Aller au contenu
La transformation numérique avec Microsoft

Les entreprises sont de plus en plus sensibles à l’importance de la sécurité des informations mais le GDPR élève cette préoccupation à un rang supérieur. Il impose aux entreprises de prendre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la perte, l’accès non autorisé ou la communication non autorisée.

Protection de vos données

La sécurité des données est un domaine complexe. Il convient d’identifier et de prendre en compte de nombreux types de risques, allant de l’intrusion physique au piratage, en passant par la malveillance d’un employé ou la perte accidentelle. L’élaboration de plans de gestion du risque et la mise en place de mesures d’atténuation du risque telles que la protection par mot de passe, les journaux d’audit et le chiffrement peuvent vous aider à garantir la conformité.

Le cloud Microsoft est conçu spécifiquement pour vous aider à comprendre les risques et à vous défendre. Il est à de nombreux égards plus sûr que les environnements informatiques sur site. Par exemple, nos centres de données sont certifiés selon des normes de sécurité reconnues internationalement, protégés par une surveillance physique 24 heures sur 24 et soumis à des contrôles d’accès stricts.

La manière dont nous sécurisons notre infrastructure de cloud n’est qu’un des aspects d’une solution de sécurité complète et chacun de nos produits, dans le cloud ou sur site, comporte des fonctionnalités de sécurité qui vous aident à sécuriser vos données.

Azure

Les services et outils d’Azure suivants peuvent vous aider à protéger des données à caractère personnel dans votre environnement de cloud :

  • Le Centre de sécurité Azure vous permet de jouir de la visibilité et du contrôle nécessaires dans le cadre de la sécurité de vos ressources Azure. Il surveille vos ressources en continu et fournit des recommandations de sécurité utiles. Il vous permet de définir des stratégies pour vos abonnements Azure et vos groupes de ressources en fonction des exigences de sécurité de votre entreprise, des types d’applications que vous utilisez et du degré de sensibilité de vos données. Il utilise également des recommandations de sécurité fondées sur des stratégies afin de guider les propriétaires de services dans la mise en oeuvre des contrôles requis, par exemple pour activer la protection contre les logiciels malveillants ou le chiffrement du disque pour vos ressources. Le Centre de sécurité vous aide aussi à déployer rapidement des services et dispositifs de sécurité fournis par Microsoft et des partenaires pour renforcer la protection de votre environnement de cloud.
  • Le chiffrement des données dans Azure sécurise vos données au repos et en transit. Vous pouvez par exemple chiffrer automatiquement vos données à l’entrée dans le Stockage Azure à l’aide de la fonctionnalité Storage Service Encryption. Vous pouvez en outre utiliser Azure Disk Encryption pour chiffrer des systèmes d’exploitation et des disques de données utilisés par les machines virtuelles Windows et Linux. Les données sont protégées en transit entre une application et Azure, de manière à ce qu’elles gardent toujours un niveau de sécurité élevé.
  • Azure Key Vault vous permet de protéger les clés de chiffrement, les certificats et les mots de passe qui contribuent à la protection de vos données. Key Vault utilise des modules de sécurité matériels (HSM) et est conçu pour vous permettre de garder le contrôle de vos clés, et par conséquent de vos données, y compris en garantissant que vos clés ne peuvent pas être visibles ni extraites par Microsoft. Vous pouvez surveiller et auditer l’utilisation de vos clés avec la journalisation Azure et importer vos journaux dans Azure HDInsight ou dans votre logiciel SIEM (Information and Event Management) pour bénéficier de capacités supplémentaires d’analyse et de détection des menaces.
  • Microsoft Antimalware pour les services cloud Azure et les machines virtuelles est une fonctionnalité de protection en temps réel gratuite qui permet d’identifier et de supprimer les virus, les logiciels espions et autres logiciels malveillants destinés au vol de données, grâce à des alertes configurables qui vous avertissent lorsque des logiciels malveillants ou indésirables connus tentent de s’installer ou de s’exécuter sur vos systèmes Azure.

Dynamics 365

Vous pouvez utiliser les concepts de sécurité pour Dynamics 365 pour protéger l’intégrité et la confidentialité des données dans une organisation Dynamics 365. Vous pouvez combiner les divisions, la sécurité basée sur les rôles, la sécurité basée sur les enregistrements et la sécurité basée sur les champs pour définir l’accès global des utilisateurs aux informations dans votre organisation Dynamics 365..

  • La sécurité basée sur des rôles dans Dynamics 365 vous permet de regrouper un ensemble de privilèges qui limitent les tâches pouvant être effectuées par un utilisateur. Il s’agit d’une fonctionnalité importante, en particulier lorsque les rôles des individus changent au sein de l’organisation.
  • La sécurité basée sur des enregistrements dans Dynamics 365 vous permet de restreindre l’accès à certains enregistrements spécifiques.
  • La sécurité au niveau des champs dans Dynamics 365 vous permet de restreindre l’accès à des champs spécifiques importants tels que les champs d’informations relatives à des personnes identifiables.

Enterprise Mobility + Security (EMS)

Dans la majorité des cas de violations des données, les auteurs des attaques obtiennent un accès au réseau d’une entreprise en profitant d’informations d’identification faibles, définies par défaut ou volées. Notre approche de la sécurité commence par la protection de l’identité à l’entrée, avec un accès conditionnel fondé sur les risques.

  • Azure Active Directory (Azure AD) dans Enterprise Mobility + Security vous aide à protéger votre entreprise au niveau des accès en gérant et en protégeant vos identités, avec et sans privilèges. Azure AD fournit une même identité protégée pour accéder à des milliers d’applications. Azure AD Premium comprend la fonctionnalité Multi-Factor Authentication (MFA), un contrôle d’accès basé sur l’état de l’appareil, la localisation de l’utilisateur, le risque au niveau de l’identité et de la connexion, ainsi que des rapports, audits et alertes de sécurité holistiques. Azure La gestion des identités privilégiées dans AD (PIM) permet de découvrir, de restreindre et de surveiller des identités disposant de privilèges et leurs accès aux ressources par l’intermédiaire d’un assistant, d’analyses et d’alertes de sécurité. Cela permet de mettre en place des scénarios tels qu’un accès à durée limitée « just in time » et « just enough administration ».

Enterprise Mobility + Security permet de bénéficier d’une visibilité accrue de l’activité des utilisateurs, des appareils et des données sur site et dans le cloud et contribue à protéger les données grâce à des contrôles et à une mise en oeuvre renforcés.

  • Azure Information Protection permet de mieux contrôler vos données tout au long de leur cycle de vie, de la création à la conservation, sur site et dans les services cloud, à la réaction aux activités imprévues, en passant par le partage interne ou externe ou encore la surveillance de la distribution des fichiers.
  • Cloud App Security offre une meilleure visibilité et des contrôles complets pour les applications SaaS (software as a service) et cloud utilisées par vos employés, de manière à vous permettre de connaître l’ensemble du contexte et de contrôler les données au moyen de stratégies granulaires.
  • Microsoft Intune fournit des fonctionnalités de gestion des périphériques mobiles, des applications mobiles et des ordinateurs depuis le cloud. En utilisant Intune, vous pouvez donner à vos employés l’accès aux applications, données et ressources de l’entreprise depuis à peu près n’importe où et sur quasiment tous les appareils, tout en contribuant à garantir un niveau de sécurité élevé des informations de l’entreprise.

Office et Office 365

La plateforme Office 365 intègre la sécurité à tous les niveaux, du développement des applications à l’accès pour les utilisateurs, en passant par les centres de données physiques. Les applications Office 365 comprennent à la fois des fonctionnalités de sécurité intégrées qui simplifient la protection des données et la flexibilité nécessaire pour vous permettre de configurer, gérer et intégrer la sécurité de manière à répondre aux besoins spécifiques de votre entreprise. Le cadre de conformité d’Office 365 comprend plus de 1 000 contrôles qui nous permettent de garder Office 365 à la pointe des normes en constante évolution du secteur, y compris plus de 50 certifications ou attestations.

De nombreux contrôles de sécurité sont disponibles par défaut. Par exemple, SharePoint et OneDrive Entreprise utilisent le chiffrement pour les données en transit et au repos. En outre, vous pouvez configurer et déployer des certificats numériques pour camoufler des données à caractère personnel, et utiliser les contrôles d’Office Access pour accorder et restreindre les accès aux données à caractère personnel.

Office 365 comprend d’autres fonctionnalités destinées à vous aider à protéger les données et à identifier les violations :

  • Secure Score vous donne des informations sur votre situation en matière de sécurité et sur les fonctionnalités disponibles pour réduire les risques tout en préservant l’équilibre entre productivité et sécurité.
  • La Protection avancée contre les menaces (ATP) pour Exchange Online contribue à protéger votre messagerie électronique contre de nouvelles attaques complexes, en temps réel. Elle vous permet également de créer des stratégies pour éviter que les utilisateurs accèdent à des pièces jointes malveillantes ou à des sites Web frauduleux via un lien contenu dans un e-mail. ATP pour Exchange Online comprend une protection contre les logiciels malveillants et les virus inconnus, une protection au moment du clic contre les URL malveillantes, ainsi que des fonctionnalités complètes de signalement et de traçage des URL.
  • La Gestion des droits relatifs à l’information (IRM) vous aide et aide vos utilisateurs à éviter que des informations sensibles soient imprimées, transmises, enregistrées, modifiées ou copiées par des personnes non autorisées. Avec IRM dans SharePoint Online, vous pouvez limiter les actions que les utilisateurs peuvent effectuer sur les fichiers qui ont été téléchargés à partir de listes ou de bibliothèques, telles que l’impression de copies des fichiers ou la copie de texte dans les fichiers. Avec IRM dans Exchange Online, vous pouvez contribuer à empêcher que des informations sensibles contenues dans des e-mails et des pièces jointes soient divulguées par courrier électronique, en ligne et hors ligne.
  • La Gestion des appareils mobiles (MDM) pour Office 365 vous permet de définir des stratégies et des règles de sécurisation et de gestion des iPhones, iPads, appareils Android et téléphones Windows inscrits de vos utilisateurs. Par exemple, vous pouvez effacer un appareil à distance et afficher des rapports détaillés sur les appareils. Office 365 utilise aussi l’authentification multi-facteurs pour offrir une sécurité supplémentaire.

SQL Server et Azure SQL Database

SQL Server et Azure SQL Database comprennent des contrôles destinés à la gestion de l’accès aux bases de données et de l’autorisation à plusieurs niveaux :

  • Le pare-feu Azure SQL Database limite l’accès aux bases de données individuelles de votre serveur Azure SQL Database en l’octroyant exclusivement aux connexions autorisées. Vous pouvez créer des règles de pare-feu au niveau du serveur et de la base de données en spécifiant les plages d’adresses IP autorisées à se connecter..
  • L’authentication SQL Server vous aide à garantir que seuls les utilisateurs autorisés disposant d’informations d’identification valides peuvent accéder à votre serveur de bases de données. SQL Server prend en charge à la fois l’authentification Windows et les connexions SQL Server. L’authentification Windows offre une sécurité intégrée et est recommandée en tant qu’option la plus sûre, le processus d’authentification étant entièrement chiffré. Azure SQL Database prend en charge l’authentification Azure Active Directory qui offre une fonctionnalité d’authentification unique et est prise en charge pour les domaines gérés et intégrés.
  • L’autorisation SQL Server vous permet de gérer les autorisations selon le principe des privilèges minimum. SQL Server et SQL Database utilisent la sécurité basée sur les rôles. Celle-ci prend en charge un contrôle granulaire des autorisations relatives aux données par l’intermédiaire de la gestion d’appartenances aux rôles et d’autorisations au niveau des objets.
  • Le masquage dynamique des données (DDM) est une fonctionnalité intégrée qui permet de limiter l’exposition des données sensibles en les masquant aux utilisateurs ou applications sans privilège. Les champs de données désignés sont masqués directement dans les résultats de la requête alors que les données de la base de données restent inchangées. Le DDM est facile à configurer et ne nécessite aucune modification de l’application. Pour les utilisateurs d’Azure SQL Database, le masquage dynamique des données permet de découvrir automatiquement des données potentiellement sensibles et suggère l’application du masquage correspondant.
  • La sécurité au niveau des lignes (RLS) est une fonctionnalité intégrée supplémentaire qui permet aux clients SQL Server et SQL Database d’appliquer des restrictions d’accès aux lignes de données. La RLS peut être utilisée pour mettre en place un accès très restreint aux lignes d’une table de base de données afin de mieux contrôler l’accès à certaines données pour les utilisateurs. Étant donné que la logique de la restriction d’accès est située dans la couche de la base de données, cette fonctionnalité simplifie considérablement la conception et la mise en oeuvre de la sécurité de l’application.

SQL Server et SQL Database offrent une puissante série de fonctionnalités intégrées qui protègent les données et identifient les violations :

  • Le chiffrement transparent des données protège les données au repos grâce au chiffrement de la base de données, des sauvegardes associées et des fichiers journaux au niveau du stockage physique. Le chiffrement est transparent pour l’application et repose sur l’accélération matérielle pour des performances accrues.
  • Le protocole Transport Layer Security (TLS) fournit une protection des données en transit sur les connexions SQL Database.
  • Always Encrypted est une fonctionnalité de pointe conçue pour protéger les données très sensibles dans les bases de données SQL Server et SQL Database. Always Encrypted permet aux clients de chiffrer des données sensibles dans des applications clientes et de ne jamais révéler les clés de chiffrement au moteur de base de données. Le mécanisme est transparent pour les applications, le chiffrement et le déchiffrement des données étant effectués de manière transparente dans un pilote client Always Encrypted.
  • L’audit SQL Database et l’audit SQL Server suivent les événements de base de données et les écrivent dans un journal d’audit. L’audit vous permet de comprendre les activités de la base de données ainsi que d’analyser et d’étudier des activités de l’historique pour identifier des menaces potentielles, d’éventuelles utilisations abusives et des violations de la sécurité.
  • La détection de menaces SQL Database Threat Detection permet de détecter les activités anormales de la base de données qui indiquent la présence potentielle de menaces de sécurité pour la base de données. Threat Detection utilise une série d’algorithmes complexes pour apprendre en continu et étudier le comportement des applications, et effectue un signalement immédiat en cas de détection d’une activité inhabituelle ou suspecte. Threat Detection peut vous aider à remplir l’exigence de signalement des violations de données prévue par le GDPR.

Windows et Windows Server

Windows 10 et Windows Server 2016 comportent un chiffrement de pointe, des technologies de protection contre les logiciels malveillants ainsi que des solutions d’identification et d’accès qui vous permettent de remplacer les mots de passe par des méthodes d’authentification plus sûres :

  • Windows Hello constitue une alternative à l’utilisation de mots de passe pratique et adaptée aux besoins des entreprises. Windows Hello utilise une méthode naturelle (biométrique) ou familière (PIN) pour valider l’identité et offre ainsi les avantages de sécurité des cartes à puce sans exiger de périphériques supplémentaires.
  • La protection antivirus Windows Defender est une puissante solution de protection contre les logiciels malveillants entièrement prête à l’emploi qui vous aide à rester protégé. Windows Defender offre une détection et une protection rapides contre les logiciels malveillants émergents et peut contribuer immédiatement à protéger vos appareils dès qu’une menace est identifiée dans n’importe quel endroit de votre environnement.
  • Device Guard vous permet de verrouiller vos appareils et serveurs afin de les protéger contre des logiciels malveillants émergents et inconnus ainsi que des menaces persistantes avancées. Contrairement aux solutions basées sur la détection telles que les programmes antivirus qui doivent être mis à jour constamment pour détecter les dernières menaces, Device Guard verrouille les appareils de manière à ce qu’ils ne puissent exécuter que les applications autorisées de votre choix et offre ainsi une méthode efficace de lutte contre les logiciels malveillants.
  • Credential Guard est une fonctionnalité qui isole vos informations secrètes (par exemple, des jetons d’authentification unique) de tout accès, même dans l’éventualité d’une menace portant sur tout le système d’exploitation Windows. Cette solution offre une protection essentielle contre les attaques difficiles à contrer telles que les attaques de type « pass the hash.
  • BitLocker Drive Encryption dans Windows 10 et Windows Server 2016 offre un chiffrement adapté aux entreprises qui permet de protéger vos données en cas de perte ou de vol d’un appareil. BitLocker assure un chiffrement complet du disque et des lecteurs flash pour empêcher les utilisateurs non autorisés d’accéder à vos données.
  • L’intervention de la Protection des informations Windows commence là où s’achève celle de BitLocker. Tandis que BitLocker protège l’intégralité du disque d’un appareil, la Protection des informations Windows protège vos données contre les utilisateurs et applications non autorisés actifs sur un appareil. Elle vous aide également à éviter que les données passent de documents d’entreprise à des documents étrangers à l’entreprise ou à des emplacements sur le web.
  • La fonctionnalité Shielded Virtual Machines vous permet d’utiliser BitLocker pour chiffrer des disques et des machines virtuelles (VM) sur Hyper-V afin d’empêcher les administrateurs piratés ou malveillants d’attaquer le contenu des VM protégées.
  • Les fonctionnalités Just Enough Administration and Just in Time Administration permettent aux administrateurs d’effectuer leurs tâches et actions normales tout en vous donnant la possibilité de limiter les fonctionnalités et le temps dont ils disposent. Si la sécurité d’un identifiant doté de privilèges est compromise, cela permet de réduire les dommages potentiels dans une large mesure. Cette technique permet de ne donner aux administrateurs que le niveau d’accès nécessaire pour leur temps de travail sur le projet.

Prochaine étape : Protection, détection et réponse