Agenda. Engagement de Microsoft envers la protection des renseignements personnels et la sécurité Questions

Transcription

1

2 Agenda Le marché global entourant l infonuagique Le Cloud vs le Gouvernement du Québec Position officielle Communauté Européenne Approche globale entourant la sécurité Centre de traitement Sécurité Conformité Confidentialité Vérifications indépendantes Engagement de Microsoft envers la protection des renseignements personnels et la sécurité Questions

3 Transformation de l industrie des technologies Aujourd hui Cloud 2000s Web 1990s Client / Serveur 1970s et 80s Mainframe

4 Tendances Transformationnelles cloud computing Réseaux sociaux & le monde des apps consumerization des TI (BYOD) Explosion de données

5

6 L infonuagique tout est une question de volume Impact des éléments variables sur la capacité du centre de traitement Période de l année Moment de la journée Type d applications Profils d industrie Comportements utilisateurs Localisation géographique

7 L infonuagique tout est une question de volume Impact des éléments variables sur la capacité du centre de traitement Période de l année Moment de la journée Type d applications Profils d industrie Comportements utilisateurs Localisation géographique

8 Certaines des préoccupations apportées par l utilisation du Cloud Public conduisent les CIO à considérer la mise en place d un cloud privé ou communautaire. Mais ils réalisent rapidement que le TCO et l économie d échelle n est pas comparable au Cloud Public. Préoccupations envers adoption du Cloud Public Sécurité et confidentialité Performance Immaturité technologique Conformité réglementaire Intégration Dépendance au fournisseur Coûts / ROI Disponibilité Compétences internes

9 ÉTUDE SUR LES INCIDENCES JURIDIQUES DE L UTILISATION DE L INFONUAGIQUE PAR LE GOUVERNEMENT DU QUÉBEC

10 ÉTUDE SUR LES INCIDENCES JURIDIQUES DE L UTILISATION DE L INFONUAGIQUE PAR LE GOUVERNEMENT DU QUÉBEC «Du point de vue juridique, le fait, pour un organisme ou ministère de déposer ou faire circuler des renseignements dans le nuage, même s ils sont confidentiels, n est interdit par aucun texte de loi.» «La Loi sur l accès permet toutefois de passer outre cette interdiction lorsque les lois applicables au territoire hôte offrent une protection équivalente au cadre juridique québécois.» «Toutefois, l hébergement de données confidentielles dans un nuage états-unien soulève de nombreuses controverses vu les droits accordés aux autorités américaines par le USA PATRIOT Act» «Ce ne sera donc que lorsqu un renseignement se doit d être protégé en vertu d un texte de loi ou d obligations contractuelles que son hébergement dans le nuage deviendra source de soucis.» «Ainsi, selon notre analyse, l'idéal, afin de respecter les obligations législatives imposées aux ministères et organismes québécois, serait la mise en place d'un nuage privé interne ou communautaire gouvernemental( ) Nous admettons toutefois d emblée que ce modèle d affaire n est simplement pas réaliste( ) En effet, le principe même de l'infonuagique implique le maintien de plusieurs serveurs sur divers territoires. Ainsi, si le gouvernement québécois désire bénéficier des avantages économiques offerts par l infonuagique, il s avère quelque peu illogique d exclure tout modèle de déploiement qui viendrait réduire un nuage à un simple contrat d hébergement.» «Cette exception permettrait donc, vu l équivalence présumée des lois en vigueur sur ces territoires, d héberger des renseignements confidentiels dans un nuage canadien, voire même possiblement européen.» «Ceci étant, même s il semble impossible de concilier la lettre de la Loi sur l accès et le recours à un nuage international, l esprit de la loi serait protégé si les organismes publics procédaient au chiffrement des données avant de les verser dans le nuage ou de les faire circuler par le biais de celui-ci.»

11 Approbation officielle par les organismes de contrôle européen des engagements de Microsoft en matière de protection de renseignements personnels et de confidentialité pour nos services infonuagiques «il s'agit d'une approche officielle encadrant la protection des renseignements personnels et la sécurité des données des citoyens européens.» «Les commissaires à la vie privée en Europe ont confirmé que les informations personnelles stockées dans les solutions infonuagiques de Microsoft se conformaient au standard Européen régissant la vie privée, peu importe l endroit dans le monde où les données sont conservées.» «Le blog officiel de Brad Smith, Vice-Président exécutif et Avocat général de Microsoft fournit de plus amples détails au sujet de cette annonce et traite de son importance pour les clients qui utilisent les services infonuagiques de Microsoft.» «tous nos clients, qu ils aient des activités en Europe ou ailleurs, bénéficient en quelque sorte des avancées d ingénierie que nous avons mis en place en relation avec la sécurité, la confidentialité et la protection des renseignements personnels.» «Les 28 autorités européennes responsables de la protection des données (Data Protection Authorities), et qui régissent les entreprises ayant des activités dans l'union européenne, ont publié une lettre (Article 29) validant que Microsoft a inclus les conditions contractuelles appropriées liées aux services infonuagiques (Office 365, Microsoft Azure, Microsoft Dynamics CRM et Windows Intune). «À partir du 1 er juillet 2014, toutes nos ententes contractuelles seront mises à jour avec ces conditions et serviront de standard pour l'ensemble de nos clients.» «Les clients peuvent désormais utiliser ces services en sachant que tout transfert de données à travers le monde respecte les règles de protection des données de l'union Européenne, règles qui sont parmi les plus strictes dans le monde.» «The Working Party thanks Microsoft for the constructive collaboration that leads to these positive conclusions.» Isabelle FALQUE-PIERROTIN Chairwoman

12 Microsoft - une approche globale de la sécurité Noyau de sécurité du service Office 365 Fonctions avancées sécurité sous contrôle des organisations Conformité réglementaire et vérification indépendante meilleures pratiques de sécurité Microsoft 24/7 Surveillance physique du Hardware Opérations automatisées Données clients isolées Données encryptées Réseau sécurisé 12

13 Microsoft - une approche globale de la sécurité Noyau de sécurité du service Office 365 Fonctions avancées sécurité sous contrôle des organisations Conformité réglementaire et vérification indépendante meilleures pratiques de sécurité Microsoft 24/7 Surveillance physique du Hardware Opérations automatisées Données clients isolées Données encryptées Réseau sécurisé 13

14 Centre de Traitements sous surveillance constante Protection contre les séismes Agence de sécurité sur site 24x7 Périmètre de sécurité Extinction incendie Authentification multi-facteurs Surveillance étroite Plusieurs jours d alimentation électrique en reserve 14

15 Sécurité Conformité Confidentialité Meilleure sécurité grâce des décennies d expérience en développement de logiciels et de services en ligne pour les entreprises Engagement envers les normes sectorielles et la conformité organisationnelle Protection de la vie privée dès la conception par un engagement à n utiliser les renseignements des clients que dans le but d offrir des services et non à des fins publicitaires

16 La confidentialité et la sécurité des données sont des impératifs d affaires d envergure mondiale. C est pourquoi nous avons intégré des fonctionnalités de confidentialité et de sécurité de classe mondiale à nos services infonuagiques de pointe. Les services pour entreprises de Microsoft Office 365, Dynamics CRM Online et Windows Azure : n effectuent aucune collecte, maintenance, analyse, indexation ou exploration de données à des fins de marketing, de publicité ou de tout autre dessein caché; sont soumis à des tests rigoureux et vérifiés de manière indépendante pour s assurer d offrir les meilleures fonctionnalités de confidentialité et de sécurité de leur catégorie; respectent les normes internationales les plus strictes en matière de protection des données; Les clients disposent de contrôles uniques assortis de services de gestion des droits afin d être en mesure de protéger les données.

17 Sécurité: Gestion des droits numériques (DRM)

18 Les contrôles intégrés de Microsoft permettent à nos clients de répondre à leurs exigences en matière de sécurité des données. Voici quelques fonctionnalités de protection des données : Des outils perfectionnés d identification et d authentification prévenant l accès non autorisé aux données. De nombreux outils avancés de chiffrement protégeant les données sensibles sur les clients. Des systèmes permettant d assurer la continuité des données pour les clients et un accès facile à celles-ci tout au long du contrat de service. Des outils permettant aux clients de garder et récupérer leurs données à l échéance de leur contrat de service.

19 Nous veillons à protéger vos données à toutes les étapes de traitement de l information. Données en transit entre un utilisateur et le service utilisé Donnée en transit entre les centres de traitement Données sur site Encryption bout en bout des communications entre les utilisateurs Protège les utilisateurs d une éventuelle interception de communication et permet de garantir l intégrité transactionnelle. Protège d une interception massive de données entre deux centres de traitement Protège d une intervention physique directement sur les disques Protège d une interception ou d une perte d information en transit entre les utilisateurs

20 Microsoft améliore les services d encryption pour l ensemble de ses clients. Nous fournirons la technologie Perfect Forward Secrecy comportant une sécurité à 2048-bit pour tous les utilisateurs qui interagiront avec nos services infonuagiques afin de protéger l ensemble de leurs communications d une éventuelle interception. Nous mettrons en place différentes méthodes d encryption pour toutes les communications entre nos centres de traitements.

21 Capacités intégrées Contrôles de conformité Pour permettre aux clients de répondre aux exigences de conformité Les contrôles sont vérifiés de manière indépendante par des tiers, conformément aux normes internationales Contrôles administratifs comme la prévention de la perte de données (DLP), l archivage, la mise en suspens juridique et la découverte électronique afin d assurer la conformité organisationnelle

22 Conformité: Data Loss Prevention (DLP) Empêche que des données sensibles quittent l organisation Génère une alerte lorsque des données telles que des numéros d Assurance Sociale, de carte de crédit ou autres sont envoyés par courriel. Alertes peuvent être créées afin d éviter des fuites d informations (propriété intellectuelle ou autres) spécifiques à l organisation. Permet aux utilisateurs de gérer la conformité sur mesure Éducation des politiques de l entreprise en contexte Ne dérange pas nécessairement la sequence des actions Fonctionne en mode déconnecté Configurable et personnalisable Gabarits fournits basés sur les réglementations courantes Peut importer des politiques DLP provenant de partenaires spécialisés en sécurité: 22

23 Conformité : ediscovery unifié Recherche par proximité pour mieux comprendre le contexte Optimisez les recherches complexes Statistiques instantanées Résultats transverses à Exchange & Sharepoint Affinez votre recherche par mots clés

24 Confidentialité Aucune publicité Transparence Contrôles de confidentialité Nous ne créons aucun produit publicitaire au moyen de données sur les clients privés Aucun balayage de courriel ou de documents à des fins publicitaires L accès aux renseignements concernant l emplacement géographique des données, sur les personnes qui y ont accès et à quel moment La notification des clients au sujet de changements apportés à la sécurité, à la confidentialité et à l audit Les clients disposent de divers contrôles aux niveaux administrateur et utilisateur pour permettre ou réglementer le partage d informations Si le client n utilise plus le service, il peut récupérer ses données, puis les supprimer du service

25 Les services infonuagiques de Microsoft sont constamment soumis à de rigoureuses vérifications internes et externes. Ces vérifications et certifications permettent à Microsoft de respecter ses engagements en matière de confidentialité et de sécurité des données. Voici certaines des mesures prises par Microsoft à ce chapitre : La certification des contrôles de confidentialité et de sécurité de Microsoft conformément à des normes internationales strictes. La vérification, par une organisation indépendante, des contrôles de confidentialité et de sécurité de Microsoft, dont une vérification annuelle des centres de données physiques de Microsoft. La vérification et la certification par le gouvernement des É.-U. des contrôles de confidentialité et de sécurité de Microsoft, pour assurer qu Office 365 et Windows Azure respectent les normes fédérales en matière de sécurité et de gestion des renseignements.

26 Où sont stockées les données? Qui accède à quoi? Comment peut-on être notifié? Que partageons-nous? Cartes statistiques claires des données et renseignements sur les limites géographiques Engagement à protéger les données stockées aux États-Unis et en Europe Les clients Azure peuvent choisir la région où leurs données sont stockées (Europe, É.-U., Asie) Les données client sont utilisées uniquement pour le dépannage et la protection contre les programmes malveillants L accès aux données client est réservé au personnel clé, dans des situations exceptionnelles Transparence vis-à-vis de l identité des soustraitants Transmission des conditions commerciales aux sous-traitants Vous êtes avisé de tout changement à la localisation de vos données Vous êtes avisé de la présence de nouveaux sous-traitants Un résumé des rapports de vérification peut être obtenu sur demande

27 L engagement de Microsoft envers la confidentialité et la sécurité Principes et pratiques d accès aux données par les gouvernements

28 Redonner confiance

29 Redonner confiance Les demandes soumises par des gouvernements ne touchent qu une infime partie de notre clientèle Nous n avons jamais communiqué de données sur les clients liées à des entreprises ou à des gouvernements pour des raisons de sécurité nationale. Au cours des six derniers mois, nous nous sommes conformés à des obligations légales relatives à seulement 5 affaires criminelles (toutes liées à des clients des É.-U.).

30 Pour que les choses soient bien claires, voici ce que nous faisons et ce que nous ne faisons pas : ici

31 Microsoft est engagée à protéger les renseignement personnels et les données de nos clients.

32

33