Pour les données sensibles, le SaaS n’est pas admissible, à moins d’apporter ses propres clés de chiffrement.

L’association suisse privatim – qui réunit des autorités de surveillance en matière de protection des données des organes publics – a récemment communiqué cette position. Elle vise plus précisément les solutions de « grands fournisseurs internationaux […], comme […] Microsoft 365 ». Un raisonnement qui tient entre autres à l’existence du CLOUD Act… et aux perspectives d’accès à des données par les autorités américaines sans respect des règles de l’entraide judiciaire internationale.

La plupart des solutions SaaS n’offrent pas encore de véritable chiffrement de bout en bout, fait également remarquer privatim. Qui dénonce aussi une transparence insuffisante des « entreprises opérant à l’échelle mondiale » pour que les autorités suisses puissent vérifier le respect des obligations contractuelles en matière de protection des données. Ce constat, poursuit l’association, vaut autant pour la mise en œuvre de mesures techniques et la gestion des changements, que pour l’engagement et le contrôle des collaborateurs et des sous-traitants.

Microsoft 365 : trois options pour utiliser ses propres clés de chiffrement

Microsoft 365 fournit un chiffrement de base au niveau du volume via BitLocker et DKM (Distributed Key Manager, techno côté client qui utilise un ensemble de clés secrètes). Depuis octobre 2023, c’est de l’AES256-CBC par défaut.

La voie principale pour apporter ses propres clés est l’option Customer Key de Purview. Elle fonctionne avec les licences suivantes :

• Office 365 E5
• Microsoft 365 E5
• Purview Suite (ex-Microsoft 365 E5 Compliance)
• Microsoft 365 E5 Information Protection & Governance
• Microsoft 365 Security and Compliance for FLW

Purview Customer Key s’appuie sur le service Azure Key Vault. Au niveau Standard, les clés – générées dans le coffre-fort ou importées – sont protégées par logiciel. Au niveau Premium, elles sont stockées dans des HSM (modules de sécurité matériels). Il existe une option monolocataire dite Managed HSM.

Autre possibilité : le chiffrement à double clé : une sous le contrôle du client, l’autre stockée dans Azure. Une solution à réserver aux données très sensibles, selon Microsoft. Elle condamne effectivement l’accès à des fonctionnalités comme l’eDiscovery, la recherche et l’indexation, les web apps Office, les règles antimalware/antispam qui exigent une visibilité sur les pièces jointes… et Copilot.

Même avec l’option Customer Key, Microsoft conserve une clé maître (« clé de disponibilité », que le client peut demander à activer en cas de perte de ses propres clés.

Illustration principale © Andrei Kholmov – Shutterstock

The post SaaS et chiffrement : Microsoft 365 ciblé par un appel à la vigilance appeared first on Silicon.fr.

Une enquête menée par Médiapart révèle que les artistes partageant leur musique via la plateforme Spotify auraient été accidentellement rémunérés, et ce depuis 2006. “Quand nous avons découvert que chaque stream permettait de financer les artistes à hauteur de 0.00437$ par stream, nous sommes tout bonnement tombé des nues. C’est gigantesque.” raconte son coprésident Gustav Söderström, estomaqué. Un montant conséquent à côté duquel Gustav Söderström aurait pu passer longtemps sans l’intervention de Alex Norström, son bras droit. “Je voyais de plus en plus d’artistes se plaindre de gagner trois fois rien avec notre plateforme. C’est là que je me suis rendu compte que nous avions accidentellement coché l’option “Sous-monétiser les écoutes” dans les paramètres.” raconte Alex en se grattant la joue. Puis d’ajouter, tout sourire : “Rassurez-vous, nous avons depuis décoché cette option et chaque artiste se trouve désormais libre de continuer à uploader sa musique sur notre plateforme sans rien gagner en retour”.

Cet incident, R-Nest, rappeur depuis 2022, en a fait les frais. Avec des centaines de milliers d’écoutes à son actif, cet artiste de la banlieue nantaise affiche aujourd’hui un train de vie totalement décomplexé. “Quand j’ai découvert que j’avais reçu 24€ de la part de Spotify en 2023, j’ai immédiatement quitté mon travail de caissier chez Flunch pour vivre de ma passion” raconte-t-il dans son studio de 17m2, en fixant ses chaussures. “Je me suis mis à acheter du râpé en format familial alors que je vis seul, du pain au seigle bio tranché et 9 carnets de timbres. Je ne me reconnaissais plus. Mais le jour où j’ai vraiment sû que j’avais un problème, c’est la fois où, l’argent appelant l’argent, j’ai décidé de jouer en bourse en plaçant la totalité de ma fortune sur un livret A” poursuit-il avant de fondre en larmes. 

Pointés du doigt par les artistes du monde entier, les coprésident de Spotify ont immédiatement réagi en rendant la diffusion de chaque morceau sur la plateforme payante à hauteur de 19,99€ par piste. Une mesure honnête visant à atténuer un scandale qui n’est pas sans rappeler un autre dévoilé par Médiapart le 15 novembre dernier et où Jeff Bezos avait dû présenter des excuses après que Prime Vidéo a accidentellement diffusé plusieurs épisodes de séries à la suite sans aucune publicité. 

L’article Le PDG de Spotify présente ses excuses après avoir découvert que les artistes étaient rémunérés est apparu en premier sur Le Gorafi.fr Gorafi News Network.

“Pour célébrer comme il se doit ce mois de décembre 2025, la RATP va offrir à tous les usagers un problème technique par jour dans la pure tradition des fêtes de fin d’année” a annoncé ce matin le président de la RATP Jean Bassère, en dévoilant un gigantesque calendrier de l’avent à l’effigie du RER B. “Tenez, aujourd’hui nous sommes le 2 décembre et bien…HOP ! Pour cause de malaise voyageur, le trafic sera totalement interrompu entre Gare du Nord et Le Bourget jusqu’à 00h50” s’exclame-t-il tout sourire, avant d’aller annoncer la nouvelle au micro en prenant la voix du Père Noël.

Bien que la RATP ait souhaité garder le contenu de ce calendrier secret, ils ont néanmoins accepté à titre exceptionnel de nous en dire un peu plus. On retrouvera ainsi jour après jour 24 problèmes techniques tous plus créatifs et insolubles les uns que les autres tels qu’avarie matérielle, présence d’animaux sauvages sur les voies, dégradation de caténaires, déraillement d’un train, chutes de feuilles, chutes de neige ou encore le traditionnel mouvement social que les usagers auront le bonheur de retrouver comme chaque année derrière le 24 décembre. 

Un petit geste ludique et garanti sans gaspillage puisqu’à l’image des chocolats, tous les problèmes non rencontrés par les usagers seront intégralement recyclés pour la période de Pâques.

L’article La RATP sort son calendrier de l’Avent contenant un problème technique par jour est apparu en premier sur Le Gorafi.fr Gorafi News Network.

La transformation numérique française atteint un nouveau cap : la maturité cloud. Entre exigence réglementaire, essor du multi-cloud et montée en puissance de l’IA souveraine, le nouveau rapport PwC Cloud Business Survey 2025 dépeint un paysage où les entreprises françaises affinent désormais leurs architectures pour optimiser performance, conformité et autonomie numérique. Près de neuf entreprises […]

L’article 87 % des entreprises françaises se disent matures sur le cloud est apparu en premier sur InformatiqueNews.fr.

La nouvelle ligne de TGV Lyon-Bordeaux fait décidément parler d’elle. Après que l’annonce de son ouverture, ce jeudi 27 novembre, a déclenché la colère des élus du Massif central découvrant que le train passerait par la région parisienne, ce sont cette fois les Lyonnais qui se sentent lésés. En effet, le train ne passera finalement pas par la capitale des Gaules et les voyageurs en partance de Lyon devront d’abord rallier Paris puis prendre le train en gare de Massy TGV pour aller à Bordeaux. Pour Stéphanie Picard, porte-parole du collectif des usagers du train Clermont-Paris, c’est « une insulte à la France des régions. Ce trajet ne bénéficie, comme d’habitude, qu’aux Parisiens. » Un habitant de Vénissieux ironise :« Je ne savais pas que Massy était dans la banlieue lyonnaise. » Jérôme Laffon, directeur Ouigo au sein de SNCF Voyageurs, défend le trajet proposé : « Le plus important pour nous était que le TGV passe par Saint-Pierre-des-Corps qui est une place forte d’Indre-et-Loire très prisée par les touristes, et qui ne compte pas moins de six immeubles labellisés « architecture contemporaine remarquable » ».

Un Ouigo ultraconfortable

Beaucoup avaient pensé que cette nouvelle ligne comblerait la fermeture, en 2014, de la ligne Intercités reliant Lyon à Bordeaux (Gironde), en passant par Limoges (Haute-Vienne), Clermont-Ferrand (Puy-de-Dôme) et Saint-Étienne (Loire). Il n’en est rien, principalement pour des questions de coût. Mais Jérôme Laffon promet un « confort optimum » et de nouvelles commodités, notamment une friandise offerte au dixième trajet acheté mais aussi une prise gratuite à condition d’avoir une rallonge de 5 mètres.

A noter enfin que les trains n’arriveront pas tout à fait en gare de Bordeaux mais à Bergerac. Il suffira ensuite de prendre une navette gratuite pour arriver à destination en à peine une heure trente. 

Photo : https://commons.wikimedia.org/wiki/User:Kabelleger

L’article La nouvelle ligne de TGV Lyon-Bordeaux ne passera pas par Lyon est apparu en premier sur Le Gorafi.fr Gorafi News Network.

Une faille chez un fournisseur, et c’est toute la chaîne qui s’effondre. À l’heure des plateformes partagées, du cloud et de la dépendance technologique, chaque maillon devient un point d’entrée pour les cybercriminels. Les entreprises doivent apprendre à bâtir leur résilience numérique comme une architecture vivante, fondée sur la vigilance, la transparence et la confiance […]

L’article Cybersécurité et chaîne d’approvisionnement : un impératif stratégique de confiance… <br/><em>Ramses Gallego, DXC</em> est apparu en premier sur InformatiqueNews.fr.