Partager via

Chiffrement des données dans OneDrive et SharePoint

  • Article

Comprendre les éléments de base du chiffrement pour la sécurité des données dans OneDrive et SharePoint.

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Sécurité et chiffrement des données dans Microsoft 365

Microsoft 365 est un environnement hautement sécurisé qui offre une protection étendue dans plusieurs couches : sécurité des centres de données physiques, sécurité réseau, sécurité d’accès, sécurité des applications et sécurité des données. Cet article se concentre spécifiquement sur le côté du chiffrement en transit et au repos de la sécurité des données pour OneDrive et SharePoint.

Observez le fonctionnement du chiffrement des données dans la vidéo suivante.

Chiffrement des données lors de leur transport

Dans OneDrive et SharePoint, il existe deux scénarios dans lesquels les données entrent et quittent les centres de données.

  • Communication du client avec le serveur La communication avec OneDrive via Internet utilise des connexions SSL/TLS. Toutes les connexions TLS sont établies à l’aide de clés 2 048 bits.

  • Déplacement des données entre les centres de données La principale raison de déplacer des données entre les centres de données est la géoréplication pour activer la récupération d’urgence. Par exemple, les deltas de stockage d'objets blob et les journaux de transaction SQL Server transitent par ce canal. Bien que ces données soient déjà transmises à l’aide d’un réseau privé, elles sont protégées par un chiffrement de qualité.

Chiffrement des données lors de leur stockage

Le chiffrement lors du stockage comprend deux composants : le chiffrement au niveau du disque BitLocker et le chiffrement par fichier du contenu client.

BitLocker est déployé pour OneDrive et SharePoint dans l’ensemble du service. Le chiffrement par fichier est également dans OneDrive et SharePoint dans microsoft 365 multilocataire et de nouveaux environnements dédiés basés sur la technologie multilocataire.

Alors que BitLocker chiffre toutes les données sur un disque, le chiffrement par fichier va plus loin en ajoutant une clé de chiffrement unique pour chaque fichier. En outre, chaque mise à jour de chaque fichier est chiffrée à l’aide de sa propre clé de chiffrement. Les clés du contenu chiffré sont stockées dans un emplacement physiquement distinct du contenu. Chaque étape de ce chiffrement utilise la méthode AES (Advanced Encryption Standard) avec des clés 256 bits et est conforme à la norme FIPS (Federal Information Processing Standard) 140-2. Le contenu chiffré est distribué entre de nombreux conteneurs dans le centre de données, et chaque conteneur possède des informations d’identification uniques. Ces informations sont stockées dans un emplacement physique distinct du contenu ou des clés de contenu.

Pour plus d’informations sur la conformité FIPS 140-2, consultez Conformité FIPS 140-2.

Le chiffrement au repos au niveau du fichier tire parti du stockage d’objets blob pour assurer la croissance du stockage et permettre une protection sans précédent. Tout le contenu client dans OneDrive et SharePoint est migré vers le stockage d’objets blob. Voici la façon dont les données sont sécurisées :

  1. Tout le contenu est chiffré, potentiellement avec plusieurs clés, et distribué dans le centre de données. Chaque fichier à stocker est divisé en un ou plusieurs blocs, en fonction de sa taille. Ensuite, chaque bloc est chiffré à l’aide de sa propre clé unique. Les mises à jour sont traitées de la même façon : le jeu de modifications, ou deltas, soumis par un utilisateur est divisé en blocs, et chacun est chiffré avec sa propre clé.

  2. Tous ces blocs (fichiers, parties de fichiers et deltas de mise à jour) sont stockés sous la forme d’objets blob dans le magasin d’objets blob. Ils sont également répartis au hasard entre plusieurs conteneurs d’objets blob.

  3. La « carte » utilisée pour remonter le fichier à partir de ses composants est stockée dans la base de données de contenu.

  4. Chaque conteneur d’objets blob dispose de ses propres informations d’identification uniques par type d’accès (lecture, écriture, énumération et suppression). Chaque jeu d’informations d’identification est conservé dans le magasin de clés sécurisé et est régulièrement actualisé.

En d’autres termes, trois types de magasins sont impliqués dans le chiffrement par fichier lors du stockage, chacun doté d’une fonction distincte :

  • Le contenu est stocké sous la forme d’objets blob chiffrés dans le magasin correspondant. La clé permettant d’accéder à chaque bloc de contenu est chiffrée et stockée séparément dans la base de données de contenu. Le contenu lui-même ne fournit aucun indice quant à sa méthode de déchiffrement.

  • La base de données de contenu est une base de données SQL Server. Il contient la carte nécessaire pour localiser et réassembler tous les objets blob de contenu conservés dans le magasin d’objets blob et les clés nécessaires pour déchiffrer ces objets blob.

Chacun de ces trois composants de stockage (le magasin d’objets blob, la base de données de contenu et le magasin de clés) est physiquement distinct. Les informations contenues dans l’un des composants sont inutilisables en elles-mêmes. Cette stratégie offre un niveau de sécurité sans précédent. Sans accès aux trois, il est impossible de récupérer les clés des blocs, de déchiffrer les clés pour les rendre utilisables, d’associer les clés à leurs blocs correspondants, de déchiffrer un bloc ou de reconstruire un document à partir de ses blocs constitutifs.