Qu’est-ce que le chiffrement à double clé (DKE) ?
S’applique à : Chiffrement à double clé Microsoft Purview, Microsoft Purview, Azure Information Protection
Description du service pour : Microsoft Purview
Le chiffrement à double clé (DKE) vous permet de protéger vos données hautement sensibles pour répondre à des exigences spécialisées. DKE vous permet de conserver le contrôle de vos clés de chiffrement. Il utilise deux clés pour protéger les données ; une clé sous votre contrôle et une deuxième clé que vous stockez en toute sécurité dans Microsoft Azure. Vous conservez le contrôle de l’une de vos clés à l’aide du service Chiffrement à double clé. L’affichage des données protégées par le chiffrement à double clé nécessite l’accès aux deux clés.
DKE vous aide à répondre aux exigences réglementaires de plusieurs réglementations et normes telles que le Règlement général sur la protection des données (RGPD), la loi HIPAA (Health Insurance Portability and Accountability Act), la loi Gramm-Leach-Bliley (GLBA), la loi russe sur la localisation des données – Loi fédérale n° 242-FZ, la loi fédérale australienne sur la protection des données de 1988 et la loi de 1993 sur la confidentialité de la Nouvelle-Zélande.
Après avoir configuré le service DKE et vos clés, vous appliquez une protection à votre contenu hautement sensible à l’aide d’étiquettes de confidentialité.
Scénarios de déploiement pris en charge
DKE prend en charge plusieurs configurations différentes, notamment les déploiements cloud et locaux. Ces déploiements permettent de garantir que les données chiffrées restent opaques où que vous les stockiez.
Vous pouvez héberger le service chiffrement à double clé utilisé pour demander votre clé à l’emplacement de votre choix (serveur de gestion de clés local ou dans le cloud). Vous gérez le service comme vous le feriez pour toute autre application. Le chiffrement à double clé vous permet de contrôler l’accès au service Chiffrement à double clé. Vous pouvez stocker vos données hautement sensibles localement ou les déplacer vers le cloud. Le chiffrement à double clé vous permet de stocker vos données et votre clé dans le même emplacement géographique.
Pour plus d’informations sur les clés racine de locataire par défaut basées sur le cloud, consultez Planification et implémentation de votre clé de locataire Azure Information Protection.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment les fonctionnalités supplémentaires de Purview peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’essais du portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Quand votre organisation doit adopter DKE
DKE n’est pas destiné à toutes les organisations, ni à toutes vos données. Supposons qu’un paysage de données organisationnel classique a la structure suivante :
Données non sensibles (environ 80 % des données) : la plupart des données d’une organisation appartiennent à cette catégorie. Il n’y a aucun problème ou problème avec le déplacement de ces données vers le cloud aujourd’hui. Le déplacement de ces données vers le cloud peut être bénéfique et l’organisation peut utiliser la sécurité intégrée dans le cloud.
Sensible (environ 15 % des données) : les données sensibles doivent être protégées. L’organisation s’attend à ce que le fournisseur de services cloud assure la sécurité tout en améliorant la productivité de cette catégorie de données afin qu’il puisse respecter les réglementations de conformité. Vous souhaitez vous assurer que ces données sont étiquetées correctement à l’aide de Microsoft Purview Information Protection et qu’elles sont protégées par des stratégies de contrôle d’accès, de rétention et d’audit.
Très sensible (environ 5 % des données) : cet ensemble est le joyau de la couronne de l’organisation et doit être lourdement protégé. L’organisation ne souhaite pas que quiconque ait accès à ces données. Cette catégorie de données peut également avoir des exigences réglementaires pour avoir les clés dans la même région géographique que les données. Les clés peuvent également être placées sous la garde stricte de l’organisation. Ce contenu a la classification la plus élevée de votre organisation (« Top Secret ») et l’accès est limité à quelques personnes. Les données hautement sensibles sont ce que les utilisateurs malveillants recherchent. La perte de ces données peut nuire à la réputation de l’organisation et rompre la confiance avec ses clients.
Comme mentionné précédemment, le chiffrement à double clé est destiné à vos données les plus sensibles soumises aux exigences de protection les plus strictes. Vous devez faire preuve de diligence raisonnable dans l’identification des données appropriées à couvrir avec cette solution avant de le déployer. Dans certains cas, vous devrez peut-être limiter votre portée et utiliser d’autres solutions. Par exemple, pour la plupart de vos données, envisagez Microsoft Purview Information Protection avec des clés gérées par Microsoft ou apportez votre propre clé (BYOK). Ces solutions sont suffisantes pour les documents qui ne sont pas soumis à des protections améliorées et à des exigences réglementaires. En outre, ces solutions vous permettent d’utiliser les services Microsoft 365 les plus puissants ; services que vous ne pouvez pas utiliser avec du contenu chiffré DKE. Par exemple :
- Règles de flux de messagerie, y compris les logiciels anti-programmes malveillants et les courriers indésirables qui nécessitent une visibilité sur la pièce jointe
- Microsoft Delve
- eDiscovery
- Recherche et indexation de contenu
- Office Web Apps, y compris la fonctionnalité de co-création
- Copilot
Les données chiffrées DKE ne sont pas accessibles au repos aux services Microsoft 365, y compris Copilot. Lorsque vous utilisez vos données chiffrées DKE dans Office, les données ne sont toujours pas accessibles à Copilot et vous ne pouvez pas utiliser Copilot dans les applications lorsque vous utilisez des données chiffrées DKE.
Les applications ou services externes qui ne sont pas intégrés à DKE via le Kit de développement logiciel (SDK) Microsoft Information Protection ne peuvent pas effectuer d’actions sur les données chiffrées. Microsoft Information Protection SDK 1.7+ prend en charge le chiffrement à double clé. Les applications qui s’intègrent à notre SDK peuvent raisonner sur ces données avec des autorisations et des intégrations suffisantes en place.
Lorsque vos données chiffrées DKE sont utilisées dans une application Office, elles peuvent être accessibles à d’autres services Microsoft 365, selon votre version d’Office :
Dans les dernières versions d’Office, les données chiffrées DKE en cours d’utilisation ne sont pas non plus accessibles aux services Microsoft 365. Étant donné que cette modification a été déployée en même temps que le contrôle de confidentialité distinct pour les étiquettes de confidentialité qui empêche l’envoi de contenu étiqueté aux expériences connectées à des fins d’analyse, vous pouvez identifier les versions minimales d’Office à l’aide du tableau de fonctionnalités et de la ligne Empêcher les expériences connectées qui analysent le contenu.
Dans les versions précédentes d’Office, les données chiffrées DKE en cours d’utilisation sont accessibles aux services Microsoft 365, sauf si vous utilisez un paramètre de stratégie pour désactiver les expériences connectées qui analysent le contenu. Pour pls d’informations, consultez Utiliser les paramètres de stratégie pour gérer les contrôles de confidentialité des Applications Microsoft 365 Apps for enterprise.
Utilisez les fonctionnalités de Protection des informations Microsoft Purview (classification et étiquetage) pour protéger la plupart de vos données sensibles et utilisez uniquement DKE pour vos données stratégiques. Le chiffrement à double clé est pertinent pour les données sensibles dans des secteurs hautement réglementés tels que les services financiers et les soins de santé.
Si vos organisations ont l’une des exigences suivantes, vous pouvez utiliser DKE pour sécuriser votre contenu :
- Vous avez des exigences réglementaires pour conserver les clés dans une limite géographique.
- Toutes les clés que vous possédez pour le chiffrement et le déchiffrement des données sont conservées dans votre centre de données.
Workflow de chiffrement DKE
Cette section divise le flux de travail en étapes distinctes pour illustrer la façon dont deux clés sont utilisées pour protéger un document Office.
Étape 1 : Démarrage
Le client Microsoft Office effectue des tâches de configuration de démarrage et envoie des demandes et des informations au service Azure Information Protection. Ce processus est également appelé bootstrapping. Les tâches incluent l’autorisation de l’utilisateur à l’aide de l’ID Microsoft Entra, le téléchargement de certificats et de modèles, etc. Les tâches de démarrage sont des tâches de première connexion et de démarrage qui permettent à l’utilisateur d’accéder aux stratégies de chiffrement Azure Rights Management.
Étape 2 : Collecter et mettre en cache la clé publique Azure Rights Management
L’application Office récupère la clé publique à partir d’Azure Key Vault dans le service de protection des informations en fonction de l’utilisateur autorisé à l’aide de l’ID Microsoft Entra. Une fois collecté, le client met la clé en cache pendant 30 jours par défaut. Une fois mis en cache, le client n’a pas besoin de démarrer à nouveau dans le service Azure Rights Management jusqu’à l’expiration de la clé. En tant qu’administrateur, vous pouvez configurer une autre période de mise en cache pour Azure Rights Management. Vous devez définir une période de cache pour cette clé ou accepter la valeur par défaut de 30 jours. Sans période de cache, la publication hors connexion ne fonctionne pas.
Étape 3 : Demander la clé publique DKE
Le client Office demande votre autre clé publique auprès du service chiffrement à double clé en fonction de l’utilisateur autorisé utilisant l’ID Microsoft Entra.
Étape 4 : Collecter et mettre en cache la clé DKE
Le service Chiffrement à double clé envoie cette clé publique au client Office. Le client met en cache la clé dans l’appareil aussi longtemps que vous l’avez configurée. Contrairement à la clé d’Azure,
Vous n’avez pas besoin de configurer une période de cache pour la clé hébergée par le service Chiffrement à double clé.
Si vous souhaitez configurer une période de cache, vous pouvez la configurer lorsque vous déployez le service Chiffrement à double clé ou après le déploiement.
Étape 5 : Protéger le document avec la clé DKE
Le client Microsoft Office chiffre la partie des métadonnées qui contrôle l’accès au contenu à l’aide de votre clé publique récupérée à partir du service chiffrement à double clé.
Étape 6 : Protéger le document avec la clé Azure
Le client Microsoft Office chiffre la partie déjà chiffrée des métadonnées du document avec votre clé publique à partir d’Azure.
Les données sont désormais protégées par les deux clés.
Configuration système et licence requise pour DKE
Cette section détaille les exigences système et configuration du serveur et du client qui doivent être remplies pour que vous puissiez déployer DKE dans votre environnement.
conditions de licence pour DKE
Le chiffrement à double clé est fourni avec Microsoft 365 E5. Si vous n’avez pas de licence Microsoft 365 E5, vous pouvez vous inscrire à un essai. Pour plus d’informations sur ces licences, consultez Guide de gestion des licences Microsoft 365 pour la sécurité & la conformité.
Le service Azure Rights Management est requis pour DKE
DKE fonctionne avec les étiquettes de confidentialité et nécessite un chiffrement avec la gestion des droits de Microsoft Purview Information Protection.
Exigences d’étiquetage DKE pour les applications Office
Utilisez des étiquettes de confidentialité intégrées aux applications Office pour prendre en charge DKE dans Word, Excel, PowerPoint et Outlook. Pour les versions prises en charge, consultez les tables de fonctionnalités et la ligne Chiffrement à double clé (DKE).
DKE sur les ordinateurs clients
Les utilisateurs appliquent des étiquettes de confidentialité DKE via ces interfaces.
Étiquetage de confidentialité dans les applications Windows Office
Étiqueteur de fichiers Microsoft Purview Information Protection dans l’Explorateur de fichiers Windows
Microsoft Purview Information Protection PowerShell
Scanneur Microsoft Purview Information Protection
Installez les prérequis sur chaque ordinateur client sur lequel vous souhaitez protéger et consommer des documents protégés.
Environnements pris en charge pour le stockage et l’affichage de contenu protégé par DKE
Applications prises en charge. Microsoft 365 Apps pour les clients d’entreprise sur Windows, notamment Word, Excel, PowerPoint et Outlook.
Prise en charge du contenu en ligne. Vous pouvez stocker des documents et des fichiers protégés par le chiffrement à double clé en ligne dans SharePoint et OneDrive. Vous devez étiqueter et protéger les documents et les fichiers avec DKE par les applications prises en charge avant de les charger vers ces emplacements. Vous pouvez partager du contenu chiffré par e-mail, mais vous ne pouvez pas afficher de documents et de fichiers chiffrés en ligne. Au lieu de cela, vous devez afficher le contenu protégé à l’aide des applications de bureau et des clients pris en charge sur votre ordinateur local.
Scénarios d’étiquetage en dehors des applications Office. Appliquez des étiquettes DKE en dehors des applications Office à l’aide de l’étiqueteur de fichiers Microsoft Purview Information Protection dans les options de clic droit de l’Explorateur de fichiers, des applets de commande PowerShell d’étiquetage Microsoft Purview Information Protection ou du scanneur Microsoft Purview Information Protection.
Scénarios Chiffrement uniquement et Ne pas transférer. Encrypt Only et Do Not Forward ne sont pas pris en charge avec DKE.