CyberGRX
La méthodologie d’évaluation CyberGRX identifie les risques inhérents et résiduels et utilise une analyse des menaces en quasi-temps réel et une validation indépendante des preuves pour fournir aux clients une vue holistique de leur posture de cyber-risque tierce.
CyberGRX est le premier et le plus important échange de risques collaboratifs au monde. La méthodologie analytique de CyberGRX crée des informations sur les menaces et des modèles de risque sophistiqués à partir d’une seule évaluation validée. Avec des insights sur les risques liés à la sécurité et à la confidentialité des données, l’évaluation CyberGRX offre non seulement des informations détaillées sur les risques résiduels, mais combine également la modélisation du scénario d’attaque et la chaîne de destruction MITRE ATT&CK pour surveiller l’évolution des tactiques et techniques dans le paysage des menaces.
Microsoft et CyberGRX
CyberGRX, en utilisant ses partenaires stratégiques Deloitte et Touche et KPMG, a validé et rendu compte de l’évaluation de Microsoft Cloud, qui se compose de plus de 1 000 questions de sécurité et de réponses Microsoft correspondantes. CyberGRX traite des risques inhérents, du renseignement sur les menaces spécifique au secteur et des scénarios d’attaques réels. Cela donne aux clients la possibilité de valider la posture de sécurité de Microsoft avec des preuves externes afin de générer des résultats axés sur les risques, par opposition à la simple conformité.
Microsoft comprend la nécessité pour nos clients d’utiliser des véhicules efficaces qui aideront leurs organization évaluer rapidement les risques, y compris l’évaluation des risques potentiels qu’ils peuvent supposer en raison de l’utilisation d’un tiers pour des services clés, comme nous. En tant que l’un des plus grands fournisseurs de services cloud au monde, Microsoft comprend que notre clientèle est vaste et diversifiée et que ces clients ont des priorités différentes et proviennent de divers secteurs. La mise à l’échelle pour répondre à ces besoins divers nécessite que Microsoft recherche des méthodes efficaces pour élargir et amplifier notre capacité à partager des connaissances clés qui aideront tous les clients à définir leurs priorités de sécurité et quels que soient les services Cloud Microsoft qu’ils utilisent. Collaborer avec des sociétés d’évaluation tierces comme CyberGRX est un moyen d’aider nos clients à être plus agiles dans leur recherche d’évaluation des risques.
Le modèle de CyberGRX donne aux organisations intéressées par l’implémentation du contrôle de sécurité de Microsoft Cloud la possibilité de sélectionner les contrôles qui les intéressent le plus et fournit des réponses validées pour leur examen. Microsoft tire parti de ce modèle, car nous pouvons également être agiles dans notre capacité à fournir des mises à jour, et nos réponses sont disponibles pour tous les membres de l’échange CyberGRX, ce qui permet à davantage de clients d’accéder à ces informations clés. En bref, CyberGRX aide Microsoft à atteindre davantage de clients avec des besoins d’évaluation des risques et souligne notre engagement envers la transparence et la sécurité.
En outre, les clients peuvent utiliser la fonctionnalité Framework Mapper de CyberGRX pour mapper nos contrôles et réponses d’évaluation à des normes et frameworks bien connus du secteur, tels que NIST 800-53, NIST Cybersecurity Framework (CSF),ISO 27001, PCI DSS, HIPAA, qui peuvent tous réduire considérablement votre charge de diligence raisonnable.
Plateformes cloud microsoft dans l’étendue & services dans l’étendue
- Azure
- Dynamics 365
- Microsoft 365
- Plateforme Power
Pour obtenir la liste complète des services en ligne Microsoft dans l’étendue d’audit CyberGRX, consultez :
- Offres de conformité Microsoft Azure ou rapport d’attestation Azure SOC 2 Type 2.
- Azure DevOps Services,
- Office 365 documentation SOC 2.
Office 365 et CyberGRX
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
l’applicabilité | Les Services dans l’étendue |
---|---|
Commerciale | Cortana, Customer Lockbox, Archivage Exchange Online, Exchange Online Protection, Exchange Online, Kaizala Pro, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Planificateur Microsoft, Microsoft StaffHub, Microsoft Stream, Microsoft Teams (y compris Bookings, Listes et Shifts), Microsoft To-Do, Microsoft Defender pour Office 365, Office 365 Video, Office sur le Web, OneDrive Entreprise, Project, SharePoint Online, Skype Entreprise Online, Sway, Tableau blanc, Viva Engage |
Audits, rapports et certificats
Pour accéder à un rapport d’évaluation CyberGRX gratuit de Microsoft Cloud, remplissez ce formulaire.
Modalités de mise en œuvre
- Cas d’usage financiers : vue d’ensemble des cas d’utilisation, didacticiels et autres ressources pour créer des solutions Microsoft Cloud pour les services financiers.
- Réglementation des services financiers américains : comment Microsoft Online Services s’aligne aux principales attentes en matière de réglementation pour les établissements financiers américains.
Questions fréquentes (FAQ)
Pour plus d’informations sur la méthodologie de validation de CyberGRX, le modèle de scoring de maturité et d’autres domaines connexes, consultez le FAQ sur l’évaluation de la sécurité.