Cloud souverain : l'EU Data Boundary de Microsoft, encore loin du compte ?
Publié par Clément Bohic le | Mis à jour le
Sous l'étendard EU Data Boundary, Microsoft poursuit l'intégration de la logique « résidence des données » dans ses services cloud. Où en est-on dans la pratique ?
À quand l'EU Data Boundary ? Rendez-vous le 1er janvier 2023 pour la première phase de déploiement, annonce Microsoft.
Sous cette bannière, le groupe américain étend ses engagements en matière de résidence des données. Cible : ses clients localisés dans l'UE et dans l'AELE (Association européenne de libre-échange, regroupant Islande, Liechtenstein, Norvège et Suisse).
La promesse : stocker et traiter leurs données au sein de ces mêmes zones, à l'appui de datacenters dans 13 pays. Avec, en première ligne, les offre Microsoft 365, Azure, Power Platform et Dynamics 365. La réalité : un déploiement progressif... et, à l'heure actuelle, encore de nombreuses exceptions. La documentation le laisse entrevoir. Elle distingue effectivement de nombreux cas où des données pourraient sortir du périmètre la « data boundary » (DB). En voici quelques-uns.
Rétablissement de services
S'il n'est pas réalisable de manière automatisée, le rétablissement de certains services peut impliquer des accès depuis l'extérieur du périmètre. En guise de garantie, Microsoft avance, entre autres, une supervision par un ou plusieurs gestionnaires, le MFA obligatoire et l'absence de stockage persistant. Tout en mentionnant l'option Customer Lockbox ; qui, sur certains services, permet au client d'empêcher ces accès distants sans approbation explicite.
Réponses aux « demandes RGPD »
Pour répondre aux requêtes des personnes concernées, un traitement global des signaux est nécessaire, explique Microsoft. Il s'agit de s'assurer qu'on répond complètement aux demandes.
Journaux système
Pour le moment, ces journaux sont agrégés aux États-Unis. Ils peuvent contenir des données personnelles pseudonymes - typiquement, des données d'activité utilisateur.
Transferts initiés par le client
Quelques exemples :
- Accès à des données situées dans la DB depuis un système localisé hors de la DB
- Communication avec des utilisateurs situés hors DB (mail, chat...)
- Association d'un service avec un autre soumis à des conditions distinctes
- Configuration d'un service de sorte qu'il déplace des données hors DB
Services professionnels
Les données que le client fournit dans le cadre de prestations de support et de conseil sont pour le moment stockées aux États-Unis. C'est un des chantiers prioritaires de Microsoft dans le cadre de l'EU Data Boundary.
Services en préversion / version d'évaluation et services obsolètes
Ces services ne sont pas hébergés dans la DB. Y compris, ceux simplement déclarés obsolètes mais encore disponibles (comme Stream Classic, service de vidéo pour Microsoft 365 remplacé par Stream sur SharePoint).
Protection des clients
Pour détecter les menaces, Microsoft centralise des données aux États-Unis. Aussi bien des logs que des éléments qui permettent d'entraîner, sur place, des modèles d'apprentissage automatique.
Routage
Au nom de la résilience et des performances, Microsoft utilise des chemins réseau variables. Qui « peuvent parfois entraîner le routage du trafic client en dehors [de la DB] ».
Des transferts temporaires...
Certains services ne seront, au 1er janvier 2023, que partiellement compatibles avec l'EU Data Boundary. Sur Azure :
- Les outils de monitoring Activity Log et Application Change Analysis
Le premier est susceptible de transférer divers événements hors DB, avec, notamment, les e-mails des utilisateurs qui les ont déclenchés. Le second a une dépendance au graphe de ressources Azure, ce qui peut également entraîner des transferts hors DB.
- La brique Serial Console
En cas d'exploitation de cette interface texte au sein du portail Azure, les commandes et les réponses peuvent être traitées hors DB.
- Le service de création de bots
Le plan de contrôle utilise le gestionnaire de ressources Azure pour router les requêtes. Dans ce cadre, certains éléments quittent le périmètre. Dont le nom des bots et les paramètres de configuration de services externes (par exemple, les credentials pour des API).
- Les services de communication Azure
Dans le cadre d'appels ou d'envoie de message vers l'extérieur de la DB, les métadonnées (participants, numéros de téléphone...) se retrouvent aux États-Unis.
Teams aussi comporte des exceptions. En particulier pour la composante Phone System, qui gère les appels PSTN. Le « rapatriement » intégral au sein de la DB est prévu pour juin 2023.
... et d'autres permanents
La conception même de certains services fait qu'ils transfèreront toujours des données hors de la DB. Parmi eux :
- Azure Databricks
Des éléments nécessaires à la gestion des comptes et des accès sont stockés aux États-Unis.
- Les noms, descriptions et logos d'applications Dynamics 365 et Power Platform, stockés globalement pour des questions de performance
- Également dans Dynamics 365 et Power Platform, les noms des tables et des colonnes. Si on les personnaliser, ils peuvent être, pour des raisons de support, répliqués hors DB.
Des services exclus pour le moment...
Certains services sont, en l'état, complètement exclus de l'EU Data Boundary, le temps de les adapter.
Sur l'offre Azure, AAD en fait partie, comme plusieurs composantes du gestionnaire de ressources (Managed Applications, Cloud Shell, RBAC...). Même chose pour Azure DevOps. Qui, en particulier, stocke jetons d'authentification et clés SSH aux États-Unis aussi longtemps qu'une organisation et/ou un projet est actif ; ou que le client supprime les credentials.
Sur l'offre Microsoft 365, certains Cloud PC provisionnés avec la licence Windows 365 Business l'ont été au UK. Ils migreront d'ici à mars 2023. Il faudra attendre juin pour quelques locataires SharePoint encore liés à un service de gestion d'infrastructure non disponible dans la DB. Et début 2024 pour les instances de Whiteboard provisionnées avant juillet 2022.
... et d'autres définitivement
Le CDN Azure, de par sa nature, apparaît incompatible avec l'EU Data Boundary. Idem pour l'offre Windows 10 IoT Core Services, avec son service de distribution de mises à jour utilisant le CDN Windows Update. Et pour divers services de sécurité (Microsoft 365 Defender, Microsoft Cloud Security) qui consolident les indicateurs.
Des débordements « à la carte »
Pour quelques services, l'activation de fonctionnalités optionnelles entraîne le transfert de données hors DB :
- Research
Cette fonctionnalité permet de sélectionner du texte dans Word, Excel et PowerPoint pour obtenir des informations complémentaires (définition, traduction...). Elle est officiellement obsolète, mais on peut la réactiver.
- Canaux partagés dans Teams
Public concerné : les locataires sur lesquels AAD B2B Connect est activé et sur lesquels on a configuré une connexion avec un locataire hébergeant des utilisateurs hors de la DB. Lorsqu'un utilisateur de la DB rejoint un autre locataire en tant qu'invité, son adresse mail est temporairement stockée aux États-Unis.
- Usage d'Azure Bot Services par les applications Teams
Dans ce contexte d'utilisation, chaque bot Azure ne peut avoir qu'un point de terminaison global (le trafic est ensuite routé vers un endpoint régional). C'est le créateur du bot qui le choisit (entre Japon, Asie du Sud-Est, Europe et USA).
Photo d'illustration © KanawatTH - Adobe Stock