Norme standard Informatiebeveiliging Rijksdienst (BIR 2012)
Présentation du BIR 2012
Les organismes exerçant des activités dans le secteur public aux Pays-Bas doivent se conformer à la norme standard Informatiebeveiliging Rijksdienst (BIR 2012). La norme BIR 2012 fournit un cadre standard, basé sur les normes ISO 27001 et ISO 27002. Pour les organisations qui utilisent Microsoft Azure ou Office 365, Microsoft gère une partie des contrôles BIR 2012 pour ces services cloud conformément au modèle de responsabilité partagée dans le cloud computing. Les organisations qui doivent se conformer à BIR 2012 sont donc tenues de déterminer si les services Microsoft sous-jacents qu’elles utilisent sont conformes à BIR 2012.
Le rapport de couverture de la norme BIR indique quels sont les domaines conformes aux normes BIR en vertu des certifications ISO 27001 existantes et disponibles pour les services cloud Microsoft. Lorsqu’il existe des contrôles BIR supplémentaires qui ne sont pas couverts par la norme ISO 27001, des références sont faites à d’autres attestations indépendantes, documentation d’audit ou déclarations contractuelles.
Microsoft et la norme BIR 2012
Bien que Microsoft ne soit pas soumis à la conformité BIR 2012, les clients du secteur public qui souhaitent utiliser les services cloud peuvent utiliser les certifications existantes de Microsoft pour déterminer leur conformité à cette norme. Azure et Office 365 font l’objet de divers processus de certification et d’attestation indépendants et périodiques, dont certains sont étroitement liés à la norme BIR 2012.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
- Azure
- Intune
- Office 365
Office 365 et BIR 2012
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
l’applicabilité | Les Services dans l’étendue |
---|---|
Commerciale | Azure Information Protection, Bookings, Exchange Online Protection, Exchange Online, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To-Do pour le web, MyAnalytics, Sécurité des applications cloud Office 365, groupes Office 365, Office Delve, OneDrive Entreprise, Planificateur, Power Apps, Power Automate, Power BI pour Office 365, PowerApps, SharePoint Online, Skype Entreprise, StaffHub, Stream, Sway, Viva Engage |
Audits, rapports et certificats
Microsoft a conservé une société d’audit tierce indépendante pour analyser la mesure dans laquelle les certifications et attestations Azure et Office 365 actuelles (telles que ISO/IEC 27001 et SOC 2 Type 2) couvrent la partie de BIR 2012 dont Microsoft est responsable. Le rapport obtenu fournit un mappage de ces certifications et attestations existantes aux contrôles répertoriés dans la norme BIR 2012. Les clients peuvent utiliser le rapport comme outil pour faciliter l’adoption d’Azure de manière conforme à BIR 2012. Le rapport montre clairement quels contrôles BIR 2012 sont couverts par Microsoft et quels contrôles restent à implémenter par les clients. Le rapport « Microsoft Cloud : Azure et Office 365 BIR 2012 Baseline Coverage » peut être téléchargé à partir de la section Rapports d’audit du portail d’approbation de services : Rapports d’évaluation GRC.
Questions fréquentes (FAQ)
Microsoft est-il certifié conformément à la norme BIR 2012 ?
L’obligation de mise en conformité à la norme BIR est applicable au secteur public. Celle-ci oblige les organisations à mettre en place un système de gestion de la sécurité des informations, afin de protéger les données grâce à des mesures organisationnelles et techniques appropriées. En tant que fournisseur de service Cloud, la conformité à la norme BIR ne constitue pas un objectif pour Microsoft, et n’est techniquement pas réalisable. Si un client met en place ou utilise des services cloud Microsoft, ces services peuvent entrer dans le cadre d’une évaluation BIR. Toutefois, l’organisation devra incorporer ses propres contrôles, ses choix et ses processus, lesquels feront partie de l’évaluation BIR globale. L’objectif du rapport est de démontrer qu’un organisme gouvernemental peut adopter des services cloud Microsoft tout en étant conforme à la norme BIR 2012.
Un client utilisant des services cloud Microsoft respecte-t-il la norme BIR 2012 ?
Il incombe au client de démontrer sa conformité à la norme BIR. Les clients qui utilisent un fournisseur de services cloud exigent généralement des garanties de la part du fournisseur et ajoutent leurs propres décisions, choix et processus (supplémentaires) en matière de technologie et d’organisation. Cet effort entraîne ensuite une évaluation globale afin de déterminer sa conformité à la norme BIR, qui peut être soumise ensuite à un auditeur tiers en vue d’une évaluation ou d’une certification. Le rapport de couverture BIR indique quels contrôles BIR sont couverts par les services cloud Microsoft, mais il n’aborde pas en tant que tel la conformité de bout en bout.
Le rapport n’affiche pas de couverture à 100 %. La conformité BIR 2012 n’est-elle pas réalisable ?
Les services cloud Microsoft fournissent de nombreux contrôles, qui aident les organisations situées aux Pays-Bas à se conformer à la norme BIR. Toutefois, ces dernières doivent faire leur propre choix en matière d’implémentation, de contrôles technologiques et de processus administratifs pour compléter les assurances offertes par les fournisseurs. Ce rapport indique que déjà plus de 91 % des contrôles applicables sont directement couverts. En outre, Microsoft émet des recommandations dans ce rapport en vue de la mise en conformité aux contrôles restants.
Le rapport de couverture BIR constitue-t-il un document juridiquement contraignant ?
Non. Il s’agit d’un outil d’appui au processus interne de vérification de la conformité à la norme BIR du client, qui permet de démontrer que la mise en conformité à la norme BIR est réalisable. Le rapport a un caractère purement descriptif et inclut une renonciation de responsabilité.
Est-il possible de partager ce rapport ?
Ce rapport est fourni aux clients en vertu d’un accord de confidentialité de par son caractère purement indicatif, par conséquent sa reproduction ou sa divulgation via des canaux autres que la Plateforme d’approbation de services Microsoft n’est pas autorisée. Les clients peuvent remettre ce rapport à leur auditeur interne ou externe, dans le cadre de leur processus de mise en conformité ou de vérification de la conformité.