Print
Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

  1. Planification de la sécurité dans une implémentation Microsoft 365
  2. Considérations de sécurité
  3. Liste de vérification des exigences en matière de sécurité

Planification de la sécurité dans une implémentation Microsoft 365

Lorsque vous envisagez d’utiliser Microsoft 365 pour votre organisation, l’une des fonctionnalités clés à prendre en compte est la sécurité. La sécurité est essentielle; par conséquent, vous devez avoir un fournisseur de services en qui vous avez confiance pour traiter les données de votre organisation. Microsoft 365 dispose de fonctionnalités au niveau du service qui incluent des technologies, des procédures opérationnelles et des stratégies qui sont activées par défaut pour les clients qui utilisent ce service. Microsoft 365 exige que les contrôles clients incluent des fonctionnalités qui vous permettent de personnaliser votre environnement Microsoft 365 en fonction des besoins spécifiques de votre organisation.

 

Considérations de sécurité

Les considérations de sécurité dans la planification d’une implémentation Microsoft 365 devraient couvrir un large ensemble de sujets, notamment :

  • Fonctionnalités de sécurité au niveau du service. Ce niveau d’amélioration de la sécurité existe pour aider à protéger votre service et vos données à travers des couches de fonctionnalités de sécurité, y compris les couches physiques, logiques et de données. Ce niveau d’amélioration de la sécurité offre de nombreuses fonctionnalités, notamment :
    • Balayage et assainissement des ports.
    • Mises à jour de sécurité du système.
    • Aide à détecter les attaques par déni de service distribué (DDoS) au niveau du réseau.
    • Authentification multifacteur Azure pour l’accès au service.
    • L’audit de tous les opérateurs et administrateurs.
    • Accès conditionnel pour les services essentiels à la sécurité.
    • Droits d’utilisateur uniquement lorsque nécessaire.
  • Capacité de détecter les comptes dont vous n’avez plus besoin.
  • Contrôles clients liés à la sécurité. Chaque service de Microsoft 365 offre ses propres fonctionnalités de sécurité individuelles que vous pouvez contrôler. Ces fonctionnalités vous aident à répondre à vos exigences de conformité, à contrôler les paramètres de spam et d’antimalware, à chiffrer les données et à contrôler l’accès au contenu pour vos utilisateurs. Vous utilisez des technologies de chiffrement au niveau du service Microsoft 365. Les technologies que vous pouvez configurer au sein de votre locataire Microsoft 365 sont les suivantes :
    • Service azure information protection.
    • Trafic de messagerie amélioré par le biais d’extensions de messagerie Internet polyvalentes sécurisées (S/MIME).
    • Chiffrement des messages Microsoft 365.
    • Transport Layer Security (TLS) pour les messages SMTP (Simple Mail Transfer Protocol) aux partenaires.
  • La vie privée par conception. Les principes clés des fonctionnalités de sécurité des données de Microsoft 365 sont les suivants :
    • Pas d’exploration de données pour la publicité.
    • Vous possédez les données. Si vous annulez le service, vous récupérerez vos données.
    • L’accès aux données est limité, audité et enregistré.
  • Contrôles des clients liés à la confidentialité. Les contrôles clients vous permettent d’utiliser des stratégies et des fonctionnalités au sein de Microsoft 365, notamment :
    • Gestion des droits dans Microsoft 365. Cette fonctionnalité limite l’accès aux documents, aux classeurs et aux présentations. Azure Information Protection vous aide à empêcher l’impression, la transfert ou la copie d’informations sensibles par des personnes non autorisées
    • Contrôles relatifs à la confidentialité pour les sites, les bibliothèques et les dossiers. Les sites Microsoft SharePoint Online sont configurés sur private par défaut. Microsoft OneDrive Entreprise ne partage pas de documents téléchargés tant que l’utilisateur n’a pas donné d’autorisations explicites et n’identifie pas avec qui partager.
    • Contrôles relatifs à la protection de la vie privée pour les communications. Les contrôles de communication vous permettent de communiquer de manière renforcée par la sécurité. Dans Microsoft Skype Entreprise Online, vous pouvez contrôler le niveau de fédération , par exemple, aucune fédération, fédération avec d’autres utilisateurs de Skype Entreprise ou fédération uniquement avec les domaines que vous autorisez. Si vous décidez d’autoriser ou d’interdire les communications avec un consommateur Skype, vous pouvez également le faire.
    • Contrôle des données à l’aide de la fonctionnalité Clé client. Cette fonctionnalité vous donne le contrôle des clés de chiffrement utilisées pour protéger vos données au repos dans les centres de données Microsoft. Pour utiliser les fonctionnalités de la clé client, vous devez disposer de Microsoft 365 E5 ou de l’unité de stockage de conformité avancée (SKU).
  • Conformité au service. Les obligations de conformité et les audits non Microsoft sont nécessaires pour aider à atteindre les objectifs de conformité et de sécurité. En outre, il existe des exigences gouvernementales, y compris les exigences de l’industrie, les politiques internes et les exigences découlant des pratiques exemplaires de l’industrie. En conséquence, Microsoft 365 a obtenu des vérifications indépendantes, notamment :
    • Organisation internationale pour la normalisation (ISO) 27001.
    • Déclaration sur les normes relatives aux engagements d’attestation 16 (SSAE 16) Vérification des organisations de service 1 (SOC 1) (Type II).
    • Transfert de données pour les données en dehors de l’Union européenne (UE) par le biais des clauses modèles de l’UE.
    • Une entente d’associé de la Loi sur la portabilité et la responsabilité en matière d’assurance-maladie (HIPAA) avec tous les clients.
    • La Loi fédérale sur la gestion de la sécurité de l’information (FISMA).
    • Registre public de l’Alliance de sécurité cloud.
    • Contrat de traitement de données Microsoft.
    • Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) niveau 1.
  • Conformité des clients. La conformité avec les clients aide les utilisateurs à contrôler leurs besoins en matière de sécurité et de conformité au sein de l’entreprise. Voici quelques exemples :
    • Prévention des pertes de données (DLP).
    • Découverte électronique avancée.
    • Fonctionnalité d’audit et de reporting.
    • Service de gestion des droits pour les restrictions d’accès au niveau des fichiers.
    • Authentification multifacteur.
    • S/MIME pour l’accès au courrier électronique basé sur le certificat amélioré par la sécurité.

Liste de vérification des exigences en matière de sécurité

Lorsque vous planifiez une implémentation de Microsoft 365, il est important de revoir vos exigences de sécurité interne, puis de créer une liste de contrôle avec les questions suivantes :

  • De quel niveau de service avez-vous besoin?
  • Y a-t-il déjà des contrôles de confidentialité en place?
  • Quelles sont les fonctionnalités de sécurité dont vous disposez et qu’est-ce qui est disponible avec Microsoft 365 ? Quelles sont les fonctionnalités de sécurité intégrées et quels contrôles clients Microsoft 365 offre-t-il ?
  • Quelles sont vos stratégies d’intégration et d’embarquement?
  • Êtes-vous actuellement au courant d’atteintes à la sécurité?
  • Êtes-vous transparent dans la façon dont vous utilisez et accédez aux données ?
  • Le chiffrement des données est-il actuellement en place ?
  • Existe-t-il déjà une stratégie de sauvegarde de données ?
  • Existe-t-il des exigences de stockage spécifiques qui sont liées à votre région?
  • La sécurité de votre stratégie de mot de passe est-elle améliorée ?
Print Friendly, PDF & Email
Conformité et sécurité