Aperçu sur le chiffrement et la gestion des clés
Quel rôle le chiffrement joue-t-il dans la protection du contenu client ?
La plupart des services cloud d’entreprise Microsoft sont multilocataires, ce qui signifie que le contenu client peut être stocké sur le même matériel physique que les autres clients. Pour protéger la confidentialité du contenu client, Microsoft services en ligne chiffrer toutes les données au repos et en transit avec certains des protocoles de chiffrement les plus puissants et les plus sécurisés disponibles.
Le chiffrement ne remplace pas les contrôles d’accès forts. La stratégie de contrôle d’accès de Microsoft ZSA (Zero Standing Access) protège le contenu client contre tout accès non autorisé par les employés de Microsoft. Le chiffrement complète le contrôle d’accès en protégeant la confidentialité du contenu client où qu’il soit stocké et en empêchant la lecture du contenu en transit entre les systèmes Microsoft services en ligne ou entre Microsoft services en ligne et le client.
Comment Microsoft services en ligne chiffrer les données au repos ?
Tout le contenu client dans Microsoft services en ligne est protégé par une ou plusieurs formes de chiffrement. Les serveurs Microsoft utilisent BitLocker pour chiffrer les lecteurs de disque contenant du contenu client au niveau du volume. Le chiffrement fourni par BitLocker protège le contenu client en cas d’expiration d’autres processus ou contrôles (par exemple, le contrôle d’accès ou le recyclage du matériel) susceptibles d’entraîner un accès physique non autorisé aux disques contenant du contenu client.
En plus du chiffrement au niveau du volume, Microsoft services en ligne utiliser le chiffrement au niveau de la couche application pour chiffrer le contenu client. Le chiffrement de service fournit des fonctionnalités de protection et de gestion des droits en plus d’une protection de chiffrement forte. Il permet également la séparation entre les systèmes d’exploitation Windows et les données client stockées ou traitées par ces systèmes d’exploitation.
Comment Microsoft services en ligne chiffre-t-il les données en transit ?
Microsoft services en ligne utiliser des protocoles de transport forts, tels que TLS (Transport Layer Security), pour empêcher des parties non autorisées d’espionner les données client pendant qu’elles se déplacent sur un réseau. Parmi les exemples de données en transit, citons les messages électroniques en cours de remise, les conversations qui ont lieu dans une réunion en ligne ou les fichiers répliqués entre les centres de données.
Pour Microsoft services en ligne, les données sont considérées comme « en transit » chaque fois que l’appareil d’un utilisateur communique avec un serveur Microsoft ou qu’un serveur Microsoft communique avec un autre serveur.
Comment Microsoft services en ligne gérer les clés utilisées pour le chiffrement ?
Le chiffrement fort est uniquement aussi sécurisé que les clés utilisées pour chiffrer les données. Microsoft utilise ses propres certificats de sécurité et les clés associées pour chiffrer les connexions TLS pour les données en transit. Pour les données au repos, les volumes protégés par BitLocker sont chiffrés avec une clé de chiffrement de volume complète, qui est chiffrée avec une clé de master de volume, qui à son tour est liée au module de plateforme sécurisée (TPM) sur le serveur. BitLocker utilise des algorithmes conformes à la norme FIPS 140-2 pour garantir que les clés de chiffrement ne sont jamais stockées ou envoyées en clair sur le réseau.
Le chiffrement de service fournit une autre couche de chiffrement pour les données client au repos, offrant aux clients deux options pour la gestion des clés de chiffrement : les clés gérées par Microsoft ou la clé client. Lors de l’utilisation de clés gérées par Microsoft, Microsoft services en ligne générer et stocker automatiquement les clés racines utilisées pour le chiffrement de service de manière sécurisée.
Les clients qui doivent contrôler leurs propres clés de chiffrement racine peuvent utiliser le chiffrement de service avec la clé client Microsoft Purview. À l’aide de la clé client, les clients peuvent générer leurs propres clés de chiffrement à l’aide d’un module de service matériel (HSM) local ou d’Azure Key Vault (AKV). Les clés racines du client sont stockées dans AKV, où elles peuvent être utilisées comme racine de l’un des trousseaux qui chiffre les données ou les fichiers de boîte aux lettres client. Les clés racines du client ne sont accessibles qu’indirectement par le code de service en ligne Microsoft pour le chiffrement des données et ne sont pas accessibles directement par les employés de Microsoft.
Réglementations externes connexes & certifications
Les services en ligne de Microsoft sont régulièrement auditées pour vérifier la conformité aux réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés au chiffrement et à la gestion des clés.
Azure et Dynamics 365
| Audits externes | Section | Date du dernier rapport |
|---|---|---|
|
ISO 27001 Déclaration d’applicabilité Certificat |
A.10.1 : Contrôles de chiffrement A.18.1.5 : Contrôles de chiffrement |
8 avril 2024 |
|
ISO 27017 Déclaration d’applicabilité Certificat |
A.10.1 : Contrôles de chiffrement A.18.1.5 : Contrôles de chiffrement |
8 avril 2024 |
|
ISO 27018 Déclaration d’applicabilité Certificat |
A.11.6 : Chiffrement des informations d’identification personnelle transmises sur des réseaux de transmission de données publics | 8 avril 2024 |
|
SOC 1 SOC 2 SOC 3 |
DS-1 : Stockage sécurisé des certificats et clés de chiffrement DS-2 : les données client sont chiffrées en transit DS-3 : Communication interne des composants Azure chiffrée en transit DS-4 : Contrôles et procédures de chiffrement |
16 août 2024 |
Microsoft 365
| Audits externes | Section | Date du dernier rapport |
|---|---|---|
| FedRAMP | SC-8 : Confidentialité et intégrité de la transmission SC-13 : Utilisation du chiffrement SC-28 : Protection des informations au repos |
21 août 2024 |
|
ISO 27001/27017 Déclaration d’applicabilité Certification (27001) Certification (27017) |
A.10.1 : Contrôles de chiffrement A.18.1.5 : Contrôles de chiffrement |
Mars 2022 |
|
ISO 27018 Déclaration d’applicabilité Certificat |
A.11.6 : Chiffrement des informations d’identification personnelle transmises sur des réseaux de transmission de données publics | Mars 2022 |
| SOC 2 | CA-44 : Chiffrement des données en transit CA-54 : Chiffrement des données au repos CA-62 : Chiffrement de boîte aux lettres par clé client CA-63 : Suppression des données de clé client CA-64 : Clé client |
23 janvier 2024 |
| SOC 3 | CUEC-16 : Clés de chiffrement client CUEC-17 : Coffre de clés client CUEC-18 : Rotation des clés client |
23 janvier 2024 |