Il y a quelques mois, nous avons parlé de l'importance de la sécurité et de la confidentialité au moment du COVID (v.articolo) mettant en évidence certains aspects éthiques et sociaux des technologies numériques.
Essayons maintenant d'approfondir certains points relatifs à la suite du moment, en renvoyant le lecteur le plus curieux vers le site Trust Center où vous pouvez trouver toutes les informations pertinentes.
L'un des problèmes que je dois de plus en plus traiter avec nos clients est le traitement des données personnelles.
Microsoft traite les données personnelles conformément aux dispositions de l'Addendum relatif à la protection des données personnelles des services en ligne («DPA») disponible sur le lien https://aka.ms/DPA. En particulier, la DPA précitée prévoit que Microsoft joue le rôle de responsable du traitement des données personnelles et constitue l'accord qui lie le responsable au responsable du traitement conformément à l'art. 28 paragraphe 3) du règlement général sur la protection des données - Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016 (RGPD).
Les conditions du RGPD de Microsoft reflètent les engagements exigés par les sous-traitants à l'article 28. L'article 28 exige que les sous-traitants s'engagent à:
- N'utilisez que des gestionnaires secondaires avec le consentement du propriétaire et soyez responsable d'eux.
- Traiter les données personnelles exclusivement selon les instructions du propriétaire, y compris en ce qui concerne le transfert.
- Assurez-vous que les personnes qui traitent vos données personnelles respectent la confidentialité.
- Mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau approprié de sécurité des données personnelles en fonction du risque.
- Aider les propriétaires avec les obligations connexes de répondre aux demandes des parties intéressées d'exercer leurs droits en vertu du RGPD.
- Répondez aux exigences de notification et d'assistance en cas de violation
- Aider les responsables du traitement avec des analyses d'impact sur la protection des données et des conseils avec les autorités compétentes.
- Supprimer ou renvoyer les données personnelles à la fin de la prestation de services.
- Soutenez le propriétaire avec une preuve de conformité avec le RGPD.
Chiffrement des données et utilisation du réseau
Prenons les équipes comme un élément d'analyse. L'utilisation de Teams qui, rappelons-le, fait partie intégrante de la plateforme O365, et plus généralement de tous les services cloud de Microsoft, à savoir Azure, Dynamics 365 et O365 lui-même, ne nécessite pas forcément un VPN dédié pour les connexions à distance.
Microsoft Teams exploite les protocoles TLS et MTLS qui fournissent des communications cryptées et une authentification des points de terminaison sur Internet. Teams utilise les deux protocoles pour créer le réseau de serveurs approuvés et pour garantir que toutes les communications sur ce réseau sont chiffrées. Toutes les communications entre les serveurs se produisent sur MTLS. Les communications client-serveur SIP restantes ou héritées se produisent via TLS.
TLS permet aux utilisateurs, via leur logiciel client, d'authentifier les serveurs Teams, dans les centres de données Microsoft, auxquels ils se connectent. Dans une connexion TLS, le client demande un certificat valide au serveur. Pour être valide, le certificat doit avoir été émis par une autorité de certification également approuvée par le client et le nom DNS du serveur doit correspondre au nom DNS sur le certificat. Si le certificat est valide, le client utilise la clé publique du certificat pour chiffrer les clés de chiffrement symétriques à utiliser pour la communication, de sorte que seul le propriétaire d'origine du certificat peut utiliser sa clé privée pour déchiffrer le contenu de la communication. La connexion résultante est fiable et n'est pas contestée par d'autres serveurs ou clients de confiance par la suite.
Les connexions de serveur à serveur reposent sur Mutual TLS (MTLS) pour l'authentification mutuelle. Sur une connexion MTLS, le serveur générant un message et le serveur qui le reçoit échangent des certificats d'une autorité de certification mutuellement approuvée. Les certificats prouvent l'identité de chaque serveur à l'autre. Dans le service Teams, cette procédure est suivie.
TLS et MTLS aident à prévenir à la fois les attaques d'interception et les attaques d'interception.
Dans une attaque de type "homme du milieu", l'attaquant dirige les communications entre deux entités du réseau via l'ordinateur de l'attaquant à l'insu de l'une ou l'autre des parties. La spécification TLS et Teams des serveurs de confiance atténue le risque d'attaque d'intermédiaire en partie sur la couche application en utilisant un chiffrement coordonné, via un chiffrement à clé publique entre les deux points de terminaison. Un attaquant devrait avoir un certificat valide et de confiance avec la clé privée correspondante et émis au nom du service avec lequel le client communique pour décrypter la communication.
Le tableau présente les types de trafic:
Type de trafic |
Crypté par |
Serveur à serveur |
Extension MTLS |
Client à serveur (par exemple, messagerie instantanée et présence) |
TLS |
Flux multimédia (par exemple, partage audio et vidéo de contenu multimédia) |
TLS |
Partage audio et vidéo de contenu multimédia |
SRTP / TLS |
Segnalazione |
TLS |
Systèmes d'authentification et d'autorisation
La «salle virtuelle» est une réunion d'équipes et à ce titre respecte les mêmes normes de sécurité. Les normes de sécurité sont basées sur celles d'O365 qui est la plateforme dont Team fait partie intégrante. Il est erroné de considérer la sécurité du produit du point de vue de l'authentification car celle-ci est définie au niveau de la plateforme.
Les activités d'accès de la «salle virtuelle» et de la réunion Teams sont suivies à travers des journaux accessibles par les utilisateurs administratifs désignés par l'organisation.
Teams est un service Cloud et les serveurs sont situés dans les datacenters de Microsoft.
Données et métadonnées
Les données collectées au sein du locataire, c'est-à-dire l'environnement créé lorsqu'une organisation souscrit aux services O365, sont accessibles par les Administrateurs désignés par l'Administration, via le "Centre de sécurité Microsoft 365" qui comprend:
- Accueil: une vue d'ensemble de l'état de sécurité global de l'organisation.
- Opérations interdites: consultez l'historique plus large d'une attaque en connectant les points affichés sur les alertes d'entités individuelles. Vous pouvez savoir exactement où une attaque a été lancée, quels appareils sont affectés, quels sont les effets et où la menace est allée.
- Alertes: bénéficiez d'une plus grande visibilité sur toutes les alertes de l'environnement Microsoft 365, y compris les alertes de Microsoft Cloud App Security, Office 365 ATP, Azure AD, Azure ATP et Microsoft Defender ATP. Disponible pour les clients E3 et E5.
- Centre d'action: réduisez le volume d'alertes auxquelles l'équipe de sécurité doit répondre manuellement, ce qui permet à l'équipe des opérations de sécurité de se concentrer sur des menaces plus sophistiquées et d'autres initiatives de grande valeur.
- Rapports - Affichez les détails et les informations dont vous avez besoin pour mieux protéger vos utilisateurs, appareils, applications, etc.
- Secure Score: optimise le niveau de sécurité global avec Microsoft Secure Score. Un résumé de toutes les fonctions de sécurité et fonctionnalités activées est fourni et des suggestions sont disponibles pour améliorer les zones.
- Recherche avancée: recherche proactive des logiciels malveillants, des fichiers suspects et de l'activité dans l'organisation Microsoft 365.
- Classification - Protégez la perte de données en ajoutant des étiquettes pour classer les documents, les e-mails, les documents, les sites, etc. Lorsqu'une étiquette est appliquée (automatiquement ou par l'utilisateur), le contenu ou le site est protégé selon les paramètres sélectionnés. Par exemple, vous pouvez créer des étiquettes pour crypter des fichiers, ajouter une indication de contenu et contrôler l'accès des utilisateurs à des sites spécifiques.
- Stratégies - Ajoutez des stratégies pour gérer les appareils, vous protéger contre les menaces et recevoir des alertes sur diverses activités de l'organisation.
- Autorisations: gérez les personnes de votre organisation qui ont accès à Microsoft 365 Security Center pour afficher son contenu et effectuer des tâches. Vous pouvez également attribuer des autorisations Microsoft 365 dans le portail Azure AD.
Il est également possible de définir un accès granulaire aux fonctions du «Security & Compliance Center».
Les administrateurs globaux, nommés par l'organisation, ont accès aux fonctions du «Security & Compliance Center»; C'est l'une des raisons pour lesquelles il est important de protéger adéquatement les administrateurs globaux, de les dissocier des activités des utilisateurs (nous recommandons donc de ne pas attribuer de licence Office 365 à ces administrateurs) et de les utiliser uniquement lorsque cela est nécessaire.
Où se trouvent les serveurs qui stockent les données?
Lors de la souscription au service, un «Tenant» est associé pour chaque Administration / Client, c'est-à-dire l'unité logique qui contient toutes les données et configurations d'administration.
L'un des principaux avantages du cloud computing est le concept d'une infrastructure commune partagée entre de nombreux clients en même temps, ce qui conduit à des économies d'échelle. Ce concept est appelé multi-tenant. Microsoft garantit que les architectures de services cloud multi-locataires prennent en charge les normes de sécurité, de confidentialité, de confidentialité, d'intégrité et de disponibilité au niveau de l'entreprise.
Sur la base des investissements importants et de l'expérience acquise dans le cadre du cycle de vie informatique fiable et du développement de la sécurité, les services cloud de Microsoft ont été conçus en partant du principe que tous les locataires sont potentiellement hostiles à tous les autres locataires et que des mesures de sécurité ont été mises en œuvre pour empêcher les actions d'un locataire d'affecter la sécurité ou le service d'un autre locataire.
Les deux principaux objectifs pour maintenir l'isolement des locataires dans un environnement multi-locataires sont:
- Empêcher les fuites ou les accès non autorisés au contenu client entre les locataires; est
- Empêcher les actions d'un locataire d'affecter négativement le service d'un autre locataire
Office 365 a mis en œuvre plusieurs formes de protection pour empêcher les clients de compromettre les services ou applications Office 365 ou d'obtenir un accès non autorisé aux informations d'autres locataires ou du système Office 365 lui-même, notamment:
- L'isolement logique du contenu client au sein de chaque client pour les services Office 365 est obtenu via l'autorisation Azure Active Directory et le contrôle d'accès basé sur les rôles.
- SharePoint Online fournit des mécanismes d'isolation des données au niveau du stockage.
- Microsoft utilise une sécurité physique stricte, un filtrage en arrière-plan et une stratégie de cryptage multicouche pour protéger la confidentialité et l'intégrité du contenu des clients. Tous les centres de données Office 365 disposent de contrôles d'accès biométriques, la plupart des impressions Palm nécessitant un accès physique.
- Office 365 utilise des technologies côté service qui chiffrent le contenu des clients au repos et en transit, notamment BitLocker, le chiffrement de fichiers, Transport Layer Security (TLS) et Internet Protocol Security (IPsec).
Ensemble, les protections répertoriées ci-dessous offrent des contrôles d'isolement logique robustes qui fournissent une protection contre les menaces et une atténuation équivalentes à celles fournies par l'isolation physique seule.
Localisation des données
Concernant la géolocalisation des services, les coordonnées relatives aux locataires de la zone géographique Europe sont présentées ci-dessous:
► OneDrive Entreprise / SharePoint Online / Skype Entreprise / Azure Active Directory / Microsoft Teams / Planner / Yammer / OneNote Services / Stream / Forms:
- Irlande
- Pays-Bas
► Exchange Online / Office Online / Office Mobile / EOP / MyAnalytics:
- Autriche
- Finlande
- Irlande
- Pays-Bas
Les clients peuvent afficher des informations sur l'emplacement des données spécifiques aux locataires dans le centre d'administration Office 365 sous Paramètres | Profil de l'organisation | Onglet Chemin des données.
Bien sûr, cela ne s'arrête pas là. Il reste encore beaucoup à dire sur la sécurité des systèmes Microsoft, je parlerai donc bientôt de la gestion de la sécurité des données dans le cloud.