Auto-évaluation Azure CSA (Cloud Security Alliance) STAR

L’auto-évaluation de Microsoft STAR précise comment les services Cloud respectent les exigences de la Cloud Security Alliance.

Microsoft et l’auto-évaluation CSA STAR

Dans le cadre de l’auto-évaluation STAR, les CSP peuvent fournir deux types de documents distincts indiquant leur conformité avec les meilleures pratiques de la CSA : un questionnaire CAIQ rempli ou un rapport documentant la conformité avec la matrice CCM. Pour l’auto-évaluation CSA STAR, Microsoft publie un questionnaire CAIQ et un rapport basé sur la matrice CCM pour Microsoft Azure, et des rapports basés sur la matrice CCM pour Microsoft Dynamics 365 et Microsoft Office 365.

Découvrez les avantages de l’auto-évaluation CSA STAR sur le Cloud Microsoft.

Téléchargez la fiche d’information sur l’auto-évaluation CSA STAR

Découvrez comment accélérer votre déploiement de l’auto-évaluation CSA STAR avec notre plan de sécurité et de conformité Azure.

Téléchargez la réponse Azure aux Consensus Assessments

Services Cloud Microsoft dans le périmètre

Présentation de l’auto-évaluation CSA STAR

La Cloud Security Alliance (CSA) est une organisation à but non lucratif gérée par une large coalition de professionnels, de sociétés et autres acteurs majeurs du secteur. Son rôle est de définir les meilleures pratiques permettant de garantir un environnement de cloud computing plus sécurisé et d'aider les clients potentiels du cloud à prendre des décisions éclairées lors du passage de leurs opérations informatiques vers le cloud.

En 2010, la CSA a publié une suite d'outils d'évaluation des opérations informatiques du cloud : la pile GRC (Governance, Risk Management and Compliance). Elle a été conçue pour aider les clients cloud à évaluer la façon dont les fournisseurs de service cloud (CSP) respectent les meilleures pratiques et normes du secteur et se conforment aux réglementations.

En 2013, la CSA et la British Standards Institution (STAR) ont lancé le registre Security, Trust & Assurance Registry (STAR), un registre gratuit, publiquement accessible qui permet aux CSP (fournisseurs de services Cloud) de publier leurs évaluations relatives au CSA.

L'évaluation CSA STAR est basée sur deux composants clés de la pile GRC de la CSA :

  • La matrice (Cloud Controls Matrix) : infrastructure de contrôle englobant les principes de sécurité fondamentaux sous 16 domaines et permettant aux clients cloud d'évaluer le risque de sécurité global d'un CSP.
  • Le questionnaire CAIQ (Consensus Assessments Initiative Questionnaire) : ensemble de plus de 140 questions basées sur la matrice CCM qu'un client ou auditeur cloud peut souhaiter poser aux CSP afin d'évaluer leur conformité avec les meilleures pratiques de la CSA.

Le registre STAR fournit trois niveaux d'assurance. L'autoévaluation CSA STAR correspond à l'offre d'introduction au Niveau 1, gratuit et accessibles à tous les CSP. En remontant la pile d’assurance, le Niveau 2 du programme STAR implique des certifications basées sur une évaluation tierce, et le Niveau 3 inclut des certifications basées sur une surveillance continue.

Gérez votre conformité de façon centralisée

Effectuez une évaluation continue des risques, obtenez des informations exploitables et simplifiez votre mise en conformité lorsque vous utilisez les services cloud Microsoft avec Compliance Manager.

Essayez Compliance Manager maintenantConsultez le blog sur la sécurité, la confidentialité et la conformité

Forum aux questions

Développer tout

La matrice CCM correspond aux normes, réglementations et cadres de contrôle de sécurité acceptés par le secteur, tels que ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST, et plus encore. Pour obtenir la liste la plus récente, consultez le site web de la CSA.

Elle permet aux CSP de documenter leur conformité avec les meilleures pratiques publiées par la CSA de manière transparente. Les rapports d'autoévaluation sont publics, ils aident, par conséquent, les client cloud à avoir plus de visibilité sur les pratiques de sécurité des CSP, ainsi qu'à comparer différents CSP avec la même base de référence.

  • Niveau 1 : CSA STAR Self-Assessment : Azure, Dynamics 365 et Office 365. L'autoévaluation est une offre gratuite des fournisseurs de service cloud pour documenter leurs contrôles de sécurité afin d'aider les clients à évaluer la sécurité du service.
  • Niveau 2 : Certification CSA STAR : Azure, Cloud App Security, Intune et Power BI. La certification STAR est basée sur l'obtention de la certification ISO/IEC 27001 et la satisfaction des critères spécifiés dans la matrice CCM. Elle est attribuée après une évaluation tierce rigoureuse des contrôles et pratiques de sécurité d'un fournisseur de service cloud.
  • Niveau 2 : Attestation CSA STAR : Azure et Intune. La CSA et l'AICPA ont collaboré pour fournir des directives à l'ACP à utiliser lors de missions SOC 2, à l'aide des critères de l'AICPA (principes d'approbation de services, AT 101) et de la CSA CCM. L’attestation STAR est basée sur ces directives et est attribuée après des évaluations indépendantes rigoureuses des fournisseurs de Cloud.