Partager via


Stratégie de sécurité des Services d’information sur la justice pénale (CJIS)

Vue d’ensemble de CJIS

La Division des services d’information sur la justice pénale (CJIS) du Bureau fédéral d’investigation (FBI) des États-Unis permet aux autorités locales et fédérales d’appliquer la loi et de la justice pénale d’accéder à des informations sur la justice pénale (CJI). CJI comprend, par exemple, les enregistrements d’empreintes digitales et les antécédents criminels. Les forces de l’ordre et les autres organismes gouvernementaux du États-Unis doivent s’assurer que leur utilisation des services cloud pour la transmission, le stockage ou le traitement de CJI est conforme à la politique de sécurité du CJIS, qui établit des exigences de sécurité minimales et des contrôles pour protéger CJI.

La politique de sécurité du CJIS intègre les directives présidentielles et du FBI, les lois fédérales et les décisions du conseil consultatif de la communauté de la justice pénale, ainsi que les directives du National Institute of Standards and Technology (NIST). La stratégie est régulièrement mise à jour pour refléter l’évolution des exigences de sécurité.

La stratégie de sécurité CJIS définit 13 domaines que les sous-traitants privés tels que les fournisseurs de services cloud doivent évaluer pour déterminer si leur utilisation des services cloud peut être cohérente avec les exigences CJIS. Ces domaines correspondent étroitement au NIST 800-53, qui est également la base du Programme fédéral de gestion des risques et des autorisations (FedRAMP), un programme dans le cadre duquel Microsoft a été certifié pour ses offres cloud pour le secteur public.

En outre, tous les sous-traitants privés qui traitent CJI doivent signer l’Addendum sur la sécurité du CJIS, un accord uniforme approuvé par le procureur général des États-Unis qui permet de garantir la sécurité et la confidentialité de CJI requises par la politique de sécurité. Il engage également l’entrepreneur à maintenir un programme de sécurité conforme aux lois, réglementations et normes fédérales et des États, et limite l’utilisation de CJI aux fins pour lesquelles un organisme gouvernemental l’a fournie.

Stratégie de sécurité Microsoft et CJIS

Microsoft signe l’addendum de sécurité CJIS dans les états avec les contrats d’information CJIS. Ceux-ci indiquent aux autorités d’application de la loi des États responsables de la conformité avec la stratégie de sécurité CJIS comment les contrôles de sécurité cloud de Microsoft aident à protéger le cycle de vie complet des données et à garantir un filtrage d’arrière-plan approprié du personnel d’exploitation ayant accès à CJI. Microsoft continue de collaborer avec les gouvernements des États pour conclure des contrats d’information CJIS.

Microsoft a évalué les stratégies et procédures opérationnelles de Microsoft Azure Government, Microsoft Office 365 gouvernement des États-Unis et Microsoft Dynamics 365 gouvernement des États-Unis, et témoignera de leur capacité dans les contrats de services applicables à répondre aux exigences du FBI concernant l’utilisation des services dans l’étendue.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

  • Azure Government
  • Dynamics 365 gouvernement des États-Unis
  • Office 365 gouvernement des États-Unis
  • Service cloud Power BI dans le cadre d’un plan ou d’une suite Office 365 Secteur Public Community Cloud

Azure, Dynamics 365 et CJIS

Pour plus d’informations sur azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure CJIS.

Office 365 et CJIS

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
GCC Microsoft Entra ID, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream

Audits, rapports et certificats Office 365

Le FBI n’offre pas de certification de conformité De Microsoft aux exigences CJIS. Au lieu de cela, une attestation Microsoft est incluse dans les contrats entre Microsoft et l’autorité CJIS d’un état, et entre Microsoft et ses clients.

CJIS status dans le États-Unis (à jour le 27 septembre 2024)

Il existe des accords de gestion du CJIS couvrant les organismes de justice pénale dans 47 États et le district de Columbia :

Alabama, Alaska, Arizona, Arkansas, Californie, Colorado, Connecticut, Floride, Géorgie, Hawaï, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Louisiane, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New Mexico, New York, Caroline du Nord, Dakota du Nord, Ohio, Oklahoma, Oregon, Pennsylvanie, Rhode Island, Caroline du Sud, Tennessee, Texas, Utah, Vermont, Virginie, Washington, West Virginia, Wisconsin, et le District de Columbia.

L’engagement de Microsoft à respecter les contrôles réglementaires CJIS applicables permet aux organisations de justice pénale d’implémenter des solutions cloud et d’être conformes à la stratégie de sécurité CJIS v5.9.5.

Foire aux questions

Où puis-je demander des informations de conformité ?

Contactez votre représentant de compte Microsoft pour plus d’informations sur la juridiction qui vous intéresse. Contactez cjis@microsoft.com pour obtenir des informations sur les services actuellement disponibles dans quels états.

Comment Microsoft démontre-t-il que ses services cloud permettent de se conformer aux exigences de mon état ?

Microsoft signe un contrat d’information avec un état CJIS Systems Agency (CSA) ; vous pouvez demander une copie auprès du CSA de votre état. En outre, Microsoft fournit aux clients des informations détaillées sur la sécurité, la confidentialité et la conformité. Les clients peuvent également consulter les rapports de sécurité et de conformité préparés par des auditeurs indépendants afin de vérifier que Microsoft a implémenté des contrôles de sécurité (tels que ISO 27001) appropriés à l’étendue d’audit appropriée.

Par où dois-je commencer par les efforts de conformité de mon agence ?

La stratégie de sécurité CJIS couvre les précautions que votre agence doit prendre pour protéger CJI. En outre, votre représentant de compte Microsoft peut vous mettre en contact avec ceux qui connaissent les exigences de votre juridiction.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources