Réponse standard pour les demandes d'information Sécurité et Respect de la vie privée
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Réponse standard pour les demandes
d'information
Sécurité et Respect de la vie privée
Version Française 2012
Dédit de responsabilité
Les informations contenues dans ce document représentent la vision de Microsoft Corporation sur les questions abordées à la date de publication. Dans
la mesure où Microsoft doit s'adapter aux changements du marché, ces informations ne sauraient être interprétées comme un engagement de la part de
Microsoft, et Microsoft ne garantit en rien l'exactitude des informations fournies après la date de publication. Pour accéder à la version la plus récente
de ce document en langue anglaise, veuillez consulter le lien suivant http://www.microsoft.com/download/en/details.aspx?id=26647
Ce document est publié à titre informatif uniquement. MICROSOFT NE FORMULE AUCUNE GARANTIE, EXPLICITE OU IMPLICITE,
CONCERNANT LES INFORMATIONS CONTENUES DANS CE DOCUMENT.
Le respect de toutes les lois de copyright en vigueur relève de la responsabilité de l'utilisateur. Sans restriction des droits dérivés des droits
d'auteur, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de restitution, ou transmise à
quelque fin, par quelque moyen (électronique, mécanique, photocopie, enregistrement ou autre) ou dans quelque but que ce soit sans la
permission expresse et écrite de Microsoft Corporation.
Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de brevets ou être titulaire de marques, droits d'auteur ou
autres droits de propriété intellectuelle portant sur des éléments qui font l'objet du présent document. Sauf stipulation expresse contraire
d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de propriété intellectuelle.
© 2011 Microsoft Corporation. Tous droits réservés
Microsoft et Microsoft Office 365 sont soit des marques déposées, soit des marques de fabrique de Microsoft Corporation aux États-Unis
et/ou dans d’autres pays.
Les noms de produits et de sociétés réels mentionnés dans la présente documentation peuvent être des marques de leurs propriétaires
respectifs.
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 2
Table des matières
Page
Introduction 4
Fourniture de Microsoft Office 365 : la pile de services 5
Certifications ISO pour la pile Microsoft Online Services 6-8
Réponse de Microsoft selon les identifiants des contrôles de
9 -53
la matrice « Cloud »:
Conformité CO-01 à CO-06 9 – 11
Gouvernance des données DG-01 à DG-08 12 - 15
Sécurité des installations FS-01 à FS-08 16 - 18
Ressources humaines HR-01 à HR-03 19
Sécurité de l'information IS-01 à IS-34 20 – 35
Juridique LG-01 à LG-02 35 - 36
Gestion des Opérations OP-01 à OP-04 36-37
Gestion du risque RI-01 à RI-05 38-39
Gestion des changements RM-01 à RM-05 40 – 41
Continuité de l’activité RS-01 à RS-08 42 – 44
Architecture de sécurité SA-01 à SA-15 45 – 53
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 3
L'association CSA (Cloud
Introduction
Security Alliance) est une
entité à but non-lucratif dont
le but est de promouvoir
Le « Cloud Computing » soulève des questions sur la sécurité, la protection des données, la
l’utilisation de bonnes
confidentialité et la propriété des données. Microsoft® Office 365 (incluant les services de
pratiques pour garantir la la marque Microsoft® Exchange Online, Microsoft® SharePoint Online, et Microsoft®
sécurité dans les Lync™ Online ) sont hébergés dans les centres de données de Microsoft à travers le
environnements de « Cloud monde, et conçus pour répondre aux exigences des clients professionnels en matière de
performance, d’évolutivité, de sécurité et de niveau de service. Nous avons mis en œuvre
Computing ».
une technologie à l’état de l’art, ainsi que des processus qui fournissent une qualité
constante et éprouvée en termes d'accès, de sécurité et de confidentialité pour chaque
L'association a publié l'outil utilisateur. Les services Microsoft Online Services offrent des fonctionnalités intégrées pour
être conformes à un large éventail de réglementations et de directives sur le respect de la
CCM (Cloud Control Matrix),
vie privée.
pour aider les
Dans ce document, nous proposons à nos clients une présentation détaillée sur la manière
consommateurs dans leur
dont les services Microsoft Online Services répondent aux exigences de sécurité, de
évaluation des services
confidentialité, de conformité et de gestion du risque, telles que définies dans le document
Cloud, et pour identifier les CCM (Cloud Control Matrix) publié par l'association CSA (Cloud Security Alliance). A noter
questions qu'ils doivent que ce document a pour objectif de fournir également des informations sur le fonctionnement
légitimement se poser avant de Microsoft Online Services. Il est de la responsabilité des clients de contrôler et de gérer
leur environnement une fois que le service est fourni (par exemple, gestion des accès des
d'utiliser ce type de
utilisateurs et respect des stratégies et des procédures conformément à leurs exigences
services. En réponse à cette réglementaires).
publication, Microsoft Online
Services a créé ce document
pour souligner la manière Exigences de sécurité pour le Cloud : l'outil CCM (Cloud Control Matrix).
L'outil Matrice de Contrôle Cloud, ou CCM (Cloud Control Matrix), est publié par une
dont nous appliquons les
organisation à but non lucratif, une association composée de grands acteurs du marché dont
principes suggérés, et
l'objectif est de venir en aide aux clients qui veulent prendre la décision de passer sur le
comment nous les relions à Cloud. Cette matrice fournit une description détaillée de la sécurité et du respect de la vie
la certification ISO. privée, des concepts et des principes qui sont alignés sur le guide Cloud Security Alliance en
13 domaines.
Microsoft publie dans ce document une présentation détaillée de nos capacités vis-à-vis
Pour en savoir plus :
des exigences de la matrice CCM. Avec cette réponse standard aux demandes
https://cloudsecurityalliance.
d'information, nous souhaitons aider les clients en leur fournissant des informations aussi
org
complètes que possible afin d'évaluer les différentes offres du marché actuel.
Présentation de Microsoft Office 365
Alors que Microsoft offre une gamme complète de services Cloud, notre objectif ici est de
donner des réponses spécifiques au sujet d’Office 365, offre de service professionnel
d'hébergement de Microsoft. Office 365 fournit un ensemble d'applications de productivité qui
associent sur le Cloud les versions en ligne des logiciels de messagerie et de collaboration,
avec notre suite bien connue Microsoft Office Professional Plus. Les applications Office 365
s'exécutent sur une infrastructure Cloud et sont accessibles depuis différents dispositifs clients.
Les clients n'ont pas besoin de gérer ou de contrôler l'infrastructure Cloud sous-jacente, le
réseau, les serveurs, les systèmes d'exploitation, le stockage ou les fonctionnalités de chaque
application, à l'exception de certaines fonctions de configuration. Pour plus d'informations,
veuillez visiter le site www.office365.com.
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 4
Comment Microsoft Office 365 est
mis à disposition : la pile de services
Le Centre de gestion Lors de l'évaluation de l'environnement de contrôle d'une offre de type SaaS (Software as a
Service), il est important de prendre en considération la totalité de la pile de services du
de la confidentialité fournisseur de service Cloud. Différentes organisations peuvent être impliquées dans la
fourniture de services d'infrastructure et d'applications, ce qui peut augmenter le risque de
fournit des
dysfonctionnement. Une interruption sur l’une des couches de la pile peut compromettre la
informations fourniture du service Cloud et avoir des conséquences importantes. Pour cette raison, les
clients devraient évaluer comment fonctionnent leurs fournisseurs de service, et
supplémentaires sur
appréhender l'infrastructure sous-jacente et les plateformes du service, ainsi que les
des sujets tels que la applications effectivement délivrées.
géolocalisation des Microsoft est un fournisseur de service du Cloud qui possède et qui contrôle la totalité de
la pile, depuis les applications développées pour le Cloud, jusqu'aux centres de données
données, l'accès qui hébergent vos données et vos services, en passant par les installations de fibre optique
qui acheminent vos informations, et la mise à disposition effective du service.
administrateur, ou la
Dans l'environnement Office 365, le service est géré par le groupe Microsoft Global
mise en application
Foundation Services – qui fournit les services d'infrastructure à la fois en interne et aux
des règles de clients Microsoft –, et par le groupe Microsoft Online Services qui fournit la suite
d'applications et la couche de données (voir la figure 1).
conformité.
Pour en savoir plus,
visitez le site : Figure 1 : Pile de services pour Office 365
Centre de gestion de la
confidentialité
(http://go.microsoft.com/fwlink/?
LinkID=206613&CLCID=0x40C)
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 5Certifications ISO pour la pile
Microsoft Online Services
Grâce à la certification
Office 365 et l'infrastructure sur laquelle la solution s'appuie (Microsoft Global Foundation
ISO 27001 de Microsoft,
Services) font appel à des cadres méthodologiques de sécurité basées sur le corpus de
les clients peuvent normes internationales ISO/IEC 27001:2005, et ont été certifiées ISO 27001 par des
auditeurs indépendants.
évaluer la manière dont
Grâce à notre certification ISO 27001, les clients peuvent évaluer la manière dont
Microsoft atteint ou Microsoft atteint ou dépasse les normes et les directives de mise en œuvre. La norme ISO
dépasse les normes et les 27001 définit les méthodes de mise en œuvre, de contrôle, de gestion et d'optimisation en
continu du Système de Management de la Sécurité de l'Information (SMSI). De plus, les
directives de mise en services et l'infrastructure font l'objet d'un audit annuel à la norme SAS 70 (ou à la norme
SSAE16 qui la remplace).
œuvre.
La politique de sécurité de l'information de Microsoft Online Services, applicable à
Office 365, est également alignée sur la norme ISO 27002, complétée par des exigences
spécifiques aux services en ligne. La norme ISO 27002 n'est pas une certification mais elle
fournit un ensemble de contrôles adaptés au SMSI.
Comment lire les exigences du CSA et les réponses de Microsoft
Dans les pages suivantes, nous avons mis en parallèle nos pratiques de sécurité et les
préconisations de l'outil CCM. Les deux premières colonnes, intitulées « Contrôle ID
1
CCM » et « Description », reprennent les contrôles les plus pertinents de l'outil CCM . La
troisième colonne, intitulée « Réponse Microsoft » comprend :
1) Une brève explication sur la manière dont Microsoft Online Services satisfait aux
recommandations du CSA.
2) Une référence aux contrôles ISO 27001 respectés par GFS (Microsoft Global
Foundation Services) et/ou Microsoft Online Services dans le cadre des certifications ISO
27001, le cas échéant.
Exemple :
Le contrôle IS-O2 de l'outil Matrice de contrôle Cloud (CCM) du
CSA définit la recommandation suivante :
« La direction et la chaîne de management doivent prendre des mesures formelles pour soutenir
la sécurité de l’information grâce à des directives claires et documentées, un engagement, une
mission explicite et une vérification de l'exécution de la mission. »
Réponse de Microsoft :
Chaque version approuvée par le management de la politique de sécurité de l'information et
de ses mises à jour est distribuée à l'ensemble des parties prenantes impliquées. La politique
de sécurité de l'information est communiquée à l'ensemble des employés (existants ou
nouveaux) de Microsoft Online Services.
(1) Le contenu des colonnes 1 et 2 de la matrice CCM est © 2011 Cloud Security Alliance,
utilisé avec permission.
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 6Le fait que Microsoft Online
Services est certifié ISO Réponse Microsoft (suite):
27001 signifie que nous
Tous les employés de Microsoft Online Services indiquent qu'ils ont pris connaissance et qu'ils
avons été en mesure de
approuvent toutes les mesures définies dans les documents de la politique de sécurité de
répondre aux attentes des l'information. Toutes les équipes des fournisseurs de Microsoft Online Services approuvent les
mesures pertinentes définies dans la politique de sécurité de l'information. Si une de ces
auditeurs externes, et
parties n'a pas accès à cette politique pour quelque raison que ce soit, il est de la
montrer que notre responsabilité de l'agent de supervision de Microsoft de leur fournir les documents
correspondants.
environnement respecte ou
dépasse ces normes. Une version de la politique de sécurité de l'information destinée aux clients peut être obtenue
sur demande. Les clients et les prospects doivent avoir signé un accord de non-divulgation
La copie publique de la (NDA), ou équivalent, pour recevoir un exemplaire de la politique de sécurité de l'information.
Certification ISO de
Les dispositions « Implication de la direction vis-à-vis de la sécurité de l'information » et
Microsoft Online Services
« Responsabilité de la direction » sont abordées dans la norme ISO 27001, notamment dans
est disponible ici : la Clause 5, et à l'Annexe A, Paragraphe 6.1.1. Pour plus d’informations, il est conseillé de
consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.
Certification ISO
(http://www.bsigroup.com/en/A
ssessment-and-certification-
services/Client-directory/ Mots-
clés : Microsoft Online Services)
Pour en savoir plus :
Il est vivement recommandé de consulter les normes ISO 27001 et ISO 27002 disponibles
publiquement. Les normes ISO peuvent être commandées sur le site de l'Organisation
Internationale de Normalisation : http://www.iso.org/iso/iso_catalogue. Ces normes ISO
fournissent des informations détaillées et la marche à suivre pour leur mise en œuvre. Une
fois encore, le fait que Microsoft Online Services soit certifié ISO 27001 signifie que nous
avons su répondre aux attentes d'un auditeur externe, et montrer que notre environnement
respecte ou dépasse ces normes.
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 7Exemple:
Lors de l'examen de la norme, on peut prendre le contrôle ou la clause de l'ISO 27001,
en examiner les spécificités, par exemple « Engagement de la direction sur sécurité de
l'information » en clause 5, à partir de la norme ISO 27001 ou à partir de l'ISO 27002 les
détails du contrôle 6.1.1:
« Responsabilité du management….. »
Ressources
Visitez notre Centre de gestion de la confidentialité pour un accès aux documents suivants :
Livres blancs
Forums aux questions
Informations sur la certification
Normes ISO disponibles à l'achat
(Lien du Centre de gestion de la confidentialité :
http://go.microsoft.com/fwlink/?LinkID=206613&CLCID=0x40C
La copie publique de la Certification ISO de Microsoft Online Services est disponible ici :
Certification ISO (http://www.bsigroup.com/en/Assessment-and-certification-services/Client-
directory/ Mots-clés : Microsoft Online Services)
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 8Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles CO-01 à CO-02
ID du contrôle Description
Réponse Microsoft
CCM (CCM Version R1.1. Finale)
Nos objectifs sont d'exploiter nos services en appliquant comme
principes essentiels le respect de la sécurité, et de vous fournir des
garanties quant aux mesures de sécurité prises. Nous avons
implémenté et maintiendrons de manière raisonnable et
appropriée les mesures techniques et organisationnelles, les
contrôles internes, et les traitements usuels liés à la sécurité de
l’information pour contribuer à protéger les données du client
contre toute perte, destruction ou altération accidentelles; les
diffusions ou les accès non autorisés ; ou les destructions illégales.
Chaque année, nous faisons réaliser des audits par des
Des plans d’audit, des activités et des organismes tiers mondialement reconnus, afin d'obtenir une
éléments d'action opérationnels se attestation indépendante de conformité avec nos politiques et
CO-01 concentrant sur la duplication des données, procédures concernant la sécurité, la confidentialité, la continuité
l'accès, et les limitations des frontières des et la conformité. Les éléments des audits sont consultables, après
Conformité - données doivent être conçus pour minimiser accord de non divulgation et sur demande, par nos prospects ; et
Planification le risque de perturbation des processus via le Centre de gestion de la confidentialité pour nos clients.
de l'audit métier. Les activités d’audit doivent être
planifiées et convenues à l'avance par les Les rapports d'audit indépendants et les certifications de
parties prenantes. Microsoft Online Services sont partagés avec les clients. Ces
certifications et attestations montrent précisément les méthodes
d'obtention et de respect de nos objectifs de sécurité et de
conformité, ainsi que la manière dont nous nous en servons en
tant que mécanisme pratique pour valider nos engagements
envers tous nos clients.
La disposition « Surveillance et réexamen du ISMS » est abordée
dans la norme ISO 27001, notamment dans la Clause 4.2.3. Pour
plus d’informations, il est conseillé de consulter les normes ISO
disponibles publiquement pour lesquelles nous sommes certifiés.
Des examens indépendants et des évaluations
doivent être effectués au moins annuellement,
CO-02
ou à intervalles planifiés, afin d'assurer que
Pour plus d'informations, veuillez-vous reporter au code CO-01 ou
l'organisation est conforme aux politiques,
Conformité - interroger le Centre de gestion de la confidentialité au sujet de nos
procédures, normes et exigences
Audits certifications en cours et des attestations des tiers.
réglementaires applicables (par exemple,
indépendants
audits internes/externes, certifications, tests
de pénétration et de la vulnérabilité).
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 9Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles CO-03 à CO-05
ID du contrôle Description
CCM (CCM Version R1.1. Finale) Réponse Microsoft
Microsoft Online Services demande contractuellement aux
fournisseurs de services tiers de Microsoft d'appliquer et de respecter
les exigences définies conformément à la politique de sécurité de
Les fournisseurs de service tiers doivent
l'information de Microsoft Online Services. De plus, Microsoft Online
démontrer leur conformité avec la sécurité et
Services demande que ces fournisseurs tiers se soumettent à un audit
la confidentialité de l’information, les
annuel réalisé par des organismes tiers, ou qu'ils fassent la demande
CO-03 définitions du service et les accords sur le
pour que leur audit soit fait en même temps que l'audit annuel de
niveau de prestation inclus dans les contrats
Microsoft Online Services.
Conformité - de tiers.
Audits des Les rapports des tiers, dossiers et services
tiers sont soumis à vérification et examen, à
Les dispositions « Sécurité dans les accords conclus avec des tiers » et
intervalles planifiés, pour gérer et maintenir la
« Gestion de la prestation de service conclus avec un tiers » sont
conformité avec les accords de prestation du
abordées dans la norme ISO 27001, notamment à l'Annexe A,
service.
Paragraphes 6.2. et 10.2 respectivement. Pour plus d’informations, il
est conseillé de consulter les normes ISO disponibles publiquement
pour lesquelles nous sommes certifiés.
Microsoft Online Services garde le contact avec les parties externes
(telles que les organismes de réglementation, les fournisseurs de
Des liaisons et des points de contact avec les service, les organisations de gestion du risque ou les forums de
autorités locales doivent être maintenus en l’industrie) pour assurer la mise en œuvre de mesures appropriées et
CO-04 conformité avec les exigences des entreprises rapides et obtenir si besoin des conseils. Microsoft dispose d'une
et des clients et la conformité aux exigences équipe dédiée pour la plupart des contacts avec les organismes
Conformité - législatives, réglementaires et contractuelles. d'application de la loi. Les rôles et les responsabilités concernant la
Contact / Les données, objets, applications, gestion et le contrôle de ces relations sont clairement définis.
Gestion de l’infrastructure et le matériel peuvent se voir
l'autorité assigner un domaine législatif et une Les dispositions « Relations avec les autorités » et « Relations avec des
juridiction pour faciliter les points de contact groupes de spécialistes » sont abordées dans la norme ISO 27001,
appropriés de conformité. notamment à l'Annexe A, Paragraphes 6.1.6 et 6.1.7 respectivement.
Pour plus d’informations, il est conseillé de consulter les normes ISO
disponibles publiquement pour lesquelles nous sommes certifiés.
Microsoft Online Services fournit des informations sur les statuts et les
Les exigences légales, réglementaires et réglementations auxquels il adhère, par le biais de ses contrats et des
contractuelles doivent être définies pour tous descriptions de service, y compris par juridiction. Microsoft Online
les éléments du système d'information. Services dispose d'un processus bien établi qui permet l'identification
L'approche de l'organisation pour répondre et la mise en œuvre des changements à ses services en réponse aux
CO-05
aux besoins connus, et pour s'adapter aux modifications dans les statuts et réglementations applicables.
nouveaux mandats, doit être explicitement Un réexamen intervient chaque année dans le cadre de notre audit
Conformité -
définie, documentée et mise à jour pour ISO 27001. De plus, l'interface Web de Microsoft Online Services limite
Correspondan
chaque élément du système d'information de la possibilité d'ajouter des utilisateurs dans des juridictions situées
ce de
l’organisation. Les éléments du système hors de la portée de support de Microsoft Online Services
réglementatio
d'information peuvent inclure les données, les
n des systèmes
objets, les applications, l’infrastructure et le Les dispositions « Établissement du ISMS », « Revue de direction du
d'information
matériel. Chaque élément peut être attribué à ISMS » et « Conformité aux exigences légales » sont abordées dans la
un domaine législatif et une juridiction pour norme ISO 27001, notamment dans les Clauses 4.2.1 et 7.3
faciliter une correspondance de conformité respectivement, ainsi qu'à l'Annexe A, Paragraphe 15.1. Pour plus
appropriée. d’informations, il est conseillé de consulter les normes ISO disponibles
publiquement pour lesquelles nous sommes certifiés.
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 10Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôle CO-06
ID du contrôle Description
Réponse Microsoft
CCM (CCM Version R1.1. Finale)
Il est exigé de tous les employés et équipes sous-traitantes
d'appliquer et de respecter les lois relatives à la propriété
intellectuelle, Microsoft gardant la responsabilité d'utiliser des logiciels
propriétaires au sein des juridictions législatives et des obligations
contractuelles qui régissent l'organisation. Avant sa mise à disposition,
chaque service est contrôlé pour vérifier que tous les logiciels tiers
sont couverts par une licence appropriée.
De plus, Microsoft Online Services dispose de politiques et de
Une politique, un processus et une procédure procédures qui garantissent le respect des exigences de
CO-06 doivent être établies et mis en œuvre pour « désinstallation » de la loi américaine Digital Millenium Copyright Act
protéger la propriété intellectuelle et (DMCA) sur les droits d'auteur, de même que la réglementation
Conformité - l'utilisation de logiciels propriétaires en semblable sur le service.
Propriété prenant en compte les contraintes législatives
intellectuelle de la juridiction et contractuelles qui Microsoft utilise et gère les données des clients aux fins exclusives de
régissent l'organisation. fournir ses prestations Microsoft Online Services. Les services
Microsoft destinés aux entreprises sont conçus séparément des
services grand public de Microsoft. Si certaines données peuvent être
stockées ou traitées sur des systèmes utilisés à la fois pour les services
grand public et entreprises, les données de ces dernières ne sont pas
partagées avec les systèmes utilisés pour les opérations publicitaires.
La disposition « Établissement du ISMS » est abordée dans la norme
ISO 27001, notamment dans la Clause 4.2.1. Pour plus d’informations,
il est conseillé de consulter les normes ISO disponibles publiquement
pour lesquelles nous sommes certifiés.
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 11Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles DG-01 à DG-02
ID du contrôle Description
Réponse Microsoft
CCM (CCM Version R1.1. Finale)
Microsoft Online Services a mis en œuvre une politique formelle qui
exige la comptabilisation des actifs (qui comprennent notamment les
données et le matériel) utilisés pour exploiter Microsoft Online
Services, ainsi que la nomination d'un propriétaire de chaque actif.
DG-01
Les propriétaires des actifs doivent tenir à jour toutes les informations
Toutes les données doivent être désignées
concernant leurs actifs.
Gouvernance avec un chargé d'intendance avec des
des données - responsabilités assignées qui seront définies,
Les dispositions « Attribution des responsabilités en matière de
Propriété / documentées et communiquées.
sécurité de l’information » et « Propriété des actifs » sont abordées
Gérance
dans la norme ISO 27001, notamment à l'Annexe A, Paragraphes 6.1.3
et 7.1.2 respectivement. Pour plus d’informations, il est conseillé de
consulter les normes ISO disponibles publiquement pour lesquelles
nous sommes certifiés.
Les données et les objets contenant des
Les standards Microsoft Online Services fournissent des indications sur
données, doivent se voir assigner une
la classification des actifs au sein des différentes catégories de sécurité
classification basée sur le type de données, la
DG-02 applicables, puis implémentent un ensemble standard d'attributs de
juridiction d'origine, la juridiction de
sécurité et de confidentialité.
domiciliation, le contexte, les contraintes
Gouvernance
juridiques, les contraintes contractuelles, la
des données - La disposition « Classification des informations » est abordée dans la
valeur, la sensibilité, de criticité pour
Classification norme ISO 27001, notamment à l'Annexe A, Paragraphe 7.2. Pour plus
l'organisation et l'obligation des tiers
d’informations, il est conseillé de consulter les normes ISO disponibles
concernant la rétention et la prévention des
publiquement pour lesquelles nous sommes certifiés.
divulgations ou les emplois abusifs non
autorisés.
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 12Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles DG-03 à DG-04
ID du contrôle Description
Réponse Microsoft
CCM (CCM Version R1.1. Finale)
Les standards Microsoft Online Services fournissent des indications
DG-03
Des politiques et procédures doivent être sur la classification des actifs au sein des différentes catégories de
établies pour l'étiquetage, la manipulation et sécurité applicables, puis implémentent un ensemble standard
Gouvernance
la sécurité des données et des objets qui d'attributs de sécurité et de confidentialité.
des données -
contiennent des données. Des mécanismes
Manipulation
d'héritage de l'étiquetage doivent être mis en La disposition « Classification des informations » est abordée dans la
/ Marquage /
œuvre pour les objets qui agissent comme norme ISO 27001, notamment à l'Annexe A, Paragraphe 7.2. Pour plus
Politique de
des conteneurs globaux pour les données. d’informations, il est conseillé de consulter les normes ISO disponibles
sécurité
publiquement pour lesquelles nous sommes certifiés.
Microsoft Online Services fournit à ses clients la possibilité d'appliquer
des politiques de conservation des données, telles que définies dans
les descriptions de service individuel.
(http://www.microsoft.com/downloads/fr-
fr/details.aspx?familyid=c60c0af0-10cc-4b11-bcef-
b989c1f168b0&displaylang=fr)
Comme pour les sauvegardes, le contenu est répliqué depuis un
centre de données primaire vers un centre de données secondaire.
Des politiques et procédures de conservation Ainsi, il n'y a pas de planning de sauvegarde spécifique dans la
des données et de stockage doivent être mesure où la réplication est constante. Les clients peuvent décider de
DG-04
établies et des mécanismes de sauvegarde ou réaliser leurs propres opérations d'extraction/sauvegarde si
de redondance mis en œuvre pour assurer la nécessaire. Les données du client sont stockées dans un
Gouvernance
conformité avec les exigences réglementaires, environnement redondant bénéficiant de solutions fiables de
des données -
statutaires, contractuelles ou métier. Des sauvegarde, de restauration et de basculement, afin de garantir la
Politique de
tests de récupération des sauvegardes sur disponibilité, la continuité de l'activité et la récupération rapide.
conservation
disque ou sur bande doivent être mis en Plusieurs niveaux de redondance des données sont implémentés,
œuvre à intervalles planifiés. depuis les disques redondants pour se prémunir d’une panne d’un
disque local jusqu'à la réplication complète et continue des données
vers un centre de données géographiquement délocalisé. Microsoft
Online Services fait l'objet d'une validation annuelle de ses méthodes
de sauvegarde/restauration.
La disposition « Sauvegarde des informations » est abordée dans la
norme ISO 27001, notamment à l'Annexe A, Paragraphe 10.5.1. Pour
plus d’informations, il est conseillé de consulter les normes ISO
disponibles publiquement pour lesquelles nous sommes certifiés.
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 13Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles DG-05 à DG-06
ID du contrôle Description
Réponse Microsoft
CCM (CCM Version R1.1. Finale)
Microsoft utilise des procédures de bonnes pratiques, ainsi qu'une
solution d’effacement des données conforme à la norme américaine
NIST 800-88. Pour les disques durs contenant des données qui ne
peuvent être effacées, nous utilisons un processus de destruction
matérielle (désintégration, broyage, pulvérisation, ou incinération). La
méthode de mise au rebut adaptée est choisie en fonction du type
DG-05 Des politiques et procédures doivent être de l’actif. Un historique de la destruction est conservé.
établies et des mécanismes mis en œuvre
Gouvernance pour l'élimination sûre et la suppression Toutes les équipes de Microsoft Online Services utilisent des services
des données - complète de données de tous les supports de approuvés pour la gestion du stockage des supports et de leurs mises
Mise au rebut stockage, assurant que les données ne sont au rebut. Les documents papier sont détruits selon les méthodes
sécurisée récupérables par aucun moyen approuvées, à la fin de leur cycle de vie défini à l'avance.
d’investigation.
Les dispositions « Mise au rebut ou recyclage sécurisé(e) du
matériel » et « Mise au rebut des supports » sont abordées dans la
norme ISO 27001, notamment à l'Annexe A, Paragraphes 9.2.6 et
10.7.2 respectivement. Pour plus d’informations, il est conseillé de
consulter les normes ISO disponibles publiquement pour lesquelles
nous sommes certifiés.
Microsoft applique le principe de ségrégation des fonctions pour
garantir la restriction des accès entre les environnements de test et de
production, conformément à la politique définie.
Le déplacement ou la copie des données non-publiques du client
DG-06 depuis un environnement de production vers un environnement de
non-production est expressément interdit, sauf consentement
Gouvernance Les données de production ne doivent pas explicite du client, ou sur décision de la division juridique de
des données - être répliquées ou utilisés dans des Microsoft.
Données hors environnements hors-production.
production Les dispositions « Séparation des équipements de développement, de
test et d’exploitation » et « Protection des données système de test »
sont abordées dans la norme ISO 27001, notamment à l'Annexe A,
Paragraphes 10.1.4 et 12.4.2 respectivement. Pour plus
d’informations, il est conseillé de consulter les normes ISO
disponibles publiquement pour lesquelles nous sommes certifiés.
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 14Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles DG-07 à DG-08
ID du contrôle Description
Réponse Microsoft
CCM (CCM Version R1.1. Finale)
Les contrôles logiques et physiques sont mis en œuvre dans les
environnements Microsoft Online Services (voir le document
« Description du Service de Sécurité Office365 » disponible depuis le
Centre de téléchargement Microsoft) ; les clients peuvent choisir
d’augmenter les fonctions de base en s’appuyant sur les technologies
telles que :
1) Configuration des règles de transport des messages
2) Intégration aux produits de protection contre les fuites de données
DG-07 des courriels
3) Prise en charge de l'intégration des services Active Directory Rights
Des mécanismes de sécurité doivent être mis
Gouvernance Management Services
en œuvre pour empêcher les fuites de
des données - 4) Mise en place de Exchange Hosted Encryption et de produits de
données
Fuite chiffrement alternatifs.
d'informations 5) Les administrateurs de SharePoint Online peuvent activer le
contrôle d’accès basé sur la notion de groupe ou de rôle, la fonction
native d’audit de contenu, et également demander des rapports
d'accès administrateur (via les services de support client).
La disposition « Fuite d'informations » est abordée dans la norme ISO
27001, notamment à l'Annexe A, Paragraphe 12.5.4. Pour plus
d’informations, il est conseillé de consulter les normes ISO disponibles
publiquement pour lesquelles nous sommes certifiés.
Les évaluations des risques associés aux
exigences de gouvernance des données Microsoft Online Services effectue chaque année une analyse
doivent être réalisées à intervalles planifiés en d'impact sur l'activité. L'analyse comprend :
considérant les éléments suivants:
• L'identification des menaces significatives pour l'environnement et
les processus métier de Microsoft Online Services.
Sensibilisation sur l'endroit où les
• Une évaluation des menaces identifiées, y compris les impacts
DG-08 données sensibles sont stockées et
potentiels et les dommages possibles.
transmises à travers les applications, les
• Une stratégie approuvée par le management pour l'atténuation des
Gouvernance bases de données, les serveurs et
menaces identifiées significatives, et pour la récupération des
des données - l'infrastructure réseau.
processus métier critiques.
Évaluation des Conformité avec les exigences définies
risques sur les délais de conservation et en
matière de disposition en fin de vie. Le sujet « Établissement du SMSI et classification des informations et
Classification des données et protection gestion des actifs » est abordé dans la norme ISO 27001, notamment
contre l'utilisation, l'accès, la perte, la dans la Clause 4.2.1, et à l'Annexe A, Paragraphe 7.2. Pour plus
destruction et la falsification non- d’informations, il est conseillé de consulter les normes ISO disponibles
autorisés publiquement pour lesquelles nous sommes certifiés.
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 15Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles FS-01 à FS-02
ID du contrôle Description
Réponse Microsoft
CCM (CCM Version R1.1. Finale)
L'accès à tous les bâtiments Microsoft est contrôlé ; leur accès est
restreint par des lecteurs de cartes (utilisation indispensable d'un
badge d'identification autorisé) ou de systèmes de biométrie pour
entrer dans les centres de données. Le personnel chargé de l'accueil
doit identifier les employés à plein temps ou les fournisseurs autorisés
FS-01
Des politiques et procédures doivent être qui ne sont pas munis de badges. Tous les invités doivent porter un
établies pour maintenir un environnement de badge Visiteur et être accompagnés par le personnel Microsoft
Sécurité des
travail sûr et sécurisé dans les bureaux, les autorisé.
installations -
locaux, installations et zones sécurisées.
Politique
La disposition « Sécurisation des bureaux, des salles et des
installations » est abordée dans la norme ISO 27001, notamment à
l'Annexe A, Paragraphe 9.1.3. Pour plus d’informations, il est conseillé
de consulter les normes ISO disponibles publiquement pour lesquelles
nous sommes certifiés.
Les accès sont donnés en fonction du profil de poste ; seul le
personnel indispensable reçoit l’autorisation de gérer les applications
et les services des clients. Les autorisations d'accès physiques font
appel à différents processus d'authentification et de sécurité : badges
et cartes à puce, scanners biométriques, responsables de sécurité sur
site, vidéo-surveillance permanente, et authentification à double
facteur pour l'accès physique à l'environnement du centre de
données.
Outre les contrôles d'accès physique installés sur différentes portes
dans le centre de données, l'organisation Microsoft Data Center
FS-02 Management a mis en place des procédures opérationnelles pour
limiter l'accès physique aux employés, fournisseurs et visiteurs
L'accès physique aux actifs et des fonctions
Sécurité des autorisés :
liés à l’information par les utilisateurs et le
installations - • L'autorisation pour accorder un accès temporaire ou permanent aux
personnel de support doit être restreint.
Accès des centres de données Microsoft est limitée aux équipes autorisées. Les
utilisateurs demandes et les décisions d'autorisation qui en découlent sont
conservées en utilisant un système de ticket/accès.
• Les badges sont fournis au personnel faisant une demande d'accès
après vérification de l'identification.
• L'organisation Microsoft Data Center Management examine
régulièrement la liste d'accès. Après ce contrôle, les actions
nécessaires sont appliquées.
La disposition « Sécurité physique et environnementale » est abordée
dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 9.
Pour plus d’informations, il est conseillé de consulter les normes ISO
disponibles publiquement pour lesquelles nous sommes certifiés.
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 16Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles FS-03 à FS-05
ID du contrôle Description
Réponse Microsoft
CCM (CCM Version R1.1. Finale)
Les constructions abritant les centres de données sont anonymes et
aucune indication n'est donnée quant à la présence de services
d'hébergement de centres de données Microsoft à cet emplacement.
L'accès aux installations du centre de données est limité. Les portes
qui s'ouvrent sur la salle principale ou l'accueil sont équipées de
dispositifs électroniques de contrôle des cartes d'accès, afin de limiter
l'accès aux espaces intérieurs. Les locaux du centre de données
Microsoft qui hébergent les systèmes critiques (serveurs, groupes
électrogènes, armoires électriques, équipements réseau, etc.) sont
Des périmètres de sécurité physique (clôtures,
FS-03 protégés par différents systèmes de sécurité (contrôle d'accès
murs, barrières, gardes, portes, surveillance
électronique par carte, serrure à code, sas, etc.) et/ou par des
électronique, mécanismes d'authentification
Sécurité des dispositifs biométriques.
physique, comptoirs de réception et de
installations -
patrouilles de sécurité) doivent être mis en
Points d'accès Des barrières physiques supplémentaires, telles que des armoires
œuvre pour protéger les données et systèmes
contrôlés verrouillées ou des cages fermant à clé, peuvent être installées à
d'information sensibles.
l'intérieur du périmètre des installations, si le dispositif l'exige,
conformément aux politiques de sécurité et/ou aux exigences du
métier.
Les dispositions « Périmètre de sécurité physique » et « Sécurité
environnementale » sont abordées dans la norme ISO 27001,
notamment à l'Annexe A, Paragraphe 9. Pour plus d’informations, il
est conseillé de consulter les normes ISO disponibles publiquement
pour lesquelles nous sommes certifiés.
FS-04 L’entrée et la sortie des zones sécurisées Les dispositions « Zones d’accès public, de livraison et de
doivent être limitées et contrôlées par des chargement » et « Sécurité physique et environnementale » sont
Sécurité des mécanismes de contrôle d'accès physique abordées dans la norme ISO 27001, notamment à l'Annexe A,
installations - pour s'assurer que seul le personnel autorisé Paragraphe 9. Pour plus d’informations, il est conseillé de consulter les
Autorisation s’en verra permettre l'accès. normes ISO disponibles publiquement pour lesquelles nous sommes
des zones certifiés.
sécurisées
Pour plus d'informations, veuillez-vous reporter au code FS-03
FS-05 Les points d'entrée et de sortie comme les Les dispositions « Zones d’accès public, de livraison et de
aires de service et autres points où le chargement » et « Sécurité physique et environnementale » sont
Sécurité des personnel non autorisé peut pénétrer dans les abordées dans la norme ISO 27001, notamment à l'Annexe A,
installations - locaux doivent être surveillés, contrôlés et, si Paragraphe 9. Pour plus d’informations, il est conseillé de consulter les
Accès des possible, isolés des installations de stockage normes ISO disponibles publiquement pour lesquelles nous sommes
personnes non et de traitement des données pour prévenir certifiés.
autorisées la corruption, compromission ou perte de
données. Pour plus d'informations, veuillez-vous reporter au code FS-03
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 17Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA
Contrôles FS-06 à FS-08
ID du contrôle Description
Réponse Microsoft
CCM (CCM Version R1.1. Finale)
FS-06 L'autorisation doit être obtenue avant la Les procédures de Microsoft Online Services relatives à la protection
relocalisation ou le transfert de matériels, des données et des actifs fournissent des prescriptions sur la
Sécurité des logiciels ou données dans des locaux protection des données logiques et physiques, ainsi que des
installations - extérieurs. instructions concernant les déménagements.
Autorisation
hors locaux Les dispositions « Sortie d'un actif » et « Management des
modifications » sont abordées dans la norme ISO 27001, notamment
à l'Annexe A, Paragraphes 9.2.7 et 10.1.2. Pour plus d’informations, il
est conseillé de consulter les normes ISO disponibles publiquement
pour lesquelles nous sommes certifiés.
FS-07 Des politiques et procédures doivent être La politique Microsoft de gestion des actifs et des standards d'usage
établies pour la sécurisation et la gestion des courants ont été développés et mis en œuvre pour les actifs
Sécurité des actifs dans le cadre de l'utilisation et la mise à technologiques, les composants des infrastructures et les
installations - disposition sécurisée des équipements gérés technologies des services de Microsoft Online Services.
Équipement et utilisés en dehors des locaux de
hors locaux l'organisation. Une version client de la politique de sécurité de l’information peut
être mise à disposition sur demande. Les clients ou les prospects
doivent avoir signé un accord de confidentialité ou équivalent pour
recevoir un exemplaire de la politique de sécurité de l’information.
La disposition « Sécurité du matériel hors locaux » est abordée dans la
norme ISO 27001, notamment à l'Annexe A, Paragraphe 9.2.5. Pour
plus d’informations, il est conseillé de consulter les normes ISO
disponibles publiquement pour lesquelles nous sommes certifiés.
Un inventaire complet des actifs essentiels Microsoft Online Services a mis en œuvre une politique formelle qui
doivent être maintenu avec leur propriété exige la comptabilisation des actifs utilisés pour les services de
définie et documentée. Microsoft Online, ainsi que la désignation d'un propriétaire de chaque
actif. L'inventaire des actifs matériels majeurs dans l'environnement
Microsoft Online Services est maintenu. Les propriétaires des actifs
FS-08 doivent gérer toutes les informations concernant leurs actifs au sein
de l'inventaire, notamment le propriétaire ou tout agent associé,
Sécurité des l'emplacement et la classification de sécurité. Les propriétaires des
installations - actifs sont également responsables de la classification et du maintien
Gestion des de la protection de leurs actifs conformément aux standards. Des
actifs audits réguliers sont effectués pour la vérification de l’inventaire.
La disposition « Gestion des actifs » est abordée dans la norme ISO
27001, notamment à l'Annexe A, Paragraphe 7. Pour plus
d’informations, il est conseillé de consulter les normes ISO disponibles
publiquement pour lesquelles nous sommes certifiés.
Réponse Standard pour les demandes d’information- Sécurité et Respect de la vie privée | Page 18Vous pouvez aussi lire
