Sécurité des données et pratiques de confidentialité pour Defender for Cloud Apps
Remarque
Cet article explique comment supprimer des données personnelles de l’appareil ou du service, et peut être utilisé pour prendre en charge vos obligations dans le cadre du RGPD. Si vous recherchez des informations générales sur le RGPD, consultez la section sur le RGPD du portail Service Trust.
Microsoft Defender pour Cloud Apps est un composant essentiel de la pile Microsoft Cloud Security. Il s’agit d’une solution complète qui aide votre organisation à exploiter pleinement la promesse des applications cloud. Defender for Cloud Apps vous permet de garder le contrôle grâce à une visibilité complète, des fonctionnalités d’audit et des contrôles granulaires de vos données sensibles.
Defender for Cloud Apps offre des outils qui aident à découvrir l’informatique fantôme et à évaluer le risque, tout en vous permettant d’appliquer des stratégies et d’examiner les activités. Il vous permet de contrôler l'accès en temps réel et de stopper les menaces, afin que votre organisation puisse se déplacer de manière plus sécurisée vers le cloud.
Conformité Defender for Cloud Apps
Dans un monde où les violations de données et les attaques sont quotidiennes, il est essentiel pour les organisations de choisir un Broker de sécurité d’accès au cloud (CASB) qui fait tout pour protéger leurs données. Comme tous les produits et services cloud de Microsoft, Defender for Cloud Apps a pour objectif de répondre aux exigences strictes en matière de sécurité et de confidentialité de nos clients.
Pour aider les organisations à se conformer aux exigences nationales/régionales et sectorielles régissant la collecte et l’utilisation des données des individus, Defender for Cloud Apps fournit un ensemble complet d’offres de conformité. Ces offres de conformité incluent des certifications et des attestations.
Infrastructure et offres de conformité
Defender for Cloud Apps est conforme à de nombreuses normes de conformité internationales et spécifiques aux différents secteurs industriels incluant, sans s’y limiter :
| Organization | Titre | Description |
|---|---|---|
 |
Attestation CSA STAR | Azure et Intune ont reçu l’attestation Cloud Security Alliance STAR basée sur un audit indépendant. |
|
CSA STAR Certification | Azure, Intune et Power BI ont reçu la certification Cloud Security Alliance STAR de niveau Gold. |
 |
Clauses contractuelles types de l’Union Européenne | Microsoft offre par le biais des Clauses contractuelles standard de l’Union Européenne des garanties pour les transferts de données personnelles. |
 |
HIPAA/HITECH | Microsoft propose des accords de partenariat sur la transférabilité de l'assurance maladie et la responsabilité des assureurs. |
 |
ISO 9001 | Microsoft est certifié pour son implémentation de ces normes de gestion de la qualité. |
 |
ISO/IEC 27001 | Microsoft est certifié pour son implémentation de ces normes de gestion de la sécurité des informations. |
 |
ISO/IEC 27018 | Microsoft a été le premier fournisseur de cloud à adhérer à ce code de pratique en matière de confidentialité du cloud. |
 |
PCI DSS | Azure est conforme aux normes Payment Card Industry Data Security Standards, niveau 1, version 3.1. |
 |
Rapports SOC 1 et SOC 2 type 2 | Les services de cloud computing Microsoft sont conformes aux normes Service Organization Controls pour la sécurité opérationnelle. |
|
SOC 3 | Les services de cloud computing Microsoft sont conformes aux normes Service Organization Controls pour la sécurité opérationnelle. |
 |
G-Cloud (Royaume-Uni) | Crown Commercial Service a renouvelé la classification de services cloud Microsoft de la norme Government Cloud v6. |
Pour plus d’informations, accédez aux Offres de conformité Microsoft.
Confidentialité
Vous êtes le propriétaire de vos données
Dans Defender for Cloud Apps, vos administrateurs peuvent afficher les données personnelles identifiables stockées dans le service à partir du portail à l’aide de la barre de recherche.
Les administrateurs peuvent rechercher les métadonnées ou l’activité d’un utilisateur spécifique. La sélection d’une entité ouvre la page Utilisateurs. La page Utilisateurs vous fournit des détails complets sur l’entité qui sont extraits à partir d’applications cloud connectées. Elle fournit également l’historique d’activité de l’utilisateur et les alertes de sécurité liées à l’utilisateur.
Vous possédez vos données et pouvez à tout moment annuler des abonnements et demander la suppression de vos données. Si vous ne renouvelez pas votre abonnement, vos données seront supprimées dans le délai spécifié dans les Conditions des services en ligne.
Si vous choisissez d’arrêter le service, vous pourrez récupérer vos données.
Defender for Cloud Apps est le processeur de vos données
Defender for Cloud Apps utilise vos données uniquement à des fins cohérentes avec la fourniture des services auxquels vous vous abonnez.
Si un gouvernement se rapproche de Microsoft pour accéder à vos données, Microsoft redirigera la requête vers vous, le client, chaque fois que ce sera possible. Microsoft a contesté des exigences légales qui n’étaient pas valides, qui interdisaient la divulgation d’une demande d’un gouvernement relative à des données d’un client. En savoir plus sur qui peut accéder à vos données et sous quelles conditions.
Contrôles de confidentialité
- Les contrôles de confidentialité vous aident à configurer qui, dans votre organisation, a accès au service et à quoi ces personnes ont accès.
Mise à jour des données personnelles
Les données personnelles sur les utilisateurs sont dérivées de l’objet utilisateur dans les applications SaaS utilisées. Par conséquent, les modifications apportées au profil utilisateur dans ces applications sont répercutées dans Defender for Cloud Apps.
Emplacement des données
Defender for Cloud Apps opère actuellement dans des centres de données de l’Union européenne, au Royaume-Uni et au États-Unis (chacun est « Géo »).
Defender for Cloud Apps utilise des centres de données Azure dans le monde entier pour fournir des performances optimisées par le biais de la géolocalisation. Cela signifie que la session d’un utilisateur peut être hébergée en dehors d’une région en particulier, en fonction des modèles de trafic et de leur emplacement. Toutefois, pour protéger votre confidentialité, aucune donnée de session n’est stockée dans ces centres de données.
Pour plus d’informations, reportez-vous au Centre de gestion de la confidentialité Microsoft.
Emplacements de stockage de données Defender for Cloud Apps
Les données client collectées par le service sont stockées au repos comme suit :
| Emplacement d’approvisionnement du client | Emplacement de stockage des données |
|---|---|
| Clients dont les locataires sont approvisionnés dans l’Union européenne ou au Royaume-Uni | L’Union européenne ou le Royaume-Uni |
| Tous les autres clients | Zone géographique la plus proche de l’emplacement où le locataire Microsoft Entra du client a été approvisionné |
Si Defender pour le cloud Apps utilise un autre service en ligne Microsoft, tel que Microsoft Entra ID ou Azure CDN pour traiter ces données, l’emplacement géographique des données est défini par les règles de stockage de données de cet autre service en ligne.
Emplacements de stockage des données de gouvernance des applications
Les données client collectées par le service sont stockées au repos comme suit :
| Emplacement d’approvisionnement du client | Emplacement de stockage des données |
|---|---|
| Clients dont les locataires sont approvisionnés dans le États-Unis | États-Unis |
| Clients dont les locataires sont approvisionnés dans l’Union européenne ou au Royaume-Uni | L’Union européenne ou le Royaume-Uni |
| Clients dont les locataires sont approvisionnés dans l’Asie-Pacifique | Asie-Pacifique ou États-Unis |
| Clients dont les locataires sont approvisionnés au Canada | Canada ou le États-Unis |
| Clients dont les locataires sont approvisionnés en Inde | L’Inde ou le États-Unis |
| Clients dont les locataires sont provisionnés dans n’importe quelle autre région | Le États-Unis ou un centre de données dans la zone géographique le plus proche de l’emplacement où le locataire Microsoft Entra du client a été approvisionné |
Si la gouvernance des applications utilise un autre service en ligne Microsoft, tel que Microsoft Entra ID ou Azure CDN pour traiter ces données, l’emplacement géographique des données est défini par les règles de stockage de données de cet autre service en ligne.
La gouvernance des applications fait maintenant partie de Microsoft Defender for Cloud Apps. Pour les clients existants, en juin 2024, nous allons déplacer vos données pour qu’elles correspondent à votre résidence des données Microsoft Defender for Cloud Apps. Il n’y a aucun travail requis de votre côté et il n’y aura aucune interruption de service. Pour plus d’informations, consultez Emplacements de stockage de données Defender for Cloud Apps.
Transparency
Microsoft garantit la transparence de ses pratiques :
- Nous vous informons de l’emplacement où vos données sont stockées.
- Nous garantissons que vos données sont utilisées uniquement pour fournir les services convenus.
- Nous spécifions comment les ingénieurs Microsoft et les sous-traitants agréés utilisent ces données pour fournir des services.
Microsoft utilise un contrôle strict pour régir l’accès aux données des clients, en accordant le niveau d’accès requis le plus bas pour effectuer des tâches clés et en révoquant l’accès lorsqu’il n’est plus nécessaire.
Protection des données
Defender for Cloud Apps applique la protection des données lors de l’inspection du contenu. Le contenu des fichiers n’est pas stocké dans le centre de données Defender for Cloud Apps. Seules les métadonnées des enregistrements des fichiers et les correspondances qui ont été identifiées sont stockées.
Conservation des données
Defender for Cloud Apps conserve les données comme suit :
- Journal d’activité : 180 jours
- Données de découverte : 90 jours
- Alertes : 180 jours
- Journal de gouvernance : 120 jours
Vous pouvez en savoir plus sur les pratiques de Microsoft relatives aux données en lisant les des termes du contrat de service en ligne.
En savoir plus sur la transparence
Partage des données
Defender for Cloud Apps partage des données, y compris les données client, parmi les produits Microsoft suivants également concédés sous licence par le client :
Microsoft Defender pour le cloud
Microsoft Sentinel
Microsoft Defender for Endpoint
Microsoft Security Exposure Management (préversion publique)
Microsoft Purview
Microsoft Purview
Suppression des données personnelles
Une fois le compte d’un utilisateur supprimé d’une application cloud connectée, Defender for Cloud Apps supprime automatiquement la copie des données dans un délai de deux ans.
Exportation de données personnelles
Defender for Cloud Apps vous offre la possibilité d’exporter au format CSV toutes les informations sur l’activité de l’utilisateur et les alertes de sécurité.
Flux de données
Defender for Cloud Apps vous offre la commodité d’utiliser certaines données, telles que les alertes et les activités, sans perturber votre flux de travail de sécurité habituel. Par exemple, SecOps peut préférer afficher les alertes dans leur produit SIEM préféré, tel que Microsoft Sentinel. Pour activer ces flux de travail, lors de l’intégration à des produits Microsoft ou tiers, Defender for Cloud Apps expose certaines données par leur intermédiaire.
Le tableau suivant indique les données exposées pour chaque intégration de produit :
Produits Microsoft
| Produit | Données exposées | Configuration |
|---|---|---|
| Microsoft Defender XDR | Alertes et activités utilisateur | Activé automatiquement sur Microsoft Defender XDR lors du processus d’accueil |
| Microsoft Sentinel | Alertes et données de découverte | Activé dans Defender for Cloud Apps et configuré dans Microsoft Sentinel |
| Portail de conformité Microsoft Purview | Alertes pour Microsoft 365 | Diffusé automatiquement vers portail de conformité Microsoft Purview |
| Microsoft Defender pour le cloud | Alertes pour Azure | Activé par défaut dans Defender for Cloud Apps ; peut être désactivé dans Microsoft Defender for Cloud |
| API de sécurité Microsoft Graph | Alertes | Disponible à l’aide de l'API Microsoft Graph Security |
| Microsoft Power Automate | Alertes envoyées pour déclencher un flux automatisé | Configuré dans Defender for Cloud Apps |
| Spécialistes des menaces Microsoft | Alertes | Diffusé automatiquement vers Spécialistes des menaces Microsoft |
| Microsoft Entra ID Protection | Alertes | Diffusé automatiquement vers Protection des ID Microsoft Entra |
| Microsoft Entra ID Protection | Sous-ensemble d’alertes pour le modèle de risque d’identité | Activé automatiquement sur Protection des ID Microsoft Entra lors du processus d’accueil |
Produits tiers
| Type d’intégration | Données exposées | Configuration |
|---|---|---|
| Utilisation d’un agent SIEM | Alertes et événements | Activé et configuré dans Defender for Cloud Apps |
| Utilisation de API REST Defender for Cloud Apps | Alertes et événements | Activé et configuré dans Defender for Cloud Apps |
| Connecteur ICAP | Fichier pour l’analyse DLP | Activé et configuré dans Defender for Cloud Apps |
Remarque
D’autres produits peuvent ne pas appliquer Defender for Cloud Apps autorisations de sécurité en fonction du rôle pour contrôler qui a accès aux données. Par conséquent, avant d’intégrer d’autres produits, vérifiez que vous comprenez les données envoyées au produit que vous souhaitez utiliser et qui y a accès.
Sécurité
Chiffrement
Microsoft utilise la technologie de chiffrement pour protéger vos données lorsqu’elles sont au repos dans une base de données Microsoft et lorsqu’elles transitent entre les appareils des utilisateurs et les centres de données Defender for Cloud Apps. En outre, toutes les communications entre Defender for Cloud Apps et les applications connectées sont chiffrées avec le protocole HTTPS.
Remarque
Defender for Cloud Apps utilise les protocoles TLS (Transport Layer Security) 1.2 et versions ultérieures pour fournir un chiffrement de classe optimale. Les applications client natives et les navigateurs qui ne prennent pas en charge TLS 1.2 et versions ultérieures ne seront pas accessibles lorsqu’ils sont configurés avec le contrôle de session. Cependant, les applications SaaS qui utilisent TLS 1.1 ou version antérieure s’afficheront dans le navigateur en utilisant TLS 1.2 et versions ultérieures lorsqu’elles sont configurées avec Defender for Cloud Apps.
Gestion des identités et des accès
Defender for Cloud Apps vous permet de limiter l’accès des administrateurs au portail en fonction de la géolocalisation à l’aide de Microsoft Entra ID. Il est possible d’exiger l’authentification multifacteur pour accéder au portail Defender for Cloud Apps à l’aide de Microsoft Entra ID.
Autorisations
Defender for Cloud Apps prend en charge le contrôle d’accès en fonction du rôle. Les rôles d’administrateur général et d’administrateur de sécurité Microsoft Entra 365 et Microsoft Entra disposent d’un accès complet à Defender for Cloud Apps, et les lecteurs de sécurité disposent d’un accès en lecture. Pour plus d'informations.
Contrôles du client en matière de conformité de l’organisation
Déploiement étendu
Defender for Cloud Apps vous permet de délimiter votre déploiement. Le délimitation vous permet de gouverner uniquement des groupes spécifiques à l’aide de Defender for Cloud Apps, ou d’exclure des groupes spécifiques de la gouvernance de Defender for Cloud Apps. Pour plus d’informations, consultez Déploiement étendu.
Anonymisation
Vous pouvez choisir de préserver l’anonymat de rapports Cloud Discovery. Une fois vos fichiers journaux téléchargés sur Microsoft Defender for Cloud Apps, toutes les informations de nom d’utilisateur sont remplacées par des noms d’utilisateur cryptés. Pour les examens de sécurité spécifiques, vous pouvez résoudre le nom d’utilisateur réel. Les données privées sont chiffrées en utilisant AES-128 avec une clé dédiée par client. Pour plus d'informations.
Sécurité et confidentialité pour les clients Defender for Cloud Apps US Government GCC High
Pour plus d’informations sur les normes de conformité Defender pour le cloud Apps et l’emplacement des données pour les clients US Government GCC High, consultez la Description du service Enterprise Mobility + Security for US Government.
Étapes suivantes
- Vue d’ensemble de Defender for Cloud Apps
- Documentation de Defender for Cloud Apps
- S’inscrire à Defender for Cloud Apps
Demandez une version d’évaluation gratuite de Defender for Cloud Apps et voyez dans quelle mesure ceci répond aux besoins de votre entreprise.
Commentaires
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour