Quelles sont les pratiques de sécurité et de confidentialité des données Microsoft Defender for Cloud Apps ?

Notes

  • Nous avons renommé Microsoft Cloud App Security. C’est maintenant appelé Microsoft Defender for Cloud Apps. Dans les semaines à venir, nous allons mettre à jour les captures d’écran et les instructions ici et dans les pages associées. Pour plus d’informations sur la modification, consultez cette annonce. Pour en savoir plus sur le renommage récent des services de sécurité Microsoft, consultez le blog microsoft Ignite Security.

  • Microsoft Defender for Cloud Apps fait désormais partie de Microsoft 365 Defender. Le portail Microsoft 365 Defender permet aux administrateurs de sécurité d’effectuer leurs tâches de sécurité dans un emplacement unique. Cela simplifie les flux de travail et ajoute les fonctionnalités des autres services Microsoft 365 Defender. Microsoft 365 Defender sera l’accueil de la surveillance et de la gestion de la sécurité sur vos identités, données, appareils, applications et infrastructure Microsoft. Pour plus d’informations sur ces modifications, consultez Microsoft Defender for Cloud Apps dans Microsoft 365 Defender.

Notes

Cet article explique comment supprimer les données personnelles de l’appareil ou du service et il peut être utilisé dans le cadre de vos obligations en vertu du Règlement général sur la protection des données. Si vous recherchez des informations générales sur le RGPD, consultez la section RGPD du portail Service Trust.

Microsoft Defender for Cloud Apps est un composant essentiel de la pile Microsoft Cloud Security. Il s’agit d’une solution complète qui permet à votre organisation de tirer pleinement parti de la promesse des applications cloud. Defender pour le cloud Apps vous contrôle grâce à une visibilité, un audit et des contrôles granulaires complets sur vos données sensibles.

Defender pour le cloud Apps dispose d’outils qui vous aident à découvrir l’informatique fantôme et à évaluer les risques tout en vous permettant d’appliquer des stratégies et d’examiner les activités. Cela vous permet de contrôler l’accès en temps réel et d’arrêter les menaces afin que votre organisation puisse se déplacer en toute sécurité vers le cloud.

Conformité des applications Defender pour le cloud

Dans un monde où des violations de données et des attaques se produisent tous les jours, il est primordial que les organisations choisissent un fournisseur CASB (Cloud Access Security Broker) qui met tout en œuvre pour protéger leurs données. Defender pour le cloud Apps, comme tous les produits et services cloud Microsoft, est conçu pour répondre aux exigences rigoureuses en matière de sécurité et de confidentialité de nos clients.

Pour aider les organisations à se conformer aux exigences nationales, régionales et sectorielles régissant la collecte et l’utilisation des données des individus, Defender pour le cloud Apps fournit un ensemble complet d’offres de conformité. Les offres de conformité incluent des certifications et des attestations.

Infrastructure et offres de conformité

Defender pour le cloud Apps répond à de nombreuses normes de conformité internationales et spécifiques au secteur, y compris, mais pas limitée à :

Organisation Intitulé Description
logo csa attestation. CSA STAR Attestation Azure et Intune ont obtenu la certification CSA (Cloud Security Alliance) STAR basée sur un audit indépendant.
logo csa certification. CSA STAR Certification Azure, Intune et Power BI ont obtenu la certification CSA (Cloud Security Alliance) STAR au niveau « Gold ».
logo EU model clauses. Clauses contractuelles types de l'UE Microsoft offre des clauses contractuelles standard de l'Union européenne qui fournissent des garanties concernant les transferts de données personnelles.
logo HIPAA. HIPAA/HITECH Microsoft propose des contrats BAA (Health Insurance Portability & Accountability Act Business Associate Agreements).
logo iso 9001. ISO 9001 Microsoft est certifié pour son implémentation en matière des normes de gestion de la qualité.
logo iso 27001. ISO/IEC 27001 Microsoft est certifié pour son implémentation en matière des normes de gestion de la sécurité des informations.
logo iso 27018. ISO/IEC 27018 Microsoft a été le premier fournisseur de cloud à adhérer à ce code de conduite pour la confidentialité du cloud.
logo PCI. PCI DSS Azure est conforme aux PCI DSS (normes de sécurité des données de l'industrie des cartes de paiement) Niveau 1 version 3.1.
logo SOC. Rapports SOC 1 et SOC 2 type 2 Les services cloud Microsoft respectent les normes SOC (Service Organization Controls) en matière de sécurité opérationnelle.
logo SOC. SOC 3 Les services cloud Microsoft respectent les normes SOC (Service Organization Controls) en matière de sécurité opérationnelle.
logo g-cloud. UK G-Cloud Le Crown Commercial Service a renouvelé la classification des services cloud Microsoft à la norme Government Cloud v6.

Pour plus d’informations, accédez à Offres Microsoft relatives à la conformité.

Confidentialité

Vous êtes le propriétaire de vos données

  • Dans Defender pour le cloud Apps, vos administrateurs peuvent afficher les données personnelles identifiables stockées dans le service à partir du portail à l’aide de la barre de recherche.

  • Les administrateurs peuvent rechercher les métadonnées ou l’activité d’un utilisateur. En cliquant sur une entité, vous ouvrez Utilisateurs et comptes. La page Utilisateurs et comptes fournit des détails complets sur l’entité qui sont tirés des applications cloud connectées. Elle fournit également l’historique des activités de l’utilisateur et les alertes de sécurité associées à l’utilisateur.

  • Vous possédez vos données et vous pouvez annuler les abonnements et demander la suppression de vos données à tout moment. Si vous ne renouvelez pas votre abonnement, vos données seront supprimées selon la chronologie spécifiée dans Conditions des services en ligne.

  • Si vous choisissez de mettre fin au service, vous pouvez emporter vos données avec vous.

Defender pour le cloud Apps est le processeur de vos données

  • Defender pour le cloud Apps utilise vos données uniquement à des fins cohérentes avec la fourniture des services auxquels vous vous abonnez.

  • Si un gouvernement approche Microsoft pour accéder à vos données, Microsoft redirige la requête vers vous, le client, dans la mesure du possible. Microsoft a contesté des demandes légales qui n’étaient pas valides, ce qui a interdit la divulgation d’une demande publique pour les données client. En savoir plus sur les personnes qui peuvent accéder à vos données et dans quelles conditions.

Contrôles de la confidentialité

  • Les contrôles de confidentialité vous aident à configurer qui, au sein de votre organisation, a accès au service et à ce qu’il peut accéder.

Mise à jour des données personnelles

Les données personnelles relatives aux utilisateurs sont dérivées de l’objet de l’utilisateur dans les applications SaaS utilisées. En raison de cela, toutes les modifications apportées au profil utilisateur dans ces applications sont reflétées dans Defender pour le cloud Apps.

Emplacement des données

Defender pour le cloud Apps opère actuellement dans les centres de données de l’Union européenne, du Royaume-Uni et du États-Unis (chacun est « Géo »). Les données client collectées par le service sont stockées au repos comme suit (a) pour les clients dont les locataires sont approvisionnés dans l’Union européenne ou au Royaume-Uni, dans l’Union européenne ou le Royaume-Uni; (b) sinon, un centre de données dans la zone géographique le plus proche de l’emplacement où le locataire Azure Active Directory du client a été approvisionné ; ou (c) si Defender pour le cloud Apps utilise un autre service en ligne Microsoft (par exemple, Azure Active Directory ou Azure CDN ) pour traiter ces données, la géolocalisation des données sera définie par les règles de stockage de données de cet autre service en ligne.

Notes

Defender pour le cloud Apps utilise des centres de données Azure dans le monde entier pour fournir des performances optimisées via la géolocalisation. Cela signifie que la session d’un utilisateur peut être hébergée en dehors d’une région particulière, en fonction des modèles de trafic et de leur emplacement. Toutefois, pour protéger votre confidentialité, aucune donnée de session n’est stockée dans ces centres de données.

En savoir plus sur la confidentialité

Transparence

Microsoft fournit une transparence sur ses pratiques :

  • Partage avec vous où vos données sont stockées.
  • Affirmant que vos données sont utilisées uniquement pour fournir des services convenus.
  • Spécification sur la façon dont les ingénieurs Microsoft et les sous-traitants approuvés utilisent ces données pour fournir des services.

Microsoft utilise des contrôles stricts pour régir l’accès aux données client, en accordant le niveau d’accès le plus bas requis pour effectuer des tâches clés et en révoquant l’accès quand il n’est plus nécessaire.

Protection des données

Defender pour le cloud Apps applique la protection des données lors de l’inspection du contenu. Le contenu du fichier n’est pas stocké dans le centre de données Defender pour le cloud Apps. Seules les métadonnées des enregistrements de fichiers et toutes les correspondances identifiées sont stockées.

Rétention de données

Defender pour le cloud Apps conserve les données comme suit :

  • Journal d’activité : 180 jours
  • Données de découverte : 90 jours
  • Alertes : 180 jours
  • Journal de gouvernance : 120 jours

Vous pouvez en savoir plus sur les pratiques de Microsoft relatives aux données en lisant les des termes du contrat de service en ligne.

En savoir plus sur la transparence

Suppression des données personnelles

Une fois le compte d’un utilisateur supprimé d’une application cloud connectée, Defender pour le cloud Apps supprime automatiquement la copie des données dans les deux ans.

Exportation des données personnelles

Defender pour le cloud Apps vous offre la possibilité d’exporter vers CSV toutes les informations d’alerte d’utilisateur et d’alerte de sécurité.

Flux de données

Defender pour le cloud Apps vous offre la commodité d’utiliser certaines données, telles que les alertes et les activités, sans interrompre votre flux de travail de sécurité habituel. Par exemple, SecOps peut préférer afficher les alertes dans leur produit SIEM préféré tel que Microsoft Sentinel. Pour activer ces flux de travail, lors de l’intégration avec des produits Microsoft ou tiers, Defender pour le cloud Apps expose certaines données par le biais de celles-ci.

Le tableau suivant indique les données qui sont exposées pour chaque intégration de produit :

Produits Microsoft

Produit Données exposées Configuration
Microsoft 365 Defender Alertes et activités des utilisateurs Activé automatiquement sur Microsoft 365 Defender lors de l’intégration
Microsoft Sentinel Alertes et données de découverte Activé dans les applications Defender pour le cloud et configurés dans Microsoft Sentinel
Portail de conformité Microsoft Purview Alertes pour Office 365 Diffusé automatiquement vers portail de conformité Microsoft Purview
Microsoft Defender pour le cloud Alertes pour Azure Activé par défaut dans Defender pour le cloud Applications ; peut être désactivé dans Microsoft Defender pour le cloud
API de sécurité Microsoft Graph Alertes Disponible via l’API de sécurité Microsoft Graph
Microsoft Power Automate Alertes envoyées pour déclencher un flux automatisé Configuré dans les applications Defender pour le cloud

Produits tiers

Type d'intégration Données exposées Configuration
Utilisation d’un agent SIEM Alertes et événements Activé et configuré dans Defender pour le cloud Apps
Utilisation de l’API REST Defender pour le cloud Apps Alertes et événements Activé et configuré dans Defender pour le cloud Apps
Connecteur ICAP Fichier pour l’analyse DLP Activé et configuré dans Defender pour le cloud Apps

Remarque

D’autres produits peuvent ne pas appliquer Defender pour le cloud autorisations de sécurité basées sur les rôles Apps pour contrôler qui a accès aux données. Par conséquent, avant de procéder à l’intégration avec d’autres produits, assurez-vous de bien comprendre quelles sont les données envoyées au produit que vous souhaitez utiliser et qui y ont accès.

Sécurité

Chiffrement

Microsoft utilise la technologie de chiffrement pour protéger vos données au repos dans une base de données Microsoft et lorsqu’il voyage entre les appareils utilisateur et les centres de données Defender pour le cloud Apps. En outre, toutes les communications entre les applications Defender pour le cloud et les applications connectées sont chiffrées à l’aide du protocole HTTPS.

Remarque

Defender pour le cloud Apps tire parti des protocoles TLS (Transport Layer Security) 1.2+ pour fournir un chiffrement de classe optimale. Les applications clientes natives et les navigateurs qui ne prennent pas en charge TLS 1.2+ ne sont pas accessibles lorsqu’ils sont configurés avec le contrôle de session. Toutefois, les applications SaaS qui utilisent TLS 1.1 ou inférieure s’affichent dans le navigateur en utilisant TLS 1.2+ lorsqu’elles sont configurées avec Defender pour le cloud Apps.

Gestion de l’identité et de l’accès

Defender pour le cloud Apps vous permet de limiter l’accès des administrateurs au portail en fonction de la géolocalisation à l’aide de Azure Active Directory. Il est possible d’exiger une authentification multifacteur pour accéder au portail Defender pour le cloud Apps à l’aide de Azure Active Directory.

Autorisations

Defender pour le cloud Apps prend en charge le contrôle d’accès en fonction du rôle. Office 365 et Azure Active Directory rôles d’administrateur général et d’administrateur de sécurité disposent d’un accès complet aux applications Defender pour le cloud et aux lecteurs de sécurité ont accès en lecture. Pour plus d'informations.

Contrôles client pour la conformité de l’organisation

Déploiement étendu

Defender pour le cloud Apps vous permet d’étendre votre déploiement. L’étendue vous permet de régir uniquement des groupes spécifiques à l’aide d’Defender pour le cloud Apps ou d’exclure des groupes spécifiques de la gouvernance des applications Defender pour le cloud. Pour plus d'informations, consultez Déploiement étendu.

Anonymisation

Vous pouvez choisir de conserver les rapports anonymes Cloud Discovery. Une fois vos fichiers journaux chargés dans Microsoft Defender for Cloud Apps, toutes les informations de nom d’utilisateur sont remplacées par des noms d’utilisateur chiffrés. Pour des investigations de sécurité spécifiques, vous pouvez résoudre le nom d’utilisateur réel. Les données privées sont chiffrées en utilisant AES-128 avec une clé dédiée par client. Pour plus d'informations.

Sécurité et confidentialité pour les clients Defender pour le cloud Apps US Government Cloud de la communauté du secteur public High

Pour plus d’informations sur les normes de conformité des applications Defender pour le cloud et sur l’emplacement des données pour les clients de l’administration américaine Cloud de la communauté du secteur public High, consultez Enterprise Mobility + Security pour la description du service us Government.

Étapes suivantes

Obtenez une version d’évaluation gratuite de Defender pour le cloud Apps et découvrez comment elle répond à vos défis professionnels.