Comment OneDrive protège vos données
Les ingénieurs de Microsoft administrent OneDrive à l’aide d’une console Windows PowerShell qui nécessite une authentification à deux facteurs. Nous effectuons des tâches quotidiennes en exécutant des flux de travail afin de pouvoir répondre rapidement à de nouvelles situations. Aucun ingénieur ne dispose d’un accès permanent au service. Lorsque les ingénieurs ont besoin d’un accès, ils doivent en faire la demande. L’éligibilité est vérifiée, et si l’accès des ingénieurs est approuvé, ce n’est que pour une durée limitée.
En outre, OneDrive et Office 365, investit fortement dans les systèmes, les processus et le personnel pour réduire la probabilité d’une violation des données personnelles et pour détecter rapidement et atténuer les conséquences de la violation si elle se produit. Certains de nos investissements dans cet espace comprennent :
Systèmes de contrôle d’accès : OneDrive et Office 365 maintiennent une politique d' »accès zéro », ce qui signifie que les ingénieurs n’ont pas accès au service, sauf s’il est explicitement accordé en réponse à un incident spécifique qui nécessite une élévation de l’accès. Chaque fois qu’un accès est accordé, il l’est selon le principe du moindre privilège : l’autorisation accordée pour une demande spécifique ne permet qu’un ensemble minimal d’actions requises pour répondre à cette demande. Pour ce faire, OneDrive et Office 365 maintiennent une séparation stricte entre les « rôles d’élévation », chaque rôle n’autorisant que certaines actions prédéfinies. Le rôle « Accès aux données des clients » est distinct des autres rôles qui sont plus couramment utilisés pour administrer le service et il est examiné de très près avant d’être approuvé. Pris ensemble, ces investissements dans le contrôle d’accès réduisent considérablement la probabilité qu’un ingénieur de OneDrive ou d’Office 365 accède de manière inappropriée aux données des clients.
Systèmes de surveillance et automatisation de la sécurité : OneDrive et Office 365 maintiennent des systèmes de surveillance de la sécurité robustes et en temps réel. Entre autres problèmes, ces systèmes lèvent des alertes en cas de tentatives d’accès illicite aux données des clients, ou de tentatives de transfert illicite de données hors de notre service. En lien avec les points relatifs au contrôle d’accès mentionnés ci-dessus, nos systèmes de surveillance de la sécurité conservent des enregistrements détaillés des demandes d’élévation qui sont faites, et des actions prises pour une demande d’élévation donnée. OneDrive et Office 365 maintiennent également des investissements de résolution automatique qui agissent automatiquement pour atténuer les menaces en réponse aux problèmes que nous détectons, et des équipes dédiées pour répondre aux alertes qui ne peuvent pas être résolues automatiquement. Pour valider nos systèmes de surveillance de la sécurité, OneDrive et Office 365 effectuent régulièrement des exercices d’équipe rouge au cours desquels une équipe interne de tests de pénétration simule le comportement des attaquants dans l’environnement réel. Ces exercices conduisent à des améliorations régulières de nos capacités de surveillance de la sécurité et de réponse.
Personnel et processus : En plus de l’automatisation décrite ci-dessus, OneDrive et Office 365 maintiennent des processus et des équipes responsables à la fois de l’éducation de l’organisation au sens large sur la confidentialité et les processus de gestion des incidents, et de l’exécution de ces processus lors d’une violation. Par exemple, une procédure opérationnelle standard (POS) détaillée sur les atteintes à la vie privée est maintenue et partagée avec les équipes de toute l’organisation. Cette SOP décrit en détail les rôles et les responsabilités des équipes individuelles au sein de OneDrive et d’Office 365 et des équipes centralisées de réponse aux incidents de sécurité. Elles couvrent à la fois ce que les équipes doivent faire pour améliorer leur propre posture de sécurité (effectuer des examens de sécurité, s’intégrer aux systèmes centraux de surveillance de la sécurité et autres bonnes pratiques) et ce que les équipes devraient faire en cas de violation réelle (escalade rapide vers la réponse aux incidents, maintenir et fournir des sources de données spécifiques qui seront utilisées pour accélérer le processus de réponse). Les équipes sont également régulièrement formées à la classification des données, ainsi qu’aux procédures correctes de manipulation et de stockage des données personnelles.
La principale conclusion est que OneDrive et Office 365, pour les plans grand public et professionnels, investissent fortement dans la réduction de la probabilité et des conséquences d’une violation des données personnelles ayant un impact sur nos clients. Si une violation de données personnelles se produit, nous nous engageons à notifier rapidement nos clients une fois que cette violation est confirmée.