N° 1

N° 2

Philippe Beraud@philberd

Jean-Yves Grasset@jyvesgrasset

N° 3

Protéger vos données avec le chiffrement dans

Office 365 et Azure

N° 4

Quelques questions légitimes pour commencer ! ;-)Question Réponse

Où sont les données à protéger ? En interne, sur l’appareil, dans le Cloud ?

Où sont stockées les clés ? En interne, dans le Cloud, dans un HSM, etc. ?

Qui a accès aux clés et comment s’en assurer ? Le service Cloud, les administrateurs client, les développeurs, etc.

Qui peut accéder aux données en clair ? Le service Cloud, le client, les administrateurs

Où s'effectuent les opérations de chiffrement/déchiffrement ?

Le service Cloud, le client, une passerelle

Y-a-t-il un impact fonctionnel sur le services ? Indexation, audit, etc.

De quels risques se protège-t-on ? Ecoute, interception des communications, vol de disque, administrateur/opérateurs interne malveillants, etc.

Quels sont les risques résiduels ? Usurpation d’identité, dénis de service, intégrité des données,sécurité de l’appareil pour l’administration du locataire, etc.

N° 5

Un rapide préambule sur Azure Key Vault/Key Vault CertificatesUn service Azure pour facilement• Stocker et gérer des CLES, et de réaliser des

opérations cryptographiques pour le compte des applications et utilisateurs autorisés.• Une clé cryptographique : RSA 2048

• Stocker et gérer des SECRETS et de permettre aux applications et utilisateurs autorisés de les accéder et utiliser lors de l’exécution• Toute séquence d'octets inférieure à 25 ko : chaîne

de connexion SQL, clé de stockage de compte, pfx, .etc

Adossé à un ensemble de modules de sécurité matériel (HSM)• Azure Key Vault est un service multi-locataire

adossé à des modules HSM gérés par Microsoft• Tous les clés et les secrets et sont protégés au

repos par un module HSM avec une chaîne de clés se terminant par un HSM

• Les clés marquées comme « protégées-par-HSM » sont protégées comme telles ;-)• Support du BYOK (bring-your-own-key) ou du CYOK

(control-your-own-Key)

AZURERMS

Azure Disk Encryption

(Windows et Linux)VOTRE CODE

DANS AZURE OU AILLEURS

Azure SQL Database

Gemalto CloudLink,

autres…

Chiffrement côté-client du

stockage

…

AZURE KEYVAULT

N° 6

DémoLe portail d’administration d’Azure Key VaultPour gérer ses propres coffres de clé, clés et secrets

N° 7

Modèles de chiffrement2 approches (et ses variantes) à considérer

Chiffrement CLOUD Chiffrement CLIENT

Chiffrement côté service Cloud avec les clés gérées par le service

Chiffrement côté service Cloud utilisant les clés du client dans Azure Key Vault

Chiffrement côté service Cloud utilisant les clés du client gérées en interne

Chiffrement des données effectué au niveau du client avant stockage dans le cloud

• Les services Cloud peuvent voir les données en clair

• Microsoft gère les clés

• Il s’agit de fonctionnalités Cloud complètes

• Les services Cloud peuvent voir les données en clair

• Le client contrôle les clés à travers Azure Key Vault

• Il s’agit de fonctionnalités Cloud complètes

• Les services Cloud peuvent voir les données en clair

• Le client contrôle les clés en interne

• Il s’agit de fonctionnalités Cloud complètes

• Les services Cloud ne peuvent PAS voir les données en clair

• Les clés du client restent en interne

• Fonctionnalités Cloud REDUITES

N° 8

Quelles réponses concrètes sont apportées dans Office 365 ?

N° 9

Données en transit – (Options de) chiffrement

* Optionnel, choix d’implémentation du client

Données en transit entre un utilisateur et le service

Données en transit entre les centres de données

Communications de bout en bout entre les utilisateurs

Protéger le client contre l’interception de ses communications et permettre de garantir l’intégrité des opérations

Protéger contre l’interception en masse des données

Protéger contre l’interception ou la perte des données en transit entre utilisateurs

Portail Office 365 (et autres points de terminaisons) :• Chiffrement des transactions à

l’aide de TLS avec HTTP, POP3, etc.

• Utilisation d’algorithmes cryptographiques forts sont utilisés / support FIPS 140-2

Les données répliquées/transférées entre les centres de données Office 365 sont chiffrées avec TLS ou IPsec, p.ex. TLS avec SMTP

RMS pour Office 365/Azure RMS/Azure Information Protection*

O365 Message Encryption*

S/MIME*

N° 10

Données au repos – Options de chiffrementBitLocker (volume-level encryption)

Chiffrement par fichier (per-file encryption) pour SharePoint Online et OneDrive Entreprise• Permet de réduire le risque « Actes malveillants internes » avec le recours à trois composants

(stockage Azure, base de données de contenu et magasin de clé) séparés physiquement

Chiffrement avancé (Advanced Encryption) pour Exchange Online, SharePoint Online et OneDrive Entreprise• Permet une séparation très forte entre les administrateurs de serveurs et les données client stockées

sur ces serveurs• Protection contre les accès au niveau du système d'exploitation sur le système de fichiers• Protection contre le scénario de vol physique du disque dur• Efficace, peu importe qui gère les clés de chiffrement• Mise en œuvre possible avec des clés gérées par le client dans Azure Key Vault (BYOK et CYOK)

N° 11

Azure RMS/Azure Information ProtectionConcerne Exchange Online, SharePoint Online et OneDrive Entreprise• Mais aussi Exchange Server et SharePoint

Server en hybride

Permet de bénéficier des capacités de protection des documents et des mèls basée sur RMS• Pour le client et les échanges B2B• Mais aussi du chiffrement de messages Office

365 pour l’envoi et la réception de mèls chiffrés (dans un contexte B2C)• Fonctionnellement semblable à S/MIME également

supporté

AZURE RMS

Office 2016Office 2013Office 365 ProPlus

Exchange Online

SharePoint Online /

One Drive Entreprise

Authentification et

Collaboration

Application de partage RMS, SDKs RMS+ autres applications activées pour RMS

SharePoint Server

Exchange Server

DÉPLOIEMENT HYBRIDE

+ Azure AD Connect (Sync),

fédération avec le répertoire local ou synchronisation de (hash de hash) de

mots de passe

ConnecteurRMS

VOTRE LOCATAIREAZURE AD

AZUREKEY VAULT

• Cf. session précédente Protéger votre patrimoine informationnel dans un monde hybride avec Azure Information Protection

N° 12

Exchange Online

SharePoint Online /

One Drive Entreprise

Microsoft Cloud App Security (pour Office 365* et au-delà)

Pour Office 365 et au-delà en termes d’applications SaaS• Intégration avec Azure RMS/ Azure

Information Protection

AZUREINFORMATIONPROTECTION

“VOS" APPLICATIONS ET APIS+Dans des clouds

“VOS" APPAREILSAndroid, iOS, Windows, etc.COBO, COPE/BYOD

CLOUD APP

SECURITY

Connecteur API Cloud App Security

Mode Proxy dit "In-Session Control“

(Optionnel)

…

*Office 365 Advanced Security Management

N° 13

En guise de « synthèse » sur les risques couverts

RisquesRisques

FonctionnalitésAccès aux données

client par un administrateur

interne malveillant

Vol d’information

Fuite d’information

Protection des communications à l’aide de TLS avec HTTP, POP3, SMTP, etc.

Chiffrement des données aux repos (Chiffrement avancé)

Chiffrement des disques (BitLocker)

S/MIME / Office 365 message encryption (OME)

Azure RMS/ Azure Information Protection

Solution tierce de type Cloud Encryption Gateway Office 365 Advanced Security Management/Cloud App Security

Authentification multifacteur pour Office 365

MAM / Windows Information Protection

Accès serveur audité, contrôlé et limité dans le temps (LockBox/Customer Lockbox)

DLP intégré à Office 365

Risques

CHIF

FREM

ENT

AUTR

ES

N° 14

Et pour Azure ?

N° 15

Données en transit – Options de chiffrement

* Choix de configuration (additionnelle) du client

Données en transit entre un utilisateur et le service

Données en transit entre les centres de données

Communications de bout en bout entre les utilisateurs

Protéger le client contre l’interception de ses communications et permettre de garantir l’intégrité des opérations

Protéger contre l’interception en masse des données

Protéger contre l’interception ou la perte des données en transit entre utilisateurs

Portail Azure :• Chiffrement des transactions à

l’aide de TLS avec HTTP• Utilisation d’algorithmes

cryptographiques forts sont utilisés / support FIPS 140-2

Acceptation UNIQUEMENT de disques de données chiffrés pour l’importation/exportation

TLS (avec HTTP) pour l’API REST pour le stockage*

Chiffrement du trafic entre le client Web et le serveur à l’aide de TLS avec HTTP sur IIS*

Chiffrement du trafic entre le client et Azure SQL Database à l’aide de TLS avec HTTP

Les données répliquées/transférées entre les centres de données Azure sont chiffrées avec TLS ou IPsec

Fonction de la mise en œuvre faite des services Azure*

N° 16

Données au repos – Options de chiffrement

AZUREKEY

VAULT VOTRE LOCATAIREAZURE AD

AZURE KEYVAULT

Les clés et les secrets sont contrôlés par le

client dans son ou ses coffres

L’authentification sur un coffre

s’appuie sur le locataire Azure AD

du client

INTE

RFAC

ES D

E GE

STIO

N DE

CL

ÉS

TDE (TRANSPARENT DATA ENCRYPTION) - <SQL Server ou Azure SQL Database>CLE (CELL LEVEL ENCRYPTION) - <SQL Server ou Azure SQL Database>SAUVEGARDES CHIFFRÉES SQL SERVERCHIFFREMENT INTÉGRAL (ALWAYS ENCRYPTED) - <SQL Server ou Azure SQL Database>

SQL SERVER (VM) ET AZURE SQL DATABASE

AZURE DISK ENCRYPTION - <BitLocker [Windows], DM-Crypt [Linux]>CHIFFREMENT DE VOLUME PARTENAIRE - <CloudLink SecureVM, SafeNet ProtectV, etc.>

MACHINES VIRTUELLES – WINDOWS ET LINUX

CHIFFREMENT DE NIVEAU APPLICATION - <Chiffrement côté-client du stockage>AZURE STORAGE SERVICE ENCRYPTION (VERSION PRÉLIMINAIRE)STORSIMPLE

STOCKAGE AZURE – BLOBS, TABLES ET QUEUES

AZURE HDINSIGHT - <Tire parti du chiffrement d’Azure SQL Database et du stockage Azure> AZURE HDINSIGHT

AZURE BACKUP SERVICE - <Tire parti du chiffrement d’Azure Disk Encryption> AZURE BACKUP SERVICE + Azure AD Connect (Sync),

fédération avec le répertoire local ou synchronisation de (hash de hash) de mots de

passe

AZURE DATA LAKE – Toujours actif (choix du schéma de gestion de clé) AZURE DATA LAKE

N° 17

Azure Disk EncryptionChiffrement des disques OS et données pour les VM Windows (BitLocker) et Linux (DM-Crypt)• Machines virtuelles en cours d’exécution, des VM créées depuis la Galerie ou des VM déjà

chiffrées importées par le client (importation du VHD déjà chiffré et clés de chiffrement)• Les disques sont stockées chiffrés dans le compte de stockage Azure (et sont

automatiquement répliqués par le stockage Azure comme tels)• Cf. livre blanc Azure Disk Encryption for Windows and Linux Azure Virtual Machines• Modèles ARM prêts à l’usage sur GitHub

Stockage et contrôle des clés de chiffrement des disques (clés BitLocker) et des secrets (Passphrase pour Linux) dans Azure Key Vault• Possibilité optionnelle de créer ou d’importer une KEK (key encryption key) pour protéger

les clés de chiffrement BitLocker

Audit de l’usage des clés dans Azure Key Vault• Collecte des journaux dans le compte de stockage configuré par vos soins

N° 18

DémoAzure Disk EncryptionDéployer une nouvelle VM avec Azure Resource Manager

N° 19

Azure Disk Encryption - Démo

Key Vault

Création d’un coffre avec les flags EnabledforDeploymentEt EnabledforDiskEncryption

VOTRE MACHINE VIRTUELLE (ARM)

Chargement du certificat (PFX)

(AuthCert)

Déploie (dans) la VM : URI du secret pour le certificat (PFX) depuis PowerShell), ID de l’application (KeyVault) créée dans Azure AD

Injecte le certificat (PFX) (AuthCert)Obtient le certificat

(PFX) (AuthCert)

45

67

Demande de chiffrer les disques de la configuration

8

Installe l’extension de chiffrement. L’extension de chiffrement initie le chiffrement les disques de la configuration

9

Les disques système et données sont protégés dans le compte de stockage : chiffrement BitLocker10

11 Les clés BitLocker utilisés sont chiffrées avec la KeyEncryptionKey (optionnel) et protégés dans le coffre de clés

AZUREKEY

VAULTAZURE KEY

VAULT

1

2Création d’une application (KeyVault) avec

authentification par certificat, création d’un

politique d’accès au coffre pour l’application

3

Génération d’une clé de chiffrement de clé

(KeyEncryptionKey) (optionnelle)

VOTRE LOCATAIREAZURE AD

AZURE STORAGE

AZURE RESOURC

EMANAGER

N° 20

Chiffrement SQL Server (VM) ou Azure SQL DatabaseChiffrement de la base de données de type TDE (transparent data encryption) ou CLE (column/cell-level encryption), des sauvegardes, et fichiers de transaction• Transparent pour l’application• Facilite le respect des exigences réglementaires

Intégration avec Azure Key Vault pour SQL Server (VM) • L’intégration avec le service Azure SQL Database sera disponible en version préliminaire publique au

premier trimestre 2017• Pour le moment, clés gérées par le service

• Un fournisseur EKM (Extensible Key Management) permet l’externalisation des clés maître de chiffrement vers un gestionnaire de clé externe• Séparation des rôles entre la gestion des données et celle des clés ;-)

• Le connecteur SQL Serveur pour Azure Key Vault permet d’utiliser Azure Key Vault comme un fournisseur EKM

N° 21

Chiffrement SQL Server (VM) ou Azure SQL Database (suite)Chiffrement intégral (Always encrypted) pour la protection des données sensibles (PII, numéros de carte crédit, etc.)• Chiffrement (au niveau colonne) et déchiffrement effectués au niveau du client• La clé de chiffrement maître (CMK) est stockée en local (p. ex. dans un HSM) ou Azure Key Vault• L’administrateur de la base n’a pas visibilité sur les colonnes chiffrées

N° 22

Chiffrement du stockage AzureChiffrement côté client• Chiffrement au niveau de l’application client avant le stockage dans Azure (blob, table et queue)• Chiffrement avec une CEK (content encryption key) chiffrée avec une KEK (key encryption key) qui peut être

gérée localement ou dans Azure Key Vault*• Bibliothèques .NET et Java (client-side encryption library for Azure Storage)

Azure Storage Service Encryption pour les données au repos (version préliminaire)• Chiffrement au niveau du service pour le stockage Blob (block, append et page)• Disponible pour tout nouveau compte de stockage crée avec Azure Resource Manager• Clés gérées par Microsoft• Azure Key Vault et BYOK prévus dans la feuille de route

* Optionnel, choix d’implémentation du client

N° 23

En guise de « synthèse » sur les risques couvertsVis-à-vis de ce qui a été illustré en termes d’options de chiffrement Azure

RisquesFonctionnalités

Accès aux données client par un administrateur/ opérateur malveillant (fournisseur Cloud)

Vol d’information Fuite d’information

Protection des communications à l’aide de TLS avec HTTP

Azure Disk Encryption (IaaS)

Chiffrement côté client du stockage Azure

Chiffrement du stockage Azure (Service)

SQL Server/Azure SQL Database (TDE, CLE, sauvegardes)

SQL Server/Azure SQL Database (chiffrement intégral)

Risques

N° 24

En guise de synthèse sur les diverses options de chiffrement abordées

CONTRÔLE

FONCTIONNALITÉS

Chiff

rem

ent

CLO

UD

Chiffrem

ent CLIENT

Azure RMS (pour Office 365, ex. intégration DLP)

Chiffrement avancéChiffrement par fichier

Chiffrement de message Office 365

Azure Disk Encryption

Azure SQL Database (TDE, CLD, etc.) Chiffrement intégral Azure SQL Database

Chiffrement côté client

Chiffrement intégral SQL Server (VM)

Azure RMS/Azure Information Protection

S/MIME

BitLocker

Azure Storage Service EncryptionChiffrement TDE, CLD, etc. SQL Server (VM)

Azure

N° 25

Et si l’on parlait des risques résiduels pour conclure ce (rapide) tour d’horizon ?Disponibilité• Perte des clés de chiffrement, erreur humaine, erreur d’administration• Déni de service sur le service Cloud ou/et le dispositif de chiffrement

Intégrité des données• Impossibilité de revenir sur un état antérieur ou cohérent

Confidentialité• Usurpation et vol des information de connexion• Poste d’administrateur insécurisé

Traçabilité• Absence de détection des anomalies• Evènements d’activité et traces insuffisantes

N° 26

Les autres domaines à couvrirLa protection des données nécessite une approche complète de bout-en-bout

100101100101011010 011010 100101100101011010 011010 100101100101011010 011010 100101100101011010 011010

CONTRÔLER L’ACCÈS  

PROTÉGER LE POSTE D’ADMINISTRATION

CHIFFRER LES DONNÉES

Données

Protéger les clés de chiffrement, sauvegarder les données

Revue des permissions, protection des identités et gestion des identités privilégiées, authentification forte, contrôle d’accès conditionnel, etc.

Renforcement de la sécurité de l’appareil, protection anti-malware,contrôle de l’état de santé de l’appareil, etc.

N° 27

En guise de conclusionLe chiffrement est partout mais ne couvre PAS tous les risques• La possession de la clé maître ne garantit pas que le service n’accède pas en clair aux données• Le chiffrement côté client masque les données au service mais au détriment des fonctionnalités• La bataille ne se situe pas sur l’algorithme et la taille des clés !

Réfléchissez de quels risques vous voulez vous protéger avant de penser à la solution technique

N° 28

Gagner votre confiance avec une culture de la transparence• Nous opérons nos services avec des standards

éthiques élevées qui procurent la transparence sur la façon dont nous concevons nos solutions et protégeons vos données.

• Qui a accès à vos données ? Où sont-elles ? Que fait Microsoft pour les protéger ? Comment pouvez-vous vérifier que Microsoft respecte ses engagements ?• Autant de questions qui trouvent leur réponse

sur le Centre de confiance Microsoft

Sécurité – Confidentialité – Conformité - Transparence

Pour aller plus loin avec le Centre de confiance Microsoft

trust verbe |\ˈtrəst\

www.microsoft.com/fr-fr/trustcenter

N° 29

Pour aller au-delàDes livres blancs• Data Encryption Technologies  in Office 365 • Office 365 Security and compliance• Protecting Data and Privacy in the Cloud (Azure)• Azure Disk Encryption for Windows and Linux Azure Virtual Machines• Security, Privacy, and Compliance in Microsoft Azure

Des webinaires à retrouver sur ;-)• Le chiffrement dans Office 365• DLP avec Office 365• Thalès et Microsoft France présentent Cyris for Office 365 Outlook• Azure Security Center• Azure Disk Encryption• Introduction à Azure Key Vault

Et plus spécifiquement un cours• Azure Key Vault en pratique

N° 30

Pour aller au-delà dans un monde en évolution constante…Blogs Office• Les derniers développements sur Office, et plus spécifiquement sur Office 365• https://blogs.office.com/• https://blogs.microsoft.fr/office/

Blogs Azure• Les derniers développements sur Azure • https://azure.microsoft.com/en-us/blog/• http://blogs.microsoft.fr/azure/

Blog d’équipe Enterprise Mobility + Security• Les derniers développements dans le monde des solutions Microsoft sur la mobilité d’entreprise et la

sécurité, et plus spécifiquement sur Azure Information Protection• https://blogs.technet.microsoft.com/enterprisemobility/

Blog d’équipe Azure Key Vault• Toutes les informations sur Azure Key Vault information• https://blogs.technet.microsoft.com/kv

N° 31N° 31

N° 32

@microsoftfrance @Technet_France @msdev_fr@philberd | @jyvesgrasset

N° 32

N° 33N° 33