Office 365 : quelles particularités en Chine et en Russie ?

Vous avez un environnement Office 365 en France, en Europe, voire même sur une autre plaque continentale ? Et vous avez des salariés, des bureaux, une entité située sur un autre pays, notamment la Chine ou la Russie qui sont l'objet de cet article ?

Pour rappel, lorsque vous créez un tenant Office 365, vous devez en premier lieu choisir la localisation. Les localisations disponibles sont sur l'image ci-contre.

Le choix que vous ferez pour la création de votre tenant détermine l'emplacement des données et services.

Par exemple pour la France, les données sont réparties sur des datacenters en région de Paris et Marseille.

Pour l'Europe, ce sont 4 datacenters en Autriche, Finlande, Irlande et Pays-bas, les données étant répliquées (suivant les services) dans ces 4 pays de l'UE.

Les données des utilisateurs sont donc géographiquement définies, cependant vous avez dans votre organisation des bureaux dans d'autres pays, ou des utilisateurs voyageant en dehors de l'Europe. Chaque pays dispose de régulations et de lois différentes, nous allons nous attarder sur la Chine et la Russie dans cet article, pays qui soulèvent un peu plus de questions que les autres.

Office 365 en Chine

Tout comme la France maintenant, la Chine dispose de Datacenters opérés par 21Vianet. Ce n’est pas l’objet de cet article, pour trouver des informations sur 21Vianet, se rendre ici : Office 365 géré 21Vianet 

Pour la faire simple, Il s'agit d'un Cloud souverain en Chine, qui ne propose pas à l'heure actuelle les services suivants :

Office 365 depuis la Chine

En ce qui concerne l’accessibilité depuis la Chine aux services Office 365 sur les autres plaques géographiques :

• Office 365 est officiellement et contractuellement supporté pour être accédé depuis la Chine
• Comme dans les autres pays, de nombreux facteurs sont à prendre en compte, tel que le contrôle sortant Chinois par exemple (Great Firewall), la qualité des opérateurs, …
• Ce sont les mêmes contraintes et prérequis que pour un utilisateur depuis la France.

Certifications

Tous les services Cloud hébergés par Microsoft disposent des certifications qui garantissent à la fois la sécurité de vos données, la manière dont elles sont traitées et la conformité aux régulations. Les audits sont réalisés par des organismes indépendants et accrédités. La plupart des rapports sont disponibles dans le portail conformité. 

Concernant la Chine, Office 365 dispose des certifications suivantes :

Performances

Comme indiqué plus haut, le service est intégralement supporté pour être accédé depuis la Chine. Microsoft ne met en place aucune filtrage particulier et n'a configuré aucune limitation pour ce contexte d'utilisation.

Si des problèmes d'accès ou de performances sont observés, il est nécessaire de procéder aux vérifications d'usage :

• Recommandations d’utilisation d’Office 365 sur un réseau lent : Lien

• Déterminez le nombre maximal d’appareils pris en charge pour une adresse IP publique et comment équilibrer la charge entre plusieurs adresses IP. Pour plus d’informations, voir Prise en charge de NAT avec Office 365.
• Vérifiez que les appareils de pare-feu et de proxy sont dimensionnés pour gérer le trafic supplémentaire. Le trafic supplémentaire accédant à Office 365 entraîne une augmentation des connexions proxy sortantes, ainsi qu’une augmentation du trafic SSL
• Si vos proxys sortants exigent l’authentification des utilisateurs, cela peut entraîner un ralentissement de la connexion ou une perte de fonctionnalité. Ignorer l’exigence d’authentification pour les domaines Office 365 peut réduire cette surcharge
• Si vous filtrez les connexions sortantes à partir d’ordinateurs de votre réseau, ignorer ce filtrage vers les domaines Office 365 a pour effet d’améliorer la connectivité et les performances

Quels impacts possibles sur les performances ?

Si vous appréhendez des problèmes de performance malgré le fait qu'il n'y ai pas prédisposition particulière, il faut en relativiser les impacts sur l'expérience utilisateur et comprendre quels sont les services où cela peut vraiment se ressentir.

• Exchange : délai dans la réception et l'émission des messages, imperceptible pour l’utilisateur (grâce au mode cache)
• SharePoint Intranet, sites d’équipes, de communication : navigation plus lente, mais globalement c'est le même problème pour tous les sites en dehors de la Chine
• OneDrive (synchronisation et coédition) : lenteurs, échec/reprise du client de synchronisation, voire quelques soucis de coédition (temps réel altéré)
• Skype & Teams : Mauvaise qualité audio, vidéo, coupures. C'est sur ce service temps réel qu'il y a le plus gros impact, l'audio et la vidéo sont très sensibles à la latence.
• Dans les autres services : globalement une lenteur en réception ou navigation, qui peut ne pas être visible par l’utilisateur

Le China Great Firewall

Le Grand Firewall de Chine, dénommé par analogie avec la Grande Muraille de Chine, est le nom usuel du projet bouclier doré, un projet de surveillance et de censure d'Internet géré par le ministère de la Sécurité publique de la république populaire de Chine. Le projet a débuté en 1998 et a commencé ses activités en novembre 2003.

Il agit notamment par blocage d'adresse IP, filtre DNS et URL.

Le filtrage, s'il a lieu (restons factuels), peut ajouter une latence supplémentaire. Un contournement technique serait de disposer d'une liaison privée (MPLS, LL, ...) faisant sortir le trafic Internet par "autre part". A vous de voir avec vos juristes si votre organisation peut disposer d'une telle architecture.

Et ensuite ?

Au niveau mondial, Microsoft s'attache chaque jour à améliorer continuellement la qualité de son réseau, à travers l'optimisation des CDN, des paramétrages de Time-Outs, des partenariats avec les différents fournisseurs d'accès, ...

Pensez à demander à vos fournisseurs d'accès en Chine s'ils ont un accord de Peering avec Microsoft. Si non, faite simplement une demande de support à travers l'interface Office 365 ou parlez en à votre TAM (Technical Account Manager).

Depuis le 1er septembre 2015, la loi russe sur les données personnelles oblige les opérateurs de données à collecter, enregistrer, systématiser, accumuler, stocker, mettre à jour, modifier et récupérer les données personnelles des citoyens russes en utilisant les bases de données situées dans la Fédération de Russie. Cette nouvelle exigence de localisation a été introduite par la loi fédérale n ° 242-FZ du 21 juillet 2014.

Qu'est-ce qui est défini comme données personnelles selon cette nouvelle loi sur la confidentialité des données?

La loi définit les données personnelles comme toute information relative à un individu et qui permet d'identifier une personne. Cependant, toutes les informations associées à un individu ne doivent pas être qualifiées de données personnelles. Selon l'interprétation actuelle du Roskomnadzor (RKN) et du ministère ICT, les données suivantes relèvent à elles seules de la définition des données personnelles dans la loi:

• Nom complet (prénom, nom patronymique, nom de famille)
• Adresse e-mail (si elle contient le prénom, le nom et le nom de l'entreprise)
• Numéro du passeport
• Numéro d'assurance
• Numéro d'identification fiscale
• Données biométriques
• Numéro de carte bancaire

Ainsi que toute combinaison d'information qui peuvent amener à identifier une personne.

Est-ce que les données privées IIP doivent demeurer sur le territoire Russe ?

• Non, seule une copie (et les mises à jours) sur une Base de Données Russe est exigée
• Ces données peuvent être partagées et utilisées à toutes fin partout dans le monde, tant que changement initial est réalisée sur la Base de données Russe (base primaire)

Et si ma société est intégralement composée de citoyens russes ?

(et donc, vous êtes probablement Russe et non une société domiciliée en France)

Comme nous l'avons vu au début de cet article, si vous souhaitez ouvrir un environnement Office 365 pour la Russie, c'est la zone Europe qui vous sera proposée.

Lorsque vous procéderez à la création, vous aurez ce message :

En synthèse, comment gérer cela ?

Le principal élément pour respecter la réglementation Russe, est de gérer les identités sur un AD local (qui sera la base primaire), et d'utiliser le service Azure AD Connect pour la synchronisation avec Office 365. Ainsi, vous respectez la réglementation.

En complément, cela passe par l'éducation et la formation des utilisateurs. Ils doivent être conscient des lois en vigueur dans leur pays, et ne pas créer de données personnelles sur une base primaire qui serait en dehors du territoire.

Vous pouvez aussi mettre en place des "garde-fou", à travers Advanced Data Governance (disponible dans Office 365 E5) et Data Loss Prevention (à partir de Office 365 E3), afin de définir les règles du jeu concernant les données sensibles, notamment en utilisant les templates existants sur les données personnelles.

Pour finir

Je n'ai volontairement pas abordé le sujet Office 365 Multi Géo, qui s'adresse à d'autres besoins car ce sera le sujet d'une prochaine publication.

N'hésitez pas à partager vos questions en commentaires ou en me contactant directement par inMail, je me ferais un plaisir d'y répondre. Si vous désirez approfondir le sujet, vous pouvez aussi vous rapprocher de votre équipe de compte Microsoft ou de votre Partenaire.

A bientôt !

Rendez-vous et échangeons ensemble à MS Experiences 18 !

Inscrivez-vous en cliquant ici !