Réponse standard pour les demandes d'information. Sécurité et Respect de la vie privée

(1)

Réponse standard pour les demandes d'information

Sécurité et Respect de la vie privée

(2)

Dédit de responsabilité

Les informations contenues dans ce document représentent la vision de Microsoft Corporation sur les questions abordées à la date de publication. Dans la mesure où Microsoft doit s'adapter aux changements du marché, ces informations ne sauraient être interprétées comme un engagement de la part de Microsoft, et Microsoft ne garantit en rien l'exactitude des informations fournies après la date de publication. Pour accéder à la version la plus récente de ce document en langue anglaise, veuillez consulter le lien suivant http://www.microsoft.com/download/en/details.aspx?id=26647

Ce document est publié à titre informatif uniquement. MICROSOFT NE FORMULE AUCUNE GARANTIE, EXPLICITE OU IMPLICITE, CONCERNANT LES INFORMATIONS CONTENUES DANS CE DOCUMENT.

Le respect de toutes les lois de copyright en vigueur relève de la responsabilité de l'utilisateur. Sans restriction des droits dérivés des droits d'auteur, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de restitution, ou transmise à quelque fin, par quelque moyen (électronique, mécanique, photocopie, enregistrement ou autre) ou dans quelque but que ce soit sans la permission expresse et écrite de Microsoft Corporation.

Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété intellectuelle portant sur des éléments qui font l'objet du présent document. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle.

(3)

Page

Introduction 4

Fourniture de Microsoft Office 365 : la pile de services 5 Certifications ISO pour la pile Microsoft Online Services 6-8

Réponse de Microsoft selon les identifiants des contrôles de

la matrice « Cloud »: 9 -53

Conformité CO-01 à CO-06 9 – 11

Gouvernance des données DG-01 à DG-08 12 - 15

Sécurité des installations FS-01 à FS-08 16 - 18

Ressources humaines HR-01 à HR-03 19

Sécurité de l'information IS-01 à IS-34 20 – 35

Juridique LG-01 à LG-02 35 - 36

Gestion des Opérations OP-01 à OP-04 36-37

Gestion du risque RI-01 à RI-05 38-39

Gestion des changements RM-01 à RM-05 40 – 41

Continuité de l’activité RS-01 à RS-08 42 – 44

Architecture de sécurité SA-01 à SA-15 45 – 53

Table des matières

(4)

Introduction

Le « Cloud Computing » soulève des questions sur la sécurité, la protection des données, la confidentialité et la propriété des données. Microsoft® Office 365 (incluant les services de la marque Microsoft® Exchange Online, Microsoft® SharePoint Online, et Microsoft® Lync™ Online ) sont hébergés dans les centres de données de Microsoft à travers le monde, et conçus pour répondre aux exigences des clients professionnels en matière de performance, d’évolutivité, de sécurité et de niveau de service. Nous avons mis en œuvre une technologie à l’état de l’art, ainsi que des processus qui fournissent une qualité constante et éprouvée en termes d'accès, de sécurité et de confidentialité pour chaque utilisateur. Les services Microsoft Online Services offrent des fonctionnalités intégrées pour être conformes à un large éventail de réglementations et de directives sur le respect de la vie privée.

Dans ce document, nous proposons à nos clients une présentation détaillée sur la manière dont les services Microsoft Online Services répondent aux exigences de sécurité, de confidentialité, de conformité et de gestion du risque, telles que définies dans le document CCM (Cloud Control Matrix) publié par l'association CSA (Cloud Security Alliance). A noter que ce document a pour objectif de fournir également des informations sur le fonctionnement de Microsoft Online Services. Il est de la responsabilité des clients de contrôler et de gérer leur environnement une fois que le service est fourni (par exemple, gestion des accès des utilisateurs et respect des stratégies et des procédures conformément à leurs exigences réglementaires).

Exigences de sécurité pour le Cloud : l'outil CCM (Cloud Control Matrix).

L'outil Matrice de Contrôle Cloud, ou CCM (Cloud Control Matrix), est publié par une organisation à but non lucratif, une association composée de grands acteurs du marché dont l'objectif est de venir en aide aux clients qui veulent prendre la décision de passer sur le Cloud. Cette matrice fournit une description détaillée de la sécurité et du respect de la vie privée, des concepts et des principes qui sont alignés sur le guide Cloud Security Alliance en 13 domaines.

Microsoft publie dans ce document une présentation détaillée de nos capacités vis-à-vis des exigences de la matrice CCM. Avec cette réponse standard aux demandes

d'information, nous souhaitons aider les clients en leur fournissant des informations aussi complètes que possible afin d'évaluer les différentes offres du marché actuel.

Présentation de Microsoft Office 365

Alors que Microsoft offre une gamme complète de services Cloud, notre objectif ici est de donner des réponses spécifiques au sujet d’Office 365, offre de service professionnel L'association CSA (Cloud

Security Alliance) est une entité à but non-lucratif dont le but est de promouvoir l’utilisation de bonnes pratiques pour garantir la sécurité dans les

environnements de « Cloud Computing ».

L'association a publié l'outil CCM (Cloud Control Matrix), pour aider les

consommateurs dans leur évaluation des services Cloud, et pour identifier les questions qu'ils doivent légitimement se poser avant d'utiliser ce type de

services. En réponse à cette publication, Microsoft Online Services a créé ce document pour souligner la manière dont nous appliquons les principes suggérés, et comment nous les relions à la certification ISO.

Pour en savoir plus :

https://cloudsecurityalliance.

org

(5)

Comment Microsoft Office 365 est mis à disposition : la pile de services

Lors de l'évaluation de l'environnement de contrôle d'une offre de type SaaS (Software as a Service), il est important de prendre en considération la totalité de la pile de services du fournisseur de service Cloud. Différentes organisations peuvent être impliquées dans la fourniture de services d'infrastructure et d'applications, ce qui peut augmenter le risque de dysfonctionnement. Une interruption sur l’une des couches de la pile peut compromettre la fourniture du service Cloud et avoir des conséquences importantes. Pour cette raison, les clients devraient évaluer comment fonctionnent leurs fournisseurs de service, et

appréhender l'infrastructure sous-jacente et les plateformes du service, ainsi que les applications effectivement délivrées.

Microsoft est un fournisseur de service du Cloud qui possède et qui contrôle la totalité de la pile, depuis les applications développées pour le Cloud, jusqu'aux centres de données qui hébergent vos données et vos services, en passant par les installations de fibre optique qui acheminent vos informations, et la mise à disposition effective du service.

Dans l'environnement Office 365, le service est géré par le groupe Microsoft Global Foundation Services – qui fournit les services d'infrastructure à la fois en interne et aux clients Microsoft –, et par le groupe Microsoft Online Services qui fournit la suite d'applications et la couche de données (voir la figure 1).

Figure 1 : Pile de services pour Office 365 Le Centre de gestion

de la confidentialité fournit des

informations

supplémentaires sur des sujets tels que la géolocalisation des données, l'accès administrateur, ou la mise en application des règles de conformité.

Pour en savoir plus, visitez le site :

Centre de gestion de la confidentialité

(http://go.microsoft.com/fwlink/?

LinkID=206613&CLCID=0x40C)

(6)

Certifications ISO pour la pile Microsoft Online Services

Office 365 et l'infrastructure sur laquelle la solution s'appuie (Microsoft Global Foundation Services) font appel à des cadres méthodologiques de sécurité basées sur le corpus de normes internationales ISO/IEC 27001:2005, et ont été certifiées ISO 27001 par des auditeurs indépendants.

Grâce à notre certification ISO 27001, les clients peuvent évaluer la manière dont Microsoft atteint ou dépasse les normes et les directives de mise en œuvre. La norme ISO 27001 définit les méthodes de mise en œuvre, de contrôle, de gestion et d'optimisation en continu du Système de Management de la Sécurité de l'Information (SMSI). De plus, les services et l'infrastructure font l'objet d'un audit annuel à la norme SAS 70 (ou à la norme SSAE16 qui la remplace).

La politique de sécurité de l'information de Microsoft Online Services, applicable à Office 365, est également alignée sur la norme ISO 27002, complétée par des exigences spécifiques aux services en ligne. La norme ISO 27002 n'est pas une certification mais elle fournit un ensemble de contrôles adaptés au SMSI.

Comment lire les exigences du CSA et les réponses de Microsoft

Dans les pages suivantes, nous avons mis en parallèle nos pratiques de sécurité et les préconisations de l'outil CCM. Les deux premières colonnes, intitulées « Contrôle ID CCM » et « Description », reprennent les contrôles les plus pertinents de l'outil CCM¹. La troisième colonne, intitulée « Réponse Microsoft » comprend :

1) Une brève explication sur la manière dont Microsoft Online Services satisfait aux recommandations du CSA.

2) Une référence aux contrôles ISO 27001 respectés par GFS (Microsoft Global

Foundation Services) et/ou Microsoft Online Services dans le cadre des certifications ISO 27001, le cas échéant.

Exemple :

Le contrôle IS-O2 de l'outil Matrice de contrôle Cloud (CCM) du CSA définit la recommandation suivante :

« La direction et la chaîne de management doivent prendre des mesures formelles pour soutenir la sécurité de l’information grâce à des directives claires et documentées, un engagement, une mission explicite et une vérification de l'exécution de la mission. »

Grâce à la certification ISO 27001 de Microsoft, les clients peuvent évaluer la manière dont Microsoft atteint ou dépasse les normes et les directives de mise en œuvre.

(7)

Réponse Microsoft (suite):

Tous les employés de Microsoft Online Services indiquent qu'ils ont pris connaissance et qu'ils approuvent toutes les mesures définies dans les documents de la politique de sécurité de l'information. Toutes les équipes des fournisseurs de Microsoft Online Services approuvent les mesures pertinentes définies dans la politique de sécurité de l'information. Si une de ces parties n'a pas accès à cette politique pour quelque raison que ce soit, il est de la responsabilité de l'agent de supervision de Microsoft de leur fournir les documents correspondants.

Une version de la politique de sécurité de l'information destinée aux clients peut être obtenue sur demande. Les clients et les prospects doivent avoir signé un accord de non-divulgation (NDA), ou équivalent, pour recevoir un exemplaire de la politique de sécurité de l'information.

Les dispositions « Implication de la direction vis-à-vis de la sécurité de l'information » et

« Responsabilité de la direction » sont abordées dans la norme ISO 27001, notamment dans la Clause 5, et à l'Annexe A, Paragraphe 6.1.1. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Pour en savoir plus :

Il est vivement recommandé de consulter les normes ISO 27001 et ISO 27002 disponibles publiquement. Les normes ISO peuvent être commandées sur le site de l'Organisation Internationale de Normalisation : http://www.iso.org/iso/iso_catalogue. Ces normes ISO fournissent des informations détaillées et la marche à suivre pour leur mise en œuvre. Une fois encore, le fait que Microsoft Online Services soit certifié ISO 27001 signifie que nous avons su répondre aux attentes d'un auditeur externe, et montrer que notre environnement respecte ou dépasse ces normes.

Le fait que Microsoft Online Services est certifié ISO 27001 signifie que nous avons été en mesure de répondre aux attentes des auditeurs externes, et montrer que notre

environnement respecte ou dépasse ces normes.

La copie publique de la Certification ISO de Microsoft Online Services est disponible ici :

Certification ISO

(http://www.bsigroup.com/en/A ssessment-and-certification- services/Client-directory/ Mots- clés : Microsoft Online Services)

(8)

Exemple:

Lors de l'examen de la norme, on peut prendre le contrôle ou la clause de l'ISO 27001, en examiner les spécificités, par exemple « Engagement de la direction sur sécurité de l'information » en clause 5, à partir de la norme ISO 27001 ou à partir de l'ISO 27002 les détails du contrôle 6.1.1:

« Responsabilité du management….. »

Ressources

Visitez notre Centre de gestion de la confidentialité pour un accès aux documents suivants :

 Livres blancs

 Forums aux questions

 Informations sur la certification

 Normes ISO disponibles à l'achat

(9)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles CO-01 à CO-02

ID du contrôle CCM

Description

(CCM Version R1.1. Finale) Réponse Microsoft

CO-01 Conformité - Planification

de l'audit

Des plans d’audit, des activités et des éléments d'action opérationnels se

concentrant sur la duplication des données, l'accès, et les limitations des frontières des données doivent être conçus pour minimiser le risque de perturbation des processus métier. Les activités d’audit doivent être planifiées et convenues à l'avance par les parties prenantes.

Nos objectifs sont d'exploiter nos services en appliquant comme principes essentiels le respect de la sécurité, et de vous fournir des garanties quant aux mesures de sécurité prises. Nous avons implémenté et maintiendrons de manière raisonnable et appropriée les mesures techniques et organisationnelles, les contrôles internes, et les traitements usuels liés à la sécurité de l’information pour contribuer à protéger les données du client contre toute perte, destruction ou altération accidentelles; les diffusions ou les accès non autorisés ; ou les destructions illégales.

Chaque année, nous faisons réaliser des audits par des organismes tiers mondialement reconnus, afin d'obtenir une attestation indépendante de conformité avec nos politiques et procédures concernant la sécurité, la confidentialité, la continuité et la conformité. Les éléments des audits sont consultables, après accord de non divulgation et sur demande, par nos prospects ; et via le Centre de gestion de la confidentialité pour nos clients.

Les rapports d'audit indépendants et les certifications de Microsoft Online Services sont partagés avec les clients. Ces certifications et attestations montrent précisément les méthodes d'obtention et de respect de nos objectifs de sécurité et de conformité, ainsi que la manière dont nous nous en servons en tant que mécanisme pratique pour valider nos engagements envers tous nos clients.

La disposition « Surveillance et réexamen du ISMS » est abordée dans la norme ISO 27001, notamment dans la Clause 4.2.3. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

CO-02 Conformité -

Audits indépendants

Des examens indépendants et des évaluations doivent être effectués au moins annuellement, ou à intervalles planifiés, afin d'assurer que l'organisation est conforme aux politiques, procédures, normes et exigences

réglementaires applicables (par exemple, audits internes/externes, certifications, tests de pénétration et de la vulnérabilité).

Pour plus d'informations, veuillez-vous reporter au code CO-01 ou interroger le Centre de gestion de la confidentialité au sujet de nos certifications en cours et des attestations des tiers.

(10)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles CO-03 à CO-05

Description

Audits des tiers

Les fournisseurs de service tiers doivent démontrer leur conformité avec la sécurité et la confidentialité de l’information, les définitions du service et les accords sur le niveau de prestation inclus dans les contrats de tiers.

Les rapports des tiers, dossiers et services sont soumis à vérification et examen, à intervalles planifiés, pour gérer et maintenir la conformité avec les accords de prestation du service.

Microsoft Online Services demande contractuellement aux

fournisseurs de services tiers de Microsoft d'appliquer et de respecter les exigences définies conformément à la politique de sécurité de l'information de Microsoft Online Services. De plus, Microsoft Online Services demande que ces fournisseurs tiers se soumettent à un audit annuel réalisé par des organismes tiers, ou qu'ils fassent la demande pour que leur audit soit fait en même temps que l'audit annuel de Microsoft Online Services.

Les dispositions « Sécurité dans les accords conclus avec des tiers » et

« Gestion de la prestation de service conclus avec un tiers » sont abordées dans la norme ISO 27001, notamment à l'Annexe A, Paragraphes 6.2. et 10.2 respectivement. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Contact / Gestion de

l'autorité

Des liaisons et des points de contact avec les autorités locales doivent être maintenus en conformité avec les exigences des entreprises et des clients et la conformité aux exigences législatives, réglementaires et contractuelles.

Les données, objets, applications,

l’infrastructure et le matériel peuvent se voir assigner un domaine législatif et une juridiction pour faciliter les points de contact appropriés de conformité.

Microsoft Online Services garde le contact avec les parties externes (telles que les organismes de réglementation, les fournisseurs de service, les organisations de gestion du risque ou les forums de l’industrie) pour assurer la mise en œuvre de mesures appropriées et rapides et obtenir si besoin des conseils. Microsoft dispose d'une équipe dédiée pour la plupart des contacts avec les organismes d'application de la loi. Les rôles et les responsabilités concernant la gestion et le contrôle de ces relations sont clairement définis.

Les dispositions « Relations avec les autorités » et « Relations avec des groupes de spécialistes » sont abordées dans la norme ISO 27001, notamment à l'Annexe A, Paragraphes 6.1.6 et 6.1.7 respectivement.

Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

CO-05 Conformité - Correspondan

ce de réglementatio n des systèmes

d'information

Les exigences légales, réglementaires et contractuelles doivent être définies pour tous les éléments du système d'information.

L'approche de l'organisation pour répondre aux besoins connus, et pour s'adapter aux nouveaux mandats, doit être explicitement définie, documentée et mise à jour pour chaque élément du système d'information de l’organisation. Les éléments du système d'information peuvent inclure les données, les objets, les applications, l’infrastructure et le matériel. Chaque élément peut être attribué à un domaine législatif et une juridiction pour

Microsoft Online Services fournit des informations sur les statuts et les réglementations auxquels il adhère, par le biais de ses contrats et des descriptions de service, y compris par juridiction. Microsoft Online Services dispose d'un processus bien établi qui permet l'identification et la mise en œuvre des changements à ses services en réponse aux modifications dans les statuts et réglementations applicables.

Un réexamen intervient chaque année dans le cadre de notre audit ISO 27001. De plus, l'interface Web de Microsoft Online Services limite la possibilité d'ajouter des utilisateurs dans des juridictions situées hors de la portée de support de Microsoft Online Services

Les dispositions « Établissement du ISMS », « Revue de direction du ISMS » et « Conformité aux exigences légales » sont abordées dans la norme ISO 27001, notamment dans les Clauses 4.2.1 et 7.3

(11)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôle CO-06

Description

Propriété intellectuelle

Une politique, un processus et une procédure doivent être établies et mis en œuvre pour protéger la propriété intellectuelle et l'utilisation de logiciels propriétaires en prenant en compte les contraintes législatives de la juridiction et contractuelles qui

régissent l'organisation.

Il est exigé de tous les employés et équipes sous-traitantes d'appliquer et de respecter les lois relatives à la propriété

intellectuelle, Microsoft gardant la responsabilité d'utiliser des logiciels propriétaires au sein des juridictions législatives et des obligations contractuelles qui régissent l'organisation. Avant sa mise à disposition, chaque service est contrôlé pour vérifier que tous les logiciels tiers sont couverts par une licence appropriée.

De plus, Microsoft Online Services dispose de politiques et de procédures qui garantissent le respect des exigences de

« désinstallation » de la loi américaine Digital Millenium Copyright Act (DMCA) sur les droits d'auteur, de même que la réglementation semblable sur le service.

Microsoft utilise et gère les données des clients aux fins exclusives de fournir ses prestations Microsoft Online Services. Les services Microsoft destinés aux entreprises sont conçus séparément des services grand public de Microsoft. Si certaines données peuvent être stockées ou traitées sur des systèmes utilisés à la fois pour les services grand public et entreprises, les données de ces dernières ne sont pas partagées avec les systèmes utilisés pour les opérations publicitaires.

La disposition « Établissement du ISMS » est abordée dans la norme ISO 27001, notamment dans la Clause 4.2.1. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

(12)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles DG-01 à DG-02

Description

DG-01 Gouvernance des données -

Propriété / Gérance

Toutes les données doivent être désignées avec un chargé d'intendance avec des responsabilités assignées qui seront définies, documentées et communiquées.

Microsoft Online Services a mis en œuvre une politique formelle qui exige la comptabilisation des actifs (qui comprennent notamment les données et le matériel) utilisés pour exploiter Microsoft Online Services, ainsi que la nomination d'un propriétaire de chaque actif.

Les propriétaires des actifs doivent tenir à jour toutes les informations concernant leurs actifs.

Les dispositions « Attribution des responsabilités en matière de sécurité de l’information » et « Propriété des actifs » sont abordées dans la norme ISO 27001, notamment à l'Annexe A, Paragraphes 6.1.3 et 7.1.2 respectivement. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Classification

Les données et les objets contenant des données, doivent se voir assigner une classification basée sur le type de données, la juridiction d'origine, la juridiction de

domiciliation, le contexte, les contraintes juridiques, les contraintes contractuelles, la valeur, la sensibilité, de criticité pour l'organisation et l'obligation des tiers concernant la rétention et la prévention des divulgations ou les emplois abusifs non autorisés.

Les standards Microsoft Online Services fournissent des indications sur la classification des actifs au sein des différentes catégories de sécurité applicables, puis implémentent un ensemble standard d'attributs de sécurité et de confidentialité.

La disposition « Classification des informations » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 7.2. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

(13)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles DG-03 à DG-04

Description

DG-03 Gouvernance des données - Manipulation / Marquage / Politique de

sécurité

Des politiques et procédures doivent être établies pour l'étiquetage, la manipulation et la sécurité des données et des objets qui contiennent des données. Des mécanismes d'héritage de l'étiquetage doivent être mis en œuvre pour les objets qui agissent comme des conteneurs globaux pour les données.

Les standards Microsoft Online Services fournissent des indications sur la classification des actifs au sein des différentes catégories de sécurité applicables, puis implémentent un ensemble standard d'attributs de sécurité et de confidentialité.

La disposition « Classification des informations » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 7.2. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Politique de conservation

Des politiques et procédures de conservation des données et de stockage doivent être établies et des mécanismes de sauvegarde ou de redondance mis en œuvre pour assurer la conformité avec les exigences réglementaires, statutaires, contractuelles ou métier. Des tests de récupération des sauvegardes sur disque ou sur bande doivent être mis en œuvre à intervalles planifiés.

Microsoft Online Services fournit à ses clients la possibilité d'appliquer des politiques de conservation des données, telles que définies dans les descriptions de service individuel.

(http://www.microsoft.com/downloads/fr-

fr/details.aspx?familyid=c60c0af0-10cc-4b11-bcef- b989c1f168b0&displaylang=fr)

Comme pour les sauvegardes, le contenu est répliqué depuis un centre de données primaire vers un centre de données secondaire.

Ainsi, il n'y a pas de planning de sauvegarde spécifique dans la mesure où la réplication est constante. Les clients peuvent décider de réaliser leurs propres opérations d'extraction/sauvegarde si

nécessaire. Les données du client sont stockées dans un environnement redondant bénéficiant de solutions fiables de sauvegarde, de restauration et de basculement, afin de garantir la disponibilité, la continuité de l'activité et la récupération rapide.

Plusieurs niveaux de redondance des données sont implémentés, depuis les disques redondants pour se prémunir d’une panne d’un disque local jusqu'à la réplication complète et continue des données vers un centre de données géographiquement délocalisé. Microsoft Online Services fait l'objet d'une validation annuelle de ses méthodes de sauvegarde/restauration.

La disposition « Sauvegarde des informations » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 10.5.1. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

(14)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles DG-05 à DG-06

ID du contrôle

CCM Description

DG-05 Gouvernance des données - Mise au rebut

sécurisée

Des politiques et procédures doivent être établies et des mécanismes mis en œuvre pour l'élimination sûre et la suppression complète de données de tous les supports de stockage, assurant que les données ne sont récupérables par aucun moyen

d’investigation.

Microsoft utilise des procédures de bonnes pratiques, ainsi qu'une solution d’effacement des données conforme à la norme américaine NIST 800-88. Pour les disques durs contenant des données qui ne peuvent être effacées, nous utilisons un processus de destruction matérielle (désintégration, broyage, pulvérisation, ou incinération). La méthode de mise au rebut adaptée est choisie en fonction du type de l’actif. Un historique de la destruction est conservé.

Toutes les équipes de Microsoft Online Services utilisent des services approuvés pour la gestion du stockage des supports et de leurs mises au rebut. Les documents papier sont détruits selon les méthodes approuvées, à la fin de leur cycle de vie défini à l'avance.

Les dispositions « Mise au rebut ou recyclage sécurisé(e) du matériel » et « Mise au rebut des supports » sont abordées dans la norme ISO 27001, notamment à l'Annexe A, Paragraphes 9.2.6 et 10.7.2 respectivement. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

DG-06 Gouvernance des données - Données hors production

Les données de production ne doivent pas être répliquées ou utilisés dans des environnements hors-production.

Microsoft applique le principe de ségrégation des fonctions pour garantir la restriction des accès entre les environnements de test et de production, conformément à la politique définie.

Le déplacement ou la copie des données non-publiques du client depuis un environnement de production vers un environnement de non-production est expressément interdit, sauf consentement explicite du client, ou sur décision de la division juridique de

Microsoft.

Les dispositions « Séparation des équipements de développement, de test et d’exploitation » et « Protection des données système de test » sont abordées dans la norme ISO 27001, notamment à l'Annexe A, Paragraphes 10.1.4 et 12.4.2 respectivement. Pour plus

d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

(15)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles DG-07 à DG-08

Description

Fuite d'informations

Des mécanismes de sécurité doivent être mis en œuvre pour empêcher les fuites de données

Les contrôles logiques et physiques sont mis en œuvre dans les environnements Microsoft Online Services (voir le document

« Description du Service de Sécurité Office365 » disponible depuis le Centre de téléchargement Microsoft) ; les clients peuvent choisir d’augmenter les fonctions de base en s’appuyant sur les technologies telles que :

1) Configuration des règles de transport des messages

2) Intégration aux produits de protection contre les fuites de données des courriels

3) Prise en charge de l'intégration des services Active Directory Rights Management Services

4) Mise en place de Exchange Hosted Encryption et de produits de chiffrement alternatifs.

5) Les administrateurs de SharePoint Online peuvent activer le contrôle d’accès basé sur la notion de groupe ou de rôle, la fonction native d’audit de contenu, et également demander des rapports d'accès administrateur (via les services de support client).

La disposition « Fuite d'informations » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 12.5.4. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

DG-08 Gouvernance des données - Évaluation des

risques

Les évaluations des risques associés aux exigences de gouvernance des données doivent être réalisées à intervalles planifiés en considérant les éléments suivants:

 Sensibilisation sur l'endroit où les données sensibles sont stockées et transmises à travers les applications, les bases de données, les serveurs et l'infrastructure réseau.

 Conformité avec les exigences définies sur les délais de conservation et en matière de disposition en fin de vie.

 Classification des données et protection contre l'utilisation, l'accès, la perte, la destruction et la falsification non- autorisés

Microsoft Online Services effectue chaque année une analyse d'impact sur l'activité. L'analyse comprend :

• L'identification des menaces significatives pour l'environnement et les processus métier de Microsoft Online Services.

• Une évaluation des menaces identifiées, y compris les impacts potentiels et les dommages possibles.

• Une stratégie approuvée par le management pour l'atténuation des menaces identifiées significatives, et pour la récupération des processus métier critiques.

Le sujet « Établissement du SMSI et classification des informations et gestion des actifs » est abordé dans la norme ISO 27001, notamment dans la Clause 4.2.1, et à l'Annexe A, Paragraphe 7.2. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

(16)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles FS-01 à FS-02

Description

FS-01 Sécurité des installations -

Politique

Des politiques et procédures doivent être établies pour maintenir un environnement de travail sûr et sécurisé dans les bureaux, les locaux, installations et zones sécurisées.

L'accès à tous les bâtiments Microsoft est contrôlé ; leur accès est restreint par des lecteurs de cartes (utilisation indispensable d'un badge d'identification autorisé) ou de systèmes de biométrie pour entrer dans les centres de données. Le personnel chargé de l'accueil doit identifier les employés à plein temps ou les fournisseurs autorisés qui ne sont pas munis de badges. Tous les invités doivent porter un badge Visiteur et être accompagnés par le personnel Microsoft autorisé.

La disposition « Sécurisation des bureaux, des salles et des installations » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 9.1.3. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Accès des utilisateurs

L'accès physique aux actifs et des fonctions liés à l’information par les utilisateurs et le personnel de support doit être restreint.

Les accès sont donnés en fonction du profil de poste ; seul le personnel indispensable reçoit l’autorisation de gérer les applications et les services des clients. Les autorisations d'accès physiques font appel à différents processus d'authentification et de sécurité : badges et cartes à puce, scanners biométriques, responsables de sécurité sur site, vidéo-surveillance permanente, et authentification à double facteur pour l'accès physique à l'environnement du centre de données.

Outre les contrôles d'accès physique installés sur différentes portes dans le centre de données, l'organisation Microsoft Data Center Management a mis en place des procédures opérationnelles pour limiter l'accès physique aux employés, fournisseurs et visiteurs autorisés :

• L'autorisation pour accorder un accès temporaire ou permanent aux centres de données Microsoft est limitée aux équipes autorisées. Les demandes et les décisions d'autorisation qui en découlent sont conservées en utilisant un système de ticket/accès.

• Les badges sont fournis au personnel faisant une demande d'accès après vérification de l'identification.

• L'organisation Microsoft Data Center Management examine régulièrement la liste d'accès. Après ce contrôle, les actions nécessaires sont appliquées.

La disposition « Sécurité physique et environnementale » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 9.

Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

(17)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles FS-03 à FS-05

Description

FS-03 Sécurité des installations - Points d'accès

contrôlés

Des périmètres de sécurité physique (clôtures, murs, barrières, gardes, portes, surveillance électronique, mécanismes d'authentification physique, comptoirs de réception et de patrouilles de sécurité) doivent être mis en œuvre pour protéger les données et systèmes d'information sensibles.

Les constructions abritant les centres de données sont anonymes et aucune indication n'est donnée quant à la présence de services d'hébergement de centres de données Microsoft à cet emplacement.

L'accès aux installations du centre de données est limité. Les portes qui s'ouvrent sur la salle principale ou l'accueil sont équipées de dispositifs électroniques de contrôle des cartes d'accès, afin de limiter l'accès aux espaces intérieurs. Les locaux du centre de données Microsoft qui hébergent les systèmes critiques (serveurs, groupes électrogènes, armoires électriques, équipements réseau, etc.) sont protégés par différents systèmes de sécurité (contrôle d'accès électronique par carte, serrure à code, sas, etc.) et/ou par des dispositifs biométriques.

Des barrières physiques supplémentaires, telles que des armoires verrouillées ou des cages fermant à clé, peuvent être installées à l'intérieur du périmètre des installations, si le dispositif l'exige, conformément aux politiques de sécurité et/ou aux exigences du métier.

Les dispositions « Périmètre de sécurité physique » et « Sécurité environnementale » sont abordées dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 9. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Autorisation des zones sécurisées

L’entrée et la sortie des zones sécurisées doivent être limitées et contrôlées par des mécanismes de contrôle d'accès physique pour s'assurer que seul le personnel autorisé s’en verra permettre l'accès.

Les dispositions « Zones d’accès public, de livraison et de chargement » et « Sécurité physique et environnementale » sont abordées dans la norme ISO 27001, notamment à l'Annexe A,

Paragraphe 9. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Pour plus d'informations, veuillez-vous reporter au code FS-03 FS-05

Sécurité des installations -

Accès des personnes non

autorisées

Les points d'entrée et de sortie comme les aires de service et autres points où le

personnel non autorisé peut pénétrer dans les locaux doivent être surveillés, contrôlés et, si possible, isolés des installations de stockage et de traitement des données pour prévenir la corruption, compromission ou perte de données.

Les dispositions « Zones d’accès public, de livraison et de chargement » et « Sécurité physique et environnementale » sont abordées dans la norme ISO 27001, notamment à l'Annexe A,

Paragraphe 9. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Pour plus d'informations, veuillez-vous reporter au code FS-03

(18)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles FS-06 à FS-08

Description

Autorisation hors locaux

L'autorisation doit être obtenue avant la relocalisation ou le transfert de matériels, logiciels ou données dans des locaux extérieurs.

Les procédures de Microsoft Online Services relatives à la protection des données et des actifs fournissent des prescriptions sur la protection des données logiques et physiques, ainsi que des instructions concernant les déménagements.

Les dispositions « Sortie d'un actif » et « Management des

modifications » sont abordées dans la norme ISO 27001, notamment à l'Annexe A, Paragraphes 9.2.7 et 10.1.2. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Équipement hors locaux

Des politiques et procédures doivent être établies pour la sécurisation et la gestion des actifs dans le cadre de l'utilisation et la mise à disposition sécurisée des équipements gérés et utilisés en dehors des locaux de

l'organisation.

La politique Microsoft de gestion des actifs et des standards d'usage courants ont été développés et mis en œuvre pour les actifs

technologiques, les composants des infrastructures et les technologies des services de Microsoft Online Services.

Une version client de la politique de sécurité de l’information peut être mise à disposition sur demande. Les clients ou les prospects doivent avoir signé un accord de confidentialité ou équivalent pour recevoir un exemplaire de la politique de sécurité de l’information.

La disposition « Sécurité du matériel hors locaux » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 9.2.5. Pour plus d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Gestion des actifs

Un inventaire complet des actifs essentiels doivent être maintenu avec leur propriété définie et documentée.

Microsoft Online Services a mis en œuvre une politique formelle qui exige la comptabilisation des actifs utilisés pour les services de Microsoft Online, ainsi que la désignation d'un propriétaire de chaque actif. L'inventaire des actifs matériels majeurs dans l'environnement Microsoft Online Services est maintenu. Les propriétaires des actifs doivent gérer toutes les informations concernant leurs actifs au sein de l'inventaire, notamment le propriétaire ou tout agent associé, l'emplacement et la classification de sécurité. Les propriétaires des actifs sont également responsables de la classification et du maintien de la protection de leurs actifs conformément aux standards. Des

audits réguliers sont effectués pour la vérification de l’inventaire.

La disposition « Gestion des actifs » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 7. Pour plus

d’informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

(19)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles HR-01 à HR-03

Description

HR-01 Sécurité des

ressources humaines - Sélection en

amont

Conformément à la législation locale, la réglementation, l'éthique et les contraintes contractuelles, tous les candidats à l'emploi, les fournisseurs et les tiers seront soumis à une vérification des antécédents

proportionnelle à la classification des données devant être accédées, aux exigences métier et au risque acceptable.

Tous les employés à plein temps de Microsoft doivent passer par une vérification standard de leurs antécédents, dans le cadre du processus d'embauche. Ces vérifications pourraient comprendre notamment un contrôle des informations fournies par le candidat sur son parcours scolaire et universitaire, ses emplois et son casier judiciaire sous réserve du respect de la règlementation applicable.

Les fournisseurs ayant accès à des données de clients non-publiques peuvent également passer par ce contrôle d’antécédents avant de pouvoir accéder à ces données.

Des informations et des vérifications complémentaires peuvent aussi être demandées si l'accès aux données concerne un environnement gouvernemental. Afin de respecter la vie privée de ses employés, Microsoft ne communique pas les résultats de ces vérifications à ses clients. Le processus de vérification appartient à la division des ressources humaines de Microsoft Corporation.

HR-02 Sécurité des

ressources humaines - Contrats de

travail

Avant d'accorder aux personnes l'accès physique ou logique aux installations, systèmes ou données, les employés, fournisseurs, utilisateurs tiers et clients doivent contractuellement accepter et signer les termes et les conditions de leur emploi ou de contrat de service, qui doit inclure explicitement la responsabilité des parties pour la sécurité de l'information.

Tous les employés Microsoft concernés participent à un programme de formation à la sécurité mis en place par Microsoft Online Services ; par la suite, ils participent à des sessions régulières de mise à niveau, si nécessaire. La sensibilisation à la sécurité fait partie d'un processus permanent et régulier entrepris pour réduire les risques.

Tous les fournisseurs de Microsoft Online Services doivent mettre en place pour leurs équipes des formations appropriées, correspondant aux prestations fournies et aux rôles qu’ils remplissentetfaire en sorte que les fournisseurs répercutent auprès de leurs propres salariés des obligations de confidentialité renforcées.

Les dispositions « Rôles et responsabilités » et « Sensibilisation, qualification et formations en matière de sécurité de l’information » sont abordées dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 8. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

HR-03 Ressources humaines - Fin

de contrat

Les rôles et responsabilités pour le suivi de la cessation ou des changements d'emploi dans les procédures d’embauche doivent être attribués, documentés et communiqués.

La fin de contrat des employés est gérée selon la procédure de ressources humaines de Microsoft Corporation.

Nous ne créons pas de comptes du client ; le client créé les comptes directement par le portail de Microsoft Online Services, ou dans son service Active Directory local, dont les comptes peuvent ensuite être synchronisés dans Microsoft Online Services. Pour cette raison, le client demeure responsable de l’exactitude des comptes utilisateurs créés.

(20)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles IS-01 à IS-02

Description

IS-01 Sécurité de l'information - Programme de management

Un Système de Management de la Sécurité de l’Information (SMSI ) a été élaboré, documenté, approuvé et mis en œuvre qui comprend des mesures de protections administratives, techniques et physiques pour protéger les actifs et les données contre toute perte, usage inapproprié, accès non autorisé, divulgation, modification et destruction. Le programme de sécurité devrait aborder, mais sans s'y limiter, les domaines suivants en tant qu'ils se rapportent aux caractéristiques de l'entreprise:

• Gestion des risques

• Politique de sécurité

• Organisation de la sécurité de l’information

• Gestion d'actifs

• Sécurité des ressources humaines

• Sécurité physique et environnementale

• Communication et gestion des opérations

• Contrôle d'accès

• Acquisition, développement et maintenance des systèmes d’information

Un SMSI d'ensemble pour Microsoft Online Services a été conçu et mis en œuvre pour répondre aux meilleures pratiques du marché en termes de sécurité, confidentialité et risque.

Une version client de la politique de sécurité de l’information peut être mise à disposition sur demande. Les clients ou les prospects doivent avoir signé un accord de confidentialité ou équivalent pour recevoir un exemplaire de la politique de sécurité de l’information.

Les dispositions « Établissement et management du SMSI » et

« Organisation de la sécurité de l’information » sont abordées dans la norme ISO 27001, notamment dans la Clause 4.2, et à l'Annexe A, Paragraphe 6. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

IS-02 Sécurité de l'information -

Prise en charge du management /

Implication

La direction et la chaîne de management doivent prendre des mesures formelles pour soutenir la sécurité de l’information grâce à des directives claires et documentées, un engagement, une mission explicite et une vérification de l'exécution de la mission.

Chaque version approuvée par le management de la politique de sécurité de l'information et de ses mises à jour est distribuée à l'ensemble des parties prenantes. La politique de sécurité de

l'information est communiquée à l'ensemble des employés (existants ou nouveaux) de Microsoft Online Services. Tous les employés de Microsoft Online Services indiquent qu'ils ont pris connaissance et qu'ils approuvent toutes les mesures définies dans les documents de la politique de sécurité de l'information. Toutes les équipes des fournisseurs de Microsoft Online Services approuvent les mesures pertinentes définies dans la politique de sécurité de l'information. Si l’une de ces parties n'a pas accès à cette politique pour quelque raison que ce soit, il est de la responsabilité de l'agent de supervision de Microsoft de leur fournir les documents correspondants.

Une version de la politique de sécurité de l'information destinée aux clients peut être obtenue sur demande. Les clients et les prospects doivent avoir signé un accord de non-divulgation (NDA), ou équivalent, pour en recevoir un exemplaire.

Les dispositions « Implication de la direction vis-à-vis de la sécurité de l'information » et « Responsabilité de la direction » sont abordées dans la norme ISO 27001, notamment dans la Clause 5, et à l'Annexe

(21)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôle IS-03

Description

Politique

La direction doit approuver un document formel de politique de sécurité de

l’information qui doit être communiqué aux employés, aux fournisseurs et autres parties externes concernées. La politique de sécurité de l'information doit établir l'orientation de l'organisation et s’aligner sur les meilleures pratiques, la réglementation, les lois nationales et internationales le cas échéant.

Elle doit être appuyée par un plan stratégique et un programme de sécurité avec des rôles et responsabilités bien définis pour la direction et le management.

La disposition « Politique de sécurité de l'information » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 5.1.1.

Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Pour plus d'informations, veuillez-vous reporter au code IS-02.

(22)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles IS-04 à IS-06

Description

Exigences de référence

Des exigences de sécurité de référence doivent être établies et appliquées à la conception et la mise en œuvre des

applications (développées ou achetées), bases de données, systèmes et infrastructure réseau, et aux traitements de l'information qui se conforment aux politiques, normes et exigences réglementaires applicables. La conformité aux exigences de sécurité de référence doit être réévaluée au moins annuellement ou lors de changements significatifs.

En tant que parties intégrantes du cadre SMSI, les exigences de sécurité de base sont constamment contrôlées, améliorées et implémentées.

Les dispositions « Acquisition, développement et maintenance des systèmes d’information » et « Exigences de sécurité applicables aux systèmes d'information » sont abordées dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 12. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

IS-05 Sécurité de l'information - Réexamens de la politique

La direction doit réexaminer la politique de sécurité de l'information à intervalles planifiés ou à la suite des changements apportés à l'organisation, pour assurer continuellement son efficacité et son exactitude.

La politique de sécurité de l'information de Microsoft Online Service fait l'objet d'un processus formel de réexamen et de mise à jour à des intervalles régulièrement planifiés qui ne peuvent dépasser 1 an. Si une modification significative doit être apportée aux exigences de sécurité, le réexamen et la mise à jour sont effectués en dehors du cycle normal.

La disposition « Réexamen de la politique de sécurité de

l’information » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 5.1.2. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

IS-06 Sécurité de l'information - Application de la politique

Une politique officielle disciplinaire ou de sanctions doit être établie pour les employés qui ont violé les politiques et procédures de sécurité. Les employés doivent être conscients des mesures pouvant être prises en cas de violation et déclarées comme telles dans les politiques et procédures.

Le personnel de Microsoft Online Services suspecté d’être à l’origine ou de provoquer des failles de sécurité et/ou de violer la politique de sécurité de l'information de Microsoft Online Services – équivalant à la violation du Code de conduite Microsoft – peut faire l'objet d'une enquête et d'une action disciplinaire appropriée pouvant aller jusqu'à la résiliation du contrat de travail.

Le fournisseur suspecté de d’être à l’origine ou de provoquer des failles de sécurité et/ou de violer la politique de sécurité de l'information de Microsoft Online Services peut faire l'objet d'une enquête et d'une action appropriée pouvant aller jusqu'à la résiliation du contrat de service sans préjudice de la faculté de Microsoft de saisir les autorités compétentes.

Dès lors qu'il est acquis qu'une équipe de Microsoft Online Services a violé la politique en place, les Ressources Humaines en sont informées et seront chargées de coordonner la réponse disciplinaire.

Les dispositions « Sensibilisation, qualification et formations en matière de sécurité de l’information » et « Processus disciplinaire » sont abordées dans la norme ISO 27001, notamment à l'Annexe A,

(23)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles IS-07 à IS-08

Description

Politique d’accès des utilisateurs

Les politiques et les procédures d'accès des utilisateurs doivent être documentées, approuvées et mises en œuvre pour l'octroi et la révocation d’un accès normal ou privilégié aux applications, bases de données et à l'infrastructure serveurs et réseau en conformité avec les exigences métier, sécurité, conformité et d’engagement de niveau de service (SLA).

La politique de contrôle d’accès est un composant de l'ensemble des politiques et fait l'objet d'un processus formel de réexamen et de mise à jour. L'accès aux actifs de Microsoft Online Services est autorisé en fonction des exigences du métier et sur autorisation du propriétaire des actifs. De plus :

• L'accès aux actifs est autorisé en fonction des principes need-to- know (besoin d’en connaître) et least-privilege (moindre privilège).

• Lorsque cela est possible, les contrôles d'accès basés sur les rôles sont utilisés pour allouer des accès logiques à une fonction ou à un domaine de responsabilité, plutôt qu'à une personne.

• Les politiques de contrôle d'accès physique et logique sont conformes aux normes.

La disposition « Contrôle d'accès » est abordée dans la norme ISO 27001, notamment à l'Annexe A, paragraphe 11. Pour plus

d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés

Restrictions / autorisations d'accès aux utilisateurs

L'accès normal ou privilégié de l’utilisateur aux applications, systèmes, bases de données, configurations réseau et données ou

fonctions sensibles doit être limité et approuvé par la direction avant d'’être accordé.

La politique de contrôle d’accès est un composant de l'ensemble des politiques qui fait l'objet d'un processus formel de réexamen et de mise à jour. L'accès aux actifs de Microsoft Online Services est autorisé en fonction des exigences du domaine d'activité et sur autorisation du propriétaire des actifs. De plus :

• L'accès aux actifs est autorisé en fonction des principes need-to- know (besoin d’en connaître) et least-privilege (moindre privilège).

• Lorsque cela est possible, les contrôles d'accès basés sur les rôles sont utilisés pour allouer des accès logiques à une fonction ou à un domaine de responsabilité, plutôt qu'à une personne.

• Les politiques de contrôle d'accès physique et logique sont conformes aux normes.

Les dispositions « Gestion des accès des utilisateurs » et « Gestion des privilèges » sont abordées dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 11.2. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

(24)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles IS-09 à IS-11

Description

Révocation des accès des

utilisateurs

Le déprovisionnement, la révocation ou les modifications de l'accès des utilisateurs aux systèmes, actifs d’information et données de l’organisation doivent être mis en œuvre en temps opportun lors de tout changement de statut des employés, fournisseurs, clients, partenaires commerciaux ou tiers.

Les changements de statut incluent la cessation d'emploi, contrat ou accord, le changement d'emploi ou le transfert au sein de l'organisation.

Les responsables et les propriétaires des applications et des données sont responsables de la vérification périodique des accès des utilisateurs. Des audits réguliers de vérification des accès permettent de valider que la fourniture appropriée des accès a eu lieu.

La disposition « Retrait des droits d'accès » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 8.3.3. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Vérification des accès des

utilisateurs

Tous les niveaux d'accès utilisateur doivent être examinés par la direction à intervalles planifiés et documentés. Pour les violations d'accès identifiées, la correction doit suivre des politiques et procédures de contrôle d'accès documentées.

Les responsables et les propriétaires des applications et des données sont responsables de la vérification périodique des accès des utilisateurs. Microsoft Online Services offre des fonctions étendues pour permettre à ses clients d’auditer et de déléguer l'accès de l'utilisateur final au sein de l'offre de service ; pour plus d'informations, veuillez consulter les descriptions de service correspondantes.

Les dispositions « Gestion des accès des utilisateurs » et « Gestion des privilèges » sont abordées dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 11.2. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Formation / Sensibilisation

Un programme de sensibilisation à la sécurité doit être établi pour tous les fournisseurs, utilisateurs tiers et employés de

l'organisation, et requis le cas échéant. Toutes les personnes ayant accès aux données organisationnelles doivent recevoir une sensibilisation appropriée et des mises à jour régulières dans les procédures

organisationnelles, les procédures et politiques, liées à leur fonction dans l'organisation.

Toutes les équipes Microsoft concernées participent à un programme de formation à la sécurité mis en place par Microsoft Online Services ; par la suite, ils participent à des sessions régulières de mise à niveau, si nécessaire. La sensibilisation à la sécurité fait partie d'un processus permanent et régulier entrepris pour réduire les risques. On peut citer comme exemple la formation interne BlueHat.

Tous les fournisseurs de Microsoft Online Services doivent mettre en place pour leurs équipes des formations appropriées, correspondant aux prestations fournies et aux rôles qu’ils remplissent.

La disposition « Sensibilisation, qualification et formations en matière de sécurité de l’information » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 8.2. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

(25)

Office 365 - Réponse de sécurité à la matrice de contrôle Cloud (CCM) du CSA Contrôles IS-12 à IS-14

Description

IS-12 Sécurité de l'information –

Connaissance et analyse comparative

du secteur

Au niveau de l’industrie, les connaissances de la sécurité et l'analyse comparative devront être maintenues par le biais d’un travail en réseau, des forums de spécialistes de la sécurité, et des associations professionnelles.

Microsoft est membre de plusieurs organisations de son secteur d'activité ; l'entreprise participe à leurs sessions et y délègue des intervenants. De plus, Microsoft organise de nombreuses formations internes.

La disposition « Relations avec des groupes de spécialistes » est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 6.1.7. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

Rôles et Responsabilité

s

Les rôles et responsabilités des fournisseurs, des employés et des utilisateurs tiers doivent être documentés lorsqu’ils se rapportent aux actifs d'information et à la sécurité.

La politique de sécurité de l'information de Microsoft Online Services existe afin de fournir au personnel et aux fournisseurs de Microsoft Online Services un ensemble de politiques de sécurité de

l'information, clair et concis incluant leurs rôles et responsabilités relatifs aux actifs d’information et à la sécurité. Ces politiques donnent des orientations quant à la protection appropriée de Microsoft Online Services. La politique a été créée comme composant d'un Système de Management de la Sécurité de l'Information (SMSI) global pour Microsoft Online Services. La politique a été examinée, approuvée et avalisée par la direction de Microsoft Online Services.

La disposition « Rôles et responsabilités »est abordée dans la norme ISO 27001, notamment à l'Annexe A, Paragraphe 8.1. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.

IS-14 Sécurité de l'information - Responsabilité de surveillance de la direction

Les dirigeants sont responsables du maintien de la sensibilisation et du respect des politiques de sécurité, des procédures et des normes qui s’appliquent à leur domaine de responsabilité.

Chaque version approuvée par la direction de la politique de sécurité de l'information et ses mises à jour ultérieures sont distribuées à l'ensemble des parties prenantes impliquées. La politique de sécurité de l'information est communiquée à l'ensemble des équipes

(existantes ou nouvelles) de Microsoft Online Services. Toutes les équipes de Microsoft Online Services indiquent qu'elles ont pris connaissance et qu'elles approuvent toutes les mesures définies dans les documents de la politique de sécurité de l'information. Toutes les équipes des fournisseurs de Microsoft Online Services approuvent les mesures pertinentes définies dans la politique. Si une de ces parties n'a pas accès à cette politique pour quelque raison que ce soit, il est de la responsabilité de l'agent de supervision de Microsoft de leur fournir les documents correspondants.

Les dispositions « Responsabilité de la direction » et « Implication de la direction vis-à-vis de la sécurité de l'information » sont abordées dans la norme ISO 27001, notamment dans la Clause 5, et à l'Annexe A, Paragraphe 6.1. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés.