Sécurité dans Dynamics 365

Microsoft Dynamics 365 et Microsoft Power Platform sont des services de type logiciel-service (SaaS) basés sur un abonnement et hébergés dans les centres de données Microsoft Azure. Ces services en ligne sont conçus pour fournir les performances, l’évolutivité, la sécurité, les capacités de gestion et les niveaux de service requis pour les applications et les systèmes critiques utilisés par les entreprises.

Chez Microsoft, la confiance est un point central pour la prestation de services, les engagements contractuels et l’accréditation pour le secteur, c’est pourquoi nous avons adopté l’Initiative dans le nuage de confiance. L’initiative dans le nuage de confiance est un programme du groupe du secteur dans le nuage Security Alliance (CSA) créé pour aider les fournisseurs de services dans le nuage à développer des configurations et des pratiques de gestion des identités, des accès et de la conformité recommandées, sécurisées et interopérables. Cet ensemble d’exigences, de directives et de processus contrôlés garantit que nous fournissons nos services dans le nuage avec les normes les plus élevées en matière de support technique, juridique et de conformité. Notre objectif consiste à maintenir l’intégrité des données dans le nuage, qui est régie par les trois principes clés suivants :

Sécurité : vous protéger des cybermenaces. Confidentialité : vous permet de contrôler l’accès à vos données. Conformité : investissement inégalé pour respecter les normes mondiales.

Chez Microsoft, notre approche de la sécurisation des informations de nos clients implique un cadre de contrôle de la sécurité composé de technologies, de procédures opérationnelles et de politiques qui répondent aux dernières normes mondiales et peuvent s’adapter rapidement aux tendances de sécurité et aux besoins spécifiques au secteur. De plus, nous fournissons un ensemble d’outils gérés par le client qui s’adaptent à l’organisation et à ses besoins de sécurité. Utilisez le Centre de sécurité et de conformité de Microsoft 365 pour suivre les activités des utilisateurs et des administrateurs, les menaces de logiciels malveillants, les incidents de perte de données, etc. Le tableau de bord Rapports est utilisé pour les rapports à jour liés aux fonctionnalités de sécurité et de conformité de votre organisation. Vous pouvez utiliser les rapports Microsoft Entra pour rester informé des activités de connexion inhabituelles ou suspectes.

Remarque

Azure Active Directory est désormais Microsoft Entra ID. En savoir plus

Notre politique de sécurité définit les règles et les exigences de sécurité de l’information pour l’environnement de service. Microsoft effectue des examens périodiques du système de gestion de la sécurité des informations (ISMS) et les résultats sont examinés avec les responsables informatiques. Ce processus implique la surveillance continue de l’efficacité et de l’amélioration de l’environnement de contrôle du SMSI en examinant les problèmes de sécurité, les résultats d’audit et le suivi de l’état, ainsi qu’en planifiant et en suivant les actions correctives nécessaires.

Ces contrôles incluent :

• Limites physiques et logiques du réseau avec des politiques de contrôle des modifications strictement appliquées.
• Répartition des tâches qui nécessitent un besoin métier d’accéder à un environnement.
• Accès physique et logique très restreint à l’environnement dans le nuage.
• Des contrôles stricts basés sur les pratiques Microsoft Security Development Lifecycle et Operational Security Assurance qui définissent les pratiques de codage, les tests de qualité et la promotion du code.
• Sensibilisation et formation continues à la sécurité, à la confidentialité et aux pratiques de codage sécurisé.
• Enregistrement et vérification continus des accès au système.
• Audits de conformité réguliers pour garantir l’efficacité des contrôles.

Pour aider à lutter contre les menaces émergentes et évolutives, Microsoft utilise une stratégie innovante de type « supposer une violation » et fait appel à des groupes hautement spécialisés d’experts en sécurité connus sous le nom d’équipe rouge pour renforcer la détection, la réponse et la défense des menaces pour ses services d’entreprise dans le nuage. Microsoft utilise l’équipe rouge et les tests de site en direct par rapport à l’infrastructure dans le nuage gérée par Microsoft pour simuler des violations du monde réel, effectuer une surveillance continue de la sécurité et pratiquer la réponse aux incidents de sécurité pour valider et améliorer la sécurité des services en ligne.

L’équipe de sécurité Microsoft Cloud effectue de fréquentes analyses internes et externes pour identifier les vulnérabilités et évaluer l’efficacité du processus de gestion des correctifs. Les services sont analysés pour détecter les vulnérabilités connues ; de nouveaux services sont ajoutés à la prochaine analyse trimestrielle chronométrée, en fonction de leur date d’inclusion, et suivent un calendrier d’analyse trimestriel par la suite. Ces analyses sont utilisées pour garantir la conformité avec les modèles de configuration de base, valider l’installation des correctifs pertinents et identifier les vulnérabilités. Les rapports d’analyse sont examinés par le personnel approprié et des mesures correctives sont rapidement prises.

Tous les ports d’E/S inutilisés sur les serveurs de production Edge sont désactivés par les configurations au niveau du système d’exploitation définies dans la configuration de sécurité de base. Des vérifications continues de la configuration sont activées pour détecter les dérives des configurations au niveau du système d’exploitation. De plus, les commutateurs de détection d’intrusion sont activés pour détecter quand un serveur est physiquement accessible.

Nous avons établi des procédures pour enquêter sur les événements malveillants détectés par le système de surveillance Microsoft et y répondre en temps opportun.

Microsoft utilise les principes de répartition des tâches et de moindre privilège dans toutes ses opérations. Pour fournir un support client pour des services sélectionnés, le personnel de support Microsoft ne peut accéder aux données client qu’avec l’autorisation explicite du client. L’autorisation est accordée sur une base « juste à temps » qui est enregistrée et auditée, puis révoquée une fois l’engagement terminé. Au sein de Microsoft, les ingénieurs d’exploitation et le personnel d’assistance qui accèdent à ses systèmes de production utilisent des PC de poste de travail renforcés avec des machines virtuelles provisionnées pour l’accès au réseau interne de l’entreprise et aux applications (telles que la messagerie électronique et l’intranet). Tous les postes de travail de gestion disposent de modules de plateforme sécurisée (TPM), leurs lecteurs de démarrage hôtes sont chiffrés avec BitLocker et ils sont joints à une unité organisationnelle spéciale dans le domaine d’entreprise principal de Microsoft.

Le renforcement du système est appliqué grâce à l’utilisation d’une politique de groupe, avec une mise à jour logicielle centralisée. Pour l’audit et l’analyse, les journaux d’événements (tels que la sécurité et AppLocker) sont collectés à partir des postes de travail de gestion et enregistrés dans un emplacement central sécurisé. De plus, des serveurs de rebond dédiés sur le réseau Microsoft qui nécessitent une authentification à deux facteurs sont utilisés pour se connecter à un réseau de production.

Étapes suivantes

Stratégie de sécurité dans les mises en œuvre de Dynamics 365
Centre de gestion de la confidentialité MicrosoftDocumentation sur la sécurité de Microsoft Power Platform
Modèle de sécurité dans Dynamics 365 Customer Engagement (on-premises)
Données de vérification et activité utilisateur pour la sécurité et la conformité