Chiffrement des données dans OneDrive Entreprise et SharePoint Online

Maîtrisez les notions de base du chiffrement de la sécurité de données dans OneDrive Entreprise et SharePoint Online.

Sécurité et chiffrement des données dans Microsoft 365

Microsoft 365 est un environnement hautement sécurisé qui offre une protection étendue dans plusieurs couches : sécurité des centres de données physiques, sécurité réseau, sécurité d’accès, sécurité des applications et sécurité des données. Cet article s'intéresse plus particulièrement à l'aspect du chiffrement de la sécurité des données lors de leur transport et de leur stockage pour OneDrive Entreprise et SharePoint Online.

Observez le fonctionnement du chiffrement des données dans la vidéo suivante.

Chiffrement des données lors de leur transport

Dans OneDrive Entreprise et SharePoint Online, il existe deux scénarios dans lesquels les données entrent et quittent les centres de données.

• Communication du client avec le serveur La communication vers OneDrive Entreprise sur Internet utilise des connexions SSL/TLS. Toutes les connexions SSL sont établies à l'aide de clés 2 048 bits.

• Déplacement des données entre les centres de données La principale raison de déplacer des données entre les centres de données est la géoréplication pour activer la récupération d’urgence. Par exemple, les deltas de stockage d'objets blob et les journaux de transaction SQL Server transitent par ce canal. Alors que ces données sont déjà transmises par le biais d’un réseau privé, elles sont encore mieux protégées à l’aide du meilleur chiffrement de sa catégorie.

Chiffrement des données lors de leur stockage

Le chiffrement lors du stockage comprend deux composants : le chiffrement au niveau du disque BitLocker et le chiffrement par fichier du contenu client.

BitLocker est déployé pour OneDrive Entreprise et SharePoint Online sur l'ensemble du service. Le chiffrement par fichier est également dans OneDrive Entreprise et SharePoint Online dans microsoft 365 multilocataire et les nouveaux environnements dédiés basés sur la technologie multilocataire.

Alors que BitLocker chiffre toutes les données sur un disque, le chiffrement par fichier va plus loin en ajoutant une clé de chiffrement unique pour chaque fichier. En outre, chaque mise à jour de chaque fichier est chiffrée à l’aide de sa propre clé de chiffrement. Les clés du contenu chiffré sont stockées dans un emplacement physiquement distinct du contenu. Chaque étape de ce chiffrement utilise la méthode AES (Advanced Encryption Standard) avec des clés 256 bits et est conforme à la norme FIPS (Federal Information Processing Standard) 140-2. Le contenu chiffré est distribué sur un certain nombre de conteneurs dans le centre de données, et chaque conteneur a des informations d’identification uniques. Ces informations sont stockées dans un emplacement physique distinct du contenu ou des clés de contenu.

Pour plus d’informations sur la conformité FIPS 140-2, consultez Conformité FIPS 140-2.

Le chiffrement au niveau du fichier lors du stockage tire profit du stockage d'objets blob pour fournir une croissance de stockage virtuellement illimitée et pour permettre une protection sans précédent. L'ensemble du contenu client dans OneDrive Entreprise et SharePoint Online sera migré vers le stockage d'objets blob. Voici la façon dont les données sont sécurisées :

1. Tout le contenu est chiffré, potentiellement avec plusieurs clés, et distribué dans le centre de données. Chaque fichier à stocker est divisé en un ou plusieurs blocs, en fonction de sa taille. Ensuite, chaque bloc est chiffré à l’aide de sa propre clé unique. Les mises à jour sont traitées de la même façon : le jeu de modifications, ou deltas, soumis par un utilisateur est divisé en blocs, et chacun est chiffré avec sa propre clé.

2. Tous ces blocs (fichiers, parties de fichiers et deltas de mise à jour) sont stockés sous la forme d’objets blob dans le magasin d’objets blob. Ils sont également répartis au hasard entre plusieurs conteneurs d'objets blob.

3. La « carte » utilisée pour ré-assembler le fichier à partir de ses composants est stockée dans la base de données de contenu.

4. Chaque conteneur d'objets blob dispose de ses propres informations d'identification uniques par type d'accès (lecture, écriture, énumération et suppression). Chaque jeu d’informations d’identification est conservé dans le magasin de clés sécurisé et est régulièrement actualisé.

En d’autres termes, trois types de magasins sont impliqués dans le chiffrement par fichier lors du stockage, chacun doté d’une fonction distincte :

• Le contenu est stocké sous la forme d’objets blob chiffrés dans le magasin correspondant. La clé permettant d’accéder à chaque bloc de contenu est chiffrée et stockée séparément dans la base de données de contenu. Le contenu lui-même ne fournit aucun indice quant à sa méthode de déchiffrement.

• La base de données de contenu est une base de données SQL Server. Elle contient la carte nécessaire à la localisation et à la reconstitution de l'ensemble des objets blob de contenu figurant dans le magasin d'objets blobs, ainsi que les clés nécessaires au déchiffrement de ces objets.

Chacun de ces trois composants de stockage (le magasin d’objets blob, la base de données de contenu et le magasin de clés) est physiquement distinct. Les informations contenues dans l’un des composants sont inutilisables en elles-mêmes. Cela offre un niveau de sécurité sans précédent. Sans accès aux trois, il est impossible de récupérer les clés des blocs, de déchiffrer les clés pour les rendre utilisables, d’associer les clés à leurs blocs correspondants, de déchiffrer n’importe quel bloc ou de reconstruire un document à partir de ses blocs constitutifs.