Gestion des risques
La gestion des risques au sein de nos centres de données est un processus continu, avec des évaluations formelles intervenant tout au long du cycle de vie d’une installation. Pour identifier et atténuer l’impact des menaces physiques et environnementales sur les centres de données Microsoft, une menace, une vulnérabilité et une évaluation des risques (TVRA) est effectuée annuellement pour tous les centres de données hébergeant des données client. Outre le cadre de la gestion des risques pour les entreprises, Microsoft exploite les conditions requises définies dans les directives de gestion des risques technologiques initialement publiées en juin 2013 par l’autorité monétaire de Singapour. EMVR reflète les meilleurs avis professionnels de Microsoft basés sur les méthodes d’évaluation des risques acceptées et les informations actuellement disponibles pour l’entreprise.
Microsoft facilite le processus d’EMVR en suivant ces étapes :
Identification des risques : l’EMVR englobe un large éventail de scénarios de menaces issues de risques naturels et humains (y compris accidentels). Les résultats varient en fonction de l’emplacement du centre de données, de la conception et de l’étendue des services, et d’autres facteurs. Le TVRA sélectionne les scénarios de menace à mettre en évidence dans le document TVRA en fonction des exigences des clients, d’un pays/région, d’une ville et d’une évaluation indépendante au niveau du site de l’environnement de risque fourni par le tiers et des informations sur les risques tiers. Pour les régions dans lesquelles se situent plusieurs centres de données, les EMVR sont agrégées afin de garantir une vision globale des menaces physiques et environnementales, des vulnérabilités et des risques pour les sites en cours d’évaluation.
Les types de scénarios de menaces évalués pour les centres de données EMVR sont les suivants :
- Menaces externes : incidents résultant d’activités humaines involontaires ou fortuites. Par exemple, les troubles civils, le terrorisme, les activités criminelles, les vols externes, les appareils explosifs improvisés, les attaques armées, les incendies criminels, les entrées non autorisées et les accidents d’avion.
- Les menaces internes : incidents dus à des activités humaines internes, qu’elles soient intentionnelles ou accidentelles. Par exemple, le vol interne et le sabotage.
- Dangers naturels : processus ou phénomène naturels susceptibles de nuire aux centres de données. Par exemple : tempêtes tropicales, cyclones, inondations, glissements de terrain, sécheresse, feux de forêt, séisme, activité volcanique et violents orages avec foudre, grêle, vents violents ou pluies abondantes.
- Menaces environnementales : conditions environnementales susceptibles d’avoir un impact négatif sur les centres de données. Par exemple, le stress de l’eau, le stress de la chaleur et les épidémies.
Analyse des risques : les menaces sont évaluées en se basant sur une évaluation de leurs risques inhérents ; le risque inhérent est calculé comme une fonction de l’impact intrinsèque d’une menace et de la probabilité intrinsèque de l’occurrence des menaces en l’absence d’actions de gestion et de contrôle. Ces évaluations sont informées par les commentaires des experts techniques (SME) internes et utilisent des indices de risque externe.
Risque résiduel : risque résiduel est déterminée comme mesure de niveau de risque restant après examen de l’efficacité du contrôle. Le contrôle de l’efficacité est évalué comme une mesure d’actions de gestion et de contrôles actuels conçus pour empêcher ou détecter les menaces, tout en évaluant la probabilité que les contrôles aient l’effet souhaité, tels que conçus et implémentés. Ces évaluations sont informées par une agrégation des commentaires des PME internes sur l’efficacité du contrôle pour les centres de centres de données mentionnés dans l’EMVR.
Rapport : une fois l’évaluation terminée, un rapport EMVR est généré pour l’approbation de la direction et pour prendre en charge nos efforts généraux liés à la gestion des risques.
Microsoft s’engage à mettre à jour continuellement ses méthodologies et ses évaluations des risques afin d’incorporer les améliorations et de tenir compte de l’évolution des conditions. Par conséquent, nos analyses et conclusions peuvent faire l’objet de modifications.