Questions fréquentes (FAQ) sur la sécurité Power Platform
Les questions couramment posées sur la sécurité Power Platform se répartissent en deux catégories :
Comment Power Platform a été conçu pour aider à atténuer les 10 principaux risques de l’Open Web Application Security Project® (OWASP)
Questions posées par nos clients
Pour vous permettre de trouver plus facilement les dernières informations, de nouvelles questions sont ajoutées à la fin de cet article.
Les 10 principaux risques OWASP : Atténuations dans Power Platform
Le projet Open Web Application Security Project® (OWASP) est une fondation à but non lucratif qui s’évertue d’améliorer la sécurité des logiciels. Grâce à des projets de logiciels open source dirigés par la communauté, des centaines de chapitres dans le monde, des dizaines de milliers de membres et des conférences éducatives et de formation de premier plan, la Fondation OWASP est la source qui permet aux développeurs et aux spécialistes des technologies de sécuriser le web.
OWASP top 10 est un document de sensibilisation standard pour les développeurs et autres individus intéressés par la sécurité des applications web. Il représente un large consensus sur les risques de sécurité les plus critiques pour les applications web. Dans cette section, nous verrons comment Power Platform contribue à atténuer ces risques.
A01:2021-Broken Access Control
- Le modèle de sécurité Power Platform repose sur le droit d’accès minimal (LPA). LPA permet aux clients de créer des applications avec un contrôle d’accès plus granulaire.
- Power Platform utilise la plateforme d’identité Microsoft de Microsoft Entra ID (Microsoft Entra ID) pour l’autorisation de tous les appels d’API avec le protocole standard OAuth 2.0.
- Dataverse, qui fournit les données sous-jacentes pour Power Platform, dispose d’un modèle de sécurité riche qui inclut une sécurité au niveau de l’environnement, basée sur les rôles et au niveau des enregistrements et des champs.
A02:2021-Cryptographic Failures
Données en transit :
- Power Platform utilise TLS pour chiffrer tout le trafic réseau basé sur HTTP. Il utilise d’autres mécanismes pour chiffrer le trafic réseau non HTTP qui contient des données client ou confidentielles.
- Power Platform utilise une configuration TLS renforcée qui active HTTP Strict Transport Security (HSTS) :
- TLS 1.2 ou version ultérieure
- Suites de chiffrement basées sur ECDHE et courbes NIST
- Clés fortes
Données au repos :
- Le chiffrement des données au repos est chiffré avant d’être écrit sur un support de stockage non volatile.
Power Platform utilise les meilleures pratiques standard du secteur pour prévenir les attaques par injection, y compris :
- Utiliser des API sécurisées avec des interfaces paramétrées
- Appliquer les capacités en constante évolution des frameworks frontaux pour assainir les entrées
- Nettoyer la sortie avec validation côté serveur
- Utiliser des outils d’analyse statique au moment de la génération
- Examiner le modèle de menace de chaque service tous les six mois, que le code/la conception/l’infrastructure ait été mis à jour ou non
- Power Platform repose sur une culture et une méthodologie de conception sécurisée. La culture et la méthodologie sont constamment renforcées par les pratiques Cycle de vie du développement de la sécurité (SDL) et de modélisation des menaces de premier plan de Microsoft.
- Le processus d’évaluation robuste de la modélisation des menaces garantit que les menances sont identifiées pendant la phase de conception, réduites et validées pour s’assurer qu’elles ont été atténuées.
- La modélisation des menaces tient également compte de toutes les modifications apportées aux services qui sont déjà en ligne grâce à des examens réguliers continus. S’appuyer sur le modèle STRIDE aide à résoudre les problèmes les plus courants liés à la conception non sécurisée.
- Le SDL de Microsoft est équivalent au Modèle de maturité de l’assurance logicielle OWASP (SAMM). Les deux sont construits sur le principe que la conception sécurisée fait partie intégrante de la sécurité des applications Web.
A05:2021 Security Misconfiguration
- « Refus par défauts » est l’un des fondements des principes de conception Power Platform. Avec « Refus par défaut », les clients doivent examiner et accepter les nouvelles fonctionnalités et configurations.
- Toutes les erreurs de configuration au moment de la génération seront détectées grâce à une analyse de sécurité intégrée à l’aide des outils de développement sécurisé.
- En outre, Power Platform passe par les tests de sécurité d’analyse dynamique (DAST) à l’aide d’un service interne qui s’appuie sur les 10 principaux risques OWASP.
A06:2021 Vulnerable and Outdated Components
- Power Platform suit les pratiques SDL de Microsoft pour gérer les composants tiers et open source. Ces pratiques incluent la gestion d’un inventaire complet, de l’exécution d’analyses de sécurité, de la garantie de la mise à jour des composants et de l’alignement des composants sur un processus de réponse aux incidents de sécurité testé et éprouvé.
- Dans de rares cas, certaines applications peuvent contenir des copies de composants obsolètes en raison de dépendances externes. Cependant, une fois que ces dépendances ont été traitées conformément aux pratiques décrites précédemment, les composants sont suivis et mis à jour.
A07:2021 Identification and Authentication Failures
- Power Platform repose sur et dépend de Microsoft Entra ID pour l’identification et l’authentification.
- Microsoft Entra aide Power Platform à activer les fonctionnalités sécurisées. Ces fonctionnalités incluent l’authentification unique, l’authentification multifacteur et la plateforme unique pour interagir avec les utilisateurs internes et externes de manière plus sécurisée.
- Avec la mise en œuvre à venir par Power Platform de l'Évaluation continue de l’accès (CAE) de Microsoft Entra ID, l’identification et l’authentification des utilisateurs seront encore plus sûres et fiables.
A08:2021 Software and Data Integrity Failures
- Le processus de gouvernance des composants Power Platform garantit la configuration sécurisée des fichiers source des packages pour préserver l’intégrité des logiciels.
- Le processus garantit que seuls les packages d’origine internes servent à traiter l’attaque de substitution. L’attaque de substitution, également connue sous le nom de confusion des dépendances, est une technique qui peut être utilisée pour empoisonner le processus de création d’applications dans des environnements d’entreprise sécurisés.
- Toutes les données chiffrées bénéficient d’une protection d’intégrité appliquée avant leur transmission. Toutes les métadonnées de protection de l’intégrité présentes pour les données chiffrées entrantes sont validées.
10 principaux risques Low Code/No Code de l’OWASP : atténuations dans Power Platform
Pour obtenir des conseils sur l’atténuation des 10 principaux risques de sécurité Low Code/No Code publiés par l’OWASP, consultez ce document :
Power Platform - 10 principaux risques Low Code/No Code de l’OWASP (avril 2024)
Questions courantes des clients relatives à la sécurité
Voici certaines des questions de sécurité posées par nos clients.
Comment Power Platform aide à protéger contre les risques de détournement de clic (clicjacking) ?
Le clicjacking utilise des iframes intégrés, entre autres composants, pour détourner les interactions d’un utilisateur avec une page Web. C’est une menace importante pour les pages de connexion en particulier. Power Platform empêche l’utilisation d’iframes sur les pages de connexion, réduisant considérablement le risque de détournement de clic.
De plus, les organisations peuvent utiliser les stratégies de sécurité du contenu (CSP) pour limiter l’intégration aux domaines de confiance.
Les stratégies de sécurité du contenu sont-elles prises en charge par Power Platform ?
Power Platform prend en charge la stratégie de sécurité du contenu (CSP) pour les applications pilotées par modèle. Nous ne prenons pas en charge les en-têtes suivants qui sont remplacés par CSP :
X-XSS-ProtectionX-Frame-Options
Comment pouvons-nous nous connecter à SQL Server en toute sécurité ?
Reportez-vous à Utiliser Microsoft SQL Server en toute sécurité avec Power Apps.
Quels chiffrements sont pris en charge par Power Platform ? Quelle est la feuille de route pour évoluer continuellement vers des chiffrements plus forts ?
Tous les services et produits Microsoft sont configurés pour utiliser les suites de chiffrement approuvées, dans l’ordre exact indiqué par la carte de chiffrement Microsoft. Pour la liste complète et l’ordre exact, voir la Documentation relative à Power Platform.
Les informations relatives aux obsolescences des suites de chiffrement sont communiquées via la documentation Modifications importantes de Power Platform.
Pourquoi Power Platform prend toujours en charge les chiffrements RSA-CBC (TLS_ECDHE_RSA_with_AES_128_CBC_SHA256 (0xC027) et TLS_ECDHE_RSA_with_AES_256_CBC_SHA384 (0xC028)) qui sont considérés comme plus faibles ?
Microsoft évalue le risque relatif et la perturbation des opérations des clients dans le choix de la prise en charge des suites de chiffrement. Les suites de chiffrement RSA-CBC n’ont pas encore été brisées. Nous leur avons permis d’assurer la cohérence de nos services et produits, et de prendre en charge toutes les configurations des clients. Cependant, ces éléments figurent à la fin de notre liste de priorités.
Nous rendrons obsolètes ces chiffrements en temps voulu ; selon l’évaluation continue de la carte de chiffrement de Microsoft.
Pourquoi Power Automate expose-t-il des hachages de contenu MD5 dans les entrées et sorties de déclencheur/d’action ?
Power Automate transmet la valeur de hachage de contenu MD5 facultative renvoyée par le stockage Azure telle quelle à ses clients. Ce hachage est utilisé par le stockage Azure pour vérifier l’intégrité de la page pendant le transport en tant qu’algorithme de somme de contrôle et il n’est pas utilisé comme fonction de hachage cryptographique à des fins de sécurité dans Power Automate. Vous pouvez trouver plus de détails à ce sujet dans la documentation relative au stockage Azure sur la façon d’Obtenir les propriétés du blob et de travailler avec les En-têtes de demande.
Quelle protection offre Power Platform contre les attaques DDoS par déni de service distribué ?
Power Platform est basée sur Microsoft Azure et utilise Azure DDoS Protection pour se prémunir contre les attaques DDoS.
Est-ce que Power Platform détecte les appareils iOS jailbreakés et les périphériques Android rootés pour aider à protéger les données organisationnelles ?
Nous vous recommandons d’utiliser Microsoft Intune. Intune est une solution de gestion des appareils mobiles. Il peut aider à protéger les données organisationnelles en exigeant que les utilisateurs et les appareils répondent à certaines exigences. Pour plus d’informations, voir les Paramètres de stratégie de conformité d’Intune.
Pourquoi les cookies de session sont-ils limités au domaine parent ?
Power Platform étend les cookies de session au domaine parent pour permettre l’authentification entre les organisations. Les sous-domaines ne sont pas utilisés comme limites de sécurité. Ils n’hébergent pas non plus de contenu client.
Comment pouvons-nous définir l’expiration de la session de l’application après, disons, 15 minutes ?
Power Platform utilise la gestion des identités et des accès de Microsoft Entra ID. Elle suit la configuration recommandée de Microsoft Entra ID pour la gestion des sessions afin d’offrir une expérience utilisateur optimale.
Cependant, vous pouvez personnaliser les environnements pour avoir des délais d’expiration de session et/ou d’activité explicites. Pour plus d’informations, voir Session d’utilisateur et gestion d’accès.
Avec la mise en œuvre à venir par Power Platform de l'Évaluation continue de l’accès (CAE) de Microsoft Entra ID, l’identification et l’authentification des utilisateurs seront encore plus sûres et fiables.
L’application permet au même utilisateur d’accéder à partir de plusieurs machine ou navigateurs en même temps. Comment pouvons-nous empêcher cela ?
L’accès à l’application à partir de plusieurs machines ou navigateurs en même temps est proposé par commodité pour les utilisateurs. La mise en œuvre à venir par Power Platform de l’Évaluation continue de l’accès de Microsoft Entra ID aidera à garantir que l’accès provient de machines et de navigateurs autorisés et qu’il est toujours valide.
Pourquoi certains des services Power Platform exposent les en-têtes de serveur avec des informations détaillées ?
Les services Power Platform ont travaillé pour supprimer les informations inutiles dans l’en-tête du serveur. L’objectif consiste à équilibrer le niveau de détail avec le risque d’exposer des informations qui pourraient affaiblir la posture de sécurité globale.
Quel est l’impact des vulnérabilités Log4j sur Power Platform ? Que doivent faire les clients à cet égard ?
Microsoft a évalué qu’aucune vulnérabilité Log4j n’impacte Power Platform. Voir notre article de blog sur Prévenir, détecter et chasser l’exploitation des vulnérabilités Log4j.
Comment pouvons-nous nous assurer qu’il n’y a pas de transactions non autorisées en raison d’extensions de navigateur ou d’API client Unified Interface permettant d’activer les contrôles désactivés ?
Le modèle de sécurité de Power Apps n’inclut pas le concept de contrôles désactivés. La désactivation des contrôles est une amélioration de l’interface utilisateur. Vous ne devez pas vous fier aux contrôles désactivés pour assurer la sécurité. Au lieu de cela, utilisez des contrôles Dataverse comme la sécurité au niveau du champ pour empêcher les transactions non autorisées.
Quels en-têtes de sécurité HTTP sont utilisés pour protéger les données de réponse ?
| Nom | Informations |
|---|---|
| Sécurité du transport stricte | Ceci est défini sur max-age=31536000; includeSubDomains sur toutes les réponses. |
| X-Frame-Options | Cette option est obsolète au profit de ce CSP. |
| X-Content-Type-Options | Ceci est défini sur nosniff sur toutes les réponses de ressources. |
| Content-Security-Policy | Ceci est défini si l’utilisateur active le CSP. |
| X-XSS-Protection | Cette option est obsolète au profit de ce CSP. |
Où puis-je trouver Power Platform ou des tests de pénétration Dynamics 365 ?
Les derniers tests de pénétration et les dernières évaluations de sécurité sont disponibles sur le Portail d’approbation de services Microsoft.
Note
Pour accéder à certaines des ressources du Portail d’approbation de services, vous devez vous connecter en tant qu’utilisateur authentifié avec votre compte services de cloud computing Microsoft (compte d’organisation Microsoft Entra) et lisez et acceptez l’accord de non-divulgation de Microsoft pour les documents de conformité.
Articles associés
Sécurité dans Microsoft Power Platform
Authentification auprès des services Power Platform
Connexion et authentification aux sources de données
Stockage des données dans Power Platform