Réponse standard pour les demandes d'information. Sécurité et Respect de la vie privée

Transcription

1 Réponse standard pour les demandes d'information Sécurité et Respect de la vie privée Version Française 2012

2 Dédit de responsabilité Les informations contenues dans ce document représentent la vision de Microsoft Corporation sur les questions abordées à la date de publication. Dans la mesure où Microsoft doit s'adapter aux changements du marché, ces informations ne sauraient être interprétées comme un engagement de la part de Microsoft, et Microsoft ne garantit en rien l'exactitude des informations fournies après la date de publication. Pour accéder à la version la plus récente de ce document en langue anglaise, veuillez consulter le lien suivant Ce document est publié à titre informatif uniquement. MICROSOFT NE FORMULE AUCUNE GARANTIE, EXPLICITE OU IMPLICITE, CONCERNANT LES INFORMATIONS CONTENUES DANS CE DOCUMENT. Le respect de toutes les lois de copyright en vigueur relève de la responsabilité de l'utilisateur. Sans restriction des droits dérivés des droits d'auteur, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de restitution, ou transmise à quelque fin, par quelque moyen (électronique, mécanique, photocopie, enregistrement ou autre) ou dans quelque but que ce soit sans la permission expresse et écrite de Microsoft Corporation. Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété intellectuelle portant sur des éléments qui font l'objet du présent document. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle Microsoft Corporation. Tous droits réservés Microsoft et Microsoft Office 365 sont soit des marques déposées, soit des marques de fabrique de Microsoft Corporation aux États-Unis et/ou dans d autres pays. Les noms de produits et de sociétés réels mentionnés dans la présente documentation peuvent être des marques de leurs propriétaires respectifs. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 2

3 Table des matières Page Introduction 4 Fourniture de Microsoft Office 365 : la pile de services 5 Certifications ISO pour la pile Microsoft Online Services 6-8 Réponse de Microsoft selon les identifiants des contrôles de la matrice «Cloud»: 9-53 Conformité CO-01 à CO Gouvernance des données DG-01 à DG s installations FS-01 à FS Ressources humaines HR-01 à HR l'information IS-01 à IS Juridique LG-01 à LG Gestion des Opérations OP-01 à OP Gestion du risque RI-01 à RI Gestion des changements RM-01 à RM Continuité de l activité RS-01 à RS Architecture de sécurité SA-01 à SA Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 3

4 L'association CSA (Cloud Security Alliance) est une entité à but non-lucratif dont le but est de promouvoir l utilisation de bonnes pratiques pour garantir la sécurité dans les environnements de «Cloud Computing». L'association a publié l'outil (Cloud Control Matrix), pour aider les consommateurs dans leur évaluation des services Cloud, et pour identifier les questions qu'ils doivent légitimement se poser avant d'utiliser ce type de services. En réponse à cette publication, Microsoft Online Services a créé ce document pour souligner la manière dont nous appliquons les principes suggérés, et comment nous les relions à la certification ISO. Pour en savoir plus : org Introduction Le «Cloud Computing» soulève des questions sur la sécurité, la protection des données, la confidentialité et la propriété des données. Microsoft Office 365 (incluant les services de la marque Microsoft Exchange Online, Microsoft SharePoint Online, et Microsoft Lync Online ) sont hébergés dans les centres de données de Microsoft à travers le monde, et conçus pour répondre aux exigences des clients professionnels en matière de performance, d évolutivité, de sécurité et de niveau de service. Nous avons mis en œuvre une technologie à l état de l art, ainsi que des processus qui fournissent une qualité constante et éprouvée en termes d'accès, de sécurité et de confidentialité pour chaque utilisateur. Les services Microsoft Online Services offrent des fonctionnalités intégrées pour être conformes à un large éventail de réglementations et de directives sur le respect de la vie privée. Dans ce document, nous proposons à nos clients une présentation détaillée sur la manière dont les services Microsoft Online Services répondent aux exigences de sécurité, de confidentialité, de conformité et de gestion du risque, telles que définies dans le document (Cloud Control Matrix) publié par l'association CSA (Cloud Security Alliance). A noter que ce document a pour objectif de fournir également des informations sur le fonctionnement de Microsoft Online Services. Il est de la responsabilité des clients de contrôler et de gérer leur environnement une fois que le service est fourni (par exemple, gestion des accès des utilisateurs et respect des stratégies et des procédures conformément à leurs exigences réglementaires). Exigences de sécurité pour le Cloud : l'outil (Cloud Control Matrix). L'outil Matrice de Contrôle Cloud, ou (Cloud Control Matrix), est publié par une organisation à but non lucratif, une association composée de grands acteurs du marché dont l'objectif est de venir en aide aux clients qui veulent prendre la décision de passer sur le Cloud. Cette matrice fournit une description détaillée de la sécurité et du respect de la vie privée, des concepts et des principes qui sont alignés sur le guide Cloud Security Alliance en 13 domaines. Microsoft publie dans ce document une présentation détaillée de nos capacités vis-à-vis des exigences de la matrice. Avec cette réponse standard aux demandes d'information, nous souhaitons aider les clients en leur fournissant des informations aussi complètes que possible afin d'évaluer les différentes offres du marché actuel. Présentation de Microsoft Office 365 Alors que Microsoft offre une gamme complète de services Cloud, notre objectif ici est de donner des réponses spécifiques au sujet d Office 365, offre de service professionnel d'hébergement de Microsoft. Office 365 fournit un ensemble d'applications de productivité qui associent sur le Cloud les versions en ligne des logiciels de messagerie et de collaboration, avec notre suite bien connue Microsoft Office Professional Plus. Les applications Office 365 s'exécutent sur une infrastructure Cloud et sont accessibles depuis différents dispositifs clients. Les clients n'ont pas besoin de gérer ou de contrôler l'infrastructure Cloud sous-jacente, le réseau, les serveurs, les systèmes d'exploitation, le stockage ou les fonctionnalités de chaque application, à l'exception de certaines fonctions de configuration. Pour plus d'informations, veuillez visiter le site Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 4

5 Comment Microsoft Office 365 est mis à disposition : la pile de services Le Centre de gestion de la confidentialité fournit des informations supplémentaires sur des sujets tels que la géolocalisation des données, l'accès administrateur, ou la mise en application des règles de conformité. Lors de l'évaluation de l'environnement de contrôle d'une offre de type SaaS (Software as a Service), il est important de prendre en considération la totalité de la pile de services du fournisseur de service Cloud. Différentes organisations peuvent être impliquées dans la fourniture de services d'infrastructure et d'applications, ce qui peut augmenter le risque de dysfonctionnement. Une interruption sur l une des couches de la pile peut compromettre la fourniture du service Cloud et avoir des conséquences importantes. Pour cette raison, les clients devraient évaluer comment fonctionnent leurs fournisseurs de service, et appréhender l'infrastructure sous-jacente et les plateformes du service, ainsi que les applications effectivement délivrées. Microsoft est un fournisseur de service du Cloud qui possède et qui contrôle la totalité de la pile, depuis les applications développées pour le Cloud, jusqu'aux centres de données qui hébergent vos données et vos services, en passant par les installations de fibre optique qui acheminent vos informations, et la mise à disposition effective du service. Dans l'environnement Office 365, le service est géré par le groupe Microsoft Global Foundation Services qui fournit les services d'infrastructure à la fois en interne et aux clients Microsoft, et par le groupe Microsoft Online Services qui fournit la suite d'applications et la couche de données (voir la figure 1). Pour en savoir plus, visitez le site : Centre de gestion de la confidentialité Figure 1 : Pile de services pour Office 365 ( LinkID=206613&CLCID=0x40C) Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 5

6 Grâce à la certification ISO de Microsoft, les clients peuvent évaluer la manière dont Microsoft atteint ou dépasse les normes et les directives de mise en œuvre. Certifications ISO pour la pile Microsoft Online Services Office 365 et l'infrastructure sur laquelle la solution s'appuie (Microsoft Global Foundation Services) font appel à des cadres méthodologiques de sécurité basées sur le corpus de normes internationales ISO/IEC 27001:2005, et ont été certifiées ISO par des auditeurs indépendants. Grâce à notre certification ISO 27001, les clients peuvent évaluer la manière dont Microsoft atteint ou dépasse les normes et les directives de mise en œuvre. La norme ISO définit les méthodes de mise en œuvre, de contrôle, de gestion et d'optimisation en continu du Système de Management de la l'information (SMSI). De plus, les services et l'infrastructure font l'objet d'un audit annuel à la norme SAS 70 (ou à la norme SSAE16 qui la remplace). La politique de sécurité de l'information de Microsoft Online Services, applicable à Office 365, est également alignée sur la norme ISO 27002, complétée par des exigences spécifiques aux services en ligne. La norme ISO n'est pas une certification mais elle fournit un ensemble de contrôles adaptés au SMSI. Comment lire les exigences du CSA et les réponses de Microsoft Dans les pages suivantes, nous avons mis en parallèle nos pratiques de sécurité et les préconisations de l'outil. Les deux premières colonnes, intitulées «Contrôle ID» et, reprennent les contrôles les plus pertinents de l'outil 1. La troisième colonne, intitulée comprend : 1) Une brève explication sur la manière dont Microsoft Online Services satisfait aux recommandations du CSA. 2) Une référence aux contrôles ISO respectés par GFS (Microsoft Global Foundation Services) et/ou Microsoft Online Services dans le cadre des certifications ISO 27001, le cas échéant. Exemple : Le contrôle IS-O2 de l'outil Matrice de contrôle Cloud () du CSA définit la recommandation suivante : «La direction et la chaîne de management doivent prendre des mesures formelles pour soutenir la sécurité de l information grâce à des directives claires et documentées, un engagement, une mission explicite et une vérification de l'exécution de la mission.» Réponse de Microsoft : Chaque version approuvée par le management de la politique de sécurité de l'information et de ses mises à jour est distribuée à l'ensemble des parties prenantes impliquées. La politique de sécurité de l'information est communiquée à l'ensemble des employés (existants ou nouveaux) de Microsoft Online Services. (1) Le contenu des colonnes 1 et 2 de la matrice est 2011 Cloud Security Alliance, utilisé avec permission. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 6

7 Le fait que Microsoft Online Services est certifié ISO signifie que nous avons été en mesure de répondre aux attentes des auditeurs externes, et montrer que notre environnement respecte ou dépasse ces normes. La copie publique de la (suite): Tous les employés de Microsoft Online Services indiquent qu'ils ont pris connaissance et qu'ils approuvent toutes les mesures définies dans les documents de la politique de sécurité de l'information. Toutes les équipes des fournisseurs de Microsoft Online Services approuvent les mesures pertinentes définies dans la politique de sécurité de l'information. Si une de ces parties n'a pas accès à cette politique pour quelque raison que ce soit, il est de la responsabilité de l'agent de supervision de Microsoft de leur fournir les documents correspondants. Une version de la politique de sécurité de l'information destinée aux clients peut être obtenue sur demande. Les clients et les prospects doivent avoir signé un accord de non-divulgation (NDA), ou équivalent, pour recevoir un exemplaire de la politique de sécurité de l'information. Certification ISO de Microsoft Online Services est disponible ici : Certification ISO Les dispositions «Implication de la direction vis-à-vis de la sécurité de l'information» et «Responsabilité de la direction» sont abordées dans la norme ISO 27001, notamment dans la Clause 5, et à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO ( ssessment-and-certificationservices/client-directory/ Motsclés : Microsoft Online Services) Pour en savoir plus : Il est vivement recommandé de consulter les normes ISO et ISO disponibles publiquement. Les normes ISO peuvent être commandées sur le site de l'organisation Internationale de Normalisation : Ces normes ISO fournissent des informations détaillées et la marche à suivre pour leur mise en œuvre. Une fois encore, le fait que Microsoft Online Services soit certifié ISO signifie que nous avons su répondre aux attentes d'un auditeur externe, et montrer que notre environnement respecte ou dépasse ces normes. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 7

8 Exemple: Lors de l'examen de la norme, on peut prendre le contrôle ou la clause de l'iso 27001, en examiner les spécificités, par exemple «Engagement de la direction sur sécurité de l'information» en clause 5, à partir de la norme ISO ou à partir de l'iso les détails du contrôle 6.1.1: «Responsabilité du management..» Ressources Visitez notre Centre de gestion de la confidentialité pour un accès aux documents suivants : Livres blancs Forums aux questions Informations sur la certification Normes ISO disponibles à l'achat (Lien du Centre de gestion de la confidentialité : La copie publique de la Certification ISO de Microsoft Online Services est disponible ici : Certification ISO ( Mots-clés : Microsoft Online Services) Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 8

9 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles CO-01 à CO-02 CO-01 Conformité - Planification de l'audit ( Version R1.1. Finale) Des plans d audit, des activités et des éléments d'action opérationnels se concentrant sur la duplication des données, l'accès, et les limitations des frontières des données doivent être conçus pour minimiser le risque de perturbation des processus métier. Les activités d audit doivent être planifiées et convenues à l'avance par les parties prenantes. Nos objectifs sont d'exploiter nos services en appliquant comme principes essentiels le respect de la sécurité, et de vous fournir des garanties quant aux mesures de sécurité prises. Nous avons implémenté et maintiendrons de manière raisonnable et appropriée les mesures techniques et organisationnelles, les contrôles internes, et les traitements usuels liés à la sécurité de l information pour contribuer à protéger les données du client contre toute perte, destruction ou altération accidentelles; les diffusions ou les accès non autorisés ; ou les destructions illégales. Chaque année, nous faisons réaliser des audits par des organismes tiers mondialement reconnus, afin d'obtenir une attestation indépendante de conformité avec nos politiques et procédures concernant la sécurité, la confidentialité, la continuité et la conformité. Les éléments des audits sont consultables, après accord de non divulgation et sur demande, par nos prospects ; et via le Centre de gestion de la confidentialité pour nos clients. Les rapports d'audit indépendants et les certifications de Microsoft Online Services sont partagés avec les clients. Ces certifications et attestations montrent précisément les méthodes d'obtention et de respect de nos objectifs de sécurité et de conformité, ainsi que la manière dont nous nous en servons en tant que mécanisme pratique pour valider nos engagements envers tous nos clients. La disposition «Surveillance et réexamen du ISMS» est abordée dans la norme ISO 27001, notamment dans la Clause Pour plus d informations, il est conseillé de consulter les normes ISO CO-02 Conformité - Audits indépendants Des examens indépendants et des évaluations doivent être effectués au moins annuellement, ou à intervalles planifiés, afin d'assurer que l'organisation est conforme aux politiques, procédures, normes et exigences réglementaires applicables (par exemple, audits internes/externes, certifications, tests de pénétration et de la vulnérabilité). Pour plus d'informations, veuillez-vous reporter au code CO-01 ou interroger le Centre de gestion de la confidentialité au sujet de nos certifications en cours et des attestations des tiers. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 9

10 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles CO-03 à CO-05 ( Version R1.1. Finale) CO-03 Conformité - Audits des tiers CO-04 Conformité - Contact / Gestion de l'autorité CO-05 Conformité - Correspondan ce de réglementatio n des systèmes d'information Les fournisseurs de service tiers doivent démontrer leur conformité avec la sécurité et la confidentialité de l information, les définitions du service et les accords sur le niveau de prestation inclus dans les contrats de tiers. Les rapports des tiers, dossiers et services sont soumis à vérification et examen, à intervalles planifiés, pour gérer et maintenir la conformité avec les accords de prestation du service. Des liaisons et des points de contact avec les autorités locales doivent être maintenus en conformité avec les exigences des entreprises et des clients et la conformité aux exigences législatives, réglementaires et contractuelles. Les données, objets, applications, l infrastructure et le matériel peuvent se voir assigner un domaine législatif et une juridiction pour faciliter les points de contact appropriés de conformité. Les exigences légales, réglementaires et contractuelles doivent être définies pour tous les éléments du système d'information. L'approche de l'organisation pour répondre aux besoins connus, et pour s'adapter aux nouveaux mandats, doit être explicitement définie, documentée et mise à jour pour chaque élément du système d'information de l organisation. Les éléments du système d'information peuvent inclure les données, les objets, les applications, l infrastructure et le matériel. Chaque élément peut être attribué à un domaine législatif et une juridiction pour faciliter une correspondance de conformité appropriée. Microsoft Online Services demande contractuellement aux fournisseurs de services tiers de Microsoft d'appliquer et de respecter les exigences définies conformément à la politique de sécurité de l'information de Microsoft Online Services. De plus, Microsoft Online Services demande que ces fournisseurs tiers se soumettent à un audit annuel réalisé par des organismes tiers, ou qu'ils fassent la demande pour que leur audit soit fait en même temps que l'audit annuel de Microsoft Online Services. Les dispositions «Sécurité dans les accords conclus avec des tiers» et «Gestion de la prestation de service conclus avec un tiers» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes 6.2. et 10.2 respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft Online Services garde le contact avec les parties externes (telles que les organismes de réglementation, les fournisseurs de service, les organisations de gestion du risque ou les forums de l industrie) pour assurer la mise en œuvre de mesures appropriées et rapides et obtenir si besoin des conseils. Microsoft dispose d'une équipe dédiée pour la plupart des contacts avec les organismes d'application de la loi. Les rôles et les responsabilités concernant la gestion et le contrôle de ces relations sont clairement définis. Les dispositions «Relations avec les autorités» et «Relations avec des groupes de spécialistes» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO Microsoft Online Services fournit des informations sur les statuts et les réglementations auxquels il adhère, par le biais de ses contrats et des descriptions de service, y compris par juridiction. Microsoft Online Services dispose d'un processus bien établi qui permet l'identification et la mise en œuvre des changements à ses services en réponse aux modifications dans les statuts et réglementations applicables. Un réexamen intervient chaque année dans le cadre de notre audit ISO De plus, l'interface Web de Microsoft Online Services limite la possibilité d'ajouter des utilisateurs dans des juridictions situées hors de la portée de support de Microsoft Online Services Les dispositions «Établissement du ISMS», «Revue de direction du ISMS» et «Conformité aux exigences légales» sont abordées dans la norme ISO 27001, notamment dans les Clauses et 7.3 respectivement, ainsi qu'à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 10

11 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôle CO-06 CO-06 Conformité - Propriété intellectuelle ( Version R1.1. Finale) Une politique, un processus et une procédure doivent être établies et mis en œuvre pour protéger la propriété intellectuelle et l'utilisation de logiciels propriétaires en prenant en compte les contraintes législatives de la juridiction et contractuelles qui régissent l'organisation. Il est exigé de tous les employés et équipes sous-traitantes d'appliquer et de respecter les lois relatives à la propriété intellectuelle, Microsoft gardant la responsabilité d'utiliser des logiciels propriétaires au sein des juridictions législatives et des obligations contractuelles qui régissent l'organisation. Avant sa mise à disposition, chaque service est contrôlé pour vérifier que tous les logiciels tiers sont couverts par une licence appropriée. De plus, Microsoft Online Services dispose de politiques et de procédures qui garantissent le respect des exigences de «désinstallation» de la loi américaine Digital Millenium Copyright Act (DMCA) sur les droits d'auteur, de même que la réglementation semblable sur le service. Microsoft utilise et gère les données des clients aux fins exclusives de fournir ses prestations Microsoft Online Services. Les services Microsoft destinés aux entreprises sont conçus séparément des services grand public de Microsoft. Si certaines données peuvent être stockées ou traitées sur des systèmes utilisés à la fois pour les services grand public et entreprises, les données de ces dernières ne sont pas partagées avec les systèmes utilisés pour les opérations publicitaires. La disposition «Établissement du ISMS» est abordée dans la norme ISO 27001, notamment dans la Clause Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 11

12 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles DG-01 à DG-02 DG-01 Gouvernance des données - Propriété / Gérance ( Version R1.1. Finale) Toutes les données doivent être désignées avec un chargé d'intendance avec des responsabilités assignées qui seront définies, documentées et communiquées. Microsoft Online Services a mis en œuvre une politique formelle qui exige la comptabilisation des actifs (qui comprennent notamment les données et le matériel) utilisés pour exploiter Microsoft Online Services, ainsi que la nomination d'un propriétaire de chaque actif. Les propriétaires des actifs doivent tenir à jour toutes les informations concernant leurs actifs. Les dispositions «Attribution des responsabilités en matière de sécurité de l information» et «Propriété des actifs» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. DG-02 Gouvernance des données - Classification Les données et les objets contenant des données, doivent se voir assigner une classification basée sur le type de données, la juridiction d'origine, la juridiction de domiciliation, le contexte, les contraintes juridiques, les contraintes contractuelles, la valeur, la sensibilité, de criticité pour l'organisation et l'obligation des tiers concernant la rétention et la prévention des divulgations ou les emplois abusifs non autorisés. Les standards Microsoft Online Services fournissent des indications sur la classification des actifs au sein des différentes catégories de sécurité applicables, puis implémentent un ensemble standard d'attributs de sécurité et de confidentialité. La disposition «Classification des informations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 7.2. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 12

13 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles DG-03 à DG-04 DG-03 Gouvernance des données - Manipulation / Marquage / Politique de sécurité DG-04 Gouvernance des données - Politique de conservation ( Version R1.1. Finale) Des politiques et procédures doivent être établies pour l'étiquetage, la manipulation et la sécurité des données et des objets qui contiennent des données. Des mécanismes d'héritage de l'étiquetage doivent être mis en œuvre pour les objets qui agissent comme des conteneurs globaux pour les données. Des politiques et procédures de conservation des données et de stockage doivent être établies et des mécanismes de sauvegarde ou de redondance mis en œuvre pour assurer la conformité avec les exigences réglementaires, statutaires, contractuelles ou métier. Des tests de récupération des sauvegardes sur disque ou sur bande doivent être mis en œuvre à intervalles planifiés. Les standards Microsoft Online Services fournissent des indications sur la classification des actifs au sein des différentes catégories de sécurité applicables, puis implémentent un ensemble standard d'attributs de sécurité et de confidentialité. La disposition «Classification des informations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 7.2. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft Online Services fournit à ses clients la possibilité d'appliquer des politiques de conservation des données, telles que définies dans les descriptions de service individuel. ( Comme pour les sauvegardes, le contenu est répliqué depuis un centre de données primaire vers un centre de données secondaire. Ainsi, il n'y a pas de planning de sauvegarde spécifique dans la mesure où la réplication est constante. Les clients peuvent décider de réaliser leurs propres opérations d'extraction/sauvegarde si nécessaire. Les données du client sont stockées dans un environnement redondant bénéficiant de solutions fiables de sauvegarde, de restauration et de basculement, afin de garantir la disponibilité, la continuité de l'activité et la récupération rapide. Plusieurs niveaux de redondance des données sont implémentés, depuis les disques redondants pour se prémunir d une panne d un disque local jusqu'à la réplication complète et continue des données vers un centre de données géographiquement délocalisé. Microsoft Online Services fait l'objet d'une validation annuelle de ses méthodes de sauvegarde/restauration. La disposition «Sauvegarde des informations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 13

14 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles DG-05 à DG-06 DG-05 Gouvernance des données - Mise au rebut sécurisée DG-06 Gouvernance des données - Données hors production ( Version R1.1. Finale) Des politiques et procédures doivent être établies et des mécanismes mis en œuvre pour l'élimination sûre et la suppression complète de données de tous les supports de stockage, assurant que les données ne sont récupérables par aucun moyen d investigation. Les données de production ne doivent pas être répliquées ou utilisés dans des environnements hors-production. Microsoft utilise des procédures de bonnes pratiques, ainsi qu'une solution d effacement des données conforme à la norme américaine NIST Pour les disques durs contenant des données qui ne peuvent être effacées, nous utilisons un processus de destruction matérielle (désintégration, broyage, pulvérisation, ou incinération). La méthode de mise au rebut adaptée est choisie en fonction du type de l actif. Un historique de la destruction est conservé. Toutes les équipes de Microsoft Online Services utilisent des services approuvés pour la gestion du stockage des supports et de leurs mises au rebut. Les documents papier sont détruits selon les méthodes approuvées, à la fin de leur cycle de vie défini à l'avance. Les dispositions «Mise au rebut ou recyclage sécurisé(e) du matériel» et «Mise au rebut des supports» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft applique le principe de ségrégation des fonctions pour garantir la restriction des accès entre les environnements de test et de production, conformément à la politique définie. Le déplacement ou la copie des données non-publiques du client depuis un environnement de production vers un environnement de non-production est expressément interdit, sauf consentement explicite du client, ou sur décision de la division juridique de Microsoft. Les dispositions «Séparation des équipements de développement, de test et d exploitation» et «Protection des données système de test» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 14