Microsoft présente ses solutions de conformité au RGPD

Afin d'aider les entreprises à réduire les risques en matière de conformité

Le vendredi 25 mai, le règlement général de l'Union européenne sur la protection des données va officiellement entrer en vigueur. Le Règlement Général sur la Protection des Données impose de nouvelles règles aux entreprises, organismes gouvernementaux, organisations à but non lucratif et autres organisations proposant des biens et services aux personnes de l’Union européenne (UE) ou collectant et analysant des données associées aux résidents de l’UE.

Après différentes entreprises parmi lesquelles Facebook, c’est au tour de Microsoft de présenter au public son engagement dans la conformité avec le RGPD.

« Nous nous engageons à nous assurer que nos produits et services sont conformes au RGPD. C'est la raison pour laquelle plus de 1 600 ingénieurs de l'entreprise ont travaillé sur des projets RGPD. Depuis sa promulgation en 2016, nous avons réalisé d'importants investissements pour redéfinir nos outils, systèmes et processus afin de répondre aux exigences du GDPR. Aujourd'hui, la conformité GDPR est profondément ancrée dans la culture de Microsoft et intégrée dans les processus et les pratiques qui sont au cœur de la manière dont nous construisons et fournissons des produits et services », assure l’éditeur de Microsoft.

Et de continuer en disant que « Nous sommes satisfaits de ce que nous avons accompli jusqu'à présent. Mais nous savons que le 25 mai n'est pas la fin de notre travail. Au lieu de cela, c'est le début de la prochaine phase de notre concentration sur le RGPD. Le fait est que ce cadre réglementaire complexe est aussi nouveau pour les organismes de réglementation de la protection de la vie privée que pour nous. L'interprétation continue des aspects détaillés de ce règlement déterminera les mesures que nous devrons tous prendre pour maintenir la conformité. Comme nos clients utilisent nos outils et expérimentent d'autres fonctionnalités, nous allons également prendre en considération leurs commentaires et suggestions d'amélioration. Parce que les interprétations réglementaires changent avec l'expérience et les circonstances changeantes au fil du temps, nous évaluerons constamment nos produits, services et utilisations de données à mesure que la compréhension du RGPD évoluera ».


Que prévoit Microsoft concrètement ?

Azure

Ici, Microsoft indique qu’Azure vous permet de gérer les identités et informations d’identification des utilisateurs et de contrôler l’accès à vos données de plusieurs façons :

• Azure Active Directory contribue à garantir que seuls les utilisateurs autorisés ont accès à vos environnements informatiques, vos données et vos applications. Il fournit des outils tels que Multi-Factor Authentication pour une ouverture de session hautement sécurisée. En outre, AAD Privileged Identity Management contribue à réduire le risque associé aux privilèges d’accès administrateur au moyen du contrôle, de la gestion d’accès et de la génération de rapports.
• Microsoft Azure Information Protection contribue à garantir que vos données sont identifiables et sécurisées, ce qui est une exigence clé du Règlement Général sur la Protection des Données, peu importe leur emplacement de stockage ou la façon dont elles sont partagées. Vous pouvez classer, étiqueter et protéger les données nouvelles ou existantes, les partager en toute sécurité avec autrui au sein ou en dehors de votre entreprise, assurer le suivi de leur utilisation et même révoquer l’accès à distance. Azure Information Protection inclut également des fonctionnalités enrichies de journalisation et de génération de rapports pour surveiller la distribution des données, et des options pour gérer et contrôler vos clés de chiffrement.
  

Les services et outils Azure ci-dessous vous aident à remplir ces obligations du Règlement général sur la protection des données :

• Azure Security Center vous offre visibilité et contrôle sur la sécurité de vos ressources Azure. Il surveille en continu vos ressources, fournit des recommandations de sécurité utiles et vous aide à empêcher, détecter les menaces et y répondre. Les fonctionnalités d’analyses avancées intégrées d’Azure Security Center vous aident à identifier les attaques qui pourraient, sans cet outil, ne pas être détectées.
• Le chiffrement des données dans Azure Storage sécurise vos données au repos et en transit. Vous pouvez, par exemple, chiffrer automatiquement vos données lorsqu’elles sont écrites dans Azure Storage à l’aide du chiffrement du service Azure Storage. En outre, vous pouvez utiliser Azure Disk Encryption pour chiffrer les disques de données et de systèmes d’exploitation utilisés par les machines virtuelles. Les données sont protégées en transit entre une application et Azure de façon à ce qu’elles demeurent sécurisées à tout moment.
• Azure Key Vault vous permet d’assurer la sécurité des clés de chiffrement, certificats et mots de passe qui protègent vos données. Key Vault utilise des modules de sécurité matériels et est conçu de façon à assurer le contrôle de vos clés et par conséquent de vos données, incluant notamment la garantie que Microsoft n’a pas accès à vos clés ou ne peut pas les extraire. Vous pouvez surveiller et auditer l’utilisation de vos clés stockées à l’aide de la journalisation Azure, et importer vos journaux dans Azure HDInsight ou votre système de gestion des informations et des événements de sécurité (SIEM) pour effectuer une analyse supplémentaire et détecter les menaces.
• Log Analytics : Azure fournit des options configurables d’audit et de journalisation qui peuvent vous aider à identifier les lacunes dans vos stratégies de sécurité et à y remédier en vue d’empêcher les violations. En outre, Log Analytics vous aide à collecter et analyser les données générées par des ressources dans votre environnement cloud ou sur site. Il fournit des informations en temps réel à l’aide de la recherche intégrée et de tableaux de bord personnalisés pour analyser rapidement des millions d’enregistrements des charges de travail et serveurs quel que soit leur emplacement physique.
  

Windows 10 et Windows Server 2016

Les fonctionnalités de sécurité actuellement disponibles dans Microsoft Windows 10 et Windows Server 2016 peuvent vous aider à réduire les risques et à assurer la mise en conformité avec le Règlement général sur la protection des données. Une exigence clé du Règlement général sur la protection des données consiste à protéger les données à caractère personnel. Microsoft considère qu’une sécurité efficace doit être mise en œuvre de bout en bout, des postes de travail aux serveurs sur lesquels résident les données. Windows 10 et Windows Server 2016 incluent des technologies de chiffrement et anti-malware de pointe, des solutions de gestion des identités et des accès qui vous permettent de passer d’une authentification par mot de passe à d’autres formes d’authentification plus sécurisées :

• Windows Hello est une alternative pratique, de qualité professionnelle aux mots de passe qui utilise une méthode naturelle (biométrie) ou familière (code confidentiel) pour confirmer votre identité, en offrant les avantages de sécurité des cartes à puce sans disposer de périphériques supplémentaires.
• Windows Defender est une solution fiable anti-programme malveillant (ou malware) prête à l’emploi qui vous permet d’assurer votre sécurité. Windows Defender détecte rapidement les programmes malveillants émergents et vous protège. Il protège immédiatement vos appareils lorsqu’une menace est détectée dans votre environnement.
• Windows Defender Advanced Threat Protection (ATP) fournit aux équipes d’opérations de sécurité des capacités avancées de détection et d’enquête des violations ainsi que de réponse à ces dernières dans tous vos points de terminaison, avec jusqu’à six mois d’historique des données. Windows Defender ATP contribue à répondre à une exigence principale du Règlement Général sur la Protection des Données selon laquelle les entreprises doivent avoir des procédures claires pour détecter, enquêter et signaler les violations de données.
• Device Guard vous permet de verrouiller vos appareils et serveurs pour les protéger contre les variantes nouvelles ou inconnues de programmes malveillants et les menaces avancées et persistantes. Contrairement aux solutions basées sur la détection, telles que les antivirus qui doivent être mis à jour constamment pour détecter les menaces les plus récentes, Device Guard verrouille les appareils de façon à ce que seules les applications sélectionnées autorisées s’exécutent. Cela constitue un moyen efficace de combattre les programmes malveillants.
• Credential Guard est une fonctionnalité qui isole vos secrets sur un appareil, tels que les jetons d’authentification unique, de l’accès et ce, même si le système d’exploitation Windows est compromis. Cette solution empêche fondamentalement l’utilisation d’attaques difficiles à contrer telles qu’une attaque « Pass the Hash ».
• BitLocker Drive Encryption dans Windows 10 et Windows Server 2016 fournit une fonctionnalité de chiffrement de qualité professionnelle pour protéger vos données en cas de perte ou de vol d’un appareil. BitLocker chiffre entièrement les mémoire flash et disques de votre ordinateur pour empêcher les utilisateurs non autorisés d’accéder à vos données.
• Windows Information Protection prend la relève là où BitLocker s’arrête. BitLocker protège l’intégralité du disque d’un appareil et Windows Information Protection protège vos données contre les utilisateurs non autorisés et les applications exécutées sur un ordinateur. Il permet également d’empêcher la fuite de données vers des emplacements sur le Web ou rendant publics des documents professionnels.
• Shielded Virtual Machines vous permet d’utiliser BitLocker pour chiffrer les disques et les machines virtuelles exécutés sur Hyper-V pour empêcher les administrateurs compromis ou malveillants d’attaquer les contenus de machines virtuelles protégées.
• Just Enough Administration et Just in Time Administration permettent aux administrateurs d’effectuer leurs tâches régulières, tout en limitant l’étendue et la durée des fonctionnalités qu’ils peuvent exécuter. Si des informations d’identification privilégiées sont compromises, l’étendue du dommage est très limitée. Cette technique fournit aux administrateurs uniquement le niveau d’accès dont ils ont besoin pendant la durée du projet.
  

Enterprise Mobility + Security (EMS)

EMS inclut des technologies de sécurité basées sur l’identité qui vous aident à découvrir, contrôler et protéger les données à caractère personnel détenues par votre entreprise, révéler les zones d’ombres potentielles et détecter les violations de données :

• Azure Active Directory contribue à garantir que seuls les utilisateurs autorisés ont accès à vos environnements informatiques, vos données et vos applications. Il fournit des outils tels que Multi-Factor Authentication pour une ouverture de session hautement sécurisée. En outre, AAD Privileged Identity Management contribue à réduire le risque associé aux privilèges d’accès administrateur au moyen du contrôle, de la gestion d’accès et de la génération de rapports sur ces rôles d’administrateur critiques.
• Microsoft Cloud App Security vous permet de découvrir toutes les applications cloud de votre environnement, d’identifier les utilisateurs et l’utilisation et d’obtenir un score de risque pour chaque application. Vous pouvez ensuite décider si les utilisateurs auront accès à ces applications. Cloud App Security offre la visibilité, le contrôle et la protection contre les menaces pour les données stockées dans ces applications cloud. Vous pouvez configurer la sécurité dans le cloud en définissant des stratégies et en les appliquant dans les applications cloud de tiers et de Microsoft. Pour finir, lorsque Cloud App Security détecte une anomalie, vous recevez une alerte. Microsoft Intune vous permet de protéger les données qui peuvent être stockées sur des ordinateurs personnels et des appareils mobiles. Vous pouvez contrôler l’accès, chiffrer les périphériques, balayer des données de manière sélective et contrôler les applications qui stockent et partagent des données à caractère personnel. Intune vous aide à informer les utilisateurs sur vos choix en matière de gestion en publiant une déclaration de confidentialité et des conditions d’utilisation personnalisées. Il vous permet également de renommer ou supprimer des appareils.
• Microsoft Azure Information Protection contribue à garantir que vos données sont identifiables et sécurisées, ce qui est une exigence clé du Règlement Général sur la Protection des Données, peu importe leur emplacement de stockage ou la façon dont elles sont partagées. Vous pouvez classer, étiqueter et protéger les données nouvelles ou existantes, les partager en toute sécurité avec autrui au sein ou en dehors de votre entreprise, assurer le suivi de leur utilisation et même révoquer l’accès à distance. Azure Information Protection inclut également des fonctionnalités enrichies de journalisation et de génération de rapports pour surveiller la distribution des données, et des options pour gérer et contrôler vos clés de chiffrement.
• Microsoft Advanced Threat Analytics (ATA) contribue à localiser les violations et identifie les attaquants à l’aide de technologies innovantes de détection des anomalies et d’analyse des comportements. ATA est déployé à demeure et fonctionne avec votre déploiement Active Directory existant. Il utilise le Machine Learning et l’analyse des comportements des derniers utilisateur et entités pour trouver des menaces avancées et persistantes, détecter des activités suspectes et des attaques malveillantes utilisées par les cybercriminels, et identifier les violations avant qu’elles ne portent préjudice à votre activité.
  

Dynamics 365
Contrôler qui a accès aux données à caractère personnel est un élément clé pour la protection des données, et la sécurité des données est une exigence essentielle du Règlement général sur la protection des données. Dynamics 365 vous permet de gérer et de contrôler l’accès à vos données de plusieurs façons :

• La sécurité basée sur les rôles dans Microsoft Dynamics 365 vous permet de regrouper un ensemble de privilèges qui limitent les tâches pouvant être effectuées par un utilisateur donné. Il s’agit d’une fonctionnalité cruciale, plus particulièrement lorsque les utilisateurs changent de rôles au sein d’une entreprise.
• La sécurité basée sur les enregistrements dans Dynamics 365 vous permet de limiter l’accès à des enregistrements spécifiques.
• La sécurité au niveau des champs dans Dynamics 365 vous permet de limiter l’accès à des champs spécifiques ayant un impact élevé, comme des informations d’identification personnelle.
• Azure Active Directory (AAD) participe à la protection de Dynamics 365 contre les accès non autorisés en simplifiant la gestion des utilisateurs et des groupes et en vous permettant d’attribuer ou de révoquer facilement les privilèges. AAD fournit des outils tels que Multi-Factor Authentication pour une ouverture de session hautement sécurisée. En outre, AAD Privileged Identity Management contribue à réduire le risque associé aux privilèges d’accès administrateur au moyen du contrôle, de la gestion d’accès et de la génération de rapports.
  

Une autre exigence de base du Règlement général sur la protection des données consiste à protéger les données à caractère personnel que vous contrôlez ou traitez. Dynamics 365 est conçu pour optimiser la sécurité de vos données :

• Security Development Lifecycle est un processus de développement obligatoire chez Microsoft qui intègre des exigences de sécurité à chaque phase du processus de développement. Dynamics 365 repose sur Security Development Lifecycle.
• Le chiffrement des données pendant leur déplacement entre les périphériques utilisateur et nos centres de données, et lorsqu’elles sont au repos dans une base de données Microsoft, permet de protéger vos données Dynamics 365 à tout moment.
  

Office 365

Office et Office 365 peuvent vous aider à réduire les risques et à assurer la mise en conformité avec le Règlement général sur la protection des données. Une des étapes essentielles pour satisfaire aux obligations du Règlement Général sur la Protection des Données est la découverte et le contrôle des données à caractère personnel que vous détenez et de leur emplacement. De nombreuses solutions Office 365 peuvent vous aider à identifier les données à caractère personnel ou à gérer leur accès :

• Data Loss Prevention (DLP) dans Office et Office 365 permet d’identifier plus de 80 types de données sensibles courantes y compris les informations financières, médicales et d’identification personnelle. En outre, DLP permet aux entreprises de configurer des mesures à prendre après l’identification afin de protéger les informations sensibles et d’empêcher leur divulgation accidentelle.
• Advanced Data Governance tire parti des informations assistées par ordinateur pour vous aider à trouver, classer, définir des stratégies et prendre des mesures pour gérer le cycle de vie des données essentielles pour votre entreprise.
• La fonctionnalité de recherche d’Office 365 eDiscovery peut être utilisée pour rechercher du texte et des métadonnées dans vos ressources Office 365 (SharePoint Online, OneDrive Entreprise, Skype Entreprise Online et Exchange Online). En outre, grâce aux technologies de machine learning, Office 365 Advanced eDiscovery vous permet d’identifier rapidement les documents pertinents pour un sujet spécifique (par exemple, une enquête concernant la conformité), avec une meilleure précision qu’en recherche par mots clés traditionnelle ou un examen manuel d’un grand nombre de documents.
• Customer Lockbox pour Office 365 peut vous aider à remplir vos obligations de conformité concernant l’autorisation d’accès explicite aux données pendant les opérations de service. Lorsqu’un ingénieur Microsoft a besoin d’accéder à vos données, le contrôle d’accès est étendu de façon à ce que vous puissiez accorder l’autorisation finale d’accès. Les mesures prises sont consignées et accessibles pour permettre leur audit.
  

Une autre exigence de base du Règlement général sur la protection des données consiste à protéger les données à caractère personnel contre les menaces de sécurité. Parmi les fonctionnalités actuelles d’Office 365 qui protègent les données et identifient une violation de sécurité, citons :
[LIST][*]Advanced Threat Protection (ATP) dans Exchange Online Protection contribue à protéger votre courrier électronique en temps réel contre les attaques, nouvelles et sophistiquées, de programmes malveillants. Il vous permet de créer des politiques pour empêcher les[/*]...