Comment sont chiffrés les contenus et les conversations Teams. Quelques éléments de réponse
Bonne lecture | Laurent TERUIN
Article original : https://techcommunity.microsoft.com/blog/microsoftteamsblog/encryption-in-microsoft-teams-june-2025/4442913
Microsoft Teams est devenue une plateforme incontournable pour les communications d’entreprise, notamment avec l’essor du télétravail et du travail hybride. Avec plus de 320 millions d’utilisateurs actifs par mois, Teams héberge des conversations sensibles, le partage de fichiers et le travail collaboratif. Il est donc essentiel de bien comprendre comment Teams protège les données en transit et au repos. Le chiffrement est essentiel pour protéger les communications sensibles et garantir la conformité aux exigences réglementaires. Les organisations échangent régulièrement des informations confidentielles, notamment des données de propriété intellectuelle, des données financières et des informations personnelles identifiables (IPI). Sans chiffrement robuste, ces informations pourraient être vulnérables à l’interception et aux accès non autorisés.
Microsoft Teams utilise plusieurs couches de chiffrement pour protéger différents types de données tout au long du processus de communication. Ces couches incluent le chiffrement de la couche transport, le chiffrement au niveau de la plateforme, le chiffrement des services, le chiffrement des clés client et le chiffrement de bout en bout (E2EE). Le chiffrement standard de Teams offre une protection complète des données en transit et au repos, sans nécessiter de configuration supplémentaire de la part des utilisateurs ou des administrateurs. Le chiffrement E2EE garantit que seules les parties communicantes peuvent accéder au contenu non chiffré, offrant ainsi une protection supplémentaire pour les fonctionnalités audio, vidéo et de partage d’écran lors des appels et réunions individuels configurés pour exiger le chiffrement E2EE. Les organisations doivent développer une stratégie de chiffrement complète intégrant Microsoft Teams dans leur architecture de sécurité globale, en équilibrant les besoins de sécurité et les exigences opérationnelles afin de protéger les communications tout en préservant les fonctionnalités essentielles de collaboration.
Introduction
Microsoft Teams est devenue une plateforme incontournable pour les communications d’entreprise, notamment avec l’essor du télétravail et du travail hybride. Avec plus de 320 millions d’utilisateurs actifs par mois, Teams héberge des conversations sensibles, le partage de fichiers et le travail collaboratif. Comprendre comment Teams protège les données est donc essentiel pour certains clients.
Importance du cryptage et de la protection des communications sensibles
Le chiffrement est essentiel pour protéger les communications sensibles et garantir la conformité aux exigences réglementaires. Les organisations échangent régulièrement des informations confidentielles, notamment des données de propriété intellectuelle, des données financières et des informations personnelles identifiables (IPI). Sans chiffrement robuste, ces informations pourraient être vulnérables à l’interception et aux accès non autorisés.
Exigences de conformité
De nombreux cadres réglementaires imposent explicitement le cryptage pour protéger les données sensibles.
- Le règlement général sur la protection des données (RGPD) exige des mesures techniques appropriées pour garantir la sécurité des données, le cryptage étant spécifiquement mentionné comme une mesure de protection recommandée pour la protection des données personnelles.
- La loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) inclut le cryptage comme spécification de mise en œuvre adressable pour les informations de santé électroniques protégées, ce qui le rend essentiel pour les organisations de soins de santé et leurs partenaires commerciaux.
- La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) exige le cryptage des données des titulaires de carte transmises sur des réseaux publics ouverts afin de protéger les informations financières.
- La loi californienne sur la protection de la vie privée des consommateurs (CCPA) et son successeur, la loi californienne sur les droits à la vie privée (CPRA), prévoient des dispositions de protection pour les données cryptées dans certaines circonstances, réduisant ainsi la responsabilité en cas de violation de données.
- La publication spéciale 800-53 du National Institute of Standards and Technology (NIST) comprend de nombreux contrôles liés à la protection cryptographique des informations, que de nombreuses organisations fédérales et commerciales utilisent comme base de sécurité.
Présentation du chiffrement de Microsoft Teams
Microsoft Teams utilise plusieurs couches de chiffrement pour protéger différents types de données tout au long du processus de communication. Ces couches incluent le chiffrement de la couche transport, le chiffrement au niveau de la plateforme, le chiffrement des services, le chiffrement des clés client et le chiffrement de bout en bout (E2EE).
Chiffrement standard dans Microsoft Teams
Outre la prise en charge par défaut des exigences de conformité mentionnées ci-dessus, le chiffrement standard de Microsoft Teams offre une protection complète des données en transit et au repos, sans nécessiter de configuration supplémentaire de la part des utilisateurs ou des administrateurs. Cela comprend :
- Transport Layer Security (TLS) : sécurise les données en transit à l’aide de TLS 1.2+ avec AES-256, protégeant ainsi les informations lorsqu’elles circulent entre les appareils et les serveurs de Microsoft.
- Chiffrement des données au repos : protège les données stockées dans Azure, SharePoint, OneDrive et d’autres services Microsoft 365 à l’aide d’une combinaison de chiffrement de disque BitLocker et de chiffrement par fichier.
- Chiffrement de service : offre une couche de sécurité supplémentaire en chiffrant les données Teams avant leur envoi au magasin de données à l’aide de clés gérées par Microsoft. Le chiffrement de service est désormais disponible pour le contenu multimédia, et d’autres services sont à l’étude.
- Chiffrement par clé client : la fonctionnalité BYOK (Bring Your Own Keys) permet aux organisations de fournir leurs propres clés de chiffrement, leur offrant ainsi un meilleur contrôle de leur sécurité. La possibilité de chiffrer les fichiers Teams à l’aide de clés gérées par le client (BYOK) est prise en charge par l’intégration avec Microsoft Purview Customer Key (comme détaillé dans la documentation « Présentation de la clé client – Microsoft Purview | Microsoft Learn ») et peut s’appliquer aux fichiers Teams, aux messages de chat et à d’autres modalités.
Chiffrement de bout en bout (E2EE) dans Microsoft Teams
Le E2EE garantit que seules les parties communicantes peuvent accéder au contenu. Les principales caractéristiques du E2EE dans Teams sont les suivantes :
- Mise en œuvre : Les clés de chiffrement sont générées sur les appareils des utilisateurs et échangées via une session de signalisation sécurisée. Cette fonctionnalité est disponible pour les appels et réunions individuels (si configurée). Le tableau ci-dessous présente les modalités de communication prises en charge.
- Activation de la stratégie E2EE : les administrateurs informatiques peuvent configurer la stratégie E2EE au niveau du client. La stratégie E2EE pour les réunions est activée par défaut, mais les utilisateurs doivent également configurer une réunion comme telle lors de sa planification. La stratégie E2EE pour les appels individuels est désactivée par défaut, mais les administrateurs informatiques peuvent l’activer pour les utilisateurs finaux. Si cette option est activée, les deux utilisateurs participant à un appel individuel devront également activer la stratégie E2EE pour les appels individuels dans les paramètres de leur client Teams pour que leurs appels individuels soient de type E2EE.
- Détails techniques : Pour les appels et réunions E2EE, Teams utilise DTLS pour chiffrer les médias P2P, et pour les réunions, Teams utilise le protocole GKMP (Group Key Manager Protocol) pour négocier les clés entre tous les clients. Toutes les requêtes GKMP sont distribuées sur des canaux sécurisés par TLS 1.3 et nous utilisons GCM_AES_256 pour chiffrer les médias. Ce chiffrement ne couvre que les communications audio et vidéo et le partage d’écran vidéo, et non le chat.
- Limitations : Le chiffrement de bout en bout est disponible pour les appels individuels dans Teams, ainsi que pour les réunions configurées pour nécessiter le chiffrement de bout en bout (notez que la prise en charge des réunions est une fonctionnalité Teams Premium). Le chiffrement de bout en bout offre une protection supplémentaire pour les fonctionnalités audio, vidéo et de partage d’écran dans ces expériences.
- Considérations : Le chiffrement de bout en bout empêche le service de déchiffrer le contenu, désactivant ainsi les fonctionnalités de traitement côté service telles que la traduction, la prévention des pertes de données (DLP), l’eDiscovery, l’audit de supervision et toute autre fonctionnalité nécessitant l’accès au contenu. Il réduit également la productivité, car les utilisateurs perdent l’accès à des fonctionnalités telles que l’enregistrement, les transcriptions et les récapitulatifs. De plus, il désactive les protections côté service telles que les anti-malwares, les anti-abus et les anti-fraudes, ce qui rend considérablement plus difficile, voire impossible, la détection et le blocage des menaces telles que le spam, le phishing et l’usurpation d’identité. De plus, les actions de sécurité sont retardées après la livraison et la protection antivirus est limitée à une analyse côté client, plus lente et moins cohérente.
Les différentes modalités de communication au sein des équipes ont des capacités de cryptage différentes :
| Modalités et fonctionnalités | E2EE disponible | Cryptage standard |
| Appels individuels* | Oui | Oui |
| Réunions programmées | Oui | Oui |
| Partage d’écran | Oui** (dans les réunions E2EE et les appels individuels) | Oui |
| Vidéo | Oui** (dans les réunions E2EE et les appels individuels) | Oui |
| Appels de groupe | Non | Oui |
| Réunions de chaîne | Non | Oui |
| Messages de discussion | Non | Oui |
| Fichiers partagés | Non | Oui |
| Enregistrements de réunions | Non | Oui |
* Microsoft Teams prend en charge le chiffrement de bout en bout (E2EE) pour les appels VoIP individuels éligibles. Le chiffrement de bout en bout (E2EE) n’est pas disponible pour les appels via le réseau téléphonique public commuté (RTPC).
**Le chiffrement de bout en bout pour cette modalité ou fonctionnalité est réservé aux utilisateurs Teams Premium.
Questions spécifiques répondues
1. Le chiffrement de bout en bout est-il disponible pour les appels Teams ? Est-il réservé à la version payante ?
- Le chiffrement de bout en bout (E2EE) pour les appels individuels effectués via Teams est disponible pour les utilisateurs professionnels de Teams. Les clients disposant d’une licence Teams Premium peuvent également utiliser le chiffrement de bout en bout (E2EE) lors des réunions Teams planifiées.
2. Existe-t-il d’autres options vocales ou de messagerie cryptées ?
- Par défaut, toutes les communications Teams, y compris les appels vocaux, les réunions et les discussions, sont chiffrées à l’aide de technologies standard telles que Transport Layer Security (TLS) et Secure Real-Time Transport Protocol (SRTP).
3. Impact du E2EE sur la fonctionnalité et la conformité des produits
- Bien que le chiffrement de bout en bout soit un outil puissant pour la confidentialité et la sécurité, il peut limiter considérablement les fonctionnalités du produit et sa valeur globale. Il n’est pas compatible avec certaines fonctionnalités côté service, telles que l’enregistrement, la transcription et les fonctionnalités d’IA associées, comme le résumé intelligent des réunions. Il limite également la conservation des données et les capacités de gestion des enregistrements côté serveur, comme l’eDiscovery.
4. Concepts de sécurité adoptés par Microsoft
- Microsoft adopte des concepts de sécurité tels que le Zero Trust et l’accès au moindre privilège, s’appuyant sur une authentification de niveau entreprise optimisée par Entra ID, et offrant aux administrateurs des options de personnalisation des politiques pour répondre aux besoins de leur organisation. Cela inclut la clé client pour les données au repos dans le cloud, qui repose sur le chiffrement des services permettant aux clients de fournir et de contrôler les clés de chiffrement, ajoutant ainsi une couche supplémentaire de protection et de contrôle.
Sélection de la bonne approche de chiffrement
Choisir entre le chiffrement standard et le chiffrement de bout en bout (E2EE) nécessite de concilier les exigences de sécurité, les besoins opérationnels et les obligations de conformité. En général, le chiffrement de bout en bout est adapté aux situations hautement sensibles, comme les communications de direction et les secteurs réglementés, où une confidentialité absolue est requise et où l’absence de traitement côté service (enregistrement, transcription, DLP ou conformité) est acceptable. Le chiffrement standard, quant à lui, est adapté aux discussions opérationnelles quotidiennes et à la collaboration en équipe.
Considérations pour la mise en œuvre
Les organisations doivent élaborer une stratégie de chiffrement complète intégrant Microsoft Teams à leur architecture de sécurité globale. Cette stratégie doit définir la protection des différents types de communications en fonction de leur sensibilité, des exigences réglementaires et des besoins opérationnels. L’adoption d’une approche hybride, utilisant le chiffrement standard pour un usage général et le chiffrement de bout en bout pour des scénarios spécifiques à haute sensibilité, peut permettre de concilier les impératifs de sécurité et les exigences opérationnelles.
En adoptant une approche basée sur les risques pour la mise en œuvre du chiffrement dans Teams, les organisations peuvent protéger leurs communications tout en conservant les capacités de collaboration essentielles aux opérations commerciales modernes.
Pour plus d’informations et de ressources, veuillez consulter Microsoft Learn pour en savoir plus :
Présentation de la sécurité et de la conformité – Microsoft Teams | Microsoft Learn
Travailler ensemble 