Pour les données sensibles, le SaaS n’est pas admissible, à moins d’apporter ses propres clés de chiffrement.

L’association suisse privatim – qui réunit des autorités de surveillance en matière de protection des données des organes publics – a récemment communiqué cette position. Elle vise plus précisément les solutions de « grands fournisseurs internationaux […], comme […] Microsoft 365 ». Un raisonnement qui tient entre autres à l’existence du CLOUD Act… et aux perspectives d’accès à des données par les autorités américaines sans respect des règles de l’entraide judiciaire internationale.

La plupart des solutions SaaS n’offrent pas encore de véritable chiffrement de bout en bout, fait également remarquer privatim. Qui dénonce aussi une transparence insuffisante des « entreprises opérant à l’échelle mondiale » pour que les autorités suisses puissent vérifier le respect des obligations contractuelles en matière de protection des données. Ce constat, poursuit l’association, vaut autant pour la mise en œuvre de mesures techniques et la gestion des changements, que pour l’engagement et le contrôle des collaborateurs et des sous-traitants.

Microsoft 365 : trois options pour utiliser ses propres clés de chiffrement

Microsoft 365 fournit un chiffrement de base au niveau du volume via BitLocker et DKM (Distributed Key Manager, techno côté client qui utilise un ensemble de clés secrètes). Depuis octobre 2023, c’est de l’AES256-CBC par défaut.

La voie principale pour apporter ses propres clés est l’option Customer Key de Purview. Elle fonctionne avec les licences suivantes :

• Office 365 E5
• Microsoft 365 E5
• Purview Suite (ex-Microsoft 365 E5 Compliance)
• Microsoft 365 E5 Information Protection & Governance
• Microsoft 365 Security and Compliance for FLW

Purview Customer Key s’appuie sur le service Azure Key Vault. Au niveau Standard, les clés – générées dans le coffre-fort ou importées – sont protégées par logiciel. Au niveau Premium, elles sont stockées dans des HSM (modules de sécurité matériels). Il existe une option monolocataire dite Managed HSM.

Autre possibilité : le chiffrement à double clé : une sous le contrôle du client, l’autre stockée dans Azure. Une solution à réserver aux données très sensibles, selon Microsoft. Elle condamne effectivement l’accès à des fonctionnalités comme l’eDiscovery, la recherche et l’indexation, les web apps Office, les règles antimalware/antispam qui exigent une visibilité sur les pièces jointes… et Copilot.

Même avec l’option Customer Key, Microsoft conserve une clé maître (« clé de disponibilité », que le client peut demander à activer en cas de perte de ses propres clés.

Illustration principale © Andrei Kholmov – Shutterstock

The post SaaS et chiffrement : Microsoft 365 ciblé par un appel à la vigilance appeared first on Silicon.fr.

Après une année marquée par la montée en puissance de Copilot payant, Microsoft change de cadence. Le géant de Redmond prépare une vague de fonctionnalités IA gratuites pour Outlook, Word, Excel et PowerPoint, prévues pour début 2026 — un virage stratégique qui pourrait transformer la productivité quotidienne de millions d’utilisateurs. Outlook se dote d’un Copilot […]

L’article Microsoft va rendre Copilot gratuit dans Outlook, Word et Excel est apparu en premier sur BlogNT : le Blog des Nouvelles Technologies.

Panne Microsoft en cours ce mercredi, Azure et Microsoft 365 connaissent des accès dégradés, avec une piste DNS évoquée et plus de 11 000 signalements.

Cet article Panne Microsoft sur Azure et Microsoft 365 avec plus de 11 000 signalements est apparu en premier sur Linformatique.org.

Whisper 2FA, kit PhaaS furtif, vole identifiants et tokens MFA Microsoft 365. Analyse technique et enjeux défense....

Microsoft 365 Copilot permet désormais à certaines organisations d’accéder aux modèles d’Anthropic, sous conditions strictes.

Cybersecurity researchers uncovered a sophisticated phishing campaign that exploited a legitimate artificial intelligence platform to steal corporate Microsoft 365 credentials. The attack, detailed by Cato Networks and reported by Cyber Security News, demonstrated how cybercriminals increasingly leverage the trust placed in AI tools to bypass traditional defenses. At least one U.S.-based investment company was affected before the campaign was shut down, highlighting the growing risks of AI-enabled attacks.The operation began […]