires complets sur vos données sensibles.
Defender pour le cloud Apps dispose d’outils qui vous aident à découvrir l’informatique fantôme et à évaluer les risques tout en vous permettant d’appliquer des stratégies et d’examiner les activités. Cela vous permet de contrôler l’accès en temps réel et d’arrêter les menaces afin que votre organisation puisse se déplacer en toute sécurité vers le cloud.
Conformité des applications Defender pour le cloud
Dans un monde où des violations de données et des attaques se produisent tous les jours, il est primordial que les organisations choisissent un fournisseur CASB (Cloud Access Security Broker) qui met tout en œuvre pour protéger leurs données. Defender pour le cloud Apps, comme tous les produits et services cloud Microsoft, est conçu pour répondre aux exigences rigoureuses en matière de sécurité et de confidentialité de nos clients.
Pour aider les organisations à se conformer aux exigences nationales, régionales et sectorielles régissant la collecte et l’utilisation des données des individus, Defender pour le cloud Apps fournit un ensemble complet d’offres de conformité. Les offres de conformité incluent des certifications et des attestations.
Infrastructure et offres de conformité
Defender pour le cloud Apps répond à de nombreuses normes de conformité internationales et spécifiques au secteur, y compris, mais pas limitée à :
| Organisation | Intitulé | Description |
|---|---|---|
 |
CSA STAR Attestation | Azure et Intune ont obtenu la certification CSA (Cloud Security Alliance) STAR basée sur un audit indépendant. |
 |
CSA STAR Certification | Azure, Intune et Power BI ont obtenu la certification CSA (Cloud Security Alliance) STAR au niveau « Gold ». |
 |
Clauses contractuelles types de l'UE | Microsoft offre des clauses contractuelles standard de l'Union européenne qui fournissent des garanties concernant les transferts de données personnelles. |
 |
HIPAA/HITECH | Microsoft propose des contrats BAA (Health Insurance Portability & Accountability Act Business Associate Agreements). |
 |
ISO 9001 | Microsoft est certifié pour son implémentation en matière des normes de gestion de la qualité. |
 |
ISO/IEC 27001 | Microsoft est certifié pour son implémentation en matière des normes de gestion de la sécurité des informations. |
 |
ISO/IEC 27018 | Microsoft a été le premier fournisseur de cloud à adhérer à ce code de conduite pour la confidentialité du cloud. |
 |
PCI DSS | Azure est conforme aux PCI DSS (normes de sécurité des données de l'industrie des cartes de paiement) Niveau 1 version 3.1. |
 |
Rapports SOC 1 et SOC 2 type 2 | Les services cloud Microsoft respectent les normes SOC (Service Organization Controls) en matière de sécurité opérationnelle. |
|
SOC 3 | Les services cloud Microsoft respectent les normes SOC (Service Organization Controls) en matière de sécurité opérationnelle. |
 |
UK G-Cloud | Le Crown Commercial Service a renouvelé la classification des services cloud Microsoft à la norme Government Cloud v6. |
Pour plus d’informations, accédez à Offres Microsoft relatives à la conformité.
Confidentialité
Vous êtes le propriétaire de vos données
Dans Defender pour le cloud Apps, vos administrateurs peuvent afficher les données personnelles identifiables stockées dans le service à partir du portail à l’aide de la barre de recherche.
Les administrateurs peuvent rechercher les métadonnées ou l’activité d’un utilisateur. En cliquant sur une entité, vous ouvrez Utilisateurs et comptes. La page Utilisateurs et comptes fournit des détails complets sur l’entité qui sont tirés des applications cloud connectées. Elle fournit également l’historique des activités de l’utilisateur et les alertes de sécurité associées à l’utilisateur.
Vous possédez vos données et vous pouvez annuler les abonnements et demander la suppression de vos données à tout moment. Si vous ne renouvelez pas votre abonnement, vos données seront supprimées selon la chronologie spécifiée dans Conditions des services en ligne.
Si vous choisissez de mettre fin au service, vous pouvez emporter vos données avec vous.
Defender pour le cloud Apps est le processeur de vos données
Defender pour le cloud Apps utilise vos données uniquement à des fins cohérentes avec la fourniture des services auxquels vous vous abonnez.
Si un gouvernement approche Microsoft pour accéder à vos données, Microsoft redirige la requête vers vous, le client, dans la mesure du possible. Microsoft a contesté des demandes légales qui n’étaient pas valides, ce qui a interdit la divulgation d’une demande publique pour les données client. En savoir plus sur les personnes qui peuvent accéder à vos données et dans quelles conditions.
Contrôles de la confidentialité
- Les contrôles de confidentialité vous aident à configurer qui, au sein de votre organisation, a accès au service et à ce qu’il peut accéder.
Mise à jour des données personnelles
Les données personnelles relatives aux utilisateurs sont dérivées de l’objet de l’utilisateur dans les applications SaaS utilisées. En raison de cela, toutes les modifications apportées au profil utilisateur dans ces applications sont reflétées dans Defender pour le cloud Apps.
Emplacement des données
Defender pour le cloud Apps opère actuellement dans les centres de données de l’Union européenne, du Royaume-Uni et du États-Unis (chacun est « Géo »). Les données client collectées par le service sont stockées au repos comme suit (a) pour les clients dont les locataires sont approvisionnés dans l’Union européenne ou au Royaume-Uni, dans l’Union européenne ou le Royaume-Uni; (b) sinon, un centre de données dans la zone géographique le plus proche de l’emplacement où le locataire Azure Active Directory du client a été approvisionné ; ou (c) si Defender pour le cloud Apps utilise un autre service en ligne Microsoft (par exemple, Azure Active Directory ou Azure CDN ) pour traiter ces données, la géolocalisation des données sera définie par les règles de stockage de données de cet autre service en ligne.
Notes
Defender pour le cloud Apps utilise des centres de données Azure dans le monde entier pour fournir des performances optimisées via la géolocalisation. Cela signifie que la session d’un utilisateur peut être hébergée en dehors d’une région particulière, en fonction des modèles de trafic et de leur emplacement. Toutefois, pour protéger votre confidentialité, aucune donnée de session n’est stockée dans ces centres de données.
En savoir plus sur la confidentialité
Transparence
Microsoft fournit une transparence sur ses pratiques :
- Partage avec vous où vos données sont stockées.
- Affirmant que vos données sont utilisées uniquement pour fournir des services convenus.
- Spécification sur la façon dont les ingénieurs Microsoft et les sous-traitants approuvés utilisent ces données pour fournir des services.
Microsoft utilise des contrôles stricts pour régir l’accès aux données client, en accordant le niveau d’accès le plus bas requis pour effectuer des tâches clés et en révoquant l’accès quand il n’est plus nécessaire.
Protection des données
Defender pour le cloud Apps applique la protection des données lors de l’inspection du contenu. Le contenu du fichier n’est pas stocké dans le centre de données Defender pour le cloud Apps. Seules les métadonnées des enregistrements de fichiers et toutes les correspondances identifiées sont stockées.
Rétention de données
Defender pour le cloud Apps conserve les données comme suit :
- Journal d’activité : 180 jours
- Données de découverte : 90 jours
- Alertes : 180 jours
- Journal de gouvernance : 120 jours
Vous pouvez en savoir plus sur les pratiques de Microsoft relatives aux données en lisant les des termes du contrat de service en ligne.
En savoir plus sur la transparence
Suppression des données personnelles
Une fois le compte d’un utilisateur supprimé d’une application cloud connectée, Defender pour le cloud Apps supprime automatiquement la copie des données dans les deux ans.
Exportation des données personnelles
Defender pour le cloud Apps vous offre la possibilité d’exporter vers CSV toutes les informations d’alerte d’utilisateur et d’alerte de sécurité.
Flux de données
Defender pour le cloud Apps vous offre la commodité d’utiliser certaines données, telles que les alertes et les activités, sans interrompre votre flux de travail de sécurité habituel. Par exemple, SecOps peut préférer afficher les alertes dans leur produit SIEM préféré tel que Microsoft Sentinel. Pour activer ces flux de travail, lors de l’intégration avec des produits Microsoft ou tiers, Defender pour le cloud Apps expose certaines données par le biais de celles-ci.
Le tableau suivant indique les données qui sont exposées pour chaque intégration de produit :
Produits Microsoft
| Produit | Données exposées | Configuration |
|---|---|---|
| Microsoft 365 Defender | Alertes et activités des utilisateurs | Activé automatiquement sur Microsoft 365 Defender lors de l’intégration |
| Microsoft Sentinel | Alertes et données de découverte | Activé dans les applications Defender pour le cloud et configurés dans Microsoft Sentinel |
| Portail de conformité Microsoft Purview | Alertes pour Office 365 | Diffusé automatiquement vers portail de conformité Microsoft Purview |
| Microsoft Defender pour le cloud | Alertes pour Azure | Activé par défaut dans Defender pour le cloud Applications ; peut être désactivé dans Microsoft Defender pour le cloud |
| API de sécurité Microsoft Graph | Alertes | Disponible via l’API de sécurité Microsoft Graph |
| Microsoft Power Automate | Alertes envoyées pour déclencher un flux automatisé | Configuré dans les applications Defender pour le cloud |
Produits tiers
| Type d'intégration | Données exposées | Configuration |
|---|---|---|
| Utilisation d’un agent SIEM | Alertes et événements | Activé et configuré dans Defender pour le cloud Apps |
| Utilisation de l’API REST Defender pour le cloud Apps | Alertes et événements | Activé et configuré dans Defender pour le cloud Apps |
| Connecteur ICAP | Fichier pour l’analyse DLP | Activé et configuré dans Defender pour le cloud Apps |
Remarque
D’autres produits peuvent ne pas appliquer Defender pour le cloud autorisations de sécurité basées sur les rôles Apps pour contrôler qui a accès aux données. Par conséquent, avant de procéder à l’intégration avec d’autres produits, assurez-vous de bien comprendre quelles sont les données envoyées au produit que vous souhaitez utiliser et qui y ont accès.
Sécurité
Chiffrement
Microsoft utilise la technologie de chiffrement pour protéger vos données au repos dans une base de données Microsoft et lorsqu’il voyage entre les appareils utilisateur et les centres de données Defender pour le cloud Apps. En outre, toutes les communications entre les applications Defender pour le cloud et les applications connectées sont chiffrées à l’aide du protocole HTTPS.
Remarque
Defender pour le cloud Apps tire parti des protocoles TLS (Transport Layer Security) 1.2+ pour fournir un chiffrement de classe optimale. Les applications clientes natives et les navigateurs qui ne prennent pas en charge TLS 1.2+ ne sont pas accessibles lorsqu’ils sont configurés avec le contrôle de session. Toutefois, les applications SaaS qui utilisent TLS 1.1 ou inférieure s’affichent dans le navigateur en utilisant TLS 1.2+ lorsqu’elles sont configurées avec Defender pour le cloud Apps.
Gestion de l’identité et de l’accès
Defender pour le cloud Apps vous permet de limiter l’accès des administrateurs au portail en fonction de la géolocalisation à l’aide de Azure Active Directory. Il est possible d’exiger une authentification multifacteur pour accéder au portail Defender pour le cloud Apps à l’aide de Azure Active Directory.
Autorisations
Defender pour le cloud Apps prend en charge le contrôle d’accès en fonction du rôle. Office 365 et Azure Active Directory rôles d’administrateur général et d’administrateur de sécurité disposent d’un accès complet aux applications Defender pour le cloud et aux lecteurs de sécurité ont accès en lecture. Pour plus d'informations.
Contrôles client pour la conformité de l’organisation
Déploiement étendu
Defender pour le cloud Apps vous permet d’étendre votre déploiement. L’étendue vous permet de régir uniquement des groupes spécifiques à l’aide d’Defender pour le cloud Apps ou d’exclure des groupes spécifiques de la gouvernance des applications Defender pour le cloud. Pour plus d'informations, consultez Déploiement étendu.
Anonymisation
Vous pouvez choisir de conserver les rapports anonymes Cloud Discovery. Une fois vos fichiers journaux chargés dans Microsoft Defender for Cloud Apps, toutes les informations de nom d’utilisateur sont remplacées par des noms d’utilisateur chiffrés. Pour des investigations de sécurité spécifiques, vous pouvez résoudre le nom d’utilisateur réel. Les données privées sont chiffrées en utilisant AES-128 avec une clé dédiée par client. Pour plus d'informations.
Sécurité et confidentialité pour les clients Defender pour le cloud Apps US Government Cloud de la communauté du secteur public High
Pour plus d’informations sur les normes de conformité des applications Defender pour le cloud et sur l’emplacement des données pour les clients de l’administration américaine Cloud de la communauté du secteur public High, consultez Enterprise Mobility + Security pour la description du service us Government.
Étapes suivantes
- Vue d’ensemble des applications Defender pour le cloud
- documentation Defender pour le cloud Apps
- S’inscrire à Defender pour le cloud Apps
Obtenez une version d’évaluation gratuite de Defender pour le cloud Apps et découvrez comment elle répond à vos défis professionnels.