Protections et les risques de chiffrement
Microsoft suit une infrastructure de contrôle et de conformité qui se concentre sur les risques pour le service Microsoft 365 et les données client. Microsoft implémente un large ensemble de technologies et de méthodes basées sur des processus (appelées contrôles) pour atténuer ces risques. L’identification, l’évaluation et l’atténuation des risques par le biais de contrôles sont un processus continu.
L’implémentation de contrôles dans différentes couches de nos services cloud, telles que les installations, le réseau, les serveurs, les applications, les utilisateurs (tels que les administrateurs Microsoft) et les données, forme une stratégie de défense en profondeur. La clé de cette stratégie est que de nombreux contrôles différents sont implémentés dans différentes couches pour vous protéger contre les scénarios de risque identiques ou similaires. Cette approche multicouche fournit une protection de sécurité en cas de défaillance d’un contrôle pour une raison quelconque.
Certains scénarios à risque et les technologies de chiffrement actuellement disponibles qui les atténuent sont répertoriés ci-dessous. Dans de nombreux cas, ces scénarios sont également atténués via d’autres contrôles implémentés dans Office 365.
| Technologie de chiffrement | Services | Gestion des clés | Scénario de risque | Valeur |
|---|---|---|---|---|
| BitLocker | Exchange Online, SharePoint Online et Skype Entreprise | Microsoft | Les disques ou les serveurs sont volés ou recyclés de manière incorrecte. | BitLocker offre une approche de sécurité automatique pour vous protéger contre la perte de données due au vol ou au recyclage incorrect de matériel (serveur/disque). |
| Chiffrement de service | SharePoint Online, Skype Entreprise et OneDrive Entreprise; Exchange Online | Microsoft | Un pirate informatique interne ou externe tente d’accéder à des fichiers/données individuels en tant qu’objet blob. | Les données chiffrées ne peuvent pas être déchiffrées sans accès aux clés. Permet d’atténuer le risque qu’un pirate informatique accède aux données. |
| Clé client | SharePoint Online, OneDrive Entreprise, Exchange Online et Skype Entreprise | Client | N/A (Cette fonctionnalité est conçue comme une fonctionnalité de conformité, et non comme une atténuation des risques.) | Aide les clients à respecter la réglementation interne et les obligations de conformité, et la possibilité de quitter le service et de révoquer l’accès de Microsoft aux données |
| TLS entre Microsoft 365 et les clients | Exchange Online, SharePoint Online, OneDrive Entreprise, Skype Entreprise, Teams et Viva Engage | Microsoft, Client | Attaque de l’intercepteur ou autre pour appuyer sur le flux de données entre Microsoft 365 et les ordinateurs clients via Internet. | Cette implémentation apporte de la valeur à Microsoft et aux clients et garantit l’intégrité des données à mesure qu’elles circulent entre Microsoft 365 et le client. |
| TLS entre les centres de données Microsoft | Exchange Online, SharePoint Online, OneDrive Entreprise et Skype Entreprise | Microsoft | Attaque de l’intercepteur ou autre pour exploiter le flux de données client entre les serveurs Microsoft 365 situés dans différents centres de données Microsoft. | Cette implémentation est une autre méthode de protection des données contre les attaques entre les centres de données Microsoft. |
| Azure Rights Management (inclus dans Microsoft 365 ou Azure Information Protection) | Exchange Online, SharePoint Online et OneDrive Entreprise | Client | Les données tombent entre les mains d’une personne qui ne doit pas avoir accès aux données. | Azure Information Protection utilise Azure RMS, qui fournit de la valeur aux clients en utilisant des stratégies de chiffrement, d’identité et d’autorisation pour sécuriser les fichiers et les e-mails sur plusieurs appareils. Azure RMS fournit de la valeur aux clients où tous les e-mails provenant de Microsoft 365 qui correspondent à certains critères (par exemple, tous les e-mails à une certaine adresse) peuvent être automatiquement chiffrés avant d’être envoyés à un autre destinataire. |
| S/MIME | Exchange Online | Client | Email tombe entre les mains d’une personne qui n’est pas le destinataire prévu. | S/MIME fournit de la valeur aux clients en garantissant que les e-mails chiffrés avec S/MIME ne peuvent être déchiffrés que par le destinataire direct de l’e-mail. |
| Chiffrement de messages Office 365 | Exchange Online, SharePoint Online | Client | Email, y compris les pièces jointes protégées, sont entre les mains d’une personne au sein ou en dehors de Microsoft 365 qui n’est pas le destinataire prévu de l’e-mail. | OME fournit de la valeur aux clients où tous les e-mails provenant de Microsoft 365 qui correspondent à certains critères (par exemple, tous les e-mails à une certaine adresse) sont automatiquement chiffrés avant d’être envoyés à un autre destinataire interne ou externe. |
| SMTP TLS avec des organization partenaires | Exchange Online | Client | Email est intercepté via une attaque de l’intercepteur ou une autre attaque lors du transit d’un locataire Microsoft 365 vers un autre partenaire organization. | Ce scénario fournit de la valeur au client afin qu’il puisse envoyer/recevoir tous les e-mails entre son client Microsoft 365 et les organization de messagerie de son partenaire à l’intérieur d’un canal SMTP chiffré. |
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Technologies de chiffrement disponibles dans les environnements multilocataires
| Technologie de chiffrement | Implémenté par | Algorithme et force d’échange de clés | Gestion des clés* | FIPS 140-2 Validé |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES 256 bits | La clé externe AES est stockée dans un secret sécurisé et dans le registre du serveur Exchange. Secret Safe est un dépôt sécurisé qui nécessite une élévation de haut niveau et des approbations pour accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. | Oui |
| SharePoint Online | AES 256 bits | La clé externe AES est stockée dans un secret sécurisé. Secret Safe est un dépôt sécurisé qui nécessite une élévation de haut niveau et des approbations pour accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. | Oui | |
| Skype Entreprise | AES 256 bits | La clé externe AES est stockée dans un secret sécurisé. Secret Safe est un dépôt sécurisé qui nécessite une élévation de haut niveau et des approbations pour accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. | Oui | |
| Chiffrement de service | SharePoint Online | AES 256 bits | Les clés utilisées pour chiffrer les objets blob sont stockées dans la base de données de contenu SharePoint Online. La base de données de contenu SharePoint Online est protégée par des contrôles d’accès à la base de données et un chiffrement au repos. Le chiffrement est effectué à l’aide de TDE dans Azure SQL Database. Ces secrets sont au niveau du service pour SharePoint Online, et non au niveau du locataire. Ces secrets (parfois appelés clés master) sont stockés dans un dépôt sécurisé distinct appelé magasin de clés. TDE assure la sécurité au repos de la base de données active et des sauvegardes de base de données et des journaux des transactions. Lorsque les clients fournissent la clé facultative, la clé client est stockée dans Azure Key Vault, et le service utilise la clé pour chiffrer une clé de locataire, qui est utilisée pour chiffrer une clé de site, qui est ensuite utilisée pour chiffrer les clés de niveau fichier. Essentiellement, une nouvelle hiérarchie de clés est introduite lorsque le client fournit une clé. | Oui |
| Skype Entreprise | AES 256 bits | Chaque élément de données est chiffré à l’aide d’une clé de 256 bits générée de manière aléatoire différente. La clé de chiffrement est stockée dans un fichier XML de métadonnées correspondant, qui est également chiffré par une clé de master par conférence. La clé master est également générée de manière aléatoire une fois par conférence. | Oui | |
| Exchange Online | AES 256 bits | Chaque boîte aux lettres est chiffrée à l’aide d’une stratégie de chiffrement des données qui utilise des clés de chiffrement contrôlées par Microsoft ou par le client (lorsque la clé client est utilisée). | Oui | |
| TLS entre Microsoft 365 et les clients/partenaires | Exchange Online | TLS opportuniste prenant en charge plusieurs suites de chiffrement | Le certificat TLS pour Exchange Online (outlook.office.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour Exchange Online est un certificat SHA1RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui, quand TLS 1.2 avec force de chiffrement 256 bits est utilisé |
| SharePoint Online | TLS 1.2 avec AES 256 Chiffrement de données dans OneDrive Entreprise et SharePoint Online |
Le certificat TLS pour SharePoint Online (*.sharepoint.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour SharePoint Online est un certificat SHA1RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui | |
| Skype Entreprise | TLS pour les communications SIP et les sessions de partage de données PSOM | Le certificat TLS pour Skype Entreprise (*.lync.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour Skype Entreprise est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui | |
| Microsoft Teams | TLS 1.2 avec AES 256 Forum aux questions sur Microsoft Teams – Aide Administration |
Le certificat TLS pour Microsoft Teams (teams.microsoft.com, edge.skype.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour Microsoft Teams est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui | |
| TLS entre les centres de données Microsoft | Tous les services Microsoft 365 | TLS 1.2 avec AES 256 Protocole SRTP (Secure Real-Time Transport Protocol) |
Microsoft utilise une autorité de certification gérée et déployée en interne pour les communications de serveur à serveur entre les centres de données Microsoft. | Oui |
| Azure Rights Management (inclus dans Microsoft 365 ou Azure Information Protection) | Exchange Online | Prend en charge le mode de chiffrement 2, une implémentation de chiffrement RMS mise à jour et améliorée. Il prend en charge RSA 2048 pour la signature et le chiffrement, et SHA-256 pour le hachage dans la signature. | Géré par Microsoft. | Oui |
| SharePoint Online | Prend en charge le mode de chiffrement 2, une implémentation de chiffrement RMS mise à jour et améliorée. Il prend en charge RSA 2048 pour la signature et le chiffrement, et SHA-256 pour la signature. | Géré par Microsoft, qui est le paramètre par défaut ; Ou Géré par le client, qui est une alternative aux clés gérées par Microsoft. Les organisations qui disposent d’un abonnement Azure géré par l’informatique peuvent utiliser BYOK et journaliser son utilisation sans frais supplémentaires. Pour plus d’informations, consultez Implémentation d’apporter votre propre clé. Dans cette configuration, les HSM nCipher sont utilisés pour protéger vos clés. |
Oui | |
| S/MIME | Exchange Online | Syntaxe de message de chiffrement Standard 1.5 (PKCS #7) | Dépend de l’infrastructure à clé publique gérée par le client déployée. La gestion des clés est effectuée par le client, et Microsoft n’a jamais accès aux clés privées utilisées pour la signature et le déchiffrement. | Oui, lorsqu’il est configuré pour chiffrer les messages sortants avec 3DES ou AES256 |
| Chiffrement de messages Office 365 | Exchange Online | Identique à Azure RMS (Mode de chiffrement 2 - RSA 2048 pour la signature et le chiffrement, et SHA-256 pour la signature) | Utilise Azure Information Protection comme infrastructure de chiffrement. La méthode de chiffrement utilisée dépend de l’endroit où vous obtenez les clés RMS servant à chiffrer et déchiffrer les messages. | Oui |
| SMTP TLS avec des organization partenaires | Exchange Online | TLS 1.2 avec AES 256 | Le certificat TLS pour Exchange Online (outlook.office.com) est un certificat SHA-256 2048 bits avec chiffrement RSA émis par DigiCert Services cloud CA-1. Le certificat racine TLS pour Exchange Online est un certificat SHA-1 2048 bits avec chiffrement RSA émis par l’autorité de certification racine GlobalSign – R1. N’oubliez pas que, pour des raisons de sécurité, nos certificats changent de temps à autre. |
Oui, quand TLS 1.2 avec force de chiffrement 256 bits est utilisé |
*Les certificats TLS référencés dans ce tableau sont destinés aux centres de données américains ; Les centres de données non américains utilisent également des certificats SHA256RSA 2048 bits.
Technologies de chiffrement disponibles dans les environnements de la communauté cloud du secteur public
| Technologie de chiffrement | Implémenté par | Algorithme et force d’échange de clés | Gestion des clés* | FIPS 140-2 Validé |
|---|---|---|---|---|
| BitLocker | Exchange Online | AES 256 bits | La clé externe AES est stockée dans un secret sécurisé et dans le registre du serveur Exchange. Secret Safe est un dépôt sécurisé qui nécessite une élévation de haut niveau et des approbations pour accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. | Oui |
| SharePoint Online | AES 256 bits | La clé externe AES est stockée dans un secret sécurisé. Secret Safe est un dépôt sécurisé qui nécessite une élévation de haut niveau et des approbations pour accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. | Oui | |
| Skype Entreprise | AES 256 bits | La clé externe AES est stockée dans un secret sécurisé. Secret Safe est un dépôt sécurisé qui nécessite une élévation de haut niveau et des approbations pour accéder. L’accès peut être demandé et approuvé uniquement à l’aide d’un outil interne appelé Lockbox. La clé externe AES est également stockée dans le module de plateforme sécurisée sur le serveur. Un mot de passe numérique à 48 chiffres est stocké dans Active Directory et protégé par Lockbox. | Oui | |
| Chiffrement de service | SharePoint Online | AES 256 bits | Les clés utilisées pour chiffrer les objets blob sont stockées dans la base de données de contenu SharePoint Online. Les bases de données de contenu SharePoint Online sont protégées par des contrôles d’accès aux bases de données et un chiffrement au repos. Le chiffrement est effectué à l’aide de TDE dans Azure SQL Database. Ces secrets sont au niveau du service pour SharePoint Online, et non au niveau du locataire. Ces secrets (parfois appelés clés master) sont stockés dans un dépôt sécurisé distinct appelé magasin de clés. TDE assure la sécurité au repos de la base de données active et des sauvegardes de base de données et des journaux des transactions. Lorsque les clients fournissent la clé facultative, la clé client est stockée dans Azure Key Vault, et le service utilise la clé pour chiffrer une clé de locataire, qui est utilisée pour chiffrer une clé de site, qui est ensuite utilisée pour chiffrer les clés de niveau fichier. Essentiellement, une nouvelle hiérarchie de clés est introduite lorsque le client fournit une clé. | Oui |
| Skype Entreprise | AES 256 bits | Chaque élément de données est chiffré à l’aide d’une clé de 256 bits générée de manière aléatoire différente. La clé de chiffrement est stockée dans un fichier XML de métadonnées correspondant, qui est également chiffré par une clé de master par conférence. La clé master est également générée de manière aléatoire une fois par conférence. | Oui | |
| Exchange Online | AES 256 bits | Chaque boîte aux lettres est chiffrée à l’aide d’une stratégie de chiffrement des données qui utilise des clés de chiffrement contrôlées par Microsoft ou par le client (lorsque la clé client est utilisée). | Oui | |
| TLS entre Microsoft 365 et les clients/partenaires | Exchange Online | TLS opportuniste prenant en charge plusieurs suites de chiffrement | Le certificat TLS pour Exchange Online (outlook.office.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour Exchange Online est un certificat SHA1RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui, quand TLS 1.2 avec force de chiffrement 256 bits est utilisé |
| SharePoint Online | TLS 1.2 avec AES 256 | Le certificat TLS pour SharePoint Online (*.sharepoint.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour SharePoint Online est un certificat SHA1RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui | |
| Skype Entreprise | TLS pour les communications SIP et les sessions de partage de données PSOM | Le certificat TLS pour Skype Entreprise (*.lync.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour Skype Entreprise est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui | |
| Microsoft Teams | Forum aux questions sur Microsoft Teams – Aide Administration | Le certificat TLS pour Microsoft Teams (teams.microsoft.com ; edge.skype.com) est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. Le certificat racine TLS pour Microsoft Teams est un certificat SHA256RSA 2048 bits émis par Baltimore CyberTrust Root. |
Oui | |
| TLS entre les centres de données Microsoft | Exchange Online, SharePoint Online, Skype Entreprise | TLS 1.2 avec AES 256 | Microsoft utilise une autorité de certification gérée et déployée en interne pour les communications de serveur à serveur entre les centres de données Microsoft. | Oui |
| Protocole SRTP (Secure Real-Time Transport Protocol) | ||||
| service Azure Rights Management | Exchange Online | Prend en charge le mode de chiffrement 2, une implémentation de chiffrement RMS mise à jour et améliorée. Il prend en charge RSA 2048 pour la signature et le chiffrement, et SHA-256 pour le hachage dans la signature. | Géré par Microsoft. | Oui |
| SharePoint Online | Prend en charge le mode de chiffrement 2, une implémentation de chiffrement RMS mise à jour et améliorée. Il prend en charge RSA 2048 pour la signature et le chiffrement, et SHA-256 pour le hachage dans la signature. | Géré par Microsoft, qui est le paramètre par défaut ; Ou Géré par le client (également appelé BYOK), qui est une alternative aux clés gérées par Microsoft. Les organisations qui disposent d’un abonnement Azure géré par l’informatique peuvent utiliser BYOK et journaliser son utilisation sans frais supplémentaires. Pour plus d’informations, consultez Implémentation d’apporter votre propre clé. Dans le scénario BYOK, les HSM nCipher sont utilisés pour protéger vos clés. |
Oui | |
| S/MIME | Exchange Online | Syntaxe de message de chiffrement Standard 1.5 (PKCS #7) | Dépend de l’infrastructure à clé publique déployée. | Oui, lorsqu’il est configuré pour chiffrer les messages sortants avec 3DES ou AES-256. |
| Chiffrement de messages Office 365 | Exchange Online | Identique à Azure RMS (mode de chiffrement 2 - RSA 2048 pour la signature et le chiffrement, et SHA-256 pour le hachage dans la signature) | Utilise Azure RMS comme infrastructure de chiffrement. La méthode de chiffrement utilisée dépend de l’endroit où vous obtenez les clés RMS servant à chiffrer et déchiffrer les messages. Si vous utilisez Microsoft Azure RMS pour obtenir les clés, le mode de chiffrement 2 est utilisé. Si vous utilisez Active Directory (AD) RMS pour obtenir les clés, le mode de chiffrement 1 ou 2 est utilisé. La méthode utilisée dépend de votre déploiement AD RMS local. Le mode de chiffrement 1 est le processus de chiffrement d’origine AD RMS. Il prend en charge RSA 1024 pour la signature et le chiffrement, et SHA-1 pour la signature. Ce mode continue d’être pris en charge par toutes les versions actuelles de RMS, à l’exception des configurations BYOK qui utilisent des modules HSM. |
Oui |
| SMTP TLS avec des organization partenaires | Exchange Online | TLS 1.2 avec AES 256 | Le certificat TLS pour Exchange Online (outlook.office.com) est un certificat SHA-256 2048 bits avec chiffrement RSA émis par DigiCert Services cloud CA-1. Le certificat racine TLS pour Exchange Online est un certificat SHA-1 2048 bits avec chiffrement RSA émis par l’autorité de certification racine GlobalSign – R1. N’oubliez pas que, pour des raisons de sécurité, nos certificats changent de temps à autre. |
Oui, quand TLS 1.2 avec force de chiffrement 256 bits est utilisé |
*Les certificats TLS référencés dans ce tableau sont destinés aux centres de données américains ; Les centres de données non américains utilisent également des certificats SHA256RSA 2048 bits.