Lorsqu’il s’agit de services cloud tels que Microsoft Entra ID (anciennement Azure Active Directory), beaucoup supposent que Microsoft s’occupe de tout, de la sécurité à la sauvegarde des données. En réalité, les entreprises ont encore leurs propres responsabilités. Le modèle de partage des responsabilités de Microsoft est un cadre fondamental qui explique les rôles qui incombent à Microsoft et ceux qui appartiennent à une entreprise.
Dans cet article, nous examinerons tout ce que vous devez savoir sur le modèle de partage des responsabilités, en décomposant les rôles entre votre entreprise et Microsoft pour les principaux composants. Nous aborderons également les pratiques clés pour appliquer ce modèle dans la stratégie de protection des données Microsoft Entra ID de votre entreprise, et verrons comment Veeam peut vous aider à combler les lacunes.
Le modèle de partage des responsabilités
Alors que le secteur adopte progressivement des solutions SaaS (Software-as-a-Service) basées sur le cloud, le concept de responsabilité partagée est devenu plus important que jamais. Savoir où s’arrête le rôle de Microsoft et où commence le vôtre est la base de la protection de votre locataire Entra ID. Passons en revue ce partage des responsabilités.
Responsabilité principale
Responsabilité de Microsoft
Le rôle principal de Microsoft dans l’environnement Entra ID est centré sur le maintien de la disponibilité et de l’intégrité opérationnelle de la plate-forme. Cela signifie qu’il faut s’assurer que l’infrastructure reste opérationnelle à l’échelle mondiale, authentifier correctement les utilisateurs et permettre l’accès à toutes les applications. En tant que fournisseur de cloud, Microsoft gère les hôtes physiques, les réseaux et les centres de données en back-end.
Votre responsabilité
Par ailleurs, la responsabilité principale de votre organisation est de gérer les cycles de vie des identités, les stratégies d’accès et la gouvernance. Même sur une plateforme basée sur le cloud, vous restez responsable de la configuration et de la gestion des identités au sein de votre environnement.
Qu’en est-il de vos données ? À propos des applications SaaS, on pense souvent à tort que « basées sur le cloud » signifie automatiquement qu’elles sont entièrement sécurisées et protégées. Mais ce n’est pas vraiment le cas. Si Microsoft gère la plateforme qui traite vos données, la responsabilité de leur disponibilité, de leur intégrité et de leur utilisation appropriée incombe à votre entreprise. Le maintien de la résilience des données d’Entra ID est crucial pour prendre pleinement en charge la gestion et la configuration appropriées des identités et rester protégé contre les incidents de données.
Si Microsoft gère la plateforme qui traite vos données, la responsabilité de leur disponibilité, de leur intégrité et de leur utilisation appropriée incombe à votre entreprise.
Technologie sous-jacente
Responsabilité de Microsoft
Microsoft a doté la plate-forme Entra ID de fonctionnalités pour assurer la disponibilité de la plate-forme avec une infrastructure de redondance et de basculement. Cependant, ces technologies de prise en charge de la plate-forme ne s’étendent pas aux données Entra ID. Par exemple : Avec la redondance, les modifications effectuées par les utilisateurs sont dupliquées sur l’ensemble des réplicas. Cela signifie que si une erreur est commise sur une version, elle s’applique à toutes les versions.
Microsoft investit également massivement dans la résilience de la plateforme Entra ID en maintenant un système robuste d’authentification de sauvegarde pour garantir la continuité des services. Ces technologies fonctionnent très bien pour maintenir la plate-forme et assurer le bon fonctionnement des choses. Mais lorsqu’il s’agit de protéger votre locataire Entra ID, il est essentiel de mettre en œuvre des mesures de protection qui permettent la continuité d’activité, même lorsque les choses tournent mal.
Votre responsabilité
Bien que Microsoft fournisse une plate-forme disponible en permanence pour Entra ID, votre organisation dirige le navire à partir de là. Les stratégies d’accès conditionnel, les attributions de rôles et autres paramètres d’identité ne sont vraiment efficaces que lorsqu’ils sont adaptés aux exigences de sécurité de votre organisation.
Même dans ce cas, les configurations les mieux conçues sont toujours vulnérables si elles ne peuvent pas être récupérées. Une suppression accidentelle ou une mauvaise configuration peut perturber considérablement la continuité d’activité.
« Mais qu’en est-il de la corbeille ? Cela peut restaurer mes données Entra ID. »
Voici le piège : La corbeille native de l’ID Entra ne permet la restauration des éléments supprimés de manière réversible que pendant 30 jours. Bien que cela puisse sembler suffisant, le rapport de défense 2024 de Microsoft indique qu’il faut en moyenne 207 jours pour détecter et résoudre un incident de données. La durée de rétention étant limitée dans la corbeille native, lorsque vous identifiez un problème potentiel, vous constaterez probablement que les données ne sont plus récupérables. Toutes les données stratégiques doivent maintenant être reconfigurées manuellement, ce qui entraîne d’importants revers. Penser que la corbeille est un plan de reprise plutôt qu’un dispositif de protection élémentaire est une idée fausse courante (et risquée). Concernant les erreurs de configuration, il n’existe pas de restauration native à un instant précis, ce qui signifie que toute erreur détectée doit être reconfigurée manuellement à son état correct. Sans sauvegarde d’Entra ID, les suppressions et les erreurs de configuration peuvent souvent être un processus fastidieux et source d’erreurs.
De la même manière que Microsoft sauvegarde son infrastructure pour respecter sa part du modèle de partage des responsabilités, votre entreprise doit faire de même. Microsoft promeut les meilleures pratiques de récupération selon lesquelles les entreprises sont proactives dans la mise en place de processus pour restaurer leur locataire dans un état fonctionnel. Ce niveau optimal de récupérabilité des données Entra ID ne peut être atteint que par une solution de sauvegarde appropriée.
Sécurité
Responsabilité de Microsoft
En matière de sécurité, Microsoft est responsable de la protection de ses centres de données, de ses réseaux et de la plate-forme Entra ID. Ils s’appuient sur diverses protections pour empêcher les attaques telles que le déni de service distribué (DDoS) vers les serveurs. Notez que Microsoft fournit un chiffrement limité des données Entra ID, mais uniquement lorsque ces données sont au repos dans les centres de données Azure.
Votre responsabilité
Dans votre entreprise, c’est à votre stratégie IAM de combler les lacunes de sécurité et de protéger l’identité de vos utilisateurs. Cela comprend un chiffrement supplémentaire des données en transit et la gestion des clés de chiffrement au repos fournies par Microsoft. De plus, votre organisation est responsable de la sécurité de vos identités stockées et des paramètres d’identité associés. Pour atteindre le meilleur niveau de protection des données Entra ID, votre organisation doit se tourner vers une solution de sauvegarde complète pour combler la faille de sécurité.
Réglementation
Responsabilité de Microsoft
Le rôle de Microsoft dans la gestion de la conformité d’Entra ID réside dans la maintenance réglementaire de la plate-forme. Ils s’assurent que l’application reste conforme sur le back-end, mais ils n’assument aucune responsabilité quant à la conformité des données de votre organisation.
Votre responsabilité
Dans Entra ID, où Microsoft agit en tant que sous-traitant des données, votre organisation est le responsable du traitement des données. Vous êtes responsable du respect des réglementations et des politiques internes spécifiques à l’industrie qui dictent la manière dont vos données d’identité sont collectées, utilisées, stockées et protégées. Vous êtes également directement responsable de la gestion des stratégies de rétention et de l’exportation des journaux à des fins d’audit. Avec les sauvegardes Entra ID, la facilité de récupération des journaux d’Entra ID simplifie la préparation des audits. Cela élimine le besoin d’une bousculade de dernière minute pour recueillir les données nécessaires avant le moment de l’audit.
Exemples de responsabilité partagée d’Entra ID
Connaître le rôle de votre entreprise en tant que propriétaire de vos données Entra ID est essentiel pour éviter les malentendus, combler les lacunes de sécurité et aligner les deux côtés du modèle de partage des responsabilités. Bien que Microsoft fournisse des outils utiles au sein d’Entra ID, ceux-ci ne constituent pas des solutions complètes de sauvegarde et de restauration. Pour mieux comprendre à quoi ressemble cette responsabilité partagée dans la pratique, nous allons explorer certains scénarios dans lesquels des vulnérabilités peuvent apparaître dans votre stratégie de protection des données d’identité. Les exemples suivants mettent en évidence les lacunes dans la protection native de Microsoft Entra ID et pourquoi des mesures supplémentaires pour la continuité d’activité et la conformité sont indispensables.
Suppressions : lorsque des objets Microsoft Entra ID sont supprimés par accident ou par un acteur malveillant, certaines fonctions de l’entreprise peuvent être interrompues.
Imaginez qu’un groupe Microsoft 365 soit supprimé accidentellement et que les utilisateurs du groupe finissent par perdre l’accès aux boîtes aux lettres partagées, à Teams et aux sites SharePoint. Lorsque les administrateurs IT localisent le problème, la période de suppression réversible de 30 jours de l’objet groupe est dépassée et ce dernier est définitivement perdu. Faute de sauvegarde, le processus de restauration du groupe et de toutes les autres stratégies associées sera long.
Même en cas de détection et de restauration rapides du groupe, certaines dépendances associées telles que les rôles attribués ne sont pas conservées dans la corbeille et deviennent immédiatement irrécupérables, ce qui nécessite une reconfiguration manuelle pour combler les lacunes de fonctionnalités.
Erreurs de configuration : Lorsque vous effectuez de nouvelles configurations dans votre environnement Entra ID, Microsoft déclare qu’il est de votre responsabilité de surveiller et d’enregistrer les modifications au fur et à mesure qu’elles sont apportées. Idéalement, la mise en place de ces pratiques atténuera les risques d’incidents de configuration, mais néanmoins : Des accidents ou des menaces externes peuvent survenir.
Imaginez ceci : Une cyberattaque permet à un acteur malveillant d’accéder à l’environnement Entra ID de votre organisation. Une fois à l’intérieur, ils reconfigurent vos stratégies d’accès conditionnel pour bloquer tous les utilisateurs sauf eux-mêmes. Les utilisateurs et administrateurs légitimes sont exclus de l’environnement de votre entreprise pendant une durée inconnue. Cela devient une menace très réelle pour les entreprises, car plus de 600 millions d’attaques basées sur l’identité se produisent chaque jour.
Comme il n’existe pas de véritables fonctionnalités natives de gestion des versions ou de restauration des configurations, les paramètres précédents doivent être reconfigurés ou réaffectés manuellement. Ce processus peut entraîner des temps d’arrêt variables en fonction de l’ampleur de l’incident. Dans un cas comme celui-ci, l’entreprise peut être paralysée plus longtemps, car le temps nécessaire pour rétablir l’accès peut varier. Et si votre organisation ne dispose pas d’un compte brise-glace, attendez-vous à ce qu’il faille des jours pour accéder à votre environnement Entra ID avant même qu’une reconfiguration ne soit possible. Vous voulez en savoir plus sur les raisons pour lesquelles Microsoft Entra ID a besoin d’une protection au-delà des outils natifs ? Découvrez 6 raisons de sauvegarder Entra ID.
Meilleures pratiques en matière de responsabilité partagée d’Entra ID
Pour gérer votre part des responsabilités d’Entra ID, Microsoft décrit les meilleures pratiques pour votre stratégie de données Entra ID :
- Créez régulièrement des snapshots de votre environnement Entra ID : il s’agit d’un élément essentiel pour conserver la documentation de « l’état connu comme bon » de votre locataire afin de pouvoir le rétablir en cas d’incident.
- Surveillez étroitement les changements et les reconfigurations : exportez et supervisez les journaux d’audit pour détecter les changements non autorisés et involontaires. Bien que la supervision soit la première étape, sans sauvegarde Entra ID, il est souvent impossible de revenir sur une modification indésirable.
- Testez régulièrement vos restaurations : Microsoft vous recommande de tester vos processus de restauration afin de mieux comprendre le temps nécessaire à leur résolution et les éventuels problèmes. Cela suppose bien sûr que vous avez stocké vos données Entra ID dans un endroit sûr, comme une solution de sauvegarde tierce.
Comment Veeam maintient votre entreprise responsable
Nous avons expliqué comment fonctionne le modèle de partage des responsabilités pour Microsoft Entra ID et pourquoi le fait de s’appuyer uniquement sur des outils natifs peut laisser des lacunes critiques dans votre stratégie de gestion des identités et des accès.
C’est là qu’intervient Veeam Data Cloud for Microsoft Entra ID . Basée sur le cloud, la solution de sauvegarde Entra ID de Veeam offre des fonctionnalités de sauvegarde et de restauration conçues spécifiquement pour simplifier la protection de vos données Entra ID. Face à des incidents relatifs aux données ou à des contraintes de conformité, Veeam peut aider votre entreprise à maintenir facilement la continuité de son activité. La même solution permet également de protéger vos données Microsoft 365 avec Veeam.
Qui est responsable de quoi ?
- Microsoft : Assure la disponibilité de la plateforme, sécurise l’infrastructure back-end et certaines fonctionnalités intégrées de sécurité et de restauration.
- Votre organisation : Configure les stratégies d’accès, gère les identités, surveille les menaces potentielles et protège contre les modifications indésirables.
- Veeam Data Cloud for Microsoft Entra ID : renforce votre stratégie de données d’identité en offrant une sauvegarde complète, une restauration granulaire des objets et une rétention à long terme des configurations et des objets.
Veeam Data Cloud for Microsoft Entra ID est le fruit d’un partenariat éprouvé. Veeam et Microsoft collaborent depuis des années pour assurer la résilience des données dans les environnements Microsoft. Ce partenariat s’est récemment étendu.
La protection d’Entra ID n’est qu’un début. Veeam Data Cloud offre une protection complète pour l’ensemble de votre entreprise, offrant une protection pour d’autres workloads stratégiques, comme Microsoft 365 et Salesforce, et vous permet d’adopter une approche unifiée de la stratégie de résilience des données.
Pour en savoir plus sur ce qu’offre Veeam Data Cloud for Entra ID, cliquez ici.
Sur le même sujet, lisez l’article sur le modèle de partage des responsabilités Microsoft 365.
