Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des conseils aux organisations gouvernementales australiennes sur l’utilisation du protocole TLS (Transport Layer Security) pour protéger les informations classifiées de sécurité. Son objectif est d’aider les organisations gouvernementales à comprendre leurs exigences de chiffrement et comment Microsoft 365 peut être configuré pour y répondre. Les conseils de cet article ont été rédigés pour s’aligner au mieux sur les exigences décrites dans le Cadre de stratégie de sécurité de protection (PSPF) et le Manuel de sécurité des informations (ISM).
Tls (Transport Layer Security) est un type de chiffrement qui, dans ce contexte, est utilisé pour protéger les e-mails pendant la transmission. TLS est appliqué au serveur de messagerie et s’applique à tous les messages envoyés à partir du serveur, plutôt qu’au niveau de l’utilisateur ou du client. Pour plus d’informations sur TLS dans Microsoft 365, consultez comment Exchange Online utilise TLS pour sécuriser les connexions de messagerie.
TLS est opportuniste, ce qui signifie que Exchange Online essaie toujours de chiffrer d’abord les connexions avec la version la plus sécurisée de TLS, puis travaille dans la liste des chiffrements TLS jusqu’à ce qu’il en trouve un sur lequel l’expéditeur et le destinataire sont d’accord. Tls opportuniste garantit que les messages sont chiffrés au niveau le plus élevé possible pour la transmission des e-mails.
Par défaut, Exchange Online a activé tls opportuniste, ce qui répond aux exigences suivantes du Manuel de sécurité des informations (ISM) :
| Conditions requises | Détails |
|---|---|
| ISM-0572 (mars 2025) | Le chiffrement TLS opportuniste est activé sur les serveurs de messagerie qui effectuent des connexions de messagerie entrantes ou sortantes sur une infrastructure réseau publique. |
La configuration TLS opportuniste est également abordée dans Blueprint for Secure Cloud d’ASD.
Risque d’e-mails non chiffrés
L’un des inconvénients de la nature opportuniste de TLS est qu’il n’est pas obligatoire. Si le protocole TLS n’est pas activé sur un serveur de messagerie de réception, le courrier électronique peut être envoyé sans chiffrement TLS, ce qui augmente la probabilité que le contenu en texte brut soit intercepté et interprété. Il ne s’agit pas d’un défaut de produit, mais plutôt d’un symptôme de l’évolution de la sécurité de la messagerie. L’attribution du chiffrement TLS pour toutes les transmissions d’e-mails est susceptible d’entraîner la perte ou le blocage des e-mails pour le petit pourcentage de services de messagerie qui ne sont pas encore compatibles TLS.
Afin d’évaluer le risque de chiffrement TLS facultatif, les administrateurs de courrier doivent régulièrement consulter le rapport des messages sortants Exchange Online, qui fournit un résumé du pourcentage d’e-mails envoyés avec et sans chiffrement TLS. Pour plus d’informations, consultez rapports de messages dans Exchange Online..
Le fait de garder le chiffrement des e-mails facultatif pour les informations sensibles ou classifiées de sécurité augmente le risque de perte d’informations. Nous devrions prendre en compte ce risque ainsi que les exigences de transmission de la section 9.3 du Cadre de politique de sécurité de protection (PSPF) :
| Classification | Configuration requise |
|---|---|
| PROTÉGÉ | Utilisez un réseau PROTECTED (ou supérieur), sinon le chiffrement est requis. |
| OFFICIAL : Sensible | Utilisez OFFICIAL : Réseau sensible (ou supérieur). Chiffrer en cas de transfert sur une infrastructure réseau publique ou via des espaces non sécurisés. |
| FONCTIONNAIRE | Chiffrement recommandé, en particulier pour les informations communiquées sur l’infrastructure réseau publique. |
Les organisations gouvernementales doivent envisager des méthodes pour atténuer les risques associés à TLS opportuniste. Les stratégies peuvent inclure :
- Utilisation d’une approche TLS forcée pour tous les messages sortants. Cela garantit le chiffrement TLS indépendamment du contenu de l’étiquette de confidentialité ou de l’élément appliqué, mais au coût potentiel de non-livraison pour certains éléments. Pour plus d’informations sur cette approche, consultez Comment configurer le protocole TLS forcé pour Exchange Online dans Office 365.
- Utilisation d’un ensemble de connecteurs partenaires qui nécessitent TLS pour la communication entre une liste prédéfinie d’organisations. Cette méthode sécurise les communications entre les organisations fixes, mais ne fournit pas de chiffrement TLS obligatoire lorsque des informations sont envoyées à des destinataires en dehors de la liste des organisations. Pour plus d’informations sur cette approche, consultez Configurer des connecteurs pour le flux de messagerie sécurisé avec un organization partenaire dans Exchange Online.
- L’utilisation d’un Exchange Online des configurations de transport nécessitant TLS pour les e-mails classifiés de sécurité. Cette approche peut compléter un ensemble de connecteurs partenaires pour garantir que tous les éléments classifiés de sécurité sont transmis conformément aux exigences de chiffrement PSPF.
Pour de nombreuses organisations gouvernementales, en particulier les agences basées sur les services, la majeure partie de leurs informations appartient à la catégorie OFFICIAL et l’utilisation d’une approche TLS forcée pour ce volume d’e-mails peut avoir des répercussions significatives sur les affaires avec les personnes et les organisations qui n’ont pas tls. Une approche basée sur les risques, tempérée aux besoins de l’entreprise, est recommandée et, pour de nombreuses organisations, cela est susceptible d’entraver l’utilisation de l’approche TLS forcée. Une approche plus acceptable est susceptible d’inclure l’utilisation de connecteurs partenaires et de configurations basées sur le transport.
Le blueprint d’ASD pour le cloud sécurisé inclut des informations sur la configuration des règles de transport pour exiger TLS pour les e-mails OFFICIAL : Sensible ou PROTÉGÉ. Cette configuration est explorée plus en détail dans la section suivante.
Imposer le protocole TLS pour les e-mails classifiés de sécurité
Une règle de flux de messagerie Exchange Online peut être créée pour exiger le chiffrement TLS pour les e-mails avec certaines étiquettes de confidentialité appliquées. Pour ce faire, nous devons d’abord identifier les éléments avec les étiquettes appropriées appliquées.
Lorsque des étiquettes de confidentialité sont appliquées à un e-mail, un ensemble de métadonnées est placé dans les en-têtes de l’e-mail. L’en-tête contenant les informations d’étiquette est nommé msip_labels et inclut une étiquette Identificateurs globaux uniques (GUID), qui correspond à l’étiquette appliquée à l’élément.
Afin d’obtenir tous les GUID d’étiquette pour un environnement, la sécurité et la conformité, PowerShell peut être utilisé. Pour afficher les étiquettes d’un environnement et les GUID associés, utilisez :
Get-label | select displayname,guid
Les GUID d’intérêt sont ceux des étiquettes OFFICIAL : Sensible et PROTECTED, y compris les sous-étiquettes.
Remarque
Les GUID d’étiquette sont spécifiques à un seul locataire Microsoft 365. Deux locataires avec le même nommage d’étiquette ne partagent pas le même GUID.
Une fois obtenus, les noms d’étiquette et les GUID doivent être enregistrés afin que vous puissiez les utiliser pour la configuration des règles de flux de messagerie Exchange.
Pour obtenir des conseils génériques sur la création de règles de flux de courrier, consultez Gérer les règles de flux de messagerie dans Exchange Online.
Les administrateurs doivent utiliser le centre Exchange Online Administration pour créer des règles de flux de courrier qui recherchent l’en-têtemsip_labels. Une règle de flux de messagerie unique peut être utilisée pour case activée pour plusieurs GUID d’étiquette. Veillez à inclure Enabled=True après le GUID d’étiquette lors de la création de la règle. L’exemple suivant vérifie les six variantes d’étiquettes PROTECTED (y compris les marqueurs de gestion des informations et les avertissements) au sein d’un environnement.
L’action de règle de flux de messagerie doit être définie pour modifier la sécurité des messages, Exiger le chiffrement TLS.
L’exemple suivant vérifie les GUID d’étiquette de six variantes d’une étiquette PROTECTED et requiert le chiffrement TLS pour la transmission de tout e-mail avec les étiquettes appliquées.
Exemple de règle de flux de messagerie pour exiger TLS
Cette règle de flux de courrier est destinée à empêcher la transmission d’e-mails sensibles ou classifiés de sécurité sur Internet sans chiffrement TLS.
| Nom de la règle | Appliquer cette règle si | Procédez comme suit : |
|---|---|---|
| Exiger TLS pour l’e-mail PROTECTED | Appliquez cette règle si le destinataire est interne/externe : - En dehors du organization AND En-têtes de message... Incluez l’un des mots suivants : En-tête: msip_labels Mots: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
- Modifier la sécurité des messages - Exiger le chiffrement TLS |
Remarque
Avant d’implémenter ces règles, envisagez également votre stratégie de surveillance de l’impact des règles et d’action des éléments qui sont retardés ou bloqués en raison de la réception organization ne prenant pas en charge TLS.