Chiffrement dans Microsoft Cloud

  • Article

Les données client dans les services cloud d’entreprise de Microsoft sont protégées par plusieurs technologies et processus, y compris diverses formes de chiffrement. (Les données client contenues dans ce document incluent Exchange Online contenu de boîte aux lettres, le corps du courrier électronique, les entrées de calendrier et le contenu des pièces jointes de courrier électronique, et, le cas échéant, le contenu Skype Entreprise, le contenu du site SharePoint Online et les fichiers stockés dans les sites, ainsi que les fichiers chargés vers OneDrive Entreprise ou Skype Entreprise.) Microsoft utilise plusieurs méthodes de chiffrement, protocoles et chiffrements dans l’ensemble de ses produits et services pour fournir un chemin d’accès sécurisé pour que les données client transitent par nos services cloud et pour protéger la confidentialité des données client stockées dans nos services cloud. Microsoft utilise certains des protocoles de chiffrement les plus puissants et les plus sécurisés disponibles pour fournir des barrières contre l’accès non autorisé aux données client. Une gestion appropriée des clés est également un élément essentiel des bonnes pratiques de chiffrement, et Microsoft veille à ce que toutes les clés de chiffrement gérées par Microsoft soient correctement sécurisées.

Les données client stockées dans les services cloud d’entreprise de Microsoft sont protégées à l’aide d’une ou plusieurs formes de chiffrement. (La validation de notre stratégie de chiffrement et de son application est vérifiée indépendamment par plusieurs auditeurs tiers, et les rapports de ces audits sont disponibles sur le portail d’approbation de service.)

Microsoft fournit des technologies côté service qui chiffrent les données client au repos et en transit. Par exemple, pour les données client au repos, Microsoft Azure utilise BitLocker et DM-Crypt, et Microsoft 365 utilise BitLocker, Azure Storage Service Encryption, DKM ( Distributed Key Manager ) et le chiffrement de service Microsoft 365. Pour les données client en transit, Azure, Office 365, le support commercial Microsoft, Microsoft Dynamics 365, Microsoft Power BI et Visual Studio Team Services utiliser des protocoles de transport sécurisé standard, tels que IPsec (Internet Protocol Security) et TLS (Transport Layer Security), entre les centres de données Microsoft et entre les appareils utilisateur et Centres de données Microsoft.

En plus du niveau de base de sécurité de chiffrement fourni par Microsoft, nos services cloud incluent également des options de chiffrement que vous pouvez gérer. Par exemple, vous pouvez activer le chiffrement pour le trafic entre leurs machines virtuelles Azure et leurs utilisateurs. Avec les réseaux virtuels Azure, vous pouvez utiliser le protocole IPsec standard pour chiffrer le trafic entre votre passerelle VPN d’entreprise et Azure. Vous pouvez également chiffrer le trafic entre les machines virtuelles de votre réseau virtuel. De plus, les nouvelles fonctionnalités de chiffrement de messages Office 365 vous permettent d’envoyer des messages chiffrés à n’importe qui.

Conformément à la norme de sécurité opérationnelle de l’infrastructure à clé publique, qui est un composant de la stratégie de sécurité Microsoft, Microsoft utilise les fonctionnalités de chiffrement incluses dans le système d’exploitation Windows pour les certificats et les mécanismes d’authentification. Ces mécanismes incluent l’utilisation de modules de chiffrement conformes à la norme FIPS ( Federal Information Processing Standards ) 140-2 du gouvernement américain. Vous pouvez rechercher les numéros de certificat NIST appropriés pour Microsoft à l’aide du CMVP du programme de validation de module de chiffrement.

[REMARQUE] Pour accéder à la stratégie de sécurité Microsoft en tant que ressource, vous devez vous connecter à l’aide de votre compte professionnel ou scolaire. Si vous n’avez pas encore d’abonnement, vous pouvez vous inscrire à un essai gratuit.

FIPS 140-2 est une norme conçue spécifiquement pour valider les modules de produit qui implémentent le chiffrement plutôt que les produits qui les utilisent. Les modules de chiffrement implémentés dans un service peuvent être certifiés comme répondant aux exigences en matière de force de hachage, de gestion des clés, etc. Les modules de chiffrement et les chiffrements utilisés pour protéger la confidentialité, l’intégrité ou la disponibilité des données dans les services cloud de Microsoft respectent la norme FIPS 140-2.

Microsoft certifie les modules de chiffrement sous-jacents utilisés dans nos services cloud à chaque nouvelle version du système d’exploitation Windows :

  • Azure et Azure U.S. Government
  • Dynamics 365 et Dynamics 365 U.S. Governement
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense

Le chiffrement des données client au repos est fourni par plusieurs technologies côté service, notamment BitLocker, DKM, Azure Storage Service Encryption et le chiffrement de service dans Exchange Online, Skype Entreprise, OneDrive Entreprise et SharePoint Online. Office 365 chiffrement du service inclut une option permettant d’utiliser des clés de chiffrement gérées par le client qui sont stockées dans Azure Key Vault. Cette option de clé gérée par le client, appelée Clé client, est disponible pour Exchange Online, SharePoint Online, Skype Entreprise et OneDrive Entreprise.

Pour les données client en transit, tous les serveurs Office 365 négocient des sessions sécurisées à l’aide de TLS par défaut avec les ordinateurs clients pour sécuriser les données client. Par exemple, Office 365 négociera des sessions sécurisées pour Skype Entreprise, Outlook et Outlook sur le web, les clients mobiles et les navigateurs web.

(Tous les serveurs côté client négocient avec TLS 1.2 par défaut.)

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.