Réponse standard pour les demandes d'information Sécurité et Respect de la vie privée

 
Réponse standard pour les demandes d'information Sécurité et Respect de la vie privée
Réponse standard pour les demandes
d'information

Sécurité et Respect de la vie privée

                                  Version Française 2012
Réponse standard pour les demandes d'information Sécurité et Respect de la vie privée
Dédit de responsabilité

Les informations contenues dans ce document représentent la vision de Microsoft Corporation sur les questions abordées à la date de publication. Dans
la mesure où Microsoft doit s'adapter aux changements du marché, ces informations ne sauraient être interprétées comme un engagement de la part de
Microsoft, et Microsoft ne garantit en rien l'exactitude des informations fournies après la date de publication. Pour accéder à la version la plus récente
de ce document en langue anglaise, veuillez consulter le lien suivant http://www.microsoft.com/download/en/details.aspx?id=26647

Ce document est publié à titre informatif uniquement. MICROSOFT NE FORMULE AUCUNE GARANTIE, EXPLICITE OU IMPLICITE,
CONCERNANT LES INFORMATIONS CONTENUES DANS CE DOCUMENT.

Le respect de toutes les lois de copyright en vigueur relève de la responsabilité de l'utilisateur. Sans restriction des droits dérivés des droits
d'auteur, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de restitution, ou transmise à
quelque fin, par quelque moyen (électronique, mécanique, photocopie, enregistrement ou autre) ou dans quelque but que ce soit sans la
permission expresse et écrite de Microsoft Corporation.

Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de brevets ou être titulaire de marques, droits d'auteur ou
autres droits de propriété intellectuelle portant sur des éléments qui font l'objet du présent document. Sauf stipulation expresse contraire
d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de propriété intellectuelle.

© 2011 Microsoft Corporation. Tous droits réservés

Microsoft et Microsoft Office 365 sont soit des marques déposées, soit des marques de fabrique de Microsoft Corporation aux États-Unis
et/ou dans d’autres pays.

Les noms de produits et de sociétés réels mentionnés dans la présente documentation peuvent être des marques de leurs propriétaires
respectifs.

                                             Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 2
Réponse standard pour les demandes d'information Sécurité et Respect de la vie privée
Table des matières

                                                                                Page

        Introduction                                                              4

        Fourniture de Microsoft Office 365 : la pile de services                  5

        Certifications ISO pour la pile Microsoft Online Services                6-8

        Réponse de Microsoft selon les identifiants des contrôles de
                                                                                 9 -53
        la matrice « Cloud »:

             Conformité                      CO-01 à CO-06                      9 – 11

             Gouvernance des données         DG-01 à DG-08                      12 - 15

             Sécurité des installations      FS-01 à FS-08                      16 - 18

             Ressources humaines             HR-01 à HR-03                        19

             Sécurité de l'information       IS-01 à IS-34                     20 – 35

             Juridique                       LG-01 à LG-02                      35 - 36

             Gestion des Opérations          OP-01 à OP-04                      36-37

             Gestion du risque               RI-01 à RI-05                      38-39

             Gestion des changements         RM-01 à RM-05                     40 – 41

             Continuité de l’activité        RS-01 à RS-08                     42 – 44

             Architecture de sécurité        SA-01 à SA-15                     45 – 53

Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 3
Réponse standard pour les demandes d'information Sécurité et Respect de la vie privée
L'association CSA (Cloud

                                       Introduction
Security Alliance) est une
entité à but non-lucratif dont
le but est de promouvoir
                                       Le « Cloud Computing » soulève des questions sur la sécurité, la protection des données, la
l’utilisation de bonnes
                                       confidentialité et la propriété des données. Microsoft® Office 365 (incluant les services de
pratiques pour garantir la             la marque Microsoft® Exchange Online, Microsoft® SharePoint Online, et Microsoft®
sécurité dans les                      Lync™ Online ) sont hébergés dans les centres de données de Microsoft à travers le
environnements de « Cloud              monde, et conçus pour répondre aux exigences des clients professionnels en matière de
                                       performance, d’évolutivité, de sécurité et de niveau de service. Nous avons mis en œuvre
Computing ».
                                       une technologie à l’état de l’art, ainsi que des processus qui fournissent une qualité
                                       constante et éprouvée en termes d'accès, de sécurité et de confidentialité pour chaque

L'association a publié l'outil         utilisateur. Les services Microsoft Online Services offrent des fonctionnalités intégrées pour
                                       être conformes à un large éventail de réglementations et de directives sur le respect de la
CCM (Cloud Control Matrix),
                                       vie privée.
pour aider les
                                       Dans ce document, nous proposons à nos clients une présentation détaillée sur la manière
consommateurs dans leur
                                       dont les services Microsoft Online Services répondent aux exigences de sécurité, de
évaluation des services
                                       confidentialité, de conformité et de gestion du risque, telles que définies dans le document
Cloud, et pour identifier les          CCM (Cloud Control Matrix) publié par l'association CSA (Cloud Security Alliance). A noter
questions qu'ils doivent               que ce document a pour objectif de fournir également des informations sur le fonctionnement

légitimement se poser avant            de Microsoft Online Services. Il est de la responsabilité des clients de contrôler et de gérer
                                       leur environnement une fois que le service est fourni (par exemple, gestion des accès des
d'utiliser ce type de
                                       utilisateurs et respect des stratégies et des procédures conformément à leurs exigences
services. En réponse à cette           réglementaires).
publication, Microsoft Online
Services a créé ce document
pour souligner la manière              Exigences de sécurité pour le Cloud : l'outil CCM (Cloud Control Matrix).
                                       L'outil Matrice de Contrôle Cloud, ou CCM (Cloud Control Matrix), est publié par une
dont nous appliquons les
                                       organisation à but non lucratif, une association composée de grands acteurs du marché dont
principes suggérés, et
                                       l'objectif est de venir en aide aux clients qui veulent prendre la décision de passer sur le
comment nous les relions à             Cloud. Cette matrice fournit une description détaillée de la sécurité et du respect de la vie
la certification ISO.                  privée, des concepts et des principes qui sont alignés sur le guide Cloud Security Alliance en
                                       13 domaines.
                                         Microsoft publie dans ce document une présentation détaillée de nos capacités vis-à-vis
Pour en savoir plus :
                                       des exigences de la matrice CCM. Avec cette réponse standard aux demandes
https://cloudsecurityalliance.
                                       d'information, nous souhaitons aider les clients en leur fournissant des informations aussi
org
                                       complètes que possible afin d'évaluer les différentes offres du marché actuel.

                                       Présentation de Microsoft Office 365
                                      Alors que Microsoft offre une gamme complète de services Cloud, notre objectif ici est de
                                      donner des réponses spécifiques au sujet d’Office 365, offre de service professionnel
                                      d'hébergement de Microsoft. Office 365 fournit un ensemble d'applications de productivité qui
                                      associent sur le Cloud les versions en ligne des logiciels de messagerie et de collaboration,
                                      avec notre suite bien connue Microsoft Office Professional Plus. Les applications Office 365
                                      s'exécutent sur une infrastructure Cloud et sont accessibles depuis différents dispositifs clients.
                                      Les clients n'ont pas besoin de gérer ou de contrôler l'infrastructure Cloud sous-jacente, le
                                      réseau, les serveurs, les systèmes d'exploitation, le stockage ou les fonctionnalités de chaque
                                      application, à l'exception de certaines fonctions de configuration. Pour plus d'informations,
                                      veuillez visiter le site www.office365.com.

                                 Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 4
Réponse standard pour les demandes d'information Sécurité et Respect de la vie privée
Comment Microsoft Office 365 est
                                         mis à disposition : la pile de services
Le Centre de gestion                     Lors de l'évaluation de l'environnement de contrôle d'une offre de type SaaS (Software as a
                                         Service), il est important de prendre en considération la totalité de la pile de services du
de la confidentialité                    fournisseur de service Cloud. Différentes organisations peuvent être impliquées dans la
                                         fourniture de services d'infrastructure et d'applications, ce qui peut augmenter le risque de
fournit des
                                         dysfonctionnement. Une interruption sur l’une des couches de la pile peut compromettre la
informations                             fourniture du service Cloud et avoir des conséquences importantes. Pour cette raison, les
                                         clients devraient évaluer comment fonctionnent leurs fournisseurs de service, et
supplémentaires sur
                                         appréhender l'infrastructure sous-jacente et les plateformes du service, ainsi que les
des sujets tels que la                   applications effectivement délivrées.

géolocalisation des                         Microsoft est un fournisseur de service du Cloud qui possède et qui contrôle la totalité de
                                         la pile, depuis les applications développées pour le Cloud, jusqu'aux centres de données
données, l'accès                         qui hébergent vos données et vos services, en passant par les installations de fibre optique
                                         qui acheminent vos informations, et la mise à disposition effective du service.
administrateur, ou la
                                            Dans l'environnement Office 365, le service est géré par le groupe Microsoft Global
mise en application
                                         Foundation Services – qui fournit les services d'infrastructure à la fois en interne et aux
des règles de                            clients Microsoft –, et par le groupe Microsoft Online Services qui fournit la suite
                                         d'applications et la couche de données (voir la figure 1).
conformité.

Pour en savoir plus,
visitez le site :                        Figure 1 : Pile de services pour Office 365
Centre de gestion de la
confidentialité
(http://go.microsoft.com/fwlink/?
LinkID=206613&CLCID=0x40C)

                                    Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 5
Certifications ISO pour la pile
                                Microsoft Online Services
Grâce à la certification
                                Office 365 et l'infrastructure sur laquelle la solution s'appuie (Microsoft Global Foundation
ISO 27001 de Microsoft,
                                Services) font appel à des cadres méthodologiques de sécurité basées sur le corpus de
les clients peuvent             normes internationales ISO/IEC 27001:2005, et ont été certifiées ISO 27001 par des
                                auditeurs indépendants.
évaluer la manière dont
                                       Grâce à notre certification ISO 27001, les clients peuvent évaluer la manière dont
Microsoft atteint ou            Microsoft atteint ou dépasse les normes et les directives de mise en œuvre. La norme ISO

dépasse les normes et les       27001 définit les méthodes de mise en œuvre, de contrôle, de gestion et d'optimisation en
                                continu du Système de Management de la Sécurité de l'Information (SMSI). De plus, les
directives de mise en           services et l'infrastructure font l'objet d'un audit annuel à la norme SAS 70 (ou à la norme
                                SSAE16 qui la remplace).
œuvre.
                                       La politique de sécurité de l'information de Microsoft Online Services, applicable à
                                 Office 365, est également alignée sur la norme ISO 27002, complétée par des exigences
                                 spécifiques aux services en ligne. La norme ISO 27002 n'est pas une certification mais elle
                                 fournit un ensemble de contrôles adaptés au SMSI.

                                 Comment lire les exigences du CSA et les réponses de Microsoft
                                Dans les pages suivantes, nous avons mis en parallèle nos pratiques de sécurité et les
                                préconisations de l'outil CCM. Les deux premières colonnes, intitulées « Contrôle ID
                                                                                                                               1
                                CCM » et « Description », reprennent les contrôles les plus pertinents de l'outil CCM . La
                                troisième colonne, intitulée « Réponse Microsoft » comprend :

                                     1) Une brève explication sur la manière dont Microsoft Online Services satisfait aux
                                     recommandations du CSA.

                                     2) Une référence aux contrôles ISO 27001 respectés par GFS (Microsoft Global
                                     Foundation Services) et/ou Microsoft Online Services dans le cadre des certifications ISO
                                     27001, le cas échéant.

                                Exemple :

                                     Le contrôle IS-O2 de l'outil Matrice de contrôle Cloud (CCM) du

                                     CSA définit la recommandation suivante :

                                     « La direction et la chaîne de management doivent prendre des mesures formelles pour soutenir
                                     la sécurité de l’information grâce à des directives claires et documentées, un engagement, une
                                     mission explicite et une vérification de l'exécution de la mission. »

                                     Réponse de Microsoft :

                                         Chaque version approuvée par le management de la politique de sécurité de l'information et
                                         de ses mises à jour est distribuée à l'ensemble des parties prenantes impliquées. La politique
                                         de sécurité de l'information est communiquée à l'ensemble des employés (existants ou
                                         nouveaux) de Microsoft Online Services.

                              (1) Le contenu des colonnes 1 et 2 de la matrice CCM est © 2011 Cloud Security Alliance,
                              utilisé avec permission.

                           Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 6
Le fait que Microsoft Online

Services est certifié ISO                     Réponse Microsoft (suite):

27001 signifie que nous
                                                 Tous les employés de Microsoft Online Services indiquent qu'ils ont pris connaissance et qu'ils
avons été en mesure de
                                                 approuvent toutes les mesures définies dans les documents de la politique de sécurité de
répondre aux attentes des                        l'information. Toutes les équipes des fournisseurs de Microsoft Online Services approuvent les
                                                 mesures pertinentes définies dans la politique de sécurité de l'information. Si une de ces
auditeurs externes, et
                                                 parties n'a pas accès à cette politique pour quelque raison que ce soit, il est de la

montrer que notre                                responsabilité de l'agent de supervision de Microsoft de leur fournir les documents
                                                 correspondants.
environnement respecte ou

dépasse ces normes.                              Une version de la politique de sécurité de l'information destinée aux clients peut être obtenue
                                                 sur demande. Les clients et les prospects doivent avoir signé un accord de non-divulgation
La copie publique de la                          (NDA), ou équivalent, pour recevoir un exemplaire de la politique de sécurité de l'information.

Certification ISO de
                                                 Les dispositions « Implication de la direction vis-à-vis de la sécurité de l'information » et
Microsoft Online Services
                                                 « Responsabilité de la direction » sont abordées dans la norme ISO 27001, notamment dans
est disponible ici :                             la Clause 5, et à l'Annexe A, Paragraphe 6.1.1. Pour plus d’informations, il est conseillé de
                                                 consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.
Certification ISO

(http://www.bsigroup.com/en/A
ssessment-and-certification-
services/Client-directory/ Mots-
clés : Microsoft Online Services)

                                         Pour en savoir plus :
                                            Il est vivement recommandé de consulter les normes ISO 27001 et ISO 27002 disponibles
                                            publiquement. Les normes ISO peuvent être commandées sur le site de l'Organisation
                                            Internationale de Normalisation : http://www.iso.org/iso/iso_catalogue. Ces normes ISO
                                            fournissent des informations détaillées et la marche à suivre pour leur mise en œuvre. Une
                                            fois encore, le fait que Microsoft Online Services soit certifié ISO 27001 signifie que nous
                                            avons su répondre aux attentes d'un auditeur externe, et montrer que notre environnement
                                            respecte ou dépasse ces normes.

                                    Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 7
Exemple:

              Lors de l'examen de la norme, on peut prendre le contrôle ou la clause de l'ISO 27001,
              en examiner les spécificités, par exemple « Engagement de la direction sur sécurité de
              l'information » en clause 5, à partir de la norme ISO 27001 ou à partir de l'ISO 27002 les
              détails du contrôle 6.1.1:

        « Responsabilité du management….. »

        Ressources

        Visitez notre Centre de gestion de la confidentialité pour un accès aux documents suivants :

              Livres blancs
              Forums aux questions
              Informations sur la certification
            Normes ISO disponibles à l'achat
        (Lien du Centre de gestion de la confidentialité :
        http://go.microsoft.com/fwlink/?LinkID=206613&CLCID=0x40C

        La copie publique de la Certification ISO de Microsoft Online Services est disponible ici :
        Certification ISO (http://www.bsigroup.com/en/Assessment-and-certification-services/Client-
        directory/ Mots-clés : Microsoft Online Services)

Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 8
Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles CO-01 à CO-02

ID du contrôle                  Description
                                                                                             Réponse Microsoft
     CCM                  (CCM Version R1.1. Finale)

                                                                   Nos objectifs sont d'exploiter nos services en appliquant comme
                                                                   principes essentiels le respect de la sécurité, et de vous fournir des
                                                                   garanties quant aux mesures de sécurité prises. Nous avons
                                                                   implémenté et maintiendrons de manière raisonnable et
                                                                   appropriée les mesures techniques et organisationnelles, les
                                                                   contrôles internes, et les traitements usuels liés à la sécurité de
                                                                   l’information pour contribuer à protéger les données du client
                                                                   contre toute perte, destruction ou altération accidentelles; les
                                                                   diffusions ou les accès non autorisés ; ou les destructions illégales.
                                                                   Chaque année, nous faisons réaliser des audits par des
                 Des plans d’audit, des activités et des           organismes tiers mondialement reconnus, afin d'obtenir une
                 éléments d'action opérationnels se                attestation indépendante de conformité avec nos politiques et
   CO-01         concentrant sur la duplication des données,       procédures concernant la sécurité, la confidentialité, la continuité
                 l'accès, et les limitations des frontières des    et la conformité. Les éléments des audits sont consultables, après
Conformité -     données doivent être conçus pour minimiser        accord de non divulgation et sur demande, par nos prospects ; et
Planification    le risque de perturbation des processus           via le Centre de gestion de la confidentialité pour nos clients.
 de l'audit      métier. Les activités d’audit doivent être
                 planifiées et convenues à l'avance par les        Les rapports d'audit indépendants et les certifications de
                 parties prenantes.                                Microsoft Online Services sont partagés avec les clients. Ces
                                                                   certifications et attestations montrent précisément les méthodes
                                                                   d'obtention et de respect de nos objectifs de sécurité et de
                                                                   conformité, ainsi que la manière dont nous nous en servons en
                                                                   tant que mécanisme pratique pour valider nos engagements
                                                                   envers tous nos clients.

                                                                   La disposition « Surveillance et réexamen du ISMS » est abordée
                                                                   dans la norme ISO 27001, notamment dans la Clause 4.2.3. Pour
                                                                   plus d’informations, il est conseillé de consulter les normes ISO
                                                                   disponibles publiquement pour lesquelles nous sommes certifiés.

                 Des examens indépendants et des évaluations
                 doivent être effectués au moins annuellement,
   CO-02
                 ou à intervalles planifiés, afin d'assurer que
                                                                   Pour plus d'informations, veuillez-vous reporter au code CO-01 ou
                 l'organisation est conforme aux politiques,
 Conformité -                                                      interroger le Centre de gestion de la confidentialité au sujet de nos
                 procédures, normes et exigences
   Audits                                                          certifications en cours et des attestations des tiers.
                 réglementaires applicables (par exemple,
indépendants
                 audits internes/externes, certifications, tests
                 de pénétration et de la vulnérabilité).

                                        Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 9
Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles CO-03 à CO-05

ID du contrôle                  Description
     CCM                  (CCM Version R1.1. Finale)                                           Réponse Microsoft

                                                                     Microsoft Online Services demande contractuellement aux
                                                                     fournisseurs de services tiers de Microsoft d'appliquer et de respecter
                                                                     les exigences définies conformément à la politique de sécurité de
                 Les fournisseurs de service tiers doivent
                                                                     l'information de Microsoft Online Services. De plus, Microsoft Online
                 démontrer leur conformité avec la sécurité et
                                                                     Services demande que ces fournisseurs tiers se soumettent à un audit
                 la confidentialité de l’information, les
                                                                     annuel réalisé par des organismes tiers, ou qu'ils fassent la demande
    CO-03        définitions du service et les accords sur le
                                                                     pour que leur audit soit fait en même temps que l'audit annuel de
                 niveau de prestation inclus dans les contrats
                                                                     Microsoft Online Services.
Conformité -     de tiers.
 Audits des      Les rapports des tiers, dossiers et services
   tiers         sont soumis à vérification et examen, à
                                                                     Les dispositions « Sécurité dans les accords conclus avec des tiers » et
                 intervalles planifiés, pour gérer et maintenir la
                                                                     « Gestion de la prestation de service conclus avec un tiers » sont
                 conformité avec les accords de prestation du
                                                                     abordées dans la norme ISO 27001, notamment à l'Annexe A,
                 service.
                                                                     Paragraphes 6.2. et 10.2 respectivement. Pour plus d’informations, il
                                                                     est conseillé de consulter les normes ISO disponibles publiquement
                                                                     pour lesquelles nous sommes certifiés.
                                                                     Microsoft Online Services garde le contact avec les parties externes
                                                                     (telles que les organismes de réglementation, les fournisseurs de
                 Des liaisons et des points de contact avec les      service, les organisations de gestion du risque ou les forums de
                 autorités locales doivent être maintenus en         l’industrie) pour assurer la mise en œuvre de mesures appropriées et
    CO-04        conformité avec les exigences des entreprises       rapides et obtenir si besoin des conseils. Microsoft dispose d'une
                 et des clients et la conformité aux exigences       équipe dédiée pour la plupart des contacts avec les organismes
Conformité -     législatives, réglementaires et contractuelles.     d'application de la loi. Les rôles et les responsabilités concernant la
 Contact /       Les données, objets, applications,                  gestion et le contrôle de ces relations sont clairement définis.
 Gestion de      l’infrastructure et le matériel peuvent se voir
 l'autorité      assigner un domaine législatif et une               Les dispositions « Relations avec les autorités » et « Relations avec des
                 juridiction pour faciliter les points de contact    groupes de spécialistes » sont abordées dans la norme ISO 27001,
                 appropriés de conformité.                           notamment à l'Annexe A, Paragraphes 6.1.6 et 6.1.7 respectivement.
                                                                     Pour plus d’informations, il est conseillé de consulter les normes ISO
                                                                     disponibles publiquement pour lesquelles nous sommes certifiés.
                                                                     Microsoft Online Services fournit des informations sur les statuts et les
                 Les exigences légales, réglementaires et            réglementations auxquels il adhère, par le biais de ses contrats et des
                 contractuelles doivent être définies pour tous      descriptions de service, y compris par juridiction. Microsoft Online
                 les éléments du système d'information.              Services dispose d'un processus bien établi qui permet l'identification
                 L'approche de l'organisation pour répondre          et la mise en œuvre des changements à ses services en réponse aux
    CO-05
                 aux besoins connus, et pour s'adapter aux           modifications dans les statuts et réglementations applicables.
                 nouveaux mandats, doit être explicitement           Un réexamen intervient chaque année dans le cadre de notre audit
 Conformité -
                 définie, documentée et mise à jour pour             ISO 27001. De plus, l'interface Web de Microsoft Online Services limite
Correspondan
                 chaque élément du système d'information de          la possibilité d'ajouter des utilisateurs dans des juridictions situées
     ce de
                 l’organisation. Les éléments du système             hors de la portée de support de Microsoft Online Services
réglementatio
                 d'information peuvent inclure les données, les
n des systèmes
                 objets, les applications, l’infrastructure et le    Les dispositions « Établissement du ISMS », « Revue de direction du
d'information
                 matériel. Chaque élément peut être attribué à       ISMS » et « Conformité aux exigences légales » sont abordées dans la
                 un domaine législatif et une juridiction pour       norme ISO 27001, notamment dans les Clauses 4.2.1 et 7.3
                 faciliter une correspondance de conformité          respectivement, ainsi qu'à l'Annexe A, Paragraphe 15.1. Pour plus
                 appropriée.                                         d’informations, il est conseillé de consulter les normes ISO disponibles
                                                                     publiquement pour lesquelles nous sommes certifiés.

                                        Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 10
Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôle CO-06

ID du contrôle                 Description
                                                                                             Réponse Microsoft
     CCM                 (CCM Version R1.1. Finale)

                                                                  Il est exigé de tous les employés et équipes sous-traitantes
                                                                  d'appliquer et de respecter les lois relatives à la propriété
                                                                  intellectuelle, Microsoft gardant la responsabilité d'utiliser des logiciels
                                                                  propriétaires au sein des juridictions législatives et des obligations
                                                                  contractuelles qui régissent l'organisation. Avant sa mise à disposition,
                                                                  chaque service est contrôlé pour vérifier que tous les logiciels tiers
                                                                  sont couverts par une licence appropriée.

                                                                  De plus, Microsoft Online Services dispose de politiques et de
                 Une politique, un processus et une procédure     procédures qui garantissent le respect des exigences de
   CO-06         doivent être établies et mis en œuvre pour       « désinstallation » de la loi américaine Digital Millenium Copyright Act
                 protéger la propriété intellectuelle et          (DMCA) sur les droits d'auteur, de même que la réglementation
Conformité -     l'utilisation de logiciels propriétaires en      semblable sur le service.
  Propriété      prenant en compte les contraintes législatives
intellectuelle   de la juridiction et contractuelles qui          Microsoft utilise et gère les données des clients aux fins exclusives de
                 régissent l'organisation.                        fournir ses prestations Microsoft Online Services. Les services
                                                                  Microsoft destinés aux entreprises sont conçus séparément des
                                                                  services grand public de Microsoft. Si certaines données peuvent être
                                                                  stockées ou traitées sur des systèmes utilisés à la fois pour les services
                                                                  grand public et entreprises, les données de ces dernières ne sont pas
                                                                  partagées avec les systèmes utilisés pour les opérations publicitaires.
                                                                  La disposition « Établissement du ISMS » est abordée dans la norme
                                                                  ISO 27001, notamment dans la Clause 4.2.1. Pour plus d’informations,
                                                                  il est conseillé de consulter les normes ISO disponibles publiquement
                                                                  pour lesquelles nous sommes certifiés.

                                       Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 11
Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles DG-01 à DG-02

ID du contrôle                  Description
                                                                                             Réponse Microsoft
     CCM                  (CCM Version R1.1. Finale)

                                                                   Microsoft Online Services a mis en œuvre une politique formelle qui
                                                                   exige la comptabilisation des actifs (qui comprennent notamment les
                                                                   données et le matériel) utilisés pour exploiter Microsoft Online
                                                                   Services, ainsi que la nomination d'un propriétaire de chaque actif.
   DG-01
                                                                   Les propriétaires des actifs doivent tenir à jour toutes les informations
                 Toutes les données doivent être désignées
                                                                   concernant leurs actifs.
Gouvernance      avec un chargé d'intendance avec des
des données -    responsabilités assignées qui seront définies,
                                                                   Les dispositions « Attribution des responsabilités en matière de
 Propriété /     documentées et communiquées.
                                                                   sécurité de l’information » et « Propriété des actifs » sont abordées
  Gérance
                                                                   dans la norme ISO 27001, notamment à l'Annexe A, Paragraphes 6.1.3
                                                                   et 7.1.2 respectivement. Pour plus d’informations, il est conseillé de
                                                                   consulter les normes ISO disponibles publiquement pour lesquelles
                                                                   nous sommes certifiés.

                 Les données et les objets contenant des
                                                                   Les standards Microsoft Online Services fournissent des indications sur
                 données, doivent se voir assigner une
                                                                   la classification des actifs au sein des différentes catégories de sécurité
                 classification basée sur le type de données, la
   DG-02                                                           applicables, puis implémentent un ensemble standard d'attributs de
                 juridiction d'origine, la juridiction de
                                                                   sécurité et de confidentialité.
                 domiciliation, le contexte, les contraintes
Gouvernance
                 juridiques, les contraintes contractuelles, la
des données -                                                      La disposition « Classification des informations » est abordée dans la
                 valeur, la sensibilité, de criticité pour
Classification                                                     norme ISO 27001, notamment à l'Annexe A, Paragraphe 7.2. Pour plus
                 l'organisation et l'obligation des tiers
                                                                   d’informations, il est conseillé de consulter les normes ISO disponibles
                 concernant la rétention et la prévention des
                                                                   publiquement pour lesquelles nous sommes certifiés.
                 divulgations ou les emplois abusifs non
                 autorisés.

                                       Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 12
Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles DG-03 à DG-04

ID du contrôle                  Description
                                                                                            Réponse Microsoft
     CCM                  (CCM Version R1.1. Finale)

                                                                  Les standards Microsoft Online Services fournissent des indications
   DG-03
                 Des politiques et procédures doivent être        sur la classification des actifs au sein des différentes catégories de
                 établies pour l'étiquetage, la manipulation et   sécurité applicables, puis implémentent un ensemble standard
Gouvernance
                 la sécurité des données et des objets qui        d'attributs de sécurité et de confidentialité.
des données -
                 contiennent des données. Des mécanismes
Manipulation
                 d'héritage de l'étiquetage doivent être mis en   La disposition « Classification des informations » est abordée dans la
/ Marquage /
                 œuvre pour les objets qui agissent comme         norme ISO 27001, notamment à l'Annexe A, Paragraphe 7.2. Pour plus
 Politique de
                 des conteneurs globaux pour les données.         d’informations, il est conseillé de consulter les normes ISO disponibles
   sécurité
                                                                  publiquement pour lesquelles nous sommes certifiés.
                                                                  Microsoft Online Services fournit à ses clients la possibilité d'appliquer
                                                                  des politiques de conservation des données, telles que définies dans
                                                                  les descriptions de service individuel.
                                                                  (http://www.microsoft.com/downloads/fr-
                                                                  fr/details.aspx?familyid=c60c0af0-10cc-4b11-bcef-
                                                                  b989c1f168b0&displaylang=fr)

                                                                  Comme pour les sauvegardes, le contenu est répliqué depuis un
                                                                  centre de données primaire vers un centre de données secondaire.
                 Des politiques et procédures de conservation     Ainsi, il n'y a pas de planning de sauvegarde spécifique dans la
                 des données et de stockage doivent être          mesure où la réplication est constante. Les clients peuvent décider de
   DG-04
                 établies et des mécanismes de sauvegarde ou      réaliser leurs propres opérations d'extraction/sauvegarde si
                 de redondance mis en œuvre pour assurer la       nécessaire. Les données du client sont stockées dans un
Gouvernance
                 conformité avec les exigences réglementaires,    environnement redondant bénéficiant de solutions fiables de
des données -
                 statutaires, contractuelles ou métier. Des       sauvegarde, de restauration et de basculement, afin de garantir la
 Politique de
                 tests de récupération des sauvegardes sur        disponibilité, la continuité de l'activité et la récupération rapide.
conservation
                 disque ou sur bande doivent être mis en          Plusieurs niveaux de redondance des données sont implémentés,
                 œuvre à intervalles planifiés.                   depuis les disques redondants pour se prémunir d’une panne d’un
                                                                  disque local jusqu'à la réplication complète et continue des données
                                                                  vers un centre de données géographiquement délocalisé. Microsoft
                                                                  Online Services fait l'objet d'une validation annuelle de ses méthodes
                                                                  de sauvegarde/restauration.

                                                                  La disposition « Sauvegarde des informations » est abordée dans la
                                                                  norme ISO 27001, notamment à l'Annexe A, Paragraphe 10.5.1. Pour
                                                                  plus d’informations, il est conseillé de consulter les normes ISO
                                                                  disponibles publiquement pour lesquelles nous sommes certifiés.

                                       Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 13
Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles DG-05 à DG-06

ID du contrôle                 Description
                                                                                         Réponse Microsoft
     CCM                 (CCM Version R1.1. Finale)

                                                               Microsoft utilise des procédures de bonnes pratiques, ainsi qu'une
                                                               solution d’effacement des données conforme à la norme américaine
                                                               NIST 800-88. Pour les disques durs contenant des données qui ne
                                                               peuvent être effacées, nous utilisons un processus de destruction
                                                               matérielle (désintégration, broyage, pulvérisation, ou incinération). La
                                                               méthode de mise au rebut adaptée est choisie en fonction du type
   DG-05         Des politiques et procédures doivent être     de l’actif. Un historique de la destruction est conservé.
                 établies et des mécanismes mis en œuvre
Gouvernance      pour l'élimination sûre et la suppression     Toutes les équipes de Microsoft Online Services utilisent des services
des données -    complète de données de tous les supports de   approuvés pour la gestion du stockage des supports et de leurs mises
Mise au rebut    stockage, assurant que les données ne sont    au rebut. Les documents papier sont détruits selon les méthodes
  sécurisée      récupérables par aucun moyen                  approuvées, à la fin de leur cycle de vie défini à l'avance.
                 d’investigation.
                                                               Les dispositions « Mise au rebut ou recyclage sécurisé(e) du
                                                               matériel » et « Mise au rebut des supports » sont abordées dans la
                                                               norme ISO 27001, notamment à l'Annexe A, Paragraphes 9.2.6 et
                                                               10.7.2 respectivement. Pour plus d’informations, il est conseillé de
                                                               consulter les normes ISO disponibles publiquement pour lesquelles
                                                               nous sommes certifiés.
                                                               Microsoft applique le principe de ségrégation des fonctions pour
                                                               garantir la restriction des accès entre les environnements de test et de
                                                               production, conformément à la politique définie.

                                                               Le déplacement ou la copie des données non-publiques du client
   DG-06                                                       depuis un environnement de production vers un environnement de
                                                               non-production est expressément interdit, sauf consentement
Gouvernance      Les données de production ne doivent pas      explicite du client, ou sur décision de la division juridique de
des données -    être répliquées ou utilisés dans des          Microsoft.
Données hors     environnements hors-production.
 production                                                    Les dispositions « Séparation des équipements de développement, de
                                                               test et d’exploitation » et « Protection des données système de test »
                                                               sont abordées dans la norme ISO 27001, notamment à l'Annexe A,
                                                               Paragraphes 10.1.4 et 12.4.2 respectivement. Pour plus
                                                               d’informations, il est conseillé de consulter les normes ISO
                                                               disponibles publiquement pour lesquelles nous sommes certifiés.

                                     Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 14
Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles DG-07 à DG-08

ID du contrôle                  Description
                                                                                              Réponse Microsoft
     CCM                  (CCM Version R1.1. Finale)

                                                                     Les contrôles logiques et physiques sont mis en œuvre dans les
                                                                     environnements Microsoft Online Services (voir le document
                                                                     « Description du Service de Sécurité Office365 » disponible depuis le
                                                                     Centre de téléchargement Microsoft) ; les clients peuvent choisir
                                                                     d’augmenter les fonctions de base en s’appuyant sur les technologies
                                                                     telles que :
                                                                     1) Configuration des règles de transport des messages
                                                                     2) Intégration aux produits de protection contre les fuites de données
   DG-07                                                             des courriels
                                                                     3) Prise en charge de l'intégration des services Active Directory Rights
                 Des mécanismes de sécurité doivent être mis
 Gouvernance                                                         Management Services
                 en œuvre pour empêcher les fuites de
des données -                                                        4) Mise en place de Exchange Hosted Encryption et de produits de
                 données
     Fuite                                                           chiffrement alternatifs.
d'informations                                                       5) Les administrateurs de SharePoint Online peuvent activer le
                                                                     contrôle d’accès basé sur la notion de groupe ou de rôle, la fonction
                                                                     native d’audit de contenu, et également demander des rapports
                                                                     d'accès administrateur (via les services de support client).

                                                                     La disposition « Fuite d'informations » est abordée dans la norme ISO
                                                                     27001, notamment à l'Annexe A, Paragraphe 12.5.4. Pour plus
                                                                     d’informations, il est conseillé de consulter les normes ISO disponibles
                                                                     publiquement pour lesquelles nous sommes certifiés.
                 Les évaluations des risques associés aux
                 exigences de gouvernance des données                Microsoft Online Services effectue chaque année une analyse
                 doivent être réalisées à intervalles planifiés en   d'impact sur l'activité. L'analyse comprend :
                 considérant les éléments suivants:
                                                                     • L'identification des menaces significatives pour l'environnement et
                                                                     les processus métier de Microsoft Online Services.
                    Sensibilisation sur l'endroit où les
                                                                     • Une évaluation des menaces identifiées, y compris les impacts
   DG-08             données sensibles sont stockées et
                                                                     potentiels et les dommages possibles.
                     transmises à travers les applications, les
                                                                     • Une stratégie approuvée par le management pour l'atténuation des
 Gouvernance         bases de données, les serveurs et
                                                                     menaces identifiées significatives, et pour la récupération des
des données -        l'infrastructure réseau.
                                                                     processus métier critiques.
Évaluation des      Conformité avec les exigences définies
   risques           sur les délais de conservation et en
                     matière de disposition en fin de vie.           Le sujet « Établissement du SMSI et classification des informations et
                    Classification des données et protection        gestion des actifs » est abordé dans la norme ISO 27001, notamment
                     contre l'utilisation, l'accès, la perte, la     dans la Clause 4.2.1, et à l'Annexe A, Paragraphe 7.2. Pour plus
                     destruction et la falsification non-            d’informations, il est conseillé de consulter les normes ISO disponibles
                     autorisés                                       publiquement pour lesquelles nous sommes certifiés.

                                        Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 15
Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles FS-01 à FS-02

ID du contrôle                   Description
                                                                                             Réponse Microsoft
     CCM                   (CCM Version R1.1. Finale)

                                                                    L'accès à tous les bâtiments Microsoft est contrôlé ; leur accès est
                                                                    restreint par des lecteurs de cartes (utilisation indispensable d'un
                                                                    badge d'identification autorisé) ou de systèmes de biométrie pour
                                                                    entrer dans les centres de données. Le personnel chargé de l'accueil
                                                                    doit identifier les employés à plein temps ou les fournisseurs autorisés
    FS-01
                  Des politiques et procédures doivent être         qui ne sont pas munis de badges. Tous les invités doivent porter un
                  établies pour maintenir un environnement de       badge Visiteur et être accompagnés par le personnel Microsoft
 Sécurité des
                  travail sûr et sécurisé dans les bureaux, les     autorisé.
installations -
                  locaux, installations et zones sécurisées.
  Politique
                                                                    La disposition « Sécurisation des bureaux, des salles et des
                                                                    installations » est abordée dans la norme ISO 27001, notamment à
                                                                    l'Annexe A, Paragraphe 9.1.3. Pour plus d’informations, il est conseillé
                                                                    de consulter les normes ISO disponibles publiquement pour lesquelles
                                                                    nous sommes certifiés.
                                                                    Les accès sont donnés en fonction du profil de poste ; seul le
                                                                    personnel indispensable reçoit l’autorisation de gérer les applications
                                                                    et les services des clients. Les autorisations d'accès physiques font
                                                                    appel à différents processus d'authentification et de sécurité : badges
                                                                    et cartes à puce, scanners biométriques, responsables de sécurité sur
                                                                    site, vidéo-surveillance permanente, et authentification à double
                                                                    facteur pour l'accès physique à l'environnement du centre de
                                                                    données.

                                                                    Outre les contrôles d'accès physique installés sur différentes portes
                                                                    dans le centre de données, l'organisation Microsoft Data Center
    FS-02                                                           Management a mis en place des procédures opérationnelles pour
                                                                    limiter l'accès physique aux employés, fournisseurs et visiteurs
                  L'accès physique aux actifs et des fonctions
 Sécurité des                                                       autorisés :
                  liés à l’information par les utilisateurs et le
installations -                                                     • L'autorisation pour accorder un accès temporaire ou permanent aux
                  personnel de support doit être restreint.
   Accès des                                                        centres de données Microsoft est limitée aux équipes autorisées. Les
  utilisateurs                                                      demandes et les décisions d'autorisation qui en découlent sont
                                                                    conservées en utilisant un système de ticket/accès.
                                                                    • Les badges sont fournis au personnel faisant une demande d'accès
                                                                    après vérification de l'identification.
                                                                    • L'organisation Microsoft Data Center Management examine
                                                                    régulièrement la liste d'accès. Après ce contrôle, les actions
                                                                    nécessaires sont appliquées.

                                                                    La disposition « Sécurité physique et environnementale » est abordée
                                                                    dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 9.
                                                                    Pour plus d’informations, il est conseillé de consulter les normes ISO
                                                                    disponibles publiquement pour lesquelles nous sommes certifiés.

                                          Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 16
Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles FS-03 à FS-05

ID du contrôle                   Description
                                                                                               Réponse Microsoft
     CCM                   (CCM Version R1.1. Finale)

                                                                     Les constructions abritant les centres de données sont anonymes et
                                                                     aucune indication n'est donnée quant à la présence de services
                                                                     d'hébergement de centres de données Microsoft à cet emplacement.
                                                                     L'accès aux installations du centre de données est limité. Les portes
                                                                     qui s'ouvrent sur la salle principale ou l'accueil sont équipées de
                                                                     dispositifs électroniques de contrôle des cartes d'accès, afin de limiter
                                                                     l'accès aux espaces intérieurs. Les locaux du centre de données
                                                                     Microsoft qui hébergent les systèmes critiques (serveurs, groupes
                                                                     électrogènes, armoires électriques, équipements réseau, etc.) sont
                  Des périmètres de sécurité physique (clôtures,
    FS-03                                                            protégés par différents systèmes de sécurité (contrôle d'accès
                  murs, barrières, gardes, portes, surveillance
                                                                     électronique par carte, serrure à code, sas, etc.) et/ou par des
                  électronique, mécanismes d'authentification
 Sécurité des                                                        dispositifs biométriques.
                  physique, comptoirs de réception et de
installations -
                  patrouilles de sécurité) doivent être mis en
Points d'accès                                                       Des barrières physiques supplémentaires, telles que des armoires
                  œuvre pour protéger les données et systèmes
  contrôlés                                                          verrouillées ou des cages fermant à clé, peuvent être installées à
                  d'information sensibles.
                                                                     l'intérieur du périmètre des installations, si le dispositif l'exige,
                                                                     conformément aux politiques de sécurité et/ou aux exigences du
                                                                     métier.

                                                                     Les dispositions « Périmètre de sécurité physique » et « Sécurité
                                                                     environnementale » sont abordées dans la norme ISO 27001,
                                                                     notamment à l'Annexe A, Paragraphe 9. Pour plus d’informations, il
                                                                     est conseillé de consulter les normes ISO disponibles publiquement
                                                                     pour lesquelles nous sommes certifiés.
    FS-04         L’entrée et la sortie des zones sécurisées         Les dispositions « Zones d’accès public, de livraison et de
                  doivent être limitées et contrôlées par des        chargement » et « Sécurité physique et environnementale » sont
 Sécurité des     mécanismes de contrôle d'accès physique            abordées dans la norme ISO 27001, notamment à l'Annexe A,
installations -   pour s'assurer que seul le personnel autorisé      Paragraphe 9. Pour plus d’informations, il est conseillé de consulter les
 Autorisation     s’en verra permettre l'accès.                      normes ISO disponibles publiquement pour lesquelles nous sommes
  des zones                                                          certifiés.
  sécurisées
                                                                     Pour plus d'informations, veuillez-vous reporter au code FS-03

    FS-05         Les points d'entrée et de sortie comme les         Les dispositions « Zones d’accès public, de livraison et de
                  aires de service et autres points où le            chargement » et « Sécurité physique et environnementale » sont
 Sécurité des     personnel non autorisé peut pénétrer dans les      abordées dans la norme ISO 27001, notamment à l'Annexe A,
installations -   locaux doivent être surveillés, contrôlés et, si   Paragraphe 9. Pour plus d’informations, il est conseillé de consulter les
  Accès des       possible, isolés des installations de stockage     normes ISO disponibles publiquement pour lesquelles nous sommes
personnes non     et de traitement des données pour prévenir         certifiés.
  autorisées      la corruption, compromission ou perte de
                  données.                                           Pour plus d'informations, veuillez-vous reporter au code FS-03

                                         Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 17
Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles FS-06 à FS-08

ID du contrôle                   Description
                                                                                                Réponse Microsoft
     CCM                   (CCM Version R1.1. Finale)

    FS-06         L'autorisation doit être obtenue avant la            Les procédures de Microsoft Online Services relatives à la protection
                  relocalisation ou le transfert de matériels,         des données et des actifs fournissent des prescriptions sur la
 Sécurité des     logiciels ou données dans des locaux                 protection des données logiques et physiques, ainsi que des
installations -   extérieurs.                                          instructions concernant les déménagements.
 Autorisation
 hors locaux                                                           Les dispositions « Sortie d'un actif » et « Management des
                                                                       modifications » sont abordées dans la norme ISO 27001, notamment
                                                                       à l'Annexe A, Paragraphes 9.2.7 et 10.1.2. Pour plus d’informations, il
                                                                       est conseillé de consulter les normes ISO disponibles publiquement
                                                                       pour lesquelles nous sommes certifiés.
    FS-07         Des politiques et procédures doivent être            La politique Microsoft de gestion des actifs et des standards d'usage
                  établies pour la sécurisation et la gestion des      courants ont été développés et mis en œuvre pour les actifs
 Sécurité des     actifs dans le cadre de l'utilisation et la mise à   technologiques, les composants des infrastructures et les
installations -   disposition sécurisée des équipements gérés          technologies des services de Microsoft Online Services.
 Équipement       et utilisés en dehors des locaux de
 hors locaux      l'organisation.                                      Une version client de la politique de sécurité de l’information peut
                                                                       être mise à disposition sur demande. Les clients ou les prospects
                                                                       doivent avoir signé un accord de confidentialité ou équivalent pour
                                                                       recevoir un exemplaire de la politique de sécurité de l’information.

                                                                       La disposition « Sécurité du matériel hors locaux » est abordée dans la
                                                                       norme ISO 27001, notamment à l'Annexe A, Paragraphe 9.2.5. Pour
                                                                       plus d’informations, il est conseillé de consulter les normes ISO
                                                                       disponibles publiquement pour lesquelles nous sommes certifiés.

                  Un inventaire complet des actifs essentiels          Microsoft Online Services a mis en œuvre une politique formelle qui
                  doivent être maintenu avec leur propriété            exige la comptabilisation des actifs utilisés pour les services de
                  définie et documentée.                               Microsoft Online, ainsi que la désignation d'un propriétaire de chaque
                                                                       actif. L'inventaire des actifs matériels majeurs dans l'environnement
                                                                       Microsoft Online Services est maintenu. Les propriétaires des actifs
    FS-08                                                              doivent gérer toutes les informations concernant leurs actifs au sein
                                                                       de l'inventaire, notamment le propriétaire ou tout agent associé,
 Sécurité des                                                          l'emplacement et la classification de sécurité. Les propriétaires des
installations -                                                        actifs sont également responsables de la classification et du maintien
 Gestion des                                                           de la protection de leurs actifs conformément aux standards. Des
    actifs                                                             audits réguliers sont effectués pour la vérification de l’inventaire.

                                                                       La disposition « Gestion des actifs » est abordée dans la norme ISO
                                                                       27001, notamment à l'Annexe A, Paragraphe 7. Pour plus
                                                                       d’informations, il est conseillé de consulter les normes ISO disponibles
                                                                       publiquement pour lesquelles nous sommes certifiés.

                                          Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 18
Vous pouvez aussi lire
DIAPOSITIVES SUIVANTES ... Annuler