Qu’est-ce que le chiffrement à double clé (DKE) ?

S’applique à : Chiffrement à double clé Microsoft Purview, Microsoft Purview, Azure Information Protection

Description du service pour : Microsoft Purview

Le chiffrement à double clé (DKE) vous permet de protéger vos données hautement sensibles pour répondre à des exigences spécialisées. DKE vous permet de conserver un contrôle total de vos clés de chiffrement. Il utilise deux clés pour protéger les données ; une clé sous votre contrôle et une deuxième clé que vous stockez en toute sécurité dans Microsoft Azure. Vous conservez le contrôle total de l’une de vos clés à l’aide du service Chiffrement à double clé. L’affichage des données protégées par le chiffrement à double clé nécessite l’accès aux deux clés. Étant donné que les services Microsoft ne peuvent accéder qu’à la clé stockée dans Azure Key Vault, les données protégées restent inaccessibles à Microsoft, ce qui vous garantit un contrôle total sur la confidentialité et la sécurité de vos données.

DKE vous aide à répondre aux exigences réglementaires de plusieurs réglementations et normes telles que le Règlement général sur la protection des données (RGPD), la loi HIPAA (Health Insurance Portability and Accountability Act), la loi Gramm-Leach-Bliley (GLBA), la loi russe sur la localisation des données – Loi fédérale n° 242-FZ, la loi fédérale australienne sur la protection des données de 1988 et la loi de 1993 sur la confidentialité de la Nouvelle-Zélande.

Après avoir configuré le service DKE et vos clés, vous appliquez une protection à votre contenu hautement sensible à l’aide de l’étiquetage de confidentialité intégré dans les applications Office.

Pour plus d’informations sur l’utilisation de DKE avec les applications Office, consultez les tableaux des fonctionnalités et la ligne Double Key Encryption (DKE).

Attention

Vous pouvez continuer à utiliser le client d’étiquetage unifié Azure Information Protection pour l’instant, mais cette méthode sera déconseillée à l’avenir.

Scénarios de déploiement pris en charge

DKE prend en charge plusieurs configurations différentes, notamment les déploiements cloud et locaux. Ces déploiements permettent de garantir que les données chiffrées restent opaques où que vous les stockiez.

Vous pouvez héberger le service chiffrement à double clé utilisé pour demander votre clé à l’emplacement de votre choix (serveur de gestion de clés local ou dans le cloud). Vous gérez le service comme vous le feriez pour toute autre application. Le chiffrement à double clé vous permet de contrôler l’accès au service Chiffrement à double clé. Vous pouvez stocker vos données hautement sensibles localement ou les déplacer vers le cloud. Le chiffrement à double clé vous permet de stocker vos données et votre clé dans le même emplacement géographique.

Pour plus d’informations sur les clés racines de locataire basées sur le cloud par défaut, consultez Planification et implémentation de votre clé de locataire Azure Information Protection.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Quand votre organization doit adopter DKE

DKE n’est pas destiné à tous les organization, ni à toutes vos données. Supposons qu’un paysage de données organisationnel classique a la structure suivante :

  • Données non sensibles (environ 80 % des données) : la plupart des données d’un organization appartiennent à cette catégorie. Il n’y a aucun problème ou problème avec le déplacement de ces données vers le cloud aujourd’hui. Le déplacement de ces données vers le cloud peut être bénéfique et les organization peuvent utiliser la sécurité intégrée dans le cloud.

  • Sensible (environ 15 % des données) : les données sensibles doivent être protégées. L’organisation s’attend à ce que le fournisseur de services cloud assure la sécurité tout en améliorant la productivité de cette catégorie de données afin qu’il puisse respecter les réglementations de conformité. Vous souhaitez vous assurer que ces données sont étiquetées correctement à l’aide de Protection des données Microsoft Purview et qu’elles sont protégées par des stratégies de contrôle d’accès, de rétention et d’audit.

  • Très sensible (environ 5 % des données) : cet ensemble est le joyau de la couronne de l’organization et doit être lourdement protégé. Le organization ne veut pas que quiconque, y compris un fournisseur de services cloud, ait accès à ces données. Cette catégorie de données peut également avoir des exigences réglementaires pour avoir les clés dans la même région géographique que les données. Les clés peuvent également être placées sous la garde stricte de la organization. Ce contenu a la classification la plus élevée dans votre organization (« Top Secret ») et l’accès est limité à quelques personnes. Les données hautement sensibles sont ce que les utilisateurs malveillants recherchent. La perte de ces données peut nuire à la réputation du organization et rompre la confiance avec ses clients.

Comme mentionné précédemment, le chiffrement à double clé est destiné à vos données les plus sensibles soumises aux exigences de protection les plus strictes. Vous devez faire preuve de diligence raisonnable dans l’identification des données appropriées à couvrir avec cette solution avant de le déployer. Dans certains cas, vous devrez peut-être limiter votre portée et utiliser d’autres solutions. Par exemple, pour la plupart de vos données, envisagez de Protection des données Microsoft Purview avec des clés gérées par Microsoft ou apportez votre propre clé (BYOK). Ces solutions sont suffisantes pour les documents qui ne sont pas soumis à des protections améliorées et à des exigences réglementaires. En outre, ces solutions vous permettent d’utiliser les services Microsoft 365 les plus puissants ; services que vous ne pouvez pas utiliser avec du contenu chiffré DKE. Par exemple :

  • Règles de flux de messagerie, y compris les logiciels anti-programmes malveillants et les courriers indésirables qui nécessitent une visibilité sur la pièce jointe
  • Microsoft Delve
  • eDiscovery
  • Recherche et indexation de contenu
  • Office Web Apps notamment la fonctionnalité de co-création
  • Copilote

Les applications ou services externes qui ne sont pas intégrés à DKE via le Kit de développement logiciel (SDK) Microsoft Information Protection ne peuvent pas effectuer d’actions sur les données chiffrées.

Les données chiffrées DKE ne sont pas accessibles au repos aux services Microsoft 365, y compris Copilot. Lorsque vous utilisez vos données chiffrées DKE dans Office, les données ne sont toujours pas accessibles à Copilot et vous ne pouvez pas utiliser Copilot dans les applications lorsque vous utilisez des données chiffrées DKE. Toutefois, si vous configurez votre locataire sur « Autoriser l’utilisation d’expériences connectées qui analysent le contenu », vos données sont accessibles aux services connectés qui analysent votre contenu, mais uniquement lorsque vous les utilisez. Pour plus d’informations sur ce paramètre de confidentialité, consultez Paramètre de stratégie pour les expériences connectées qui analysent le contenu. Vous pouvez configurer le paramètre pour l’ensemble du locataire ou permettre aux utilisateurs de le définir individuellement.

Microsoft Information Protection SDK 1.7+ prend en charge le chiffrement à double clé. Les applications qui s’intègrent à notre SDK peuvent raisonner sur ces données avec des autorisations et des intégrations suffisantes en place.

Utilisez Protection des données Microsoft Purview fonctionnalités (classification et étiquetage) pour protéger la plupart de vos données sensibles et utilisez uniquement DKE pour vos données stratégiques. Le chiffrement à double clé est pertinent pour les données sensibles dans des secteurs hautement réglementés tels que les services financiers et les soins de santé.

Si vos organisations ont l’une des exigences suivantes, vous pouvez utiliser DKE pour sécuriser votre contenu :

  • Vous ne souhaitez pas que Microsoft ait accès à des données protégées par lui-même.
  • Vous avez des exigences réglementaires pour conserver les clés dans une limite géographique. Toutes les clés que vous possédez pour le chiffrement et le déchiffrement des données sont conservées dans votre centre de données.

Workflow de chiffrement DKE

Cette section divise le flux de travail en étapes distinctes pour illustrer la façon dont deux clés sont utilisées pour protéger un document Office.

Étape 1 : Démarrage

Un diagramme montre l’étape 1 du flux de travail de chiffrement pour DKE, bootstrapping.

Le client Microsoft Office effectue des tâches de configuration de démarrage et envoie des demandes et des informations au service Azure Information Protection. Ce processus est également appelé bootstrapping. Les tâches incluent l’autorisation de l’utilisateur à l’aide de Microsoft Entra ID, le téléchargement de certificats et de modèles, etc. Les tâches de démarrage sont des tâches de première connexion et de démarrage qui permettent à l’utilisateur d’accéder aux stratégies de protection du service Azure Rights Management.

Étape 2 : Collecter et mettre en cache la clé publique Azure Information Protection

Un diagramme montre l’étape 2 du workflow de chiffrement pour DKE, collecter et mettre en cache la clé publique Azure.

L’application Office récupère la clé publique à partir du Key Vault Azure dans le service de protection des informations en fonction de l’utilisateur autorisé utilisant Microsoft Entra ID. Une fois collecté, le client met la clé en cache pendant 30 jours par défaut. Une fois mis en cache, le client n’a pas besoin de démarrer à nouveau dans Azure Information Protection jusqu’à l’expiration de la clé. En tant qu’administrateur, vous pouvez configurer une autre période de mise en cache dans Azure Information Protection. Vous devez définir une période de cache pour cette clé ou accepter la valeur par défaut de 30 jours. Sans période de cache, la publication hors connexion ne fonctionne pas.

Étape 3 : Demander la clé publique DKE

Un diagramme montre l’étape 3 du workflow de chiffrement pour DKE, demander la clé publique DKE.

Le client Office demande votre autre clé publique auprès du service Chiffrement à double clé en fonction de l’utilisateur autorisé utilisant Microsoft Entra ID.

Étape 4 : Collecter et mettre en cache la clé DKE

Un diagramme montre l’étape 4 du workflow de chiffrement pour DKE, collecter et mettre en cache la clé publique DKE.

Le service Chiffrement à double clé envoie cette clé publique au client Office. Le client met en cache la clé dans l’appareil aussi longtemps que vous l’avez configurée. Contrairement à la clé d’Azure,

  • Vous n’avez pas besoin de configurer une période de cache pour la clé hébergée par le service Chiffrement à double clé.

  • Si vous souhaitez configurer une période de cache, vous pouvez la configurer lorsque vous déployez le service Chiffrement à double clé ou après le déploiement.

Étape 5 : Protéger le document avec la clé DKE

Un diagramme montre l’étape 5 du flux de travail de chiffrement pour DKE, protéger le document avec la clé DKE.

Le client Microsoft Office chiffre la partie des métadonnées qui contrôle l’accès au contenu à l’aide de votre clé publique récupérée à partir du service chiffrement à double clé.

Étape 6 : Protéger le document avec la clé Azure

Un diagramme montre l’étape 6 du workflow de chiffrement pour DKE, protéger le document avec la clé Azure.

Le client Microsoft Office chiffre la partie déjà chiffrée des métadonnées du document avec votre clé publique à partir d’Azure.

Les données sont désormais protégées par les deux clés.

Configuration système et licence requise pour DKE

Cette section détaille les exigences système et configuration du serveur et du client qui doivent être remplies pour que vous puissiez déployer DKE dans votre environnement.

conditions de licence pour DKE

Le chiffrement à double clé est fourni avec Microsoft 365 E5. Si vous n’avez pas de licence Microsoft 365 E5, vous pouvez vous inscrire à un essai. Pour plus d’informations sur ces licences, consultez Guide de gestion des licences Microsoft 365 pour la sécurité & la conformité.

Azure Information Protection est requis pour DKE

DKE fonctionne avec les étiquettes de confidentialité et nécessite le service Azure Information Protection pour le chiffrement.

L’utilisation de l’étiquetage intégré dans les applications Office est la méthode recommandée. Pour plus d’informations sur la prise en charge intégrée de l’étiquetage de confidentialité dans Word, Excel, PowerPoint et Outlook, consultez les tableaux des fonctionnalités et la ligne Chiffrement à double clé (DKE).

Configuration requise pour le client d’étiquetage unifié Azure Information Protection et les applications Office pour le bureau pour DKE

Si vous choisissez d’utiliser la combinaison client d’étiquetage et Applications Office pour bureau au lieu de la méthode d’étiquetage intégrée, utilisez les informations suivantes. Cette méthode sera déconseillée à l’avenir.

  • Unified Labeling Client version 2.15.33.0 ou ultérieure. Téléchargez et installez le client d’étiquetage unifié à partir du Centre de téléchargement Microsoft.

  • Microsoft Office Apps for enterprise requirements for DKE avec le client d’étiquetage AIP version 2009 ou ultérieure (versions de bureau de Word, Excel, PowerPoint et Outlook) sur Windows.

DKE sur les ordinateurs clients

Les utilisateurs appliquent des étiquettes de confidentialité DKE via ces interfaces.

  • Étiquetage de confidentialité intégré dans les applications Office

  • Bouton de sensibilité dans le client D’étiquetage unifié AIP dans les applications de bureau Office (cette méthode sera déconseillée à l’avenir)

  • Explorateur de fichiers clic droit

  • AIP PowerShell

  • Scanneur AIP

Installez les prérequis sur chaque ordinateur client sur lequel vous souhaitez protéger et consommer des documents protégés.

Environnements pris en charge pour le stockage et l’affichage de contenu protégé par DKE

Applications prises en charge. Applications Microsoft 365 pour les grandes entreprises clients sur Windows, notamment Word, Excel, PowerPoint et Outlook.

Prise en charge du contenu en ligne. Vous pouvez stocker des documents et des fichiers protégés par le chiffrement à double clé en ligne dans SharePoint et OneDrive. Vous devez étiqueter et protéger les documents et les fichiers avec DKE par les applications prises en charge avant de les charger vers ces emplacements. Vous pouvez partager du contenu chiffré par e-mail, mais vous ne pouvez pas afficher de documents et de fichiers chiffrés en ligne. Au lieu de cela, vous devez afficher le contenu protégé à l’aide des applications de bureau et des clients pris en charge sur votre ordinateur local. Microsoft n’a pas accès à la clé que vous contrôlez dans le service DKE. Sans les deux clés, Microsoft 365 ne peut pas afficher le contenu dans un navigateur. Par conséquent, les documents chiffrés DKE ne fonctionnent pas avec Microsoft Office Online. Vous pouvez toujours charger des documents chiffrés dans SharePoint ou OneDrive. Toutefois, vos documents sont des objets blob chiffrés vers SharePoint et OneDrive.

Scénarios d’étiquetage en dehors des applications Office. Appliquez des étiquettes DKE en dehors des applications Office à l’aide du Explorateur de fichiers clic droit « Classifier & Protéger », des applets de commande PowerShell AIP ou du scanneur AIP par les administrateurs.

Scénarios Chiffrement uniquement et Ne pas transférer. Encrypt Only et Do Not Forward ne sont pas pris en charge avec DKE.