Partager via


Conseil d’examen des institutions financières fédérales (FFIEC)

Vue d’ensemble de la FFIEC

Le Conseil d’examen des institutions financières fédérales (FFIEC) est un organisme institutionnel officiel composé de cinq organismes de réglementation bancaire qui sont responsables des examens du gouvernement fédéral des États-Unis sur les institutions financières dans le États-Unis. Le Bureau de l’éducation des examinateurs de la FFIEC publie des manuels d’examen informatique destinés aux examinateurs de terrain des agences membres de la FFIEC.

Le Manuel d’examen des ti de vérification de la FFIEC contient des conseils à l’intention de ces examinateurs pour évaluer la qualité et l’efficacité des programmes de vérification des TI des institutions financières et des FST. Plus précisément, il inclut mention des rapports d’attestation SOC 1, SOC 2 et SOC 3 de l’American Institute of Certified Public Accountants (AICPA) comme exemples de rapports d’audit indépendants. Toutefois, la FFIEC recommande que les institutions financières ne s’appuient pas uniquement sur les informations contenues dans ces rapports, mais qu’elles utilisent également les procédures de vérification et de surveillance décrites en détail dans le Manuel d’examen des services informatiques de la FFIEC outsourcing Technology Services.

Microsoft et FFIEC

Microsoft Azure, Microsoft Power BI et Microsoft Office 365 sont conçus pour répondre aux exigences strictes de la fourniture de services cloud aux institutions de services financiers. Azure fournit aux institutions financières des rapports d’attestation SOC 1 Type 2, SOC 2 Type 2 et SOC 3 produits par un cabinet d’audit indépendant pour aider les clients à respecter leurs propres obligations de conformité FFIEC. Par exemple, l’attestation SOC 1 Type 2 est effectuée sous :

  • SSAE n° 18, Normes d’attestation : clarification et recodification, qui comprend l’article 320 de l’AT-C, Rapport sur un examen des contrôles dans une organisation de services pertinent pour le contrôle interne des entités utilisateur sur les rapports financiers (AICPA, Normes professionnelles).
  • Rapport SOC 1 sur l’examen des contrôles au sein d’une organisation de service pertinente pour le contrôle interne des entités utilisateur sur les rapports financiers (Guide AICPA).

La norme AICPA SSAE 18 a remplacé SAS 70, et elle convient pour la création de rapports sur les contrôles d’un service organization pertinentes pour les contrôles internes des entités utilisateur sur les rapports financiers. Il s’agit de l’audit formel que les institutions financières peuvent utiliser pour les examens tiers des fournisseurs de services technologiques lorsqu’elles appliquent leurs propres obligations de conformité spécifiques au FFIEC pour les ressources déployées sur Azure. Il comprend l’opinion de l’auditeur sur l’efficacité du contrôle pour atteindre les objectifs de contrôle connexes pendant la période de surveillance spécifiée.

En outre, Azure a développé un outil de diagnostic de sécurité cloud basé sur Excel destiné à accélérer une évaluation des risques qu’une institution financière peut souhaiter effectuer par rapport aux services Azure. L’outil est basé sur une feuille de calcul comprenant 19 domaines distincts qui identifient les exigences énoncées dans les normes pertinentes et les règlements relatifs aux services financiers, y compris les Manuels d’examen des TI de la FFIEC. L’outil d’évaluation des risques est prérempli avec des explications sur la façon dont Azure se conforme aux exigences applicables aux fournisseurs de services cloud, et peut aider les clients à répondre à leurs propres exigences de conformité FFIEC.

Le compagnon de diagnostic de sécurité cloud Azure FFIEC est également disponible pour les clients, qui fournit des conseils sur l’utilisation des services Azure et des considérations relatives à la conformité des clients aux exigences FFIEC

Plateformes et services du cloud computing de Microsoft dans le champ d’application

  • Azure
  • Intune
  • Office 365, Office 365 gouvernement des États-Unis
  • Le service Cloud Power BI (en tant que service autonome, ou inclus dans un plan ou une suite Office 365).

Documents d’aide sur Azure

Pour aider les institutions financières soumises à la supervision FFIEC à adopter le cloud, Microsoft a publié les documents d’aide suivants qui peuvent être téléchargés à partir de la section Ressources de protection des données du portail d’approbation de services - Guides de conformité :

  • Azure - Outil de diagnostic de sécurité cloud
  • Azure - Complément du classeur de diagnostic de sécurité cloud FFIEC

Office 365 et FFIEC

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Microsoft Entra ID, Azure Information Protection, Bookings, Gestionnaire de conformité, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender pour Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do pour le web, MyAnalytics, Conformité avancée Office 365 module complémentaire, Sécurité des applications cloud Office 365, groupes Office 365, Office 365 Centre de conformité sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, StaffHub, Stream, Sway, Viva Engage
GCC Microsoft Entra ID, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 Centre de conformité & sécurité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream

Audits, rapports et certificats Office 365

Consultez les rapports d’attestation SOC Office 365.

Forum aux questions

Puis-je utiliser la conformité Microsoft aux normes SOC pour répondre aux obligations de conformité FFIEC pour mon établissement ?

Pour vous aider à respecter ces obligations, Microsoft fournit les détails de notre conformité aux normes SOC, comme décrit précédemment. Toutefois, en fin de compte, c’est à vous de déterminer si nos services sont conformes aux lois et réglementations spécifiques applicables à votre établissement. La FFIEC recommande également que « les utilisateurs de rapports ou d’examens d’audit ne doivent pas se fier uniquement aux informations contenues dans le rapport pour vérifier l’environnement de contrôle interne du FST. Ils devraient utiliser d’autres procédures de vérification et de surveillance, comme indiqué plus en détail dans le Livret sur les technologies de l’externalisation du Manuel d’examen informatique de la FFIEC.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources

Autres ressources Microsoft pour les services financiers