Microsoft bénéficie des audits et des certifications de tiers qui garantissent que la conception et le fonctionnement de ses services respectent les mesures de protection les plus strictes.
L’objectif de Microsoft est d’assurer le fonctionnement de ses services avec les niveaux de sécurité et de confidentialité qui répondent à vos besoins, et de vous offrir les garanties appropriées en matière de sécurité et de confidentialité. Microsoft implémente et maintient les mesures organisationnelles et techniques appropriées, des contrôles internes et des routines de sécurité des informations visant à protéger les données client contre toute perte accidentelle, toute destruction ou toute modification, ainsi que contre toute divulgation ou tout accès non autorisé, ou contre toute destruction illégale. Chaque année, Microsoft pratique des audits de tiers réalisés par les auditeurs de renommée mondiale. Microsoft dispose ainsi d’une attestation indépendante garantissant la conformité de ses règlementations et procédures en matière de sécurité, de confidentialité, de continuité et de conformité.
| Outil de recherche de conformité et de certification MS Online | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Infrastructure physique et centres de données Office 365 et Microsoft Dynamics CRM Online (fournis par Microsoft Global Foundation Services) | |
Les présentes informations sont fournies uniquement à titre indicatif. Elles peuvent être modifiées à tout moment et ne doivent pas être interprétées en tant que promesse ou garantie de la part de Microsoft.
SAS 70 (Statement on Auditing Standard Number 70) est une norme d’audit mise en œuvre par l’AICPA (American Institute of Certified Public Accountants) et axée sur les sociétés de services. En règle générale, une société de services désigne une entité qui fournit des services d’externalisation qui ont un impact sur l’environnement de contrôle des clients. Les sociétés de services peuvent par exemple être des sociétés de traitement des réclamations médicales et d’assurance, des centres de données hébergés, ainsi que des fournisseurs de services d’applications et de sécurité gérée. En vigueur depuis le 15 juin 2011, SSAE 16 (Statement on Standards for Attestation Engagements Number 16) remplace SAS 70, en tant que norme relative à la prestation d’une vérification indépendante de la conformité aux contrôles d’une société de services. Les audits SSAE 16 et SAS 70 représentent des vérifications indépendantes de la conformité aux contrôles de sécurité et de leur efficacité.
À l’issue d’une analyse réalisée par un auditeur de services SSAE 16 ou SAS 70 (« audit SSAE 16 ou SAS 70 »), l’auditeur de services fournit des conclusions sur les points suivants :
1. Conformité de la description des contrôles d'une société de services ;
2. Efficacité de la conception des contrôles d'une société de services ;
3. Respect de la date d'exécution des contrôles d'une société de services ;
4. Efficacité de l’exécution des contrôles d’une société de services pendant une période donnée (SAS 70 Type II/SSAE 16 SOC 1 Type II uniquement).
Les audits SAS 70 ou SSAE 16 de Microsoft sont réalisés par un tiers externe (par l’un des cabinets comptables du classement « Big Four »).
Ces audits sont effectués à raison d’une fois par an. Le rapport d’audit qui en résulte inclut les conclusions relatives aux contrôles fournies par le tiers externe. Pour plus d’informations sur les types et les normes des audits, rendez-vous sur le site www.aicpa.org.
Global Foundational Services (GFS) fournit les services d’infrastructure (les centres de données et les réseaux) aux services en ligne de Microsoft, tels qu’Office 365, BPOS-S, BPOS-D, Dynamics CRM Online et Windows Azure. La planification actuelle des contrôles au niveau des applications d’Office 365 et de Dynamics CRM Online prévoit d’abord une évaluation conformément à l’audit SSAE 16 SOC 1 Type I, puis à l’audit SSAE SOC 1 Type II. Le rapport SSAE 16 pour Office 365 et Dynamics CRM Online est établi sur la base du rapport GFS afin de fournir une représentation de bout en bout des contrôles. Actuellement, GFS est certifié conforme à l’audit SAS 70 Type II, et sera certifié conforme à SSAE 16 lors de son prochain audit planifié, exécuté régulièrement.
La Politique de sécurité de l'information de Microsoft Online Services respecte la norme ISO 27002, ainsi que les exigences spécifiques aux services en ligne. Une société peut obtenir la certification ISO 27001 pour ses systèmes de gestion de la sécurité de l'information, qui s'appuie en général sur les normes de sécurité de l'information ISO 27002. La norme ISO représente le fondement de Microsoft Online Services et son infrastructure de prise en charge depuis 2009, et a été certifiée par l'organisme de normalisation British Standards Institution (BSI). Les clients sont invités à consulter les informations sur la norme ISO (accessible au public).
Toutes les certifications ISO sont accessibles au public.
La famille des normes ISO 27000 propose volontairement un vaste champ d'application couvrant les problèmes relatifs à la vie privée, à la confidentialité et à la sécurité technique. Elle inclut également « les directives et les principes généraux établis visant à initier, à implémenter et à améliorer la gestion de la sécurité de l'information au sein d'une société ». À cette fin, la norme répertorie des centaines de contrôles et de mécanismes de contrôle potentiels.
Global Foundational Services (GFS) fournit les services d'infrastructure (les centres de données et les réseaux) aux services en ligne de Microsoft, tels que BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 et Windows Azure. Les contrôles au niveau des applications dans le cadre des certifications ISO sont établis sur la base de la certification GFS afin de fournir une représentation de bout en bout des contrôles.
Dans le cadre de la Directive européenne sur la protection des données, l’Union européenne a mis en place des réglementations de confidentialité plus strictes qu’aux États-Unis et dans la plupart d’autres pays. Dans le cadre de l’application de ces réglementations, l’Union européenne interdit en règle générale tout transfert des données personnelles vers d’autres pays, sauf si ledit transfert est autorisé par un mécanisme agréé, tel que la certification « sphère de sécurité » décrite ci-après.
Afin de préserver la continuité requise du flux d'informations par le commerce international, la Commission européenne a conclu un accord avec le Département du commerce des États-Unis, qui stipule que les sociétés américaines peuvent procéder à l'autocertification conformément aux principes de la « sphère de sécurité », ce qui rappelle vaguement les exigences de la Directive.
Lorsqu’une société souhaite de manière légale transférer des données de l’Union européenne vers les États-Unis, la société américaine ou une autre société doit garantir officiellement que ce transfert respecte les principes de la « sphère de sécurité » qui s’alignent sur les réglementations en matière de confidentialité de l’Union européenne. Étant donné que Microsoft dispose de la certification « sphère de sécurité », Microsoft Online Services peut transférer des données de l’Union européenne vers les États-Unis aux fins de traitement.
Les clients sont invités à lire les informations sur les principes de la certification en cliquant sur le lien ci-après, ainsi que sur la certification de Microsoft, disponibles sur le site Web du Département du commerce : Principes de la « sphère de sécurité » et Certification « sphère de sécurité ».
En 2001, Microsoft a été la première société à adhérer au programme « sphère de sécurité ». De plus, Microsoft renouvelle tous les ans la certification de conformité aux principes de la « sphère de sécurité ».
Outre les états membres de l’Union européenne, les membres de la zone économique européenne (Islande, Liechtenstein et Norvège) comptent parmi eux les sociétés qui ont adhéré au programme « sphère de sécurité » et qui offrent la protection de confidentialité appropriée afin de justifier les transferts transfrontaliers à partir de leurs pays vers les États-Unis. La Suisse dispose d’un accord quasi identique (« sphère de sécurité entre la Suisse et les États-Unis ») conclu avec le Département du commerce des États-Unis afin de légaliser les transferts provenant de la Suisse à destination des États-Unis. Microsoft dispose également de la certification « sphère de sécurité entre la Suisse et les États-Unis ».
Plusieurs autres pays, tels que le Canada et l'Argentine, ont promulgué des lois exhaustives relatives à la confidentialité, et l'Union européenne les a autorisées dans le cadre des transferts des données de l'Union européenne vers les pays mentionnés.
Il est important d'évaluer les procédures de sécurité de Microsoft par rapport à vos besoins.
Microsoft Online Services offre un niveau de sécurité de premier ordre. Toutefois, vous devez déterminer par vous-même si vos données sont réellement sensibles ou nécessitent un certain niveau de sécurité conformément aux réglementations en vigueur au sein de votre société. Ces données peuvent requérir d'autres réglementations de sécurité spécifiques qui ne sont pas proposées par Microsoft.
Par exemple, votre entreprise dispose d’une norme qui requiert que la longueur d’un mot de passe soit de 10 caractères, celle de Microsoft requiert 8 caractères.
Vous êtes tenu de déterminer si la sécurité de Microsoft répond aux besoins de votre entreprise.
Si vous souhaitez savoir si Microsoft Online Services respecte une norme ou une réglementation de sécurité spécifique qui n'a pas été mentionnée ici, vous pouvez consulter la section Ressources ou contacter le support technique de Microsoft.
Non. Microsoft Online Services est basé sur la norme ISO 27001 qui permet d'accéder et d'améliorer en continu les offres de services de Microsoft. La Politique de sécurité de l'information de Microsoft Online Services comprend également d'autres exigences découlant des mesures de sécurité de premier ordre et du mappage des exigences appropriées à l'échelle mondiale, nationale et locale.
Une société peut obtenir la certification ISO 27001 pour ses systèmes de gestion de la sécurité de l'information, qui s'appuie en général sur les normes de sécurité de l'information ISO 27002. Un grand nombre d'agences accréditées souhaitent obtenir la certification. Microsoft a été certifié par l'organisme de normalisation British Standards Institution (BSI). Les audits ISO 27001 garantissent la sécurité des systèmes de gestion de la sécurité de l'information. Selon Microsoft, la transparence ainsi fournie permet aux clients d'évaluer les services de Microsoft par rapport à leurs besoins et de prendre des décisions en connaissance de cause.
Les services Office 365 suivants sont certifiés ISO : SharePoint Online, Lync Online, Exchange Online. Le service Microsoft Dynamics CRM Online est certifié ISO. Global Foundation Services, la couche d'infrastructure des services (les centres de données et les réseaux), est également certifiée ISO 27001. Les clients Microsoft Online Services doivent consulter la norme ISO (accessible au public) pour déterminer si leurs besoins en matière de sécurité sont remplis.
Microsoft Online Services propose de nombreuses ressources qui aident les clients à procéder aux évaluations et à comprendre les politiques de Microsoft, notamment les documents suivants :
La norme SAS 70 est principalement utilisée aux États-Unis pour les audits de la conception et de l’efficacité des contrôles, et la norme SSAE sera utilisée de manière similaire. ISO 27001 est une norme internationale axée sur les pratiques de sécurité d’une entreprise. Cette norme est principalement utilisée en Europe, au Japon et dans certains pays asiatiques. Toutefois, elle gagne en popularité aux États-Unis. ISO 27001 définit un ensemble de contrôles de sécurité et fournit la certification par rapport à ces contrôles. Son champ d’application est plus étendu que celui de la norme SAS 70 ou SSAE 16. ISO 27001 couvre tous les trois aspects de la sécurité : la confidentialité, l’intégrité et la disponibilité. Les sociétés peuvent obtenir la certification ISO 27001 auprès de différents bureaux d’enregistrement accrédités dans le monde entier.
En général, Microsoft Online Services ne reçoit les rapports d'audit SAS 70 qu'en anglais. Toutefois, la société d'audit SAS 70 de Microsoft Online Services peut faire traduire, sur demande, le rapport d'audit en plusieurs langues. Les coûts varient selon la langue requise et sont à la charge du client. Certaines langues ne sont pas disponibles. Pour plus d'informations sur les langues disponibles, veuillez contacter le support clientèle de Microsoft Online Services.
Pour découvrir comment Microsoft limite l’accès aux données client, lisez la section Accès d’administration du Centre de gestion.
Non. Les audits et certifications indépendants de Microsoft sont partagés avec les clients tenant lieu d'audits client individuels. Ces certifications et attestations décrivent en détail le respect de Microsoft de ses objectifs en matière de sécurité et de conformité. Elles représentent un mécanisme pratique qui permet à Microsoft de respecter ses promesses auprès de tous les clients. Si Microsoft autorise des milliers de clients à effectuer des audits de ses services, la société risque de compromettre l'évolutivité et la sécurité.
La surveillance interne de Microsoft Online Services inclut la surveillance automatique de la conformité de l'infrastructure (p. ex., les analyses de vulnérabilité, les tests d'intrusion et les tests des processus et des contrôles des employés). Le programme de validation tiers de Microsoft Online Services comprend des audits indépendants réalisés à raison d'une fois par an et permettant de vérifier la posture de sécurité de Microsoft Online Services.
Non. Microsoft n'accepte en aucun cas de personnaliser un audit en fonction des besoins d'un client. Les coûts et les éventuels conflits qui peuvent survenir entre les différentes obligations rendent la personnalisation d'audits impossible.
Pour plus d'informations sur la procédure de notification de Microsoft en cas d'atteinte à la protection des données, reportez-vous à votre contrat de service.