Réponse standard pour les demandes d'information. Sécurité et Respect de la vie privée

Transcription

1 Réponse standard pour les demandes d'information Sécurité et Respect de la vie privée Version Française 2012

2 Dédit de responsabilité Les informations contenues dans ce document représentent la vision de Microsoft Corporation sur les questions abordées à la date de publication. Dans la mesure où Microsoft doit s'adapter aux changements du marché, ces informations ne sauraient être interprétées comme un engagement de la part de Microsoft, et Microsoft ne garantit en rien l'exactitude des informations fournies après la date de publication. Pour accéder à la version la plus récente de ce document en langue anglaise, veuillez consulter le lien suivant Ce document est publié à titre informatif uniquement. MICROSOFT NE FORMULE AUCUNE GARANTIE, EXPLICITE OU IMPLICITE, CONCERNANT LES INFORMATIONS CONTENUES DANS CE DOCUMENT. Le respect de toutes les lois de copyright en vigueur relève de la responsabilité de l'utilisateur. Sans restriction des droits dérivés des droits d'auteur, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système de restitution, ou transmise à quelque fin, par quelque moyen (électronique, mécanique, photocopie, enregistrement ou autre) ou dans quelque but que ce soit sans la permission expresse et écrite de Microsoft Corporation. Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété intellectuelle portant sur des éléments qui font l'objet du présent document. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle Microsoft Corporation. Tous droits réservés Microsoft et Microsoft Office 365 sont soit des marques déposées, soit des marques de fabrique de Microsoft Corporation aux États-Unis et/ou dans d autres pays. Les noms de produits et de sociétés réels mentionnés dans la présente documentation peuvent être des marques de leurs propriétaires respectifs. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 2

3 Table des matières Page Introduction 4 Fourniture de Microsoft Office 365 : la pile de services 5 Certifications ISO pour la pile Microsoft Online Services 6-8 Réponse de Microsoft selon les identifiants des contrôles de la matrice «Cloud»: 9-53 Conformité CO-01 à CO Gouvernance des données DG-01 à DG s installations FS-01 à FS Ressources humaines HR-01 à HR l'information IS-01 à IS Juridique LG-01 à LG Gestion des Opérations OP-01 à OP Gestion du risque RI-01 à RI Gestion des changements RM-01 à RM Continuité de l activité RS-01 à RS Architecture de sécurité SA-01 à SA Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 3

4 L'association CSA (Cloud Security Alliance) est une entité à but non-lucratif dont le but est de promouvoir l utilisation de bonnes pratiques pour garantir la sécurité dans les environnements de «Cloud Computing». L'association a publié l'outil (Cloud Control Matrix), pour aider les consommateurs dans leur évaluation des services Cloud, et pour identifier les questions qu'ils doivent légitimement se poser avant d'utiliser ce type de services. En réponse à cette publication, Microsoft Online Services a créé ce document pour souligner la manière dont nous appliquons les principes suggérés, et comment nous les relions à la certification ISO. Pour en savoir plus : org Introduction Le «Cloud Computing» soulève des questions sur la sécurité, la protection des données, la confidentialité et la propriété des données. Microsoft Office 365 (incluant les services de la marque Microsoft Exchange Online, Microsoft SharePoint Online, et Microsoft Lync Online ) sont hébergés dans les centres de données de Microsoft à travers le monde, et conçus pour répondre aux exigences des clients professionnels en matière de performance, d évolutivité, de sécurité et de niveau de service. Nous avons mis en œuvre une technologie à l état de l art, ainsi que des processus qui fournissent une qualité constante et éprouvée en termes d'accès, de sécurité et de confidentialité pour chaque utilisateur. Les services Microsoft Online Services offrent des fonctionnalités intégrées pour être conformes à un large éventail de réglementations et de directives sur le respect de la vie privée. Dans ce document, nous proposons à nos clients une présentation détaillée sur la manière dont les services Microsoft Online Services répondent aux exigences de sécurité, de confidentialité, de conformité et de gestion du risque, telles que définies dans le document (Cloud Control Matrix) publié par l'association CSA (Cloud Security Alliance). A noter que ce document a pour objectif de fournir également des informations sur le fonctionnement de Microsoft Online Services. Il est de la responsabilité des clients de contrôler et de gérer leur environnement une fois que le service est fourni (par exemple, gestion des accès des utilisateurs et respect des stratégies et des procédures conformément à leurs exigences réglementaires). Exigences de sécurité pour le Cloud : l'outil (Cloud Control Matrix). L'outil Matrice de Contrôle Cloud, ou (Cloud Control Matrix), est publié par une organisation à but non lucratif, une association composée de grands acteurs du marché dont l'objectif est de venir en aide aux clients qui veulent prendre la décision de passer sur le Cloud. Cette matrice fournit une description détaillée de la sécurité et du respect de la vie privée, des concepts et des principes qui sont alignés sur le guide Cloud Security Alliance en 13 domaines. Microsoft publie dans ce document une présentation détaillée de nos capacités vis-à-vis des exigences de la matrice. Avec cette réponse standard aux demandes d'information, nous souhaitons aider les clients en leur fournissant des informations aussi complètes que possible afin d'évaluer les différentes offres du marché actuel. Présentation de Microsoft Office 365 Alors que Microsoft offre une gamme complète de services Cloud, notre objectif ici est de donner des réponses spécifiques au sujet d Office 365, offre de service professionnel d'hébergement de Microsoft. Office 365 fournit un ensemble d'applications de productivité qui associent sur le Cloud les versions en ligne des logiciels de messagerie et de collaboration, avec notre suite bien connue Microsoft Office Professional Plus. Les applications Office 365 s'exécutent sur une infrastructure Cloud et sont accessibles depuis différents dispositifs clients. Les clients n'ont pas besoin de gérer ou de contrôler l'infrastructure Cloud sous-jacente, le réseau, les serveurs, les systèmes d'exploitation, le stockage ou les fonctionnalités de chaque application, à l'exception de certaines fonctions de configuration. Pour plus d'informations, veuillez visiter le site Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 4

5 Comment Microsoft Office 365 est mis à disposition : la pile de services Le Centre de gestion de la confidentialité fournit des informations supplémentaires sur des sujets tels que la géolocalisation des données, l'accès administrateur, ou la mise en application des règles de conformité. Lors de l'évaluation de l'environnement de contrôle d'une offre de type SaaS (Software as a Service), il est important de prendre en considération la totalité de la pile de services du fournisseur de service Cloud. Différentes organisations peuvent être impliquées dans la fourniture de services d'infrastructure et d'applications, ce qui peut augmenter le risque de dysfonctionnement. Une interruption sur l une des couches de la pile peut compromettre la fourniture du service Cloud et avoir des conséquences importantes. Pour cette raison, les clients devraient évaluer comment fonctionnent leurs fournisseurs de service, et appréhender l'infrastructure sous-jacente et les plateformes du service, ainsi que les applications effectivement délivrées. Microsoft est un fournisseur de service du Cloud qui possède et qui contrôle la totalité de la pile, depuis les applications développées pour le Cloud, jusqu'aux centres de données qui hébergent vos données et vos services, en passant par les installations de fibre optique qui acheminent vos informations, et la mise à disposition effective du service. Dans l'environnement Office 365, le service est géré par le groupe Microsoft Global Foundation Services qui fournit les services d'infrastructure à la fois en interne et aux clients Microsoft, et par le groupe Microsoft Online Services qui fournit la suite d'applications et la couche de données (voir la figure 1). Pour en savoir plus, visitez le site : Centre de gestion de la confidentialité Figure 1 : Pile de services pour Office 365 ( LinkID=206613&CLCID=0x40C) Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 5

6 Grâce à la certification ISO de Microsoft, les clients peuvent évaluer la manière dont Microsoft atteint ou dépasse les normes et les directives de mise en œuvre. Certifications ISO pour la pile Microsoft Online Services Office 365 et l'infrastructure sur laquelle la solution s'appuie (Microsoft Global Foundation Services) font appel à des cadres méthodologiques de sécurité basées sur le corpus de normes internationales ISO/IEC 27001:2005, et ont été certifiées ISO par des auditeurs indépendants. Grâce à notre certification ISO 27001, les clients peuvent évaluer la manière dont Microsoft atteint ou dépasse les normes et les directives de mise en œuvre. La norme ISO définit les méthodes de mise en œuvre, de contrôle, de gestion et d'optimisation en continu du Système de Management de la l'information (SMSI). De plus, les services et l'infrastructure font l'objet d'un audit annuel à la norme SAS 70 (ou à la norme SSAE16 qui la remplace). La politique de sécurité de l'information de Microsoft Online Services, applicable à Office 365, est également alignée sur la norme ISO 27002, complétée par des exigences spécifiques aux services en ligne. La norme ISO n'est pas une certification mais elle fournit un ensemble de contrôles adaptés au SMSI. Comment lire les exigences du CSA et les réponses de Microsoft Dans les pages suivantes, nous avons mis en parallèle nos pratiques de sécurité et les préconisations de l'outil. Les deux premières colonnes, intitulées «Contrôle ID» et, reprennent les contrôles les plus pertinents de l'outil 1. La troisième colonne, intitulée comprend : 1) Une brève explication sur la manière dont Microsoft Online Services satisfait aux recommandations du CSA. 2) Une référence aux contrôles ISO respectés par GFS (Microsoft Global Foundation Services) et/ou Microsoft Online Services dans le cadre des certifications ISO 27001, le cas échéant. Exemple : Le contrôle IS-O2 de l'outil Matrice de contrôle Cloud () du CSA définit la recommandation suivante : «La direction et la chaîne de management doivent prendre des mesures formelles pour soutenir la sécurité de l information grâce à des directives claires et documentées, un engagement, une mission explicite et une vérification de l'exécution de la mission.» Réponse de Microsoft : Chaque version approuvée par le management de la politique de sécurité de l'information et de ses mises à jour est distribuée à l'ensemble des parties prenantes impliquées. La politique de sécurité de l'information est communiquée à l'ensemble des employés (existants ou nouveaux) de Microsoft Online Services. (1) Le contenu des colonnes 1 et 2 de la matrice est 2011 Cloud Security Alliance, utilisé avec permission. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 6

7 Le fait que Microsoft Online Services est certifié ISO signifie que nous avons été en mesure de répondre aux attentes des auditeurs externes, et montrer que notre environnement respecte ou dépasse ces normes. La copie publique de la (suite): Tous les employés de Microsoft Online Services indiquent qu'ils ont pris connaissance et qu'ils approuvent toutes les mesures définies dans les documents de la politique de sécurité de l'information. Toutes les équipes des fournisseurs de Microsoft Online Services approuvent les mesures pertinentes définies dans la politique de sécurité de l'information. Si une de ces parties n'a pas accès à cette politique pour quelque raison que ce soit, il est de la responsabilité de l'agent de supervision de Microsoft de leur fournir les documents correspondants. Une version de la politique de sécurité de l'information destinée aux clients peut être obtenue sur demande. Les clients et les prospects doivent avoir signé un accord de non-divulgation (NDA), ou équivalent, pour recevoir un exemplaire de la politique de sécurité de l'information. Certification ISO de Microsoft Online Services est disponible ici : Certification ISO Les dispositions «Implication de la direction vis-à-vis de la sécurité de l'information» et «Responsabilité de la direction» sont abordées dans la norme ISO 27001, notamment dans la Clause 5, et à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO ( ssessment-and-certificationservices/client-directory/ Motsclés : Microsoft Online Services) Pour en savoir plus : Il est vivement recommandé de consulter les normes ISO et ISO disponibles publiquement. Les normes ISO peuvent être commandées sur le site de l'organisation Internationale de Normalisation : Ces normes ISO fournissent des informations détaillées et la marche à suivre pour leur mise en œuvre. Une fois encore, le fait que Microsoft Online Services soit certifié ISO signifie que nous avons su répondre aux attentes d'un auditeur externe, et montrer que notre environnement respecte ou dépasse ces normes. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 7

8 Exemple: Lors de l'examen de la norme, on peut prendre le contrôle ou la clause de l'iso 27001, en examiner les spécificités, par exemple «Engagement de la direction sur sécurité de l'information» en clause 5, à partir de la norme ISO ou à partir de l'iso les détails du contrôle 6.1.1: «Responsabilité du management..» Ressources Visitez notre Centre de gestion de la confidentialité pour un accès aux documents suivants : Livres blancs Forums aux questions Informations sur la certification Normes ISO disponibles à l'achat (Lien du Centre de gestion de la confidentialité : La copie publique de la Certification ISO de Microsoft Online Services est disponible ici : Certification ISO ( Mots-clés : Microsoft Online Services) Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 8

9 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles CO-01 à CO-02 CO-01 Conformité - Planification de l'audit ( Version R1.1. Finale) Des plans d audit, des activités et des éléments d'action opérationnels se concentrant sur la duplication des données, l'accès, et les limitations des frontières des données doivent être conçus pour minimiser le risque de perturbation des processus métier. Les activités d audit doivent être planifiées et convenues à l'avance par les parties prenantes. Nos objectifs sont d'exploiter nos services en appliquant comme principes essentiels le respect de la sécurité, et de vous fournir des garanties quant aux mesures de sécurité prises. Nous avons implémenté et maintiendrons de manière raisonnable et appropriée les mesures techniques et organisationnelles, les contrôles internes, et les traitements usuels liés à la sécurité de l information pour contribuer à protéger les données du client contre toute perte, destruction ou altération accidentelles; les diffusions ou les accès non autorisés ; ou les destructions illégales. Chaque année, nous faisons réaliser des audits par des organismes tiers mondialement reconnus, afin d'obtenir une attestation indépendante de conformité avec nos politiques et procédures concernant la sécurité, la confidentialité, la continuité et la conformité. Les éléments des audits sont consultables, après accord de non divulgation et sur demande, par nos prospects ; et via le Centre de gestion de la confidentialité pour nos clients. Les rapports d'audit indépendants et les certifications de Microsoft Online Services sont partagés avec les clients. Ces certifications et attestations montrent précisément les méthodes d'obtention et de respect de nos objectifs de sécurité et de conformité, ainsi que la manière dont nous nous en servons en tant que mécanisme pratique pour valider nos engagements envers tous nos clients. La disposition «Surveillance et réexamen du ISMS» est abordée dans la norme ISO 27001, notamment dans la Clause Pour plus d informations, il est conseillé de consulter les normes ISO CO-02 Conformité - Audits indépendants Des examens indépendants et des évaluations doivent être effectués au moins annuellement, ou à intervalles planifiés, afin d'assurer que l'organisation est conforme aux politiques, procédures, normes et exigences réglementaires applicables (par exemple, audits internes/externes, certifications, tests de pénétration et de la vulnérabilité). Pour plus d'informations, veuillez-vous reporter au code CO-01 ou interroger le Centre de gestion de la confidentialité au sujet de nos certifications en cours et des attestations des tiers. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 9

10 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles CO-03 à CO-05 ( Version R1.1. Finale) CO-03 Conformité - Audits des tiers CO-04 Conformité - Contact / Gestion de l'autorité CO-05 Conformité - Correspondan ce de réglementatio n des systèmes d'information Les fournisseurs de service tiers doivent démontrer leur conformité avec la sécurité et la confidentialité de l information, les définitions du service et les accords sur le niveau de prestation inclus dans les contrats de tiers. Les rapports des tiers, dossiers et services sont soumis à vérification et examen, à intervalles planifiés, pour gérer et maintenir la conformité avec les accords de prestation du service. Des liaisons et des points de contact avec les autorités locales doivent être maintenus en conformité avec les exigences des entreprises et des clients et la conformité aux exigences législatives, réglementaires et contractuelles. Les données, objets, applications, l infrastructure et le matériel peuvent se voir assigner un domaine législatif et une juridiction pour faciliter les points de contact appropriés de conformité. Les exigences légales, réglementaires et contractuelles doivent être définies pour tous les éléments du système d'information. L'approche de l'organisation pour répondre aux besoins connus, et pour s'adapter aux nouveaux mandats, doit être explicitement définie, documentée et mise à jour pour chaque élément du système d'information de l organisation. Les éléments du système d'information peuvent inclure les données, les objets, les applications, l infrastructure et le matériel. Chaque élément peut être attribué à un domaine législatif et une juridiction pour faciliter une correspondance de conformité appropriée. Microsoft Online Services demande contractuellement aux fournisseurs de services tiers de Microsoft d'appliquer et de respecter les exigences définies conformément à la politique de sécurité de l'information de Microsoft Online Services. De plus, Microsoft Online Services demande que ces fournisseurs tiers se soumettent à un audit annuel réalisé par des organismes tiers, ou qu'ils fassent la demande pour que leur audit soit fait en même temps que l'audit annuel de Microsoft Online Services. Les dispositions «Sécurité dans les accords conclus avec des tiers» et «Gestion de la prestation de service conclus avec un tiers» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes 6.2. et 10.2 respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft Online Services garde le contact avec les parties externes (telles que les organismes de réglementation, les fournisseurs de service, les organisations de gestion du risque ou les forums de l industrie) pour assurer la mise en œuvre de mesures appropriées et rapides et obtenir si besoin des conseils. Microsoft dispose d'une équipe dédiée pour la plupart des contacts avec les organismes d'application de la loi. Les rôles et les responsabilités concernant la gestion et le contrôle de ces relations sont clairement définis. Les dispositions «Relations avec les autorités» et «Relations avec des groupes de spécialistes» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO Microsoft Online Services fournit des informations sur les statuts et les réglementations auxquels il adhère, par le biais de ses contrats et des descriptions de service, y compris par juridiction. Microsoft Online Services dispose d'un processus bien établi qui permet l'identification et la mise en œuvre des changements à ses services en réponse aux modifications dans les statuts et réglementations applicables. Un réexamen intervient chaque année dans le cadre de notre audit ISO De plus, l'interface Web de Microsoft Online Services limite la possibilité d'ajouter des utilisateurs dans des juridictions situées hors de la portée de support de Microsoft Online Services Les dispositions «Établissement du ISMS», «Revue de direction du ISMS» et «Conformité aux exigences légales» sont abordées dans la norme ISO 27001, notamment dans les Clauses et 7.3 respectivement, ainsi qu'à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 10

11 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôle CO-06 CO-06 Conformité - Propriété intellectuelle ( Version R1.1. Finale) Une politique, un processus et une procédure doivent être établies et mis en œuvre pour protéger la propriété intellectuelle et l'utilisation de logiciels propriétaires en prenant en compte les contraintes législatives de la juridiction et contractuelles qui régissent l'organisation. Il est exigé de tous les employés et équipes sous-traitantes d'appliquer et de respecter les lois relatives à la propriété intellectuelle, Microsoft gardant la responsabilité d'utiliser des logiciels propriétaires au sein des juridictions législatives et des obligations contractuelles qui régissent l'organisation. Avant sa mise à disposition, chaque service est contrôlé pour vérifier que tous les logiciels tiers sont couverts par une licence appropriée. De plus, Microsoft Online Services dispose de politiques et de procédures qui garantissent le respect des exigences de «désinstallation» de la loi américaine Digital Millenium Copyright Act (DMCA) sur les droits d'auteur, de même que la réglementation semblable sur le service. Microsoft utilise et gère les données des clients aux fins exclusives de fournir ses prestations Microsoft Online Services. Les services Microsoft destinés aux entreprises sont conçus séparément des services grand public de Microsoft. Si certaines données peuvent être stockées ou traitées sur des systèmes utilisés à la fois pour les services grand public et entreprises, les données de ces dernières ne sont pas partagées avec les systèmes utilisés pour les opérations publicitaires. La disposition «Établissement du ISMS» est abordée dans la norme ISO 27001, notamment dans la Clause Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 11

12 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles DG-01 à DG-02 DG-01 Gouvernance des données - Propriété / Gérance ( Version R1.1. Finale) Toutes les données doivent être désignées avec un chargé d'intendance avec des responsabilités assignées qui seront définies, documentées et communiquées. Microsoft Online Services a mis en œuvre une politique formelle qui exige la comptabilisation des actifs (qui comprennent notamment les données et le matériel) utilisés pour exploiter Microsoft Online Services, ainsi que la nomination d'un propriétaire de chaque actif. Les propriétaires des actifs doivent tenir à jour toutes les informations concernant leurs actifs. Les dispositions «Attribution des responsabilités en matière de sécurité de l information» et «Propriété des actifs» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. DG-02 Gouvernance des données - Classification Les données et les objets contenant des données, doivent se voir assigner une classification basée sur le type de données, la juridiction d'origine, la juridiction de domiciliation, le contexte, les contraintes juridiques, les contraintes contractuelles, la valeur, la sensibilité, de criticité pour l'organisation et l'obligation des tiers concernant la rétention et la prévention des divulgations ou les emplois abusifs non autorisés. Les standards Microsoft Online Services fournissent des indications sur la classification des actifs au sein des différentes catégories de sécurité applicables, puis implémentent un ensemble standard d'attributs de sécurité et de confidentialité. La disposition «Classification des informations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 7.2. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 12

13 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles DG-03 à DG-04 DG-03 Gouvernance des données - Manipulation / Marquage / Politique de sécurité DG-04 Gouvernance des données - Politique de conservation ( Version R1.1. Finale) Des politiques et procédures doivent être établies pour l'étiquetage, la manipulation et la sécurité des données et des objets qui contiennent des données. Des mécanismes d'héritage de l'étiquetage doivent être mis en œuvre pour les objets qui agissent comme des conteneurs globaux pour les données. Des politiques et procédures de conservation des données et de stockage doivent être établies et des mécanismes de sauvegarde ou de redondance mis en œuvre pour assurer la conformité avec les exigences réglementaires, statutaires, contractuelles ou métier. Des tests de récupération des sauvegardes sur disque ou sur bande doivent être mis en œuvre à intervalles planifiés. Les standards Microsoft Online Services fournissent des indications sur la classification des actifs au sein des différentes catégories de sécurité applicables, puis implémentent un ensemble standard d'attributs de sécurité et de confidentialité. La disposition «Classification des informations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 7.2. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft Online Services fournit à ses clients la possibilité d'appliquer des politiques de conservation des données, telles que définies dans les descriptions de service individuel. ( Comme pour les sauvegardes, le contenu est répliqué depuis un centre de données primaire vers un centre de données secondaire. Ainsi, il n'y a pas de planning de sauvegarde spécifique dans la mesure où la réplication est constante. Les clients peuvent décider de réaliser leurs propres opérations d'extraction/sauvegarde si nécessaire. Les données du client sont stockées dans un environnement redondant bénéficiant de solutions fiables de sauvegarde, de restauration et de basculement, afin de garantir la disponibilité, la continuité de l'activité et la récupération rapide. Plusieurs niveaux de redondance des données sont implémentés, depuis les disques redondants pour se prémunir d une panne d un disque local jusqu'à la réplication complète et continue des données vers un centre de données géographiquement délocalisé. Microsoft Online Services fait l'objet d'une validation annuelle de ses méthodes de sauvegarde/restauration. La disposition «Sauvegarde des informations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 13

14 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles DG-05 à DG-06 DG-05 Gouvernance des données - Mise au rebut sécurisée DG-06 Gouvernance des données - Données hors production ( Version R1.1. Finale) Des politiques et procédures doivent être établies et des mécanismes mis en œuvre pour l'élimination sûre et la suppression complète de données de tous les supports de stockage, assurant que les données ne sont récupérables par aucun moyen d investigation. Les données de production ne doivent pas être répliquées ou utilisés dans des environnements hors-production. Microsoft utilise des procédures de bonnes pratiques, ainsi qu'une solution d effacement des données conforme à la norme américaine NIST Pour les disques durs contenant des données qui ne peuvent être effacées, nous utilisons un processus de destruction matérielle (désintégration, broyage, pulvérisation, ou incinération). La méthode de mise au rebut adaptée est choisie en fonction du type de l actif. Un historique de la destruction est conservé. Toutes les équipes de Microsoft Online Services utilisent des services approuvés pour la gestion du stockage des supports et de leurs mises au rebut. Les documents papier sont détruits selon les méthodes approuvées, à la fin de leur cycle de vie défini à l'avance. Les dispositions «Mise au rebut ou recyclage sécurisé(e) du matériel» et «Mise au rebut des supports» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft applique le principe de ségrégation des fonctions pour garantir la restriction des accès entre les environnements de test et de production, conformément à la politique définie. Le déplacement ou la copie des données non-publiques du client depuis un environnement de production vers un environnement de non-production est expressément interdit, sauf consentement explicite du client, ou sur décision de la division juridique de Microsoft. Les dispositions «Séparation des équipements de développement, de test et d exploitation» et «Protection des données système de test» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 14

15 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles DG-07 à DG-08 DG-07 Gouvernance des données - Fuite d'informations DG-08 Gouvernance des données - Évaluation des risques ( Version R1.1. Finale) Des mécanismes de sécurité doivent être mis en œuvre pour empêcher les fuites de données Les évaluations des risques associés aux exigences de gouvernance des données doivent être réalisées à intervalles planifiés en considérant les éléments suivants: Sensibilisation sur l'endroit où les données sensibles sont stockées et transmises à travers les applications, les bases de données, les serveurs et l'infrastructure réseau. Conformité avec les exigences définies sur les délais de conservation et en matière de disposition en fin de vie. Classification des données et protection contre l'utilisation, l'accès, la perte, la destruction et la falsification nonautorisés Les contrôles logiques et physiques sont mis en œuvre dans les environnements Microsoft Online Services (voir le document «du Service de Sécurité Office365» disponible depuis le Centre de téléchargement Microsoft) ; les clients peuvent choisir d augmenter les fonctions de base en s appuyant sur les technologies telles que : 1) Configuration des règles de transport des messages 2) Intégration aux produits de protection contre les fuites de données des courriels 3) Prise en charge de l'intégration des services Active Directory Rights Management Services 4) Mise en place de Exchange Hosted Encryption et de produits de chiffrement alternatifs. 5) Les administrateurs de SharePoint Online peuvent activer le contrôle d accès basé sur la notion de groupe ou de rôle, la fonction native d audit de contenu, et également demander des rapports d'accès administrateur (via les services de support client). La disposition «Fuite d'informations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft Online Services effectue chaque année une analyse d'impact sur l'activité. L'analyse comprend : L'identification des menaces significatives pour l'environnement et les processus métier de Microsoft Online Services. Une évaluation des menaces identifiées, y compris les impacts potentiels et les dommages possibles. Une stratégie approuvée par le management pour l'atténuation des menaces identifiées significatives, et pour la récupération des processus métier critiques. Le sujet «Établissement du SMSI et classification des informations et gestion des actifs» est abordé dans la norme ISO 27001, notamment dans la Clause 4.2.1, et à l'annexe A, Paragraphe 7.2. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 15

16 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles FS-01 à FS-02 FS-01 s installations - Politique FS-02 s installations - Accès des utilisateurs ( Version R1.1. Finale) Des politiques et procédures doivent être établies pour maintenir un environnement de travail sûr et sécurisé dans les bureaux, les locaux, installations et zones sécurisées. L'accès physique aux actifs et des fonctions liés à l information par les utilisateurs et le personnel de support doit être restreint. L'accès à tous les bâtiments Microsoft est contrôlé ; leur accès est restreint par des lecteurs de cartes (utilisation indispensable d'un badge d'identification autorisé) ou de systèmes de biométrie pour entrer dans les centres de données. Le personnel chargé de l'accueil doit identifier les employés à plein temps ou les fournisseurs autorisés qui ne sont pas munis de badges. Tous les invités doivent porter un badge Visiteur et être accompagnés par le personnel Microsoft autorisé. La disposition «Sécurisation des bureaux, des salles et des installations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Les accès sont donnés en fonction du profil de poste ; seul le personnel indispensable reçoit l autorisation de gérer les applications et les services des clients. Les autorisations d'accès physiques font appel à différents processus d'authentification et de sécurité : badges et cartes à puce, scanners biométriques, responsables de sécurité sur site, vidéo-surveillance permanente, et authentification à double facteur pour l'accès physique à l'environnement du centre de données. Outre les contrôles d'accès physique installés sur différentes portes dans le centre de données, l'organisation Microsoft Data Center Management a mis en place des procédures opérationnelles pour limiter l'accès physique aux employés, fournisseurs et visiteurs autorisés : L'autorisation pour accorder un accès temporaire ou permanent aux centres de données Microsoft est limitée aux équipes autorisées. Les demandes et les décisions d'autorisation qui en découlent sont conservées en utilisant un système de ticket/accès. Les badges sont fournis au personnel faisant une demande d'accès après vérification de l'identification. L'organisation Microsoft Data Center Management examine régulièrement la liste d'accès. Après ce contrôle, les actions nécessaires sont appliquées. La disposition «Sécurité physique et environnementale» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 9. Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 16

17 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles FS-03 à FS-05 FS-03 s installations - Points d'accès contrôlés FS-04 s installations - Autorisation des zones sécurisées ( Version R1.1. Finale) Des périmètres de sécurité physique (clôtures, murs, barrières, gardes, portes, surveillance électronique, mécanismes d'authentification physique, comptoirs de réception et de patrouilles de sécurité) doivent être mis en œuvre pour protéger les données et systèmes d'information sensibles. L entrée et la sortie des zones sécurisées doivent être limitées et contrôlées par des mécanismes de contrôle d'accès physique pour s'assurer que seul le personnel autorisé s en verra permettre l'accès. Les constructions abritant les centres de données sont anonymes et aucune indication n'est donnée quant à la présence de services d'hébergement de centres de données Microsoft à cet emplacement. L'accès aux installations du centre de données est limité. Les portes qui s'ouvrent sur la salle principale ou l'accueil sont équipées de dispositifs électroniques de contrôle des cartes d'accès, afin de limiter l'accès aux espaces intérieurs. Les locaux du centre de données Microsoft qui hébergent les systèmes critiques (serveurs, groupes électrogènes, armoires électriques, équipements réseau, etc.) sont protégés par différents systèmes de sécurité (contrôle d'accès électronique par carte, serrure à code, sas, etc.) et/ou par des dispositifs biométriques. Des barrières physiques supplémentaires, telles que des armoires verrouillées ou des cages fermant à clé, peuvent être installées à l'intérieur du périmètre des installations, si le dispositif l'exige, conformément aux politiques de sécurité et/ou aux exigences du métier. Les dispositions «Périmètre de sécurité physique» et «Sécurité environnementale» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 9. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Les dispositions «Zones d accès public, de livraison et de chargement» et «Sécurité physique et environnementale» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 9. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Pour plus d'informations, veuillez-vous reporter au code FS-03 FS-05 s installations - Accès des personnes non autorisées Les points d'entrée et de sortie comme les aires de service et autres points où le personnel non autorisé peut pénétrer dans les locaux doivent être surveillés, contrôlés et, si possible, isolés des installations de stockage et de traitement des données pour prévenir la corruption, compromission ou perte de données. Les dispositions «Zones d accès public, de livraison et de chargement» et «Sécurité physique et environnementale» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 9. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Pour plus d'informations, veuillez-vous reporter au code FS-03 Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 17

18 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles FS-06 à FS-08 FS-06 s installations - Autorisation hors locaux FS-07 s installations - Équipement hors locaux ( Version R1.1. Finale) L'autorisation doit être obtenue avant la relocalisation ou le transfert de matériels, logiciels ou données dans des locaux extérieurs. Des politiques et procédures doivent être établies pour la sécurisation et la gestion des actifs dans le cadre de l'utilisation et la mise à disposition sécurisée des équipements gérés et utilisés en dehors des locaux de l'organisation. Les procédures de Microsoft Online Services relatives à la protection des données et des actifs fournissent des prescriptions sur la protection des données logiques et physiques, ainsi que des instructions concernant les déménagements. Les dispositions «Sortie d'un actif» et «Management des modifications» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. La politique Microsoft de gestion des actifs et des standards d'usage courants ont été développés et mis en œuvre pour les actifs technologiques, les composants des infrastructures et les technologies des services de Microsoft Online Services. Une version client de la politique de sécurité de l information peut être mise à disposition sur demande. Les clients ou les prospects doivent avoir signé un accord de confidentialité ou équivalent pour recevoir un exemplaire de la politique de sécurité de l information. La disposition «Sécurité du matériel hors locaux» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO FS-08 s installations - Gestion des actifs Un inventaire complet des actifs essentiels doivent être maintenu avec leur propriété définie et documentée. Microsoft Online Services a mis en œuvre une politique formelle qui exige la comptabilisation des actifs utilisés pour les services de Microsoft Online, ainsi que la désignation d'un propriétaire de chaque actif. L'inventaire des actifs matériels majeurs dans l'environnement Microsoft Online Services est maintenu. Les propriétaires des actifs doivent gérer toutes les informations concernant leurs actifs au sein de l'inventaire, notamment le propriétaire ou tout agent associé, l'emplacement et la classification de sécurité. Les propriétaires des actifs sont également responsables de la classification et du maintien de la protection de leurs actifs conformément aux standards. Des audits réguliers sont effectués pour la vérification de l inventaire. La disposition «Gestion des actifs» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 7. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 18

19 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles HR-01 à HR-03 HR-01 s ressources humaines - Sélection en amont HR-02 s ressources humaines - Contrats de travail HR-03 Ressources humaines - Fin de contrat ( Version R1.1. Finale) Conformément à la législation locale, la réglementation, l'éthique et les contraintes contractuelles, tous les candidats à l'emploi, les fournisseurs et les tiers seront soumis à une vérification des antécédents proportionnelle à la classification des données devant être accédées, aux exigences métier et au risque acceptable. Avant d'accorder aux personnes l'accès physique ou logique aux installations, systèmes ou données, les employés, fournisseurs, utilisateurs tiers et clients doivent contractuellement accepter et signer les termes et les conditions de leur emploi ou de contrat de service, qui doit inclure explicitement la responsabilité des parties pour la sécurité de l'information. Les rôles et responsabilités pour le suivi de la cessation ou des changements d'emploi dans les procédures d embauche doivent être attribués, documentés et communiqués. Tous les employés à plein temps de Microsoft doivent passer par une vérification standard de leurs antécédents, dans le cadre du processus d'embauche. Ces vérifications pourraient comprendre notamment un contrôle des informations fournies par le candidat sur son parcours scolaire et universitaire, ses emplois et son casier judiciaire sous réserve du respect de la règlementation applicable. Les fournisseurs ayant accès à des données de clients non-publiques peuvent également passer par ce contrôle d antécédents avant de pouvoir accéder à ces données. Des informations et des vérifications complémentaires peuvent aussi être demandées si l'accès aux données concerne un environnement gouvernemental. Afin de respecter la vie privée de ses employés, Microsoft ne communique pas les résultats de ces vérifications à ses clients. Le processus de vérification appartient à la division des ressources humaines de Microsoft Corporation. Tous les employés Microsoft concernés participent à un programme de formation à la sécurité mis en place par Microsoft Online Services ; par la suite, ils participent à des sessions régulières de mise à niveau, si nécessaire. La sensibilisation à la sécurité fait partie d'un processus permanent et régulier entrepris pour réduire les risques. Tous les fournisseurs de Microsoft Online Services doivent mettre en place pour leurs équipes des formations appropriées, correspondant aux prestations fournies et aux rôles qu ils remplissent et faire en sorte que les fournisseurs répercutent auprès de leurs propres salariés des obligations de confidentialité renforcées. Les dispositions «Rôles et responsabilités» et «Sensibilisation, qualification et formations en matière de sécurité de l information» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 8. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. La fin de contrat des employés est gérée selon la procédure de ressources humaines de Microsoft Corporation. Nous ne créons pas de comptes du client ; le client créé les comptes directement par le portail de Microsoft Online Services, ou dans son service Active Directory local, dont les comptes peuvent ensuite être synchronisés dans Microsoft Online Services. Pour cette raison, le client demeure responsable de l exactitude des comptes utilisateurs créés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 19

20 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles IS-01 à IS-02 IS-01 l'information - Programme de management IS-02 l'information - Prise en charge du management / Implication ( Version R1.1. Finale) Un Système de Management de la Sécurité de l Information (SMSI ) a été élaboré, documenté, approuvé et mis en œuvre qui comprend des mesures de protections administratives, techniques et physiques pour protéger les actifs et les données contre toute perte, usage inapproprié, accès non autorisé, divulgation, modification et destruction. Le programme de sécurité devrait aborder, mais sans s'y limiter, les domaines suivants en tant qu'ils se rapportent aux caractéristiques de l'entreprise: Gestion des risques Politique de sécurité Organisation de la sécurité de l information Gestion d'actifs s ressources humaines Sécurité physique et environnementale Communication et gestion des opérations Contrôle d'accès Acquisition, développement et maintenance des systèmes d information La direction et la chaîne de management doivent prendre des mesures formelles pour soutenir la sécurité de l information grâce à des directives claires et documentées, un engagement, une mission explicite et une vérification de l'exécution de la mission. Un SMSI d'ensemble pour Microsoft Online Services a été conçu et mis en œuvre pour répondre aux meilleures pratiques du marché en termes de sécurité, confidentialité et risque. Une version client de la politique de sécurité de l information peut être mise à disposition sur demande. Les clients ou les prospects doivent avoir signé un accord de confidentialité ou équivalent pour recevoir un exemplaire de la politique de sécurité de l information. Les dispositions «Établissement et management du SMSI» et «Organisation de la sécurité de l information» sont abordées dans la norme ISO 27001, notamment dans la Clause 4.2, et à l'annexe A, Paragraphe 6. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Chaque version approuvée par le management de la politique de sécurité de l'information et de ses mises à jour est distribuée à l'ensemble des parties prenantes. La politique de sécurité de l'information est communiquée à l'ensemble des employés (existants ou nouveaux) de Microsoft Online Services. Tous les employés de Microsoft Online Services indiquent qu'ils ont pris connaissance et qu'ils approuvent toutes les mesures définies dans les documents de la politique de sécurité de l'information. Toutes les équipes des fournisseurs de Microsoft Online Services approuvent les mesures pertinentes définies dans la politique de sécurité de l'information. Si l une de ces parties n'a pas accès à cette politique pour quelque raison que ce soit, il est de la responsabilité de l'agent de supervision de Microsoft de leur fournir les documents correspondants. Une version de la politique de sécurité de l'information destinée aux clients peut être obtenue sur demande. Les clients et les prospects doivent avoir signé un accord de non-divulgation (NDA), ou équivalent, pour en recevoir un exemplaire. Les dispositions «Implication de la direction vis-à-vis de la sécurité de l'information» et «Responsabilité de la direction» sont abordées dans la norme ISO 27001, notamment dans la Clause 5, et à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 20

21 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôle IS-03 IS-03 l'information - Politique ( Version R1.1. Finale) La direction doit approuver un document formel de politique de sécurité de l information qui doit être communiqué aux employés, aux fournisseurs et autres parties externes concernées. La politique de sécurité de l'information doit établir l'orientation de l'organisation et s aligner sur les meilleures pratiques, la réglementation, les lois nationales et internationales le cas échéant. Elle doit être appuyée par un plan stratégique et un programme de sécurité avec des rôles et responsabilités bien définis pour la direction et le management. La disposition «Politique de sécurité de l'information» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO Pour plus d'informations, veuillez-vous reporter au code IS-02. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 21

22 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles IS-04 à IS-06 IS-04 l'information - Exigences de référence IS-05 l'information - Réexamens de la politique IS-06 l'information - Application de la politique ( Version R1.1. Finale) Des exigences de sécurité de référence doivent être établies et appliquées à la conception et la mise en œuvre des applications (développées ou achetées), bases de données, systèmes et infrastructure réseau, et aux traitements de l'information qui se conforment aux politiques, normes et exigences réglementaires applicables. La conformité aux exigences de sécurité de référence doit être réévaluée au moins annuellement ou lors de changements significatifs. La direction doit réexaminer la politique de sécurité de l'information à intervalles planifiés ou à la suite des changements apportés à l'organisation, pour assurer continuellement son efficacité et son exactitude. Une politique officielle disciplinaire ou de sanctions doit être établie pour les employés qui ont violé les politiques et procédures de sécurité. Les employés doivent être conscients des mesures pouvant être prises en cas de violation et déclarées comme telles dans les politiques et procédures. En tant que parties intégrantes du cadre SMSI, les exigences de sécurité de base sont constamment contrôlées, améliorées et implémentées. Les dispositions «Acquisition, développement et maintenance des systèmes d information» et «Exigences de sécurité applicables aux systèmes d'information» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 12. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. La politique de sécurité de l'information de Microsoft Online Service fait l'objet d'un processus formel de réexamen et de mise à jour à des intervalles régulièrement planifiés qui ne peuvent dépasser 1 an. Si une modification significative doit être apportée aux exigences de sécurité, le réexamen et la mise à jour sont effectués en dehors du cycle normal. La disposition «Réexamen de la politique de sécurité de l information» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Le personnel de Microsoft Online Services suspecté d être à l origine ou de provoquer des failles de sécurité et/ou de violer la politique de sécurité de l'information de Microsoft Online Services équivalant à la violation du Code de conduite Microsoft peut faire l'objet d'une enquête et d'une action disciplinaire appropriée pouvant aller jusqu'à la résiliation du contrat de travail. Le fournisseur suspecté de d être à l origine ou de provoquer des failles de sécurité et/ou de violer la politique de sécurité de l'information de Microsoft Online Services peut faire l'objet d'une enquête et d'une action appropriée pouvant aller jusqu'à la résiliation du contrat de service sans préjudice de la faculté de Microsoft de saisir les autorités compétentes. Dès lors qu'il est acquis qu'une équipe de Microsoft Online Services a violé la politique en place, les Ressources Humaines en sont informées et seront chargées de coordonner la réponse disciplinaire. Les dispositions «Sensibilisation, qualification et formations en matière de sécurité de l information» et «Processus disciplinaire» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 22

23 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles IS-07 à IS-08 IS-07 l'information - Politique d accès des utilisateurs IS-08 l'information - Restrictions / autorisations d'accès aux utilisateurs ( Version R1.1. Finale) Les politiques et les procédures d'accès des utilisateurs doivent être documentées, approuvées et mises en œuvre pour l'octroi et la révocation d un accès normal ou privilégié aux applications, bases de données et à l'infrastructure serveurs et réseau en conformité avec les exigences métier, sécurité, conformité et d engagement de niveau de service (SLA). L'accès normal ou privilégié de l utilisateur aux applications, systèmes, bases de données, configurations réseau et données ou fonctions sensibles doit être limité et approuvé par la direction avant d' être accordé. La politique de contrôle d accès est un composant de l'ensemble des politiques et fait l'objet d'un processus formel de réexamen et de mise à jour. L'accès aux actifs de Microsoft Online Services est autorisé en fonction des exigences du métier et sur autorisation du propriétaire des actifs. De plus : L'accès aux actifs est autorisé en fonction des principes need-toknow (besoin d en connaître) et least-privilege (moindre privilège). Lorsque cela est possible, les contrôles d'accès basés sur les rôles sont utilisés pour allouer des accès logiques à une fonction ou à un domaine de responsabilité, plutôt qu'à une personne. Les politiques de contrôle d'accès physique et logique sont conformes aux normes. La disposition «Contrôle d'accès» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe 11. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés La politique de contrôle d accès est un composant de l'ensemble des politiques qui fait l'objet d'un processus formel de réexamen et de mise à jour. L'accès aux actifs de Microsoft Online Services est autorisé en fonction des exigences du domaine d'activité et sur autorisation du propriétaire des actifs. De plus : L'accès aux actifs est autorisé en fonction des principes need-toknow (besoin d en connaître) et least-privilege (moindre privilège). Lorsque cela est possible, les contrôles d'accès basés sur les rôles sont utilisés pour allouer des accès logiques à une fonction ou à un domaine de responsabilité, plutôt qu'à une personne. Les politiques de contrôle d'accès physique et logique sont conformes aux normes. Les dispositions «Gestion des accès des utilisateurs» et «Gestion des privilèges» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 23

24 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles IS-09 à IS-11 IS-09 l'information - Révocation des accès des utilisateurs IS-10 l'information - Vérification des accès des utilisateurs IS-11 l'information - Formation / Sensibilisation ( Version R1.1. Finale) Le déprovisionnement, la révocation ou les modifications de l'accès des utilisateurs aux systèmes, actifs d information et données de l organisation doivent être mis en œuvre en temps opportun lors de tout changement de statut des employés, fournisseurs, clients, partenaires commerciaux ou tiers. Les changements de statut incluent la cessation d'emploi, contrat ou accord, le changement d'emploi ou le transfert au sein de l'organisation. Tous les niveaux d'accès utilisateur doivent être examinés par la direction à intervalles planifiés et documentés. Pour les violations d'accès identifiées, la correction doit suivre des politiques et procédures de contrôle d'accès documentées. Un programme de sensibilisation à la sécurité doit être établi pour tous les fournisseurs, utilisateurs tiers et employés de l'organisation, et requis le cas échéant. Toutes les personnes ayant accès aux données organisationnelles doivent recevoir une sensibilisation appropriée et des mises à jour régulières dans les procédures organisationnelles, les procédures et politiques, liées à leur fonction dans l'organisation. Les responsables et les propriétaires des applications et des données sont responsables de la vérification périodique des accès des utilisateurs. Des audits réguliers de vérification des accès permettent de valider que la fourniture appropriée des accès a eu lieu. La disposition «Retrait des droits d'accès» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Les responsables et les propriétaires des applications et des données sont responsables de la vérification périodique des accès des utilisateurs. Microsoft Online Services offre des fonctions étendues pour permettre à ses clients d auditer et de déléguer l'accès de l'utilisateur final au sein de l'offre de service ; pour plus d'informations, veuillez consulter les descriptions de service correspondantes. Les dispositions «Gestion des accès des utilisateurs» et «Gestion des privilèges» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Toutes les équipes Microsoft concernées participent à un programme de formation à la sécurité mis en place par Microsoft Online Services ; par la suite, ils participent à des sessions régulières de mise à niveau, si nécessaire. La sensibilisation à la sécurité fait partie d'un processus permanent et régulier entrepris pour réduire les risques. On peut citer comme exemple la formation interne BlueHat. Tous les fournisseurs de Microsoft Online Services doivent mettre en place pour leurs équipes des formations appropriées, correspondant aux prestations fournies et aux rôles qu ils remplissent. La disposition «Sensibilisation, qualification et formations en matière de sécurité de l information» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 8.2. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 24

25 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles IS-12 à IS-14 IS-12 l'information Connaissance et analyse comparative du secteur IS-13 l'information - Rôles et Responsabilité s IS-14 l'information - Responsabilité de surveillance de la direction ( Version R1.1. Finale) Au niveau de l industrie, les connaissances de la sécurité et l'analyse comparative devront être maintenues par le biais d un travail en réseau, des forums de spécialistes de la sécurité, et des associations professionnelles. Les rôles et responsabilités des fournisseurs, des employés et des utilisateurs tiers doivent être documentés lorsqu ils se rapportent aux actifs d'information et à la sécurité. Les dirigeants sont responsables du maintien de la sensibilisation et du respect des politiques de sécurité, des procédures et des normes qui s appliquent à leur domaine de responsabilité. Microsoft est membre de plusieurs organisations de son secteur d'activité ; l'entreprise participe à leurs sessions et y délègue des intervenants. De plus, Microsoft organise de nombreuses formations internes. La disposition «Relations avec des groupes de spécialistes» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. La politique de sécurité de l'information de Microsoft Online Services existe afin de fournir au personnel et aux fournisseurs de Microsoft Online Services un ensemble de politiques de sécurité de l'information, clair et concis incluant leurs rôles et responsabilités relatifs aux actifs d information et à la sécurité. Ces politiques donnent des orientations quant à la protection appropriée de Microsoft Online Services. La politique a été créée comme composant d'un Système de Management de la l'information (SMSI) global pour Microsoft Online Services. La politique a été examinée, approuvée et avalisée par la direction de Microsoft Online Services. La disposition «Rôles et responsabilités»est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe 8.1. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Chaque version approuvée par la direction de la politique de sécurité de l'information et ses mises à jour ultérieures sont distribuées à l'ensemble des parties prenantes impliquées. La politique de sécurité de l'information est communiquée à l'ensemble des équipes (existantes ou nouvelles) de Microsoft Online Services. Toutes les équipes de Microsoft Online Services indiquent qu'elles ont pris connaissance et qu'elles approuvent toutes les mesures définies dans les documents de la politique de sécurité de l'information. Toutes les équipes des fournisseurs de Microsoft Online Services approuvent les mesures pertinentes définies dans la politique. Si une de ces parties n'a pas accès à cette politique pour quelque raison que ce soit, il est de la responsabilité de l'agent de supervision de Microsoft de leur fournir les documents correspondants. Les dispositions «Responsabilité de la direction» et «Implication de la direction vis-à-vis de la sécurité de l'information» sont abordées dans la norme ISO 27001, notamment dans la Clause 5, et à l'annexe A, Paragraphe 6.1. Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 25

26 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles IS-15 à IS-17 IS-15 l'information - Séparation des fonctions IS-16 l'information - Responsabilité de l'utilisateur ( Version R1.1. Finale) Des politiques, processus et procédures doivent être mis en œuvre pour faire respecter et assurer une séparation correcte des fonctions. Dans les cas où une contrainte de conflit d intérêt sur le rôle de l'utilisateur existe, des contrôles techniques doivent être en place pour atténuer tout risque de modification non autorisée ou non intentionnelle ou de mauvaise utilisation des actifs d informations de l'organisation. Les utilisateurs doivent être sensibilisés à leurs responsabilités pour : Maintenir la sensibilisation et la conformité avec les politiques de sécurité publiées, les procédures, normes et exigences réglementaires applicables Maintenir un environnement de travail sûr et sécurisé Laisser un équipement sans surveillance de façon sécurisée Les services Office 365 peuvent avoir des équipes distinctes pour le développement et l exploitation des services hébergés, afin de respecter le principe de séparation des fonctions. L accès aux codes sources, aux serveurs de construction et à l'environnement de production est strictement contrôlé. Par exemple: - l'accès à l'environnement de production des services Office 365 est limité au personnel d'exploitation. Les équipes de développement et de test peuvent éventuellement avoir des droits d'accès aux informations fournies depuis l'environnement de production pour pouvoir intervenir dans les recherches de pannes. - l'accès au contrôle des codes sources des services Office 365 est limité au personnel d ingénierie; le personnel d'exploitation ne peut pas modifier les codes sources. Le personnel de Microsoft construit les serveurs avant qu'ils ne soient mis en service pour l'environnement multi-locataires. Une fois la construction d'un serveur terminée, les droits d'accès des équipes de construction sont révoqués. A partir du moment où le serveur est mis en service, la possibilité d'obtenir des droits d'accès sur un système s exécutant sur le serveur est très limitée pour le personnel Microsoft. L'équipe de support peut obtenir un accès après demande d'un ticket d'intervention, si elle doit accéder au système ou faire une mise à jour pour l installation d'un logiciel ou la résolution d'un problème. Dans ces cas, le journal d'audit indique qui s'est connecté et à quel moment. Les procédures utilisées par Office 365 sont conformes avec les certifications que Microsoft entretient. La séparation des tâches est mise en œuvre pour les fonctions sensibles et/ou critiques dans les environnements Microsoft Online Services, dans le but de limiter les risques de fraude, d utilisation inappropriée ou d erreur. La disposition «Séparation des tâches» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Tous les employés Office 365 concernés participent à un programme de formation à la sécurité de Microsoft Online Services ; par la suite, ils participent à des sessions régulières de mise à niveau, si nécessaire. La sensibilisation à la sécurité fait partie d'un processus continu et est entrepris au minimum une fois par an pour réduire les risques. Tous les fournisseurs de Microsoft Online Services doivent mettre en place pour leurs équipes des formations appropriées, correspondant aux prestations fournies et aux rôles qu ils remplissent. La disposition «Responsabilités de l'utilisateur» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 26

27 IS-17 l'information - Espace de travail Des politiques et procédures doivent être établies pour enlever les documents visibles contenant des données sensibles quand un espace de travail est sans surveillance et pour l'application de la déconnexion de session du poste au-delà d une période d'inactivité. Les contrôles techniques et procéduraux font partie des politiques de Microsoft ; ils s'appliquent notamment à des sujets tels que les exigences de déconnexion automatique des sessions. La disposition «Responsabilités de l'utilisateur» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 27

28 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles IS-18 à IS-19 IS-18 l'information - Chiffrement IS-19 l'information - Gestion des clés de chiffrement ( Version R1.1. Finale) Des politiques et procédures doivent être établies et des mécanismes mis en œuvre pour le chiffrement des données sensibles au niveau du stockage (par exemple, serveurs de fichiers, bases de données et postes de travail des utilisateurs) et des données en transit (par exemple, interfaces entre systèmes, réseaux publics et messagerie électronique). Des politiques et procédures doivent être établies et des mécanismes de gestion efficace des clés mis en œuvre pour permettre le chiffrement des données au niveau du stockage et de la transmission. Le chiffrement est fourni sur différentes couches, telles que la couche Transport, le chiffrement entre les clients et Exchange Online (SSL), la messagerie instantanée (IM) et la fédération IM. Pour plus d'informations, consultez le document du service de sécurité Office 365 disponible sur le Centre de téléchargement. De plus, nous prenons en charge S/MIME, Active Directory Rights Management Services (RMS) ou PGP. Office 365 ne chiffre pas actuellement les données au repos, cependant le client pourrait le faire via IRM ou RMS. La disposition «Échange des informations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO Le chiffrement est fourni sur différentes couches, telles que la couche Transport, le chiffrement entre les clients et Exchange Online (SSL), la messagerie instantanée (IM) et la fédération IM. Pour plus d'informations, consultez le document du service de sécurité Office 365 disponible sur le Centre de téléchargement. De plus, nous prenons en charge S/MIME, Active Directory Rights Management Services (RMS) ou PGP. Office 365 ne chiffre pas actuellement les données au repos, cependant le client pourrait le faire via IRM ou RMS. La disposition «Procédures de manipulation des informations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 28

29 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôle IS-20 ( Version R1.1. Finale) Microsoft Online Services implémente des technologies pour analyser l'environnement à la recherche de vulnérabilités. Les vulnérabilités identifiées sont tracées, puis vérifiées en vue d'une correction. IS-20 l'information Gestion des vulnérabilités et des correctifs Des politiques et procédures doivent être établies et un mécanisme mis en œuvre pour la gestion des vulnérabilités et des correctifs, en s'assurant que les vulnérabilités au niveau applications, systèmes et équipements réseau sont évaluées et que les correctifs de sécurité mis à disposition par les fournisseurs sont appliqués en temps opportun dans une approche fondée sur le risque pour prioriser les correctifs critiques. De plus, des évaluations de vulnérabilité/pénétration pour identifier les vulnérabilités et déterminer si les contrôles logiques fonctionnent correctement sont effectuées. Le service MSRC (Microsoft Security Response Service) surveille régulièrement les sites externes d'information sur les vulnérabilités de sécurité. Dans le cadre du processus régulier de gestion des vulnérabilités, Microsoft Online Services évalue l exposition des services Office 365 à ces vulnérabilités et mène des actions sur l'ensemble de Microsoft Online Services pour atténuer les risques lorsque cela est nécessaire. Le Microsoft Security Response Center (MSRC) publie des bulletins de sécurité tous les deuxièmes mardis du mois («Patch Tuesday»), et chaque fois que cela est nécessaire pour atténuer des exploits de type «zero-day». Si le code de preuve de concept est disponible publiquement en ce qui concerne un exploit possible, ou si un nouveau correctif de sécurité critique est publié, Microsoft Online Services est tenu d'appliquer les correctifs sur les systèmes concernés en accord avec la politique d application des correctifs, afin de corriger la vulnérabilité sur l'environnement hébergé du client. La disposition «Mesure relative aux vulnérabilités techniques» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 29

30 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles IS-21 à IS-22 ( Version R1.1. Finale) IS-21 l'information - Anti-Virus / Logiciels malveillants IS-22 l'information - Gestion des incidents S'assurer que tous les programmes antivirus sont capables de détecter, supprimer et protéger contre tous les types connus de logiciels malveillants ou non autorisés avec des mises à jour de signatures antivirus au moins toutes les 12 heures Une politique, des processus et procédures doivent être établis pour assurer la sélection des événements relatifs à la sécurité et assurer une gestion minutieuse des incidents en temps opportun. Microsoft Online Services exécute à différents niveaux plusieurs logiciels anti-virus pour garantir la protection contre les logiciels malveillants les plus répandus. Par exemple, les serveurs de l'environnement Microsoft Online Services exécutent un logiciel antivirus qui analyse les fichiers envoyés et téléchargés sur le service à la recherche de virus. De plus, les serveurs de messagerie de Microsoft Exchange exécutent un logiciel anti-virus supplémentaire qui analyse spécialement les messages électroniques à la recherche de logiciels malveillants. Des informations complémentaires peuvent être obtenues dans les descriptions de service et le contrat de niveau de service (SLA ou Service Level Agreement). Microsoft dispose aussi du MSRC (Microsoft Security Response Center) qui fournit des informations à l'ensemble de ses clients sur toute la gamme des produits Microsoft. Des informations complémentaires peuvent être obtenues à l'adresse suivante : La disposition «Protection contre les codes malveillant et mobile» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft Online Services a développé des processus fiables pour fournir une réponse coordonnée aux incidents, si un incident devait se produire. Un incident de sécurité peut comprendre les cas suivants, sans être exhaustif : virus de courrier électronique, logiciels malveillants, vers, attaques de déni de service, accès non autorisés, et tout autre type d'activité non autorisée ou illégale impliquant les réseaux informatiques ou les équipements de traitement des données de Microsoft Online Services. Notre processus comprend les étapes suivantes : Identification, Isolation, Éradication, Récupération et Leçons à retenir. La disposition «Gestion des incidents liés à la sécurité de l information et des améliorations» est abordée dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d'informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 30

31 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôle IS-23 IS-23 l'information - Rapport d'incidents ( Version R1.1. Finale) Les fournisseurs, employés et utilisateurs tiers doivent être tenus informés de leur responsabilité de signaler tous les événements liés à la sécurité de l information en temps opportun. Les événements liés à la sécurité de l'information doivent être rapidement signalés par des canaux de communication prédéfinis et ce de manière conforme avec les exigences légales, réglementaires et contractuelles. La totalité des incidents, faiblesses et dysfonctionnements de sécurité concernant Microsoft Online Services doit être immédiatement consignée dans un rapport par les équipes respectives de Microsoft Online Services et de ses fournisseurs. La consignation et la gestion de ces événements respectent les procédures prescrites, en application de la politique définie et implémentée. Microsoft Online Services a développé des processus robustes pour fournir une réponse coordonnée aux incidents, si un incident devait se produire. Un événement de sécurité peut comprendre, entre autres, l'accès illégal aux données du client stockées sur nos équipements et installations, ainsi que les accès non autorisés entrainant des pertes, des divulgations ou des altérations des données du client. Le processus de réponse aux incidents de sécurité de Microsoft Online Services comprend les phases suivantes : Identification Les alertes du système et de la sécurité doivent être collectées, corrélées et analysées. L'investigation sur les événements est assurée par les services d'exploitation et de sécurité de Microsoft Online. Si un événement indique un problème de sécurité, l'incident fait l'objet d'une classification de sévérité et d'une procédure d'escalade appropriée au sein de Microsoft. L'escalade implique tous les spécialistes produits, sécurité et ingénierie. Isolation L'équipe d'escalade évalue la portée et l'impact de l'incident. La priorité immédiate de l'équipe d'escalade est de s'assurer que l'incident est circonscrit et que les données sont intègres. L'équipe d'escalade formule la réponse, réalise les tests appropriés et implémente les modifications. Si une investigation approfondie est requise, le contenu est collecté depuis les systèmes concernés, en utilisant les meilleurs logiciels d investigation judiciaire et les meilleures pratiques du secteur. Éradication Une fois que la situation est sous contrôle, l'équipe d'escalade se consacre à l'éradication de tous les dommages provoqués par la faille de sécurité, et identifie la cause initiale ayant entrainé le problème de sécurité. Si une vulnérabilité est déterminée, l'équipe d'escalade communique le problème aux ingénieurs produit. Recouvrement Pendant la phase de recouvrement, les mises à jour des logiciels ou des configurations sont mises en œuvre sur le système pour permettre aux services de retrouver leur capacité de fonctionnement optimale. Leçons à retenir Chaque incident de sécurité est analysé pour garantir que les mesures d atténuation appropriées ont été appliquées pour se protéger à l'avenir contre les mêmes incidents. Les dispositions «Remontée des failles de sécurité» et «Responsabilités et procédures» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphe et Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 31

32 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles IS-24 à IS-26 IS-24 l'information - Préparation juridique de réponse aux incidents IS-25 l'information - Évaluation de la réponse à l'incident IS-26 l'information - Utilisation correcte ( Version R1.1. Finale) Dans le cas où une action de suivi concernant une personne ou une organisation après un incident lié à la sécurité de l information nécessiterait une action en justice, des procédures d investigation appropriées incluant la chaîne de responsabilité des dépositaires de l information devraient être requises pour la collecte, la rétention, et la présentation de preuves pour appuyer une potentielle action en justice assujettie à la juridiction concernée. Des mécanismes doivent être mis en place pour surveiller et quantifier les types, volumes et coûts des incidents liés à la sécurité de l information. Les politiques et procédures doivent être établies pour une utilisation correcte des actifs informationnels. En tant que partie intégrante de l'étape «Isolement» de notre processus de réponse aux incidents de sécurité, la priorité immédiate de l'équipe d'escalade est de s'assurer que l'incident est circonscrit et que les données sont intègres. L'équipe d'escalade formule la réponse, réalise les tests appropriés et implémente les modifications. Si une investigation approfondie est requise, le contenu est collecté depuis les systèmes concernés, en utilisant les meilleurs logiciels d investigation judiciaire et les meilleures pratiques du secteur. Les dispositions «Plan de réponse aux incidents de sécurité» et «Collecte de preuves» sont abordées dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Lorsqu'un incident se produit, l'organisation de gestion du risque évalue les incidents pour définir leur sévérité. Cela se fait avec l'appui des représentants des propriétés affectées. Une estimation précise de la sévérité de l'incident permettra à l'équipe de déterminer la portée de ses communications et la formulation d'une stratégie de réponse. Le niveau de sévérité d'un incident peut être revu, à mesure que des informations complémentaires apparaissent au cours de l'investigation. Il est de la responsabilité de l'équipe de gestion des incidents de sécurité de mettre à jour le niveau de sévérité et d'en informer les parties prenantes. Les dispositions «Gestion des incidents liés à la sécurité de l information et des améliorations» et «Exploitation des incidents liés à la sécurité de l information déjà survenus» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO La politique de droit d'utilisation des produits a été développée et implémentée pour compléter les normes d'usage courantes de Microsoft, avec les critères d'utilisation courants spécifiques à Microsoft Online Services. Pour les actifs technologiques de Microsoft Online Services, les composants des infrastructures et les technologies des services. Les droits d'utilisation des produits sont disponibles à l'adresse suivante : La disposition «Utilisation correcte des actifs» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 32

33 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles IS-27 à IS-29 ( Version R1.1. Finale) IS-27 l information Restitution des Actifs IS-28 l information - Transactions de commerce électronique IS-29 s l information Accès aux outils d audit Les employés, les fournisseurs et utilisateurs de sociétés tierces doivent restituer tous les actifs propriété de l organisation dans un délai défini et documenté une fois la durée d emploi, de contrat ou d accord terminée. Les données de commerce électronique (ecommerce) qui traversent les réseaux publics doivent être classifiées de manière appropriée et protégées de toute activité frauduleuse, de divulgation non-autorisée ou de modification, de manière à prévenir toute contestation contractuelle ou compromission de données L accès aux et l utilisation des outils d audit qui interagissent avec les systèmes d information des organisations devront être segmentés et restreints de manière appropriée pour prévenir toute compromission ou utilisation abusive ou erronée des données journalisées Les employés, les fournisseurs et utilisateurs de sociétés tierces sont formellement notifiés de détruire ou restituer,selon le cas, tout matériel physique que Microsoft leur a fourni durant la durée de leur emploi ou la période de contrat avec le fournisseur, et tout support électronique doit être déconnecté de l infrastructure du fournisseur ou de la société tierce. Microsoft peut également conduire un audit pour s assurer que les données sont retirées de manière appropriée. La disposition «Restitution des actifs» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Office 365 n est pas une solution de commerce électronique (ecommerce). Cependant, le chiffrement est disponible sur plusieurs niveaux, tels que la couche Transport, le chiffrement entre les clients et Exchange Online (SSL), la messagerie instantanée et la fédération de messagerie instantanée. Pour plus d informations, consultez le document du service de sécurité Office 365 disponible sur le Centre de téléchargement. De plus, nous prenons en charge S/MIME, Active Directory Rights Management (AD RMS) ou PGP. Un modèle de gestion déléguée n autorise aux administrateurs que les accès dont ils ont besoin pour accomplir des tâches spécifiques, réduisant la probabilité d erreurs et n autorisant l accès aux systèmes et fonctions que sur une base du strict nécessaire. Microsoft Online Services possède des processus formels de surveillance qui incluent un examen à intervalles réguliers des procédures d exploitation normalisées et une revue des processus et procédures de supervision. Les dispositions «Protection des outils d audit du système d information» et «Protection des informations journalisées» sont abordées dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe et Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 33

34 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles IS-30 à IS-31 IS-30 l information Accès aux ports de diagnostic / configuration IS-31 l information Services Réseau/ Infrastructure ( Version R1.1. Finale) L accès des utilisateurs aux ports de diagnostic et de configuration doit être restreint aux personnes et applications autorisées. Les accords sur le niveau de service réseau et infrastructure (en interne ou externalisé) devront clairement documenter les contrôles de sécurité, les niveaux de service et de dimensionnement, et les exigences métier ou clients. La politique de contrôle d accès est un composant de la politique globale qui fait l'objet d'un processus formel de réexamen et de mise à jour. L'accès aux actifs de Microsoft Online Services est autorisé en fonction des exigences du domaine d'activité et sur autorisation du propriétaire des actifs. De plus : L'accès aux actifs est autorisé en fonction des principes need-toknow (besoin d en connaître) et least-privilege (droit d'accès minimal). Lorsque cela est possible, les contrôles d'accès basés sur les rôles sont utilisés pour allouer des accès logiques à une fonction ou à une zone de responsabilité, plutôt qu'à une personne. Les politiques de contrôle d'accès physique et logique sont conformes aux normes. Microsoft Online Services contrôle l accès physique aux ports de diagnostic et de configuration par le biais de contrôles physiques du centre de données qui sont décrits et en s appuyant sur des procédures pour contrôler l accès physique au port. Les ports de diagnostic et de configuration sont uniquement accessibles par accord entre le propriétaire de l actif/service et le personnel de support matériel/logiciel demandant l accès. Les ports, les services, et équipements similaires installés sur un ordinateur ou un équipement réseau, qui ne sont pas spécifiquement requis pour une fonction métier, sont désactivés ou retirés. La disposition «Mesures de contrôle sur les réseaux» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe , , et Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Dimensionnement : une surveillance proactive mesure en continu la performance des sous-systèmes clé la plateforme de services Office 365 au regard des limites établies pour des performances et une disponibilité du service acceptables. Quand un seuil est atteint ou un événément irrégulier se produit, le système de surveillance engendre des avertissements pour que l équipe des opérations puisse traiter le seuil ou l événément. Les performances système et l'utilisation des capacités est prévue de manière proactive pour optimiser l'environnement. Sécurité : Les réseaux internes des centres de données Office 365 sont conçus pour créer plusieurs segments réseau séparés à l intérieur de chaque centre de données. Cette segmentation permet de fournir une séparation physique des serveurs d arrière-plan et des dispositifs de stockage critiques vis-à-vis des interfaces publiques. Les dispositions «La sécurité dans les accords conclus avec des tiers» et «s services réseau» sont abordées dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe et Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 34

35 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles IS-32 à LG-01 IS-32 l information- Equipements portables / Mobiles ( Version R1.1. Finale) Des politiques et procédures devront être établies et des mesures implémentées pour limiter de manière stricte l accès aux données sensibles depuis les équipements portables et mobiles, tels que ordinateurs portables, téléphones cellulaires, et assistants personnels digitaux (PDA), qui sont en général plus à risque que des équipements non-portables (par ex. poste de travail fixe dans les bâtiments de l organisation). Les équipements mobiles (i.e portables, smartphones, etc.) ne sont pas autorisés à l intérieur ou directement connecté à tout environnement de production de Microsoft Online Services, excepté si ces équipements ont été approuvés pour une utilisation pour la gestion des services de Microsoft Online. Office 365 supporte pour les clients une gamme d équipements mobiles pour l accès au service Office 365. Dans ce cas, le client est responsable de l adhésion à ses politiques et à la protection appropriée des systèmes d extrémité. La disposition «Informatique et communications mobiles» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. IS-33 l information Restriction d accès au code source IS-34 l information Accès des programmes utilitaires LG-01 Juridique Accords de confidentialité L accès au code source des applications, programmes ou objets devra être restreint au personnel autorisé sur la base du «besoin d en connaitre». Des enregistrements devront être maintenus quant à à la permission d accès au niveau individuel, la raison de l accès et la version du code source exposé. Les programmes utilitaires capables de potentiellement de contourner les contrôles système, objet, réseau, machine virtuelle et applications devront être restreints. Les exigences pour les accords de nondivulgation ou de confidentialité reflétant les besoins de l organisation pour la protection des données et des détails opérationnels seront identifiés, documentés et ré-examinés à intervalles planifiés. L accès aux bibliothèques de code source de Microsoft Online Services est limité aux membres autorisés de l équipe de Microsoft Online Services et aux fournisseurs de Microsoft Online Services. Lorsque cela est faisable, les bibliothèques de code source sont maintenues dans les espaces de travail projet séparés pour des projets indépendants. L équipe de Microsoft Online Services et l équipe du fournisseur Microsoft Online Services se voient attribuer l accès uniquement aux espaces de travail auxquels ils leur est nécessaire d accéder pour exercer leur fonction. Un journal d audit qui détaille les modifications à la bibliothèque de code source est maintenu et examiné lors d audits réguliers. La disposition «Contrôle d accès et contrôle d accès au code source du programme» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe 11 et , Pour plus d'informations, il est conseillé de consulter la norme ISO disponible publiquement, pour laquelle nous sommes certifiés Active Directory possède des mécanismes qui restreignent l accès et journalisent les activités. La disposition «Authentification de l utilisateur pour les connexions externes» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Les services juridique et des ressouces humaines Microsoft maintiennent des politiques et des procédures définissant l implémentation et l exécution des contrats de non-divulgation et de confidentialité. La disposition «Engagements de confidentialité» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 35

36 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles LG-02 à OP-01 LG-02 Juridique Accords conclus avec des tiers OP-01 Opérations Politique de gestion ( Version R1.1. Finale) Pour tous les accords conclus avec des tiers qui, directement ou indirectement, impactent les actifs informationnels ou données de l organisation, il est exigé d inclure la couverture de toutes les exigences de sécurité appropriées. Ceci concerne les accords impliquant le traitement, l accès, la communication, l hébergement ou la gestion des actifs informationnels de l organisation, ou l ajout ou la suppression de services ou produits à l information existante. Les accords d approvisionnement des actifs devront inclure des contrôles de sécurité (i.e. chiffrement, contrôles d accès, et prévention de fuite) et d intégrité pour les données échangées pour prévenir une divulgation, altération ou destruction incorrectes. Les politiques et procédures doivent être établies et rendues disponibles pour l'ensemble du personnel afin d'assurer de manière adéquate le rôle des opérations des services. Les standards de Microsoft Online Services spécifient que l organisation de gestion des risques de Microsoft Online Services approuve certains échanges avec des parties en-dehors de Microsoft Online Services. Dans le cadre de ce processus, l organisation de gestion de risque s assure que les échanges des actifs de sensibilité haute (dont la perte pourrait engendrer un impact direct et important sur le métier et inclut des informations personnelles identifiantes hautement sensibles) et moyenne (dont la perte pourrait engendrer un impact indirect limité sur le métier et inclut des informations personnelles identifiantes) avec des parties non-microsoft sont faits uniquement dans le cadre d une procédure formelle. La disposition «La sécurité dans les accords conclus avec des tiers» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. En cohérence avec la politique Microsoft, les dirigeants qui recrutent définissent les exigences du poste avant tout recrutement, entretien et embauche. Les exigences du poste décrivent les responsabilités principales et les tâches impliquées par le poste, l expérience nécessaire pour exécuter le travail et les caractéristiques personnelles requises. Une fois les exigences déterminées, les dirigeants créent une description de poste, qui constitue le profil du poste et est utilisé pour identifier les candidats potentiels. Lorsque des candidats viables sont identifiés, le processus d entretien commence pour l évaluation des candidats et prendre une décision d embauche appropriée. La disposition «Politique de sécurité de l information» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe 5.1. Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 36

37 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles OP-02 à OP-04 OP-02 Gestion des Opérations - Documentatio n ( Version R1.1. Finale) La documentation du système d information (i.e.,guides administrateur et utilisateur, diagrammes d architecture, etc.) doivent être mis à la disposition du personnel autorisé à assurer les éléments suivants: Configuration, installation, et gestion du système d information Utilisation efficace des fonctions de sécurité du système Les procédures normalisées d'exploitation sont formellement documentées et approuvées par la direction de Microsoft Online Services. Les procédures normalisées d'exploitation sont passées en revue au moins une fois par an. Microsoft Online Services met à la disposition de la documentation complète que ce soit sous forme de guide, aide, formation et aide au dépannage dans le cadre du Service Office 365. Dans le portail de l'administration, sont inclus des liens vers de nombreuses ressources disponibles, y compris: - Des articles d aide pour les utilisateurs et les administrateurs qui doivent gérer Office 365 Des vidéos pour les administrateurs Exchange Des articles et étapes requises pout configurer des environnements hybrides Des forums/wiki communautaires où des articles d aide et des livres blancs sont publiés Tableau de bord sur la santé du service pour des informations concernant les pannes ou problèmes. OP-03 Gestion des Opérations Planification du dimensionnem ent et des ressources La disponibilité, la qualité de même que le dimensionnement et les ressources adéquats doivent être planifiés, préparés et mesurés pour offrir les performances du système requise conformément aux exigences réglementaires, contractuelles et commerciales. Des projections sur les besoins futurs de dimensionnement doivent être prises pour atténuer les risques de surcharge du système. Les dispositions «Procédures d exploitation documentées» et «la documentation système» sont abordées dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe et Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft a mis en place les processus opérationnels suivants : gestion proactive des capacités basée sur des seuils ou des événements définis; surveillance matérielle et logicielle du sous-système pour un niveau de performance et une disponibilité de service acceptables, utilisation CPU, utilisation des services,utilisation du stockage et latence du réseau. La disposition «Dimensionnement» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. OP-04 Gestion des opérations Maintenance du matériel Des politiques et procédures doivent être établies pour la maintenance du matériel dans le but d assurer la continuité et la disponibilité des opérations. Un processus pour le développement et le maintien d'une gestion de la continuité des services (Service Continuity Management- SCM) est en place pour l environnement des services Microsoft Online. Le processus comprend une stratégie pour le rétablissement des actifs et la reprise des processus métier clés des services de Microsoft Online. La solution de continuité tient compte des exigences de sécurité, de conformité et de confidentialité de l'environnement de production du service sur le site de secours. La disposition «Maintenance du matériel» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 37

38 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles RI-01 à RI-03 RI-01 Gestion du risque - Programme RI-02 Gestion du risque Management - Evaluation RI-03 Gestion du risque - Atténuation / Acceptation ( Version R1.1. Finale) Les organisations doivent élaborer et maintenir un cadre de gestion du risque au niveau de l entreprise pour gérer le risque à un niveau acceptable. En alignement avec le cadre utilisé à l échelle de l'entreprise, des évaluations de risques formelles doivent être effectuées au moins chaque année ou à intervalles planifiés, pour déterminer la probabilité et l'impact de tous les risques identifiés, en utilisant des méthodes qualitatives et quantitatives. La probabilité et l'impact associé à un risque inhérent et résiduel devraient être déterminés de manière indépendante, compte tenu de toutes les catégories de risques (par exemple, résultats d audits, analyse des menaces et vulnérabilités, et conformité réglementaire). Les risques seront atténués à un niveau acceptable. Les niveaux d'acceptation basés sur les critères de risque doivent être établis et documentés conformément à des délais raisonnables de résolution et d approbation par la direction. Le processus Planifier, Déployer, Contrôler, Agir (PDCA) de l'iso, est utilisé par Microsoft Online Services pour continuellement maintenir et améliorer le cadre méthodologique de la gestion des risques. La disposition «Etablissement du SMSI et cadre de gestion des risques» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. L organisation de la gestion des risques de Microsoft Online Services se base sur le cadre d'évaluation des risques des normes ISO Une partie intégrante de la méthodologie est le processus d'évaluation des risques. La phase d'évaluation des risques commence par l'identification des risques, en établissant un niveau de risque par détermination de la probabilité d'occurrence et de l'impact, et enfin, l'identification des contrôles et des protections qui permettent de réduire l'impact du risque à un niveau acceptable. Des mesures, recommandations et contrôles sont mis en place pour atténuer les risques du mieux possible. La disposition «Etablissement et gestion du SMSI» est abordée dans la norme ISO 27001, spécifiquement à la clause 4.2. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. L organisation de la gestion des risques de Microsoft Online Services se base sur le cadre d'évaluation des risques des normes ISO Une partie intégrante de la méthodologie est le processus d'évaluation des risques. La phase d'évaluation des risques commence par l'identification des risques, en établissant un niveau de risque par détermination de la probabilité d'occurrence et de l'impact, et enfin, l'identification des contrôles et des protections qui permettent de réduire l'impact du risque à un niveau acceptable. Des mesures, recommandations et contrôles sont mis en place pour atténuer les risques du mieux possible. La disposition «Etablissement et gestion du SMSI» est abordée dans la norme ISO 27001, spécifiquement à la clause 4.2. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 38

39 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles RI-04 à RI-05 ( Version R1.1. Finale) RI-04 Gestion du risque - Impacts Métier/change ment de politiques RI-05 Gestion du risque Gestion de l accès des tiers Les résultats de l'évaluation des risques doivent comprendre les mises à jour des politiques de sécurité, procédures, normes et contrôles pour s'assurer qu'ils demeurent pertinents et efficaces. L'identification, l'évaluation et la priorisation des risques posés par les processus métier nécessitant l'accès des tiers aux systèmes d'information et aux données de l'organisation doivent être suivies par une application coordonnée des ressources afin de minimiser, de surveiller et de mesurer la probabilité et l'impact d un accès non autorisé ou inapproprié. Des contrôles compensatoires issus de l'analyse des risques doivent être mis en œuvre avant l autorisation d'accès. Les décisions de mise à jour des politiques et procédures sont basées sur les rapports d'évaluation des risques. Les évaluations des risques sont régulièrement examinées sur une base périodique et en relation avec les changements émergeant dans le paysage des risques. La disposition «Etablissement du SMSI et cadre de gestion des risques» est abordée dans la norme ISO 27001, spécifiquement à l'annexe A, Paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. La politique de contrôle d accès est un composant de la politique globale qui fait l'objet d'un processus formel de réexamen et de mise à jour. L'accès aux actifs de Microsoft Online Services est autorisé en fonction des exigences du métier et sur autorisation du propriétaire des actifs. De plus : L'accès aux actifs est autorisé en fonction des principes need-toknow (besoin d en connaître) et least-privilege (droit d'accès minimal). Lorsque cela est possible, les contrôles d'accès basés sur les rôles sont utilisés pour allouer des accès logiques à une fonction ou à une zone de responsabilité, plutôt qu'à une personne. Les politiques de contrôle d'accès physique et logique sont conformes aux normes. La disposition «Identification des risques provenant des tiers et contrôle d accès» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphes et 11. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 39

40 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles RM-01 à RM-02 RM-01 Gestion des changements Nouveau Dévelopement /Acquisition RM-02 Gestion des changements Changement en production ( Version R1.1. Finale) Des politiques et procédures doivent être établies, pour la gestion des autorisations, pour le développement ou l'acquisition de nouvelles applications, systèmes, bases de données, infrastructures, services, opérations, et installations. Les changements de l'environnement de production doivent être documentés, testés et approuvés avant leur mise en œuvre. Les changements des logiciels et matériels en production peuvent inclure les applications, systèmes, bases de données et les équipements réseau nécessitant des correctifs, Service Packs et autres mises à jour et modifications. Une procédure opérationnelle de contrôle des changements est en place pour les modifications système et services de Microsoft Online. Cette procédure comporte un processus d'examen et d'approbation par la direction de Microsoft Online Services. Cette procédure de contrôle des changements est communiquée à toutes les parties (Microsoft Online Services et les tierces parties) qui effectuent la maintenance du système sur ou à l intérieur de toute installation de Microsoft Online Services. La procédure opérationnelle de contrôle des changements prend en considération les actions suivantes: L'identification et la documentation des changements planifiés Un processus d'évaluation de l'impact possible lié au changement Test du changement dans un environnement hors production agréé Changement du plan de communication Processus d'approbation de la gestion du changement Plan d annulation et plan de reprise du changement (si applicable) Les clients seront notifiés à 12 mois à l avance pour des changements impliquant des perturbations et à un minimum de 5 jours pour une maintenance planifiée; cependant, du fait de la nature mutualisée du service, il n y a pas possibilité pour les clients individuels de définir quand les mises à jour peuvent se produire. La disposition «Management des modifications» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Pour plus d informations voir RM -01. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 40

41 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles RM-03 à RM-05 ( Version R1.1. Finale) RM-03 Gestion des changements Test de qualité RM-04 Gestion des changements Développemen t externalisé RM-05 Gestion des changements Installations de logiciels non autorisés Une procédure pour le suivi et l'évaluation systématiques pour assurer que les normes de qualité sont respectées doit être établie pour tous les logiciels développés par l'organisation. Des critères d évaluation et d'acceptation de la qualité des systèmes d'information, mises à jour et nouvelles versions doivent être établis, documentés et des tests du ou des systèmes doivent être effectués aussi bien pendant le développement et avant approbation pour en garantir le même niveau de sécurité. Le management doit avoir une capacité de supervision claire dans le processus de test de qualité du produit final certifié comme étant «fonctionnel» (le produit doit être adapté à l utilisation visée) et «correct dès la première version» (les erreurs devraient être éliminées) avant la mise à disposition. Un programme pour le suivi et l'évaluation systématiques permettant d assurer que les normes de qualité sont respectées doit être établi pour tous les développements informatiques externalisés. Le développement de tous les logiciels externalisés doit être supervisé et contrôlé par l'organisation et doit inclure des exigences de sécurité, un examen de sécurité de l'environnement externalisé par une personne indépendante et certifiée, des formations certifiées sur la sécurité pour les développeurs de logiciels externalisés, et des revues de code. La certification pour les besoins de ce contrôle doit être définie comme une certification accréditée selon la norme ISO / CEI ou comme une licence ou certification légalement reconnue dans la juridiction législative dans laquelle l'organisation sous-traitant le développement a choisi d être domiciliée. Des politiques et procédures doivent être établies et des mécanismes mis en œuvre pour restreindre l'installation de logiciels non autorisés. Des revues de sécurité critique et des points de contrôle pour approbation sont inclus dans le cycle de développement du système. Les risques métier, opérationnels et techniques sont identifiés et les domaines couverts comprennent la Conformité, la Sécurité, la Confidentialité et de Continuité de Service. En tant que pionnier pour le développement intégrant la sécurité, le «Security Development Lifecycle» est au cœur de Microsoft Online Services. Pour plus d'information visitez: La disposition «Sécurité en matière de développement et d assistance technique» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Microsoft applique le «Security Development Lifecycle», un processus d'assurance de sécurité des logiciels, pour concevoir, développer et mettre en œuvre les services Office 365. Le «Security Development Lifecycle» permet de s'assurer que les services de communication et de collaboration sont hautement sécurisés, même au niveau des fondations. Grâce à des contrôles comme «Etablissement des exigences de conception», «Analyse de la surface d'attaque», et «Modélisation des menaces», le «Security Development Lifecycle» aide Microsoft à identifier: les menaces potentielles lors de l'exécution d'un service, les parties du service qui sont exposées aux attaques. Si des menaces potentielles sont identifiées lors des phases de Conception, Développement, ou Implémentation, Microsoft peut minimiser la probabilité des attaques en limitant les services ou en éliminant les fonctions non nécessaires. Après l'élimination de ces fonctions, Microsoft réduit ces menaces potentielles dans la phase de Vérification par des tests complets des contrôles dans la phase de Conception. Plus d'informations peuvent être trouvées dans: La disposition «Sécurité en matière de développement et d assistance technique» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Tous les changements en production passent par le processus de gestion des changements décrit en RM-01. Tout code est explicitement installé sur nos serveurs par les administrateurs à travers le processus de contrôle des changements. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 41

42 Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 42

43 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles RS-01 à R1-02 RS-01 Continuité de l activité Programme de gestion RS-02 Continuité de l activité Analyse d Impact ( Version R1.1. Finale) Une politique, un processus et des procédures définissant la continuité d'activité et la reprise après sinistre doivent être mis en place pour limiter à un niveau acceptable l'impact sur l organisation d'un événement lié à la réalisation d un risque, et faciliter la récupération des actifs informationnels (qui peut être le résultat, par exemple, de catastrophes naturelles, d'accidents, de défaillances des équipements ou d actions délibérées) grâce à une combinaison de contrôles préventifs et de récupération, en conformité avec les exigences réglementaires, statutaires, contractuelles, liées au métier, et conformes aux normes de l'industrie. Ce programme de gestion de la continuité doit être communiqué à tous les participants de l'organisation avec la nécessité de le faire connaître avant adoption et doit également être publié, hébergé, stocké, enregistré et diffusé sur plusieurs sites qui doivent être accessibles en cas d'incident. Il doit y avoir une méthode définie et documentée pour déterminer l'impact de toute perturbation sur l'organisation devant intégrer les éléments suivants: Identifier les produits et services critiques Identifier toutes les dépendances, y compris les processus, les applications, les partenaires commerciaux et les fournisseurs de services tiers Comprendre les menaces sur les produits et services critiques Déterminer les impacts résultant de perturbations planifiées ou non et comment celles-ci varient au fil du temps Établir le délai maximale tolérable pour les perturbations Établir des priorités pour le rétablissement Établir des objectifs de temps de reprise pour le rétablissement des produits et des services critiques dans leur délai maximal tolérable de perturbation Estimer les ressources nécessaires pour la reprise Un processus pour le développement et le maintien d'une gestion de la continuité des services (Services Continuity Management ou SCM) est en place pour l'environnement de Microsoft Online Services. Le processus comprend une stratégie pour le recouvrement des actifs de Microsoft Online Services et la reprise des processus métier clés de Microsoft Online Services. La solution de continuité de l activité reproduit les exigences de sécurité, de conformité et de confidentialité de l'environnement de production de service sur le site de secours La disposition «Gestion de la continuité de l activité d un point de vue aspects de la sécurité de l information» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Une analyse d'impact sur l activité est réalisée et examinée à intervalles appropriés. L'analyse comprend: L'identification des menaces en rapport avec l'environnement métier et le processus de Microsoft Online Services. Une évaluation des menaces identifiées, y compris les impacts potentiels et les dommages possibles. Une stratégie approuvée par la direction pour l'atténuation des menaces importantes identifiées, et pour le rétablissement des processus métier critiques La disposition «Gestion de la continuité de l activité d un point de vue aspects de la sécurité de l information» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 43

44 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles RS-03 à R1-05 RS-03 Continuité de l activité Plan de continuité de l activité ( Version R1.1. Finale) Un cadre cohérent pour le plan de continuité de l activité et son plan de développement doit être établi, documenté et adopté pour s'assurer que tous les plans de continuité de l activité sont cohérents dans la prise en compte des priorités sur les exigences concernant les tests, la maintenance et la sécurité de l'information. Les exigences pour les plans de continuité d'activité incluent les points suivants: Objectif et périmètre définis et alignés avec les dépendances pertinentes Accessible et comprise par ceux qui vont les utiliser Détenus par une personne nommée (s) qui est responsable de leur examen, mise à jour et approbation Les lignes de communication, les rôles et responsabilités définis Procédures de reprise détaillées, solution de contournement manuelle et informations de référence Méthode pour l'invocation du plan Microsoft Online Services maintient un cadre qui est conforme aux meilleures pratiques de l industrie et de Microsoft qui concerne le programme de continuité d activité à tous les niveaux. Le cadre de Microsoft Online Services comprend: Affectation des responsabilités pour chaque ressource clé Processus de notification, d escalade et de déclaration Objectifs de temps de reprise et des objectifs de points de reprise Plans de continuité avec procédures documentées Programme de formation pour la préparation de toutes les parties impliquées dans l exécution du plan de continuité Un processus de test, de maintenance et de révision La disposition «Gestion de la continuité de l activité, d un point de vue aspects de la sécurité de l information» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO RS-04 Continuité de l activité Test de la continuité d activité RS-05 Continuité de l activité Risques Environnemen taux Les plans de continuité d activité doivent être soumis à test à intervalles planifiés ou suite à d'importants changements organisationnels ou environnementaux pour s assurer de la continuité de leur efficacité. La protection physique contre les dommages provoqués par des causes et catastrophes naturelles ainsi que des attaques délibérées, y compris incendie, inondation, décharge électrique atmosphérique, tempête géomagnétique solaire, vent, séisme, tsunami, explosion, accident nucléaire, activité volcanique, dangers biologiques, troubles civils, coulées de boue, activité tectonique, et autres formes de catastrophes naturelles ou d'origine humaine doit être prévue, conçue et les contre-mesures appliquées. Les plans de reprise sont validés sur une base régulière en accord avec les meilleures pratiques de l'industrie pour s'assurer que les solutions sont viables à l'occurrence d un événement. La disposition «Mise à l essai, gestion et réévaluation constante des plans de continuité de l activité» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Les contrôles environnementaux ont été mis en œuvre pour protéger le centre de données, y compris: Régulation de température Chauffage, ventilation et climatisation (CVC) Systèmes de détection d'incendie et d'extinction Systèmes de gestion d'alimentation La disposition «Protection contre les menaces extérieures et Environnementales» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 44

45 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles RS-06 à R1-08 RS-06 Continuité de l activité Emplacement du matériel RS-07 Continuité de l activité Pannes d alimentation du matériel ( Version R1.1. Finale) Pour réduire les risques liés aux menaces environnementales, dangers et opportunités d'accès non autorisés, le matériel doit être situé loin des endroits sujets à des risques environnementaux à forte probabilité et renforcé par du matériel redondant situé à une distance raisonnable. Des mécanismes de sécurité et des redondances doivent être mis en œuvre pour protéger le matériel contre les indisponibilités de services généraux (par exemple, pannes d'électricité, perturbations réseau, etc.) Le matériel de Microsoft Online Services est placé dans des environnements qui ont été conçus pour protéger des risques de vol ou liés à l environnement tels que le feu, la fumée, l eau, la poussière, les vibrations, séismes, et les interférences électriques. Les dispositions «Protection contre les menaces extérieures et Environnementales» et «Choix de l emplacement et protection du matériel» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO Les centres de données sont équipés d onduleurs 24x7 dédiés et d un support d alimentation électrique d urgence, à savoir des générateurs. Les onduleurs et les générateurs sont entretenus et testés régulièrement. Les centres de données ont pris des dispositions pour la livraison de carburant dans des conditions d urgence. Le centre de données dispose d'un centre dédié pour les opérations liées aux installations pour surveiller les éléments suivants: Systèmes d'alimentation, incluant tous les composants électriques critiques - générateurs, commutateur de transfert, appareillage de commutation principal, module de gestion de l'alimentation et onduleurs Le système de chauffage, ventilation et climatisation (CVC), qui contrôle et surveille la température et l'humidité de l espace au sein des centres de données, la pression et la prise d'air extérieur. Des systèmes de détection et d extinction d'incendie sont présents dans tous les centres de données. De plus, des extincteurs portatifs sont disponibles à divers endroits dans le centre de données. L'entretien courant est réalisé sur le matériel de protection environnemental et de protection des installations. Les dispositions «Protection contre les menaces extérieures et Environnementales» et «Services généraux» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. RS-08 Continuité de l activité Alimentation électrique / Telecommunic ations Le matériel de télécommunications, le câblage et les relais chargés de séparer les données et les services généraux doivent être protégés contre l'interception et les dommages et conçus avec de la redondance, des sources d'énergie de secours et un routage alternatif. Les dispositions «Sécurité du câblage» et «Services généraux» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 45

46 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôle SA-01 SA-01 Architecture de Sécurité Exigences pour les accès client ( Version R1.1. Finale) Avant d'accorder aux clients l'accès aux données, actifs et systèmes d'information, toutes les exigences de sécurité, contractuelles et réglementaires identifiées pour autoriser l'accès au client doivent être adressées et corrigées. Nos clients du monde entier sont soumis à de nombreuses lois et règlements différents. Les exigences légales liées à un pays ou une industrie peuvent être incompatibles avec les exigences légales applicables ailleurs. En tant que prestataire de services de Cloud au niveau mondial, nous devons exécuter nos services en implémentant des pratiques opérationnelles et des fonctions qui soient communes vis-à-vis de nombreux clients et juridictions. Pour aider nos clients à se conformer à leurs propres exigences, nous construisons nos services avec à l esprit des exigences communes d un point de vue confidentialité et sécurité. Dans la mesure où nous avons identifié le travail au niveau sécurité, contractuel et règlementaire qui nous sera exigé pour le client, nous avons abordé et corrigé ces exigences grâce à un ensemble de tests effectués avant la mise à disposition des services et conduits également par la suite. Cependant, il est au final de la responsabilité de nos clients d'évaluer nos offres au regard de leurs propres exigences, afin qu'ils puissent déterminer si nos services répondent à leurs besoins réglementaires. Nous nous sommes engagés à fournir à nos clients des informations détaillées sur nos services de Cloud pour les aider à mener leurs propres évaluations réglementaires. Les dispositions «Identification des risques provenant des tiers» et «Politique de contrôle d accès» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 46

47 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôle SA-02 SA-02 Architecture de Sécurité- Informations d identificatio n utilisateur ( Version R1.1. Finale) Implémenter et faire respecter (grâce à l'automatisation) le contrôle des informations d'identification et de mot de passe de l utilisateur pour les applications, les bases de données et l infrastructure serveur et réseau, en respectant a minima les standards suivants: Vérification de l'identité de l'utilisateur avant réinitialisation du mot de passe. Si la réinitialisation du mot de passe est initiée par une personne autre que l'utilisateur (administrateur), le mot de passe doit être immédiatement changé par l'utilisateur lors de la première utilisation. Révocation de l accès en temps opportun pour les utilisateurs en fin de contrat. Suppression / désactivation des comptes utilisateurs inactifs au moins tous les 90 jours. Identifiants utilisateur uniques et interdiction des comptes et mots de passe génériques, partagés ou de groupe. Expiration du mot de passe au moins tous les 90 jours. La longueur minimale du mot de passe d'au moins sept (7) caractères. Mots de passe forts contenant à la fois des caractères numériques et alphabétiques. Historique de mots de passe avec une valeur minimum de quatre (4). Blocage de l identifiant utilisateur après un maximum six (6) tentatives. Durée de verrouillage de l identifiant utilisateur d un minimum de 30 minutes ou jusqu'à ce que l'administrateur active l'identifiant utilisateur. Nouvelle saisie du mot de passe pour réactiver le terminal après une session inactive depuis plus de 15 minutes. Maintien des journaux d'activité utilisateur pour les accès privilégiés. Microsoft Online Services utilise Active Directory pour gérer l'application de notre politique de mot de passe. Les systèmes de Microsoft Online Services sont configurés pour forcer les utilisateurs à utiliser des mots de passe complexes. Les mots de passe ont une limite de durée de validité et une longueur minimale de caractères. Les exigences de gestion de mots de passe incluent le changement des mots de passe positionnés par défaut par les fournisseurs avant d'introduire le service ou système associés dans tout environnement appartenant à ou opéré par Microsoft Online Services. Les dispositions «Enregistrement des utilisateurs» et «Gestion du mot de passe utilisateur» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 47

48 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles SA-03 à SA-04 SA-03 Architecture de Sécurité- Sécurité/Intégr ité des données SA-04 Architecture de Sécurité- s applications ( Version R1.1. Finale) Des politiques et procédures doivent être établies et des mécanismes mis en œuvre pour assurer la sécurité (par exemple, le chiffrement, les contrôles d'accès, et la prévention des fuites) et l'intégrité des données échangées entre une ou plusieurs interfaces système, juridictions, ou avec un fournisseur tiers de services partagés, pour empêcher la divulgation inappropriée, l altération ou destruction, en conformité avec les exigences législatives, réglementaires et contractuelles. Les applications doivent être conçues conformément aux normes de sécurité acceptées par l'industrie (par exemple, OWASP pour les applications web) et être conformes aux exigences réglementaires et métier applicables. Afin de minimiser les risques associés à l'échange d'actifs entre organisations, les échanges entre des organisations internes ou externes sont assurés de manière prédéfinie et l'accès aux environnements de production de Microsoft Online Services par le personnel interne et le personnel des fournisseurs est étroitement contrôlé. Les dispositions «Politiques et procédures d échange des informations» et «Fuite d informations» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes et respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Security Development Lifecycle (cycle de développement sécurisé): Microsoft applique le Security Development Lifecycle, un processus d'assurance de sécurité des logiciels, pour concevoir, développer et mettre en œuvre les services Office 365. Security Development Lifecycle permet de s'assurer que les services de communication et de collaboration sont hautement sécurisés, y compris au niveau des fondations. Grâce à des contrôles comme «Etablir les exigences de conception», «Analyser la surface d'attaque», et «Modélisation des menaces», Security Development Lifecycle aide Microsoft à identifier: Les menaces potentielles lors de l'exécution d'un service, les aspects exposés du service qui sont ouverts aux attaques. Si des menaces potentielles sont identifiées durant les phases de Conception, Développement, ou Implémentation, Microsoft peut minimiser la probabilité d'attaques en limitant ou en éliminant des fonctions inutiles. Après l'élimination des fonctions inutiles, Microsoft réduit ces menaces potentielles dans la phase de Vérification en testant de manière approfondie les contrôles de la phase de conception. Pour plus d'information, se référer à: Par ailleurs, nous validons le service en utilisant des tests de pénétration effectués par des tiers basés sur le «top ten» OWASP. La disposition «Mesure relative aux vulnérabilités techniques» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 48

49 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles SA-05 à SA-06 SA-05 Architecture de Sécurité- Intégrité des données ( Version R1.1. Finale) Les fonctions de vérification d intégrité des données en entrée et sortie (c'est à dire, les contrôles de réconciliation et d édition) doit être mis en œuvre pour les interfaces des applications et des bases de données pour éviter les erreurs de traitement manuel ou systématique ou la corruption de données. Microsoft Online Services définit des normes acceptables pour s'assurer que les entrées de données vers les systèmes applicatifs sont cohérentes et dans la fourchette attendue de valeurs. Le cas échéant, les entrées de données doivent être assainies ou sinon rendues sûres avant d'être entrées dans un système applicatif. Des contrôles internes de traitement sont implémentés dans l'environnement de Microsoft Online Services, afin de limiter les risques d'erreurs de traitement. Les contrôles internes de traitement existent dans les applications, ainsi que dans l'environnement d exécution. Des exemples de contrôles internes de traitement incluent, mais ne sont pas limités à, l'utilisation de sommes de condensés, de contrôles d'équilibrage de charge, et de logiciel de planification de tâches. SA-06 Architecture de Sécurité- Environnemen ts de production/ horsproduction Les environnements de production et horsproduction doivent être séparés pour éviter tout accès ou modification non autorisé aux actifs d information. La disposition «Bon fonctionnement des applications» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Des environnements distincts sont maintenus pour les opérations en production et hors-production de Microsoft Online Services. L'accès à l'environnement de production est soigneusement contrôlé afin de permettre l'accès aux membres de Microsoft Online Services et de ses fournisseurs pour qui l accès est nécessaire et qui sont habilités à exercer certaines fonctions. Bien que chaque environnement puisse avoir ses propres standards de fonctionnement, une procédure formalisée existe pour l'échange d'actifs entre les environnements. Ces procédures se conforment à toutes les exigences appropriées concernant la confidentialité et les normes sur les services. La disposition «Séparation des équipements de développement, d'essai et d exploitation» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 49

50 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles SA-07 à SA-08 SA-07 Architecture de Sécurité - Authentication Multi-Facteur pour Utilisateurs Distants SA-08 Architecture de Sécurité Sécurité Réseau ( Version R1.1. Finale) L authentification multi-facteur est requise pour tous les accès des utilisateurs distants. Quelles formes d'authentification sont utilisées pour des opérations nécessitant un haut niveau de confiance? Il peut s'agir de connexion à des interfaces de gestion, création de clé, l'accès à plusieurs comptes d'utilisateurs, la configuration de pare-feu, accès distant, etc. L authentification à deux facteurs est-elle utilisée pour gérer les composants critiques au sein de l'infrastructure, tels que les parefeu, etc.? Les environnements réseau doit être conçus et configurés de façon à limiter les connexions entre les réseaux de confiance et ceux considérés comme non fiables ; ils doivent faire l objet d examens à intervalles planifiés, d une documentation de la justification métier pour l'utilisation de tous les services, protocoles et ports autorisés, y compris la logique d utilisation ou de la mise en œuvre des contrôles compensatoires pour ces protocoles considérés comme nonsécurisés. Des diagrammes d'architecture réseau doivent clairement identifier les environnements à haut risque et les flux de données qui peuvent avoir des impacts sur la conformité réglementaire. L'accès aux environnements de production de Microsoft Online Services par le personnel et les fournisseurs est étroitement contrôlé. Des serveurs Terminal Services sont configurés pour utiliser des options de chiffrement fort. Les utilisateurs Microsoft disposent d une carte à puce émise par Microsoft Online Services avec un certificat et un compte de domaine valides pour ouvrir une session en accès distant. La disposition «Authentification de l utilisateur pour les connexions externes» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Les réseaux au sein des centres de données Office 365 sont conçus pour créer de multiples segments réseau distincts. Ce cloisonnement permet de fournir la séparation physique des serveurs back-end et périphériques de stockage critiques vis-à-vis des interfaces d accès publiques. La disposition «Cloisonnement des réseaux» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 50

51 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôle SA-09 SA-09 Architecture de Sécurité- Segmentation ( Version R1.1. Finale) Les environnements réseau et système sont séparés par des pare-feu afin d'assurer que les conditions suivantes sont respectées: Exigences des métiers et des clients Exigences de sécurité Conformité aux exigences législatives, réglementaires et contractuelles Séparation des environnements de production et hors-production Préserver la protection et l'isolement des données sensibles Les réseaux au sein des centres de données Office 365 sont conçus pour créer de multiples segments de réseau distincts. Ce cloisonnement permet de fournir la séparation physique des serveurs back-end et périphériques de stockage critiques vis-à-vis des interfaces d accès publiques. L'accès des clients aux services fournis sur Internet provient des lieux dans lesquels les utilisateurs sont connectés à Internet et se termine à un centre de données de Microsoft. Ces connexions établies entre les clients et les centres de données Microsoft sont chiffrées à l'aide des standards de l'industrie Transport Layer Security (TLS) / Secure Sockets Layer (SSL). L'utilisation de TLS / SSL établit de fait une connexion hautement sécurisé entre le navigateur et le serveur pour aider à assurer la confidentialité et l intégrité des données entre le poste et le centre de données. Des routeurs filtrants à la frontière du réseau des services Office 365 offre une sécurité au niveau des paquets pour prévenir les connexions non autorisées aux services Office 365. Le stockage et le traitement des données sont séparés de manière logique entre les clients d un même service via la structure et les fonctionnalités d Active Directory spécifiquement développé pour aider à construire, gérer et sécuriser des environnements mutualisés. L'architecture de sécurité mutualisée garantit que les données client stockées dans des centres de données partagés Office 365 n'est pas accessible ou compromise par aucune autre organisation. Les Unités d'organisation (OU) dans Active Directory contrôlent et empêchent le transfert non autorisé et non intentionnel d informations via les ressources partagées du système. Les locataires sont isolés les uns des autres en fonction des frontières de sécurité, ou silos, appliqués logiquement via Active Directory. La disposition «s services réseau» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 51

52 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles SA-10 à SA-11 SA-10 Architecture de Sécurité- Sécurité sans fil SA-11 Architecture de Sécurité Réseaux partagés ( Version R1.1. Finale) Des politiques et procédures doivent être établies et des mécanismes mis en œuvre pour protéger les environnements de réseau sans fil, y compris les suivantes: Pare-feu de périmètre implémentés et configurés de façon à restreindre le trafic non autorisé Paramètres de sécurité activés avec chiffrement fort pour l'authentification et la transmission, en remplaçant les paramètres par défaut du fournisseur (par exemple, clés de chiffrement, mots de passe, chaînes de communauté SNMP, etc.) L'accès logique et physique des utilisateurs aux équipements réseau sans fil limité au personnel autorisé Capacité à détecter la présence d équipements réseau sans fil non autorisés (pirates) pour imposer leur déconnexion rapide du réseau. L'accès aux systèmes avec une infrastructure réseau partagée doit être limité au personnel autorisé, conformément aux politiques, procédures et normes de sécurité. Les réseaux partagés avec des entités externes doivent avoir un plan documenté détaillant les contrôles compensatoires utilisés pour séparer le trafic réseau entre les organisations. La protection des équipements sans fil fait partie des pratiques habituelles de gestion de la sécurité réseau et inclut l aspect surveillance. Les équipements sans fil sont chiffrés et l'accès au réseau sans fil est géré au travers d une authentification multi-facteur (carte à puce, ordinateur portable avec puce Trusted Platform Module pour la fonctionnalité Direct Access). L accès depuis un réseau sans fil à l'environnement Office 365 sur le site du client doit être sécurisé par le client lui-même. La disposition «Gestion de la sécurité des réseaux» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Microsoft Online Services dispose de procédures ainsi que de systèmes automatiques et semi-automatiques pour octroyer et révoquer l'accès aux serveurs dans le domaine «Managed» qui contient les applications et les données utilisateur, ainsi qu aux serveurs du domaine «Management» qui héberge les fonctions de gestion des systèmes (par exemple, la surveillance, la sauvegarde, le dépannage, la gestion des logiciels et des correctifs.). Les personnes appartenant au groupe «Accès et Identité» de Microsoft Online gèrent l accès aux domaines «Managed» et «Management» via Microsoft Active Directory. L'autorité est accordée en vertu du principe de «moindre privilège d'accès» par les gestionnaires de services dans chaque région. Les utilisateurs des systèmes de production de Microsoft Online Services sont limités à un seul identifiant utilisateur par système. Microsoft Online Services assure que les systèmes de contrôle d'accès et de gestion des informations d identification sont conçus et exploités pour se conformer aux politiques et normes de Microsoft Online Services. Les contrôles clés de Microsoft Online Services liés à la gestion de l'identité et des accès sont audités officiellement sur une base annuelle par le biais de l'audit SAS 70 Type II pour BPOS-D et GFS. De plus, ces contrôles sont évalués en interne pour vérifier leur conformité aux politiques et normes de Microsoft Online Services. Les dispositions «Gestion de la sécurité des réseaux» et «Gestion des accès des utilisateurs» sont abordées dans la norme ISO 27001, notamment à l'annexe A, Paragraphes 10.6 et 11.2 respectivement. Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 52

53 Office Réponse de sécurité à la matrice de contrôle Cloud () du CSA Contrôles SA-12 à SA-15 SA-12 Architecture de Sécurité Synchronizatio n Horloge SA-13 Architecture de Sécurité- Identification des matériels SA-14 Architecture de Sécurité Journalisation des Audits / Détection d intrusion ( Version R1.1. Finale) Une source de temps de précision externe, agréée par un organisme extérieur, doit être utilisée pour synchroniser les horloges système de tous les systèmes de traitement de l information concernés, au sein de l'organisation ou du domaine de sécurité explicitement défini, afin de faciliter le traçage et la reconstitution de la chronologie des activités. Remarque : certaines juridictions légales et certaines plateformes orbitales de stockage et de relais (GPS américain et réseau européen de satellites Galileo) peuvent imposer une horloge de référence différente de celle de domiciliation des organisations ; dans ce cas la juridiction ou la plateforme est traitée comme un domaine de sécurité explicitement défini. Une identification automatisée des matériels doit être utilisée comme une méthode d'authentification à la connexion. Des technologies permettant la détection de l emplacement peuvent être utilisées pour valider l'intégrité d'authentification de la connexion basée sur l'emplacement connu des équipements. Les journaux d audit enregistrant les activités d'accès des utilisateurs privilégiés, les tentatives d'accès autorisés et non autorisés, les exceptions système et les événements de sécurité de l information doivent être conservés, en conformité avec les politiques et règlements applicables. Les journaux d'audit doivent être examinés a minima quotidiennement et des outils de vérification de l intégrité des fichiers (au niveau hôte) et de détection d'intrusion réseau (IDS) mis en place pour faciliter la détection en temps opportun, l investigation par l'analyse des causes initiales et la réponse aux incidents. L'accès physique et logique des utilisateurs aux journaux d'audit doit être restreint au personnel autorisé. Afin d augmenter à la fois la sécurité de Microsoft Online Services, et de fournir des détails précis dans les rapports de journalisation des événements et la surveillance des processus et des dossiers, tous les services Microsoft Online Services utilisent des normes cohérentes de réglage de l'horloge (par exemple PST, GMT, UTC, etc.). Lorsque c'est possible, Microsoft Online Services utilise des protocoles de synchronisation afin de maintenir précisément la synchronisation de temps dans les environnements Microsoft Online Services. La disposition «Synchronisation des horloges» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO La disposition «Identification des matériels en réseaux» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. L'accès aux journaux est restreint et défini par la politique et les journaux sont revus sur une base régulière. La disposition «Journaux d audit» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO disponibles publiquement pour lesquelles nous sommes certifiés. Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 53

54 SA-15 Architecture de Sécurité Code Mobile Le code mobile doit être autorisé avant son installation et son utilisation, et la configuration doit s'assurer que le code mobile autorisé fonctionne conformément à une politique de sécurité clairement définie. L exécution de tout code mobile non autorisé doit être empêchée. Microsoft Online Services est un environnement isolé de serveurs pour lequel la notion de code mobile n'est pas applicable comme dans un environnement de postes. De plus, tout code est explicitement installé sur nos serveurs par les administrateurs à travers le processus de contrôle des changements. La disposition «Mesures contre le code mobile» est abordée dans la norme ISO 27001, notamment à l'annexe A, paragraphe Pour plus d informations, il est conseillé de consulter les normes ISO Réponse Standard pour les demandes d information- Sécurité et Respect de la vie privée Page 54