Cloud Microsoft Office SharePoint Online et OneDrive protègent vos données dans le cloud
Vous contrôlez vos données. Lorsque vous placez vos données dans Microsoft Office SharePoint Online et OneDrive pour Microsoft 365, vous restez le propriétaire des données. Pour plus d’informations sur la propriété de vos données, consultez Conception de la confidentialité dans Microsoft 365.
Comment nous traitons vos données
Les ingénieurs Microsoft administrent Microsoft Office SharePoint Online et OneDrive à l’aide d’une console PowerShell qui requiert l’authentification à deux facteurs. Nous effectuons des tâches quotidiennes en exécutant des flux de travail pour pouvoir réagir rapidement à de nouvelles situations. Les archivages auprès du service nécessitent une révision du code et l’approbation de la gestion.
Aucun ingénieur ne dispose d’un accès permanent au service. Lorsque les ingénieurs ont besoin d’y accéder, ils doivent le demander. L'éligibilité est vérifiée, et si l'accès de l’ingénieur est approuvé, c'est uniquement pour une durée limitée. Dans de rares cas où les ingénieurs Microsoft ont besoin d’accéder au contenu (par exemple, si vous envoyez un ticket de support parce qu’un utilisateur ne peut pas accéder à un fichier important que nous pensons endommagé), les ingénieurs doivent vérifier un flux de travail spécifique qui nécessite une justification de l’entreprise et l’approbation du responsable. Un événement d’audit est généré que vous pouvez afficher dans le Centre d’administration Microsoft 365. Vous pouvez également activer une fonctionnalité appelée Customer Lockbox, vous devez donc approuver la demande. L’ingénieur obtient uniquement l’accès au fichier en question. Pour savoir comment activer ou désactiver Customer Lockbox et approuver et refuser les demandes, consultez Demandes de customer lockbox Microsoft Purview.
Comment pouvez-vous protéger vos données ?
L’une des choses les plus importantes que vous pouvez faire pour protéger vos données consiste à exiger une authentification à deux facteurs pour vos identités dans Microsoft 365. Cela empêche l’utilisation des informations d’identification sans un second facteur et atténue l’impact des mots de passe compromis. Le deuxième facteur peut être défini par un appel téléphonique, un message texte ou une application. Lorsque vous déployez l’authentification à deux facteurs, commencez par vos administrateurs généraux, puis par d’autres administrateurs et administrateurs de collection de sites. Pour plus d’informations sur la procédure à suivre, consultez Configurer l’authentification multifacteur pour les utilisateurs Microsoft 365.
Nous vous recommandons également d’améliorer la sécurité :
Utilisez Microsoft Entra l’accès conditionnel basé sur les appareils pour bloquer ou limiter l’accès sur les appareils non gérés tels que les bornes d’aéroport ou d’hôtel. Consultez Contrôler l’accès à partir d’appareils non gérés.
Créez des stratégies pour déconnecter les utilisateurs des sessions web Microsoft 365 après une période d’inactivité. Pour plus d’informations, consultez Déconnecter les utilisateurs inactifs.
Évaluez la nécessité de sessions basées sur IP. Ceux-ci simulent le modèle d’accès d’un déploiement local. Pour plus d’informations, consultez Contrôler l’accès en fonction de l’emplacement réseau ou de l’application.
Permettre aux employés de partager des données à grande échelle, mais en toute sécurité. Vous pouvez exiger une connexion ou utiliser des liens qui expirent ou accordent des privilèges limités. Consultez Gérer le partage externe pour votre environnement Microsoft Office SharePoint Online.
Empêchez l’exposition accidentelle de contenu sensible. Créez des stratégies DLP pour identifier les documents et les empêcher d’être partagés. Consultez En savoir plus sur la protection contre la perte de données.
Protégé en transit et au repos
Protégé pendant le transit
Lorsque les données transitent dans le service à partir des clients, et entre les centres de données, elles sont protégées par un chiffrement de pointe. Pour plus d’informations, consultez Chiffrement de données dans Microsoft Office SharePoint Online et OneDrive. Nous n'autorisons que les accès sécurisés. Nous n'autoriserons pas les connexions authentifiées sur HTTP mais, nous redirigerons plutôt vers HTTPS.
Protégé au repos
Protection physique : seul un nombre limité de membres essentiels peuvent accéder aux centres de données. Leurs identités sont vérifiées à l'aide de multiples facteurs d’authentification, notamment les cartes à puce et les données biométriques. Il existe des agents de sécurité locaux, des détecteurs de mouvement, et une surveillance vidéo. Les alertes de détection des intrusions surveillent les activités anomalous.
Protection réseau : les réseaux et identités sont isolés du réseau d’entreprise Microsoft Corporation. Nous administrons le service avec des domaines de Active Directory dédiés, nous avons des domaines distincts pour le test et la production, et le domaine de production est divisé en plusieurs domaines isolés pour des raisons de fiabilité et de sécurité. Pour plus d’informations sur la sécurité physique et logique intégrée à partir de Microsoft 365, consultez Sécurité intégrée de Microsoft 365.
Sécurité des applications : les ingénieurs qui génèrent des fonctionnalités suivent le cycle de vie de développement de la sécurité. Les analyses automatisées et manuelles permettent d’identifier les vulnérabilités possibles. Le centre de réponse à la sécurité Microsoft (Centre de réponse aux problèmes de sécurité Microsoft ) permet de trier les rapports de vulnérabilité entrants et d’évaluer les atténuations. Grâce à la Microsoft Cloud Bug Bounty, les personnes du monde entier peuvent gagner de l’argent en signalant les vulnérabilités. Pour en savoir plus, consultez modalités de paiement Microsoft Cloud Bug.
Protection de contenu: vos données sont chiffrées au niveau du disque à l’aide du chiffrement BitLocker et au niveau du fichier à l’aide de clés. Pour plus d’informations, consultez Chiffrement de données dans Microsoft Office SharePoint Online et OneDrive. Pour plus d’informations sur l’utilisation de la clé client pour fournir et contrôler les clés utilisées pour chiffrer vos données au repos dans Microsoft 365, consultez Service Encryption with Microsoft Purview Customer Key FAQ.
Le moteur anti-programme malveillant Microsoft 365 analyse les documents au moment du chargement pour rechercher du contenu correspondant à une signature AV (mis à jour toutes les heures). Pour plus d’informations, consultez détection de virus dans Microsoft Office SharePoint Online. Pour une protection plus avancée, utilisez Microsoft 365 Protection avancée contre les menaces (ATP). ATP analyse le contenu partagé et applique les renseignements et l’analyse des menaces pour identifier les menaces sophistiquées. Pour plus d’informations, consultez Microsoft 365 protection avancée contre les menaces.
Pour limiter le risque de téléchargement de contenu sur des appareils non approuvés :
Limitez la synchronisation aux appareils sur les domaines que vous spécifiez : Autoriser la synchronisation uniquement sur les ordinateurs joints à des domaines spécifiques.
Utilisez Intune pour limiter l’accès au contenu dans les applications mobiles Microsoft Office SharePoint Online et OneDrive : Contrôler l’accès aux fonctionnalités des applications mobiles Microsoft Office SharePoint Online et OneDrive.
Pour gérer le contenu au repos :
Configurer des stratégies IRM sur des bibliothèques de documents Microsoft Office SharePoint Online pour limiter le téléchargement de contenu. Consultez Configurer la gestion des droits relatifs à l’information dans le Centre d’administration SharePoint.
Évaluez l’utilisation de Azure Information Protection (AIP). La classification et l’étiquetage vous permettent de suivre et de contrôler l’utilisation des données. Visitez Microsoft Azure Information Protection.
Hautement disponible, toujours récupérable
Nos centres de données sont géo-distribués à l’intérieur de la région et tolérants aux pannes. Les données sont mise en miroir dans au moins deux centres de données pour atténuer l’impact d’une catastrophe naturelle ou d’une panne de service. Pour plus d’informations, consultez Où sont stockées vos données client Microsoft 365.
Les sauvegardes de métadonnées sont conservées pendant 14 jours et peuvent être restaurées à n’importe quel point dans le temps dans une fenêtre de cinq minutes.
En cas d’attaque par rançongiciel, vous pouvez utiliser l’historique des versions (Activer et configurer le contrôle de version d’une liste ou d’une bibliothèque) pour restaurer, et la corbeille ou la corbeille de collection de sites à restaurer (Restaurer les éléments supprimés de la corbeille de collection de sites). Si un élément est supprimé de la corbeille de la collection de sites, vous pouvez appeler le support dans les 14 jours pour accéder à une sauvegarde. Pour plus d’informations sur la nouvelle fonctionnalité de restauration de fichiers qui permet aux utilisateurs de restaurer un OneDrive en entier à n’importe quel point au cours des 30 derniers jours, consultez Restaurer votre OneDrive.
Validation continue
Nous surveillons constamment nos centres de données pour les maintenir intègres et sécurisés. Cela commence par l'inventaire. Un agent d’inventaire analyse chaque sous-réseau à la recherche de voisins. Pour chaque ordinateur, nous effectuons une capture d’état.
Après avoir dressé un inventaire, nous pouvons surveiller et corriger l'intégrité des ordinateurs. L’apprentissage des correctifs de sécurité applique des correctifs, met à jour les signatures antivirus, et garantit que nous avons enregistré une bonne configuration connue. Nous avons une logique spécifique au rôle qui garantit que nous corrigeons ou permutons uniquement un certain pourcentage d’ordinateurs à la fois.
Nous avons un flux de travail automatisé pour identifier les ordinateurs qui ne respectent pas les stratégies et les mettre en file d’attente pour remplacement.
L’« Équipe rouge » au sein de Microsoft 365 est composé de spécialistes des intrusions. Ils recherchent toute possibilité d'obtenir un accès non autorisé. L’« Équipe bleue » est composé des ingénieurs de la défense qui se concentrent sur la protection, la détection et la récupération. Ils créent des technologies de détection et de réponse des intrusions. Pour suivre les apprentissages des équipes de sécurité chez Microsoft, consultez blog sur la sécurité, la confidentialité et la conformité.
Pour surveiller et observer l’activité dans votre abonnement Microsoft 365 :
Si vous avez un centre d’opérations de sécurité local ou SIEM, vous pouvez surveiller l’activité avec l’API Activité de gestion. Pour plus d’informations, consultez Microsoft 365 Vue d’ensemble des API de gestion. Cela vous montrera l’activité à partir de SharePoint, Exchange, Microsoft Entra ID, DLP, etc. Si vous n’avez pas de centre d’opérations de sécurité ou SIEM local, vous pouvez utiliser Cloud App Security. Cloud App Security utilise l’API Activité de gestion. Pour plus d’informations, consultez Vue d’ensemble de Microsoft 365 Cloud App Security. Grâce à Cloud App Security, vous pouvez signaler, rechercher et alerter sur l’activité.
Utilisez Protection Microsoft Entra ID. Cela applique le Machine Learning pour détecter le comportement suspect des comptes, par exemple, les connexions simultanées du même utilisateur dans différentes parties du monde. Vous pouvez configurer Identity Protection pour prendre des mesures pour bloquer ces connexions. Pour plus d’informations, consultez Protection Microsoft Entra ID.
Utilisez le niveau de sécurité pour évaluer le profil de sécurité de votre abonnement par rapport à une base de référence connue, et identifier les opportunités d’augmentation de la protection. Pour plus d’informations, consultez Niveau de sécurité Microsoft.
Audité et conforme
La conformité réglementaire est fondamentale pour Microsoft 365. Nous vérifions que le service est conforme aux normes réglementaires et de conformité. Nous vous aidons également à respecter vos obligations d’audit et de conformité. Le Portail d’approbation de services est un point d’arrêt unique pour les informations de conformité et d’approbation pour les services d’entreprise Microsoft. Le portail contient des rapports, des livres blancs, des évaluations des vulnérabilités, et des guides de conformité. Pour plus d’informations sur le portail d’approbation de services, consultez Démarrage avec le portail d’approbation de services Microsoft.
Pour répondre à vos exigences réglementaires :
Auditer l’activité Microsoft 365 dans le Centre de conformité & de sécurité : recherchez le journal d’audit dans le Centre de conformité & sécurité Microsoft 365.
Créer des cas eDiscovery : gérer les cas eDiscovery dans le Centre de conformité de la sécurité & Microsoft 365
Appliquer des stratégies de rétention : Créer et appliquer des stratégies de gestion d’informations.