Sécurité Office 365

Sécurité Office 365

Office 365 est un service Cloud conçu pour répondre aux besoins de votre organisation en matière de sécurité, de fiabilité et de productivité de l’utilisateur. De même, il vous aide à gagner du temps et de l’argent et à libérer des ressources précieuses. Office 365 intègre la célèbre suite bureautique Microsoft Office avec les versions Cloud des services de communication et de collaboration nouvelle génération de Microsoft, en exploitant Internet pour aider les utilisateurs à être plus productifs, où qu’ils se trouvent.

Lorsque votre organisation passe aux services Cloud, vous devez pouvoir confier à votre prestataire de services vos données les plus importantes, les plus sensibles et les plus confidentielles. La sécurité étant primordiale pour la réussite d’une entreprise, Microsoft dispose de règles, de contrôles et de systèmes robustes intégrés à Office 365 afin de protéger vos informations. Office 365 est conçu selon les principes du cycle de vie du développement de la sécurité , un processus obligatoire de Microsoft qui intègre les exigences de sécurité dans chaque phase de développement.

Vos données Office 365 vous appartiennent, ce qui signifie que vous en avez le contrôle total. Nous vous offrons des contrôles de confidentialité étendus et une visibilité sur l’endroit où se trouvent vos données et sur les personnes qui y ont accès, ainsi que sur la disponibilité et les modifications apportées au service. Si vous mettez fin à votre abonnement au service, vous pouvez emporter vos données avec vous. Les technologies et politiques de sécurité du service gérées par Microsoft sont activées par défaut, et les contrôles gérés par le client vous permettent de personnaliser votre environnement Office 365 en fonction des besoins de sécurité de votre organisation. Office 365 est continuellement mis à jour pour renforcer la sécurité.

Identité sécurisée

Office 365 utilise Azure Active Directory (Azure AD) pour gérer les utilisateurs et assurer l’authentification, la gestion des identités et le contrôle d’accès. Les fonctionnalités Azure AD comprennent un magasin de données de répertoire sur le Cloud et un ensemble de services d’identité de base, tels que les processus de connexion des utilisateurs, les services d’authentification et les services de fédération. Ces services d’identité s’intègrent facilement avec vos déploiements Azure AD sur site et prennent entièrement en charge les fournisseurs d’identité tiers. Vous pouvez choisir parmi trois principaux modèles d’identité dans Office 365 lorsque vous configurez et gérez des comptes d’utilisateur :

• Identité Cloud 
• Identité synchronisée 
• Identité fédérée 

Office 365 utilise l’authentification multifacteur, gérée à partir du centre d’administration Office 365, pour apporter une sécurité supplémentaire. Office 365 offre le sous-ensemble suivant de fonctionnalités d’authentification multifacteur Azure dans le cadre de l’abonnement :

• Possibilité d’activer et d’appliquer l’authentification multifacteur pour les utilisateurs finaux
• Utilisation d’une application mobile (mot de passe à usage unique et en ligne) comme deuxième facteur d’authentification
• Utilisation d’un appel téléphonique comme deuxième facteur d’authentification
• Utilisation d’un message SMS comme deuxième facteur d’authentification
• Mots de passe d’application pour les clients autres que les navigateurs (par exemple, le logiciel client Skype Entreprise)
• Messages d’accueil Microsoft par défaut lors des appels téléphoniques d’authentification

Infrastructure sécurisée

Office 365 utilise des principes de sécurité de défense en profondeur pour se protéger contre les risques internes et externes. La présence de Microsoft à l’échelle mondiale nous permet d’utiliser des stratégies et des techniques de défense contre les attaques réseau que peu de fournisseurs ou d’organisations clientes peuvent égaler. Le pilier de notre stratégie consiste à utiliser cette présence mondiale pour interagir avec des fournisseurs d’accès à Internet, des fournisseurs d’accès public et privé, ainsi que des entreprises privées dans le monde entier, ce qui nous offre une grande visibilité sur Internet. Cela permet à Microsoft de détecter et de se défendre contre les attaques sur une très grande zone.

Gestion des menaces

La stratégie de gestion des menaces pour Office 365 consiste à identifier l’intention et la capacité d’une menace potentielle, ainsi que la probabilité de parvenir à exploiter une faille de sécurité. Les contrôles utilisés pour se prémunir contre de telles exploitations reposent sur les normes de sécurité et les pratiques d’excellences du secteur. Office 365 offre une protection efficace contre les courriers électroniques indésirables, les virus et les logiciels malveillants grâce à Exchange Online Protection. Office 365 propose également la protection avancée contre les menaces (ATP), un service de filtrage des courriers électroniques qui offre une protection supplémentaire contre certains types de menaces avancées.

Mobility

Aujourd’hui, les utilisateurs d’Office 365 sont mobiles et ont besoin d’un accès où qu’ils se trouvent, et ce sur de nombreux appareils différents. Vous pouvez utiliser la gestion des appareils mobiles Microsoft Intune pour gérer et protéger les appareils sur les plates-formes Windows, Apple iOS et Android. Identifiez, surveillez et protégez les données sensibles grâce aux contrôles de prévention des pertes de données dans la gestion des applications mobiles.

Réponse aux incidents

Le processus de gestion d’un incident de sécurité sur Office 365 est conforme à l’approche recommandée par le NIST (National Institute of Standards and Technology). La réponse aux incidents de sécurité Microsoft comprend plusieurs équipes dédiées qui travaillent ensemble pour prévenir, surveiller, détecter et répondre aux incidents de sécurité. Les équipes de sécurité d’Office 365 adoptent la même approche en matière d’incidents de sécurité, notamment les phases de gestion des réponses NIST 800-61 :

• Préparation : la préparation organisationnelle nécessaire pour répondre à un incident, y compris les outils, les processus, les compétences et la préparation.
• Détection et analyse : la détection d’un incident de sécurité dans un environnement de production et l’analyse de tous les événements pour confirmer l’authenticité de l’incident de sécurité.
• Maîtrise, éradication et mesures correctives : les actions requises et appropriées pour contenir l’incident de sécurité en fonction de l’analyse effectuée lors de la phase précédente. Une analyse supplémentaire peut également être nécessaire pour cette phase afin de corriger complètement l’incident de sécurité.
• Activité post-incident : analyse effectuée après la correction d’un incident de sécurité. Les actions opérationnelles effectuées au cours du processus sont examinées pour déterminer si des modifications doivent être apportées dans les phases de préparation ou de détection et d’analyse.

Sécurité physique

Les données client d’Office 365 sont stockées dans des datacenters Microsoft répartis géographiquement et protégés par des couches de sécurité de défense en profondeur. Les datacenters Microsoft sont entièrement conçus pour protéger les services et les données contre les dommages causés par des catastrophes naturelles, des menaces environnementales ou des accès non autorisés. Office 365 est conçu pour la haute disponibilité et s’exécute dans des datacenters géo-redondants avec fonctionnalité de basculement automatique.

L’accès au datacenter est restreint 24 heures sur 24 par poste et surveillé par des détecteurs de mouvement, un système de vidéosurveillance et des alarmes de failles de sécurité. Les contrôles d’accès physiques incluent une clôture du périmètre, des entrées sécurisées, des agents de sécurité sur site, la vidéosurveillance continue et des réseaux de communication en temps réel. Plusieurs processus d’authentification et de sécurité (notamment des badges et des cartes à puce, des scanners biométriques et une authentification à deux facteurs) protègent contre les entrées non autorisées. Des systèmes automatisés de prévention et d’extinction des incendies et des racks antisismiques protègent contre les catastrophes naturelles.

Chiffrement des données

Office 365 utilise des technologies côté service qui chiffrent les données des clients au repos et en transit. Pour les données des clients au repos, Office 365 utilise le chiffrement au niveau du volume et du fichier. Pour les données des clients en transit, Office 365 utilise plusieurs technologies de chiffrement pour les communications entre les datacenters et entre les clients et les serveurs, telles que les protocoles TLS (Transport Layer Security) et Ipsec (Internet Protocol Security). Office 365 comprend également des fonctionnalités de chiffrement gérées par le client. Les données client stockées dans Office 365 sont protégées dans toutes les configurations. La validation de la stratégie de chiffrement de Microsoft et son application sont vérifiées de manière indépendante par plusieurs auditeurs tiers.

Maintien de la sécurité dans une architecture multitenant

Une architecture multitenant est l’un des principaux avantages du Cloud Computing. Elle permet de partager simultanément une infrastructure commune entre de nombreux clients, permettant de faire des économies d’échelle. Microsoft s’efforce en permanence de garantir que l’architecture multitenant d’Office 365 prend en charge les normes de sécurité, de confidentialité, de respect de la vie privée, d’intégrité et de disponibilité au niveau de l’entreprise. Sur la base de l’expérience significative acquise grâce à l’informatique de confiance et au SDL (Security Development Lifecycle), les services Cloud Microsoft, y compris Office 365, ont été conçus en partant du principe que tous les clients sont potentiellement hostiles à tous les autres clients. Par conséquent, plusieurs formes de protection ont été mises en œuvre dans Office 365 afin d’empêcher les clients de compromettre les services ou applications Office 365 ou d’obtenir un accès non autorisé aux informations d’autres clients ou du système Office 365 lui-même.

Comment Microsoft accède-t-il à vos données ?

Microsoft automatise la plupart des opérations d’Office 365 tout en limitant intentionnellement son propre accès au contenu client. Cela permet de gérer Office 365 à grande échelle et de faire face aux risques liés aux menaces internes sur le contenu client, tels qu’un facteur malveillant ou le hameçonnage ciblé d’un ingénieur Microsoft. Par défaut, les ingénieurs Microsoft ne disposent pas de privilèges d’administration permanents ni d’accès permanent au contenu client dans Office 365. Un ingénieur Microsoft peut disposer d’un accès limité, audité et sécurisé au contenu d’un client pendant un laps de temps limité, mais uniquement lorsque cela est nécessaire pour les opérations de maintenance et uniquement lorsque cet accès est approuvé par un cadre dirigeant de Microsoft (et, pour les clients disposant d’une licence pour la fonctionnalité Customer Lockbox, par le client).

Comment accéder à vos données ?

En plus des contrôles mis en œuvre par Microsoft, Office 365 vous permet de gérer vos propres données de la même manière que vous gérez les données dans les environnements sur site. L’administrateur global a accès à toutes les fonctionnalités des centres d’administration et peut créer ou modifier des utilisateurs, effectuer des tâches d’administration et attribuer des rôles d’administrateur à d’autres utilisateurs. Vous pouvez également contrôler la façon dont les utilisateurs accèdent aux informations à partir d’appareils spécifiques, de lieux spécifiques ou d’une combinaison des deux.