Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une vue d’ensemble des fonctionnalités de chiffrement Microsoft 365 pertinentes pour les organisations gouvernementales australiennes. Son objectif est d’aider les organisations gouvernementales à accroître la maturité de leur sécurité des données tout en respectant les exigences décrites dans le Cadre de stratégie de sécurité de protection (PSPF) et le Manuel de sécurité des informations (ISM).
Le chiffrement est une partie importante de votre stratégie de protection des informations et doit être compris pour garantir une protection adéquate des données. Microsoft 365 utilise plusieurs couches de chiffrement. Certaines d’entre elles sont innées, telles que le chiffrement BitLocker dans les centres de données Microsoft et le chiffrement SSL/TLS pour les communications entre le client et les serveurs. D’autres fonctionnalités de chiffrement peuvent être activées par les administrateurs pour étendre davantage la protection.
Exigences de chiffrement du gouvernement australien
PSPF inclut des exigences pour le chiffrement des informations pendant la transmission. Ces exigences se trouvent à la section 9.3 du Framework de stratégie de sécurité de protection (PSPF). Voici un sous-ensemble de ces exigences :
| Classification | Configuration requise |
|---|---|
| PROTÉGÉ | Utilisez un réseau PROTECTED (ou supérieur), sinon le chiffrement est requis. |
| OFFICIAL : Sensible | Utilisez OFFICIAL : Réseau sensible (ou supérieur). Chiffrer en cas de transfert sur une infrastructure réseau publique ou via des espaces non sécurisés. |
| FONCTIONNAIRE | Chiffrement recommandé, en particulier pour les informations communiquées sur l’infrastructure réseau publique. |
Les services Microsoft 365 assurent le chiffrement des données au repos dans les plateformes Microsoft 365 et en transit entre Microsoft 365 et les points de terminaison par défaut. Ces configurations par défaut utilisent advanced encryption Standard (AES) avec une longueur de clé de 256 bits en mode AES256-CBC (Cipher Block Chaining). Ces fonctionnalités sont conformes aux exigences ISM suivantes :
| Conditions requises | Détails |
|---|---|
| Contrôle de sécurité ISM : ISM-1769 (ISM mars 2025) | Lorsque vous utilisez AES pour le chiffrement, AES-128, AES-192 ou AES-256 sont utilisés, de préférence AES-256. |
Pour plus d’informations sur le chiffrement utilisé par Microsoft 365, consultez Chiffrement.
Extension des fonctionnalités de chiffrement
Les méthodes facultatives que les organisations gouvernementales australiennes peuvent utiliser pour étendre les fonctionnalités de chiffrement par défaut de Microsoft 365 sont les suivantes :
- Application du protocole TLS (Transport Layer Security) pour les e-mails classifiés de sécurité
- Application du chiffrement Azure Rights Management aux fichiers et aux e-mails
- Chiffrement des e-mails avec Chiffrement de messages Microsoft Purview
Le tableau suivant décrit les méthodes facultatives d’extension des fonctionnalités de chiffrement inné de Microsoft 365, ainsi que des liens vers les sections pertinentes de ce guide :
| Catégorie de conditions requises | Méthode de réalisation |
|---|---|
| Chiffrement pendant la transmission | Le chiffrement TLS est appliqué aux fichiers et aux e-mails dans Microsoft 365 pendant la transmission ainsi que pendant les interactions entre les appareils clients et les services Microsoft 365. Toutefois, pour la transmission d’e-mails, TLS est opportuniste et non appliqué. Si les plateformes de messagerie de l’expéditeur et du destinataire prennent en charge TLS, les e-mails sont transférés en toute sécurité. Si un service de messagerie électronique de destinataire ne prend pas en charge TLS, les e-mails peuvent être envoyés sous forme non chiffrée, ce qui entraîne un risque plus élevé d’interception de contenu. En appliquant le chiffrement TLS pour les e-mails classifiés de sécurité , nous pouvons configurer Exchange pour garantir que les éléments classifiés de sécurité ne sont pas envoyés dans les situations où les serveurs de réception ne prennent pas en charge le chiffrement TLS. - Le chiffrement des étiquettes de confidentialité peut être configuré pour s’appliquer à la fois aux fichiers et aux e-mails. Une fois les éléments chiffrés, le chiffrement est en place pendant la transmission, ce qui garantit que les exigences de chiffrement de transmission sont remplies. - Chiffrement de messages Microsoft Purview (PME) permet de créer des règles pour appliquer le chiffrement aux e-mails et aux pièces jointes pendant la transmission. Ce chiffrement est transparent pour les e-mails entre les environnements Microsoft 365 et nous permet d’étendre la protection aux plateformes de messagerie non-Microsoft en dirigeant les destinataires vers un portail de chiffrement personnalisé. |
| Vérifier le besoin d’en savoir |
Le chiffrement des étiquettes de confidentialité permet de configurer des utilisateurs ou des groupes qui ont la possibilité d’accéder à des informations chiffrées. Cela nous permet de mieux contrôler le besoin de savoir en bloquant l’accès utilisateur non autorisé. Le chiffrement des étiquettes permet également l’application d’autorisations aux éléments, notamment la possibilité de restreindre l’impression, ce qui permet de restreindre l’accès aux informations. - Chiffrement de messages Microsoft Purview garantit que seuls les destinataires spécifiés ont la possibilité d’ouvrir des e-mails chiffrés et leurs pièces jointes. |
| Vérifier l’attestation de sécurité | Le chiffrement des étiquettes de confidentialité nous permet d’associer la possibilité d’accéder à des éléments chiffrés à des groupes de sécurité. Ces groupes peuvent être configurés, manuellement ou dynamiquement, pour contenir uniquement les utilisateurs disposant des autorisations de sécurité appropriées. Cette approche peut également être étendue aux utilisateurs invités, car les invités dont les autorisations ont été évaluées peuvent être inclus dans un groupe d’utilisateurs autorisés. |
Les autres articles de cette section Chiffrement TLS et Chiffrement des étiquettes de confidentialité explorent plus en détail l’implémentation de ces fonctionnalités.