Defense Federal Acquisition Regulation Supplement (DFARS)
Vue d’ensemble de DFARS
Le 21 octobre 2016, le ministère de la Défense (DoD) a publié sa règle finale modifiant le Supplément de règlement sur les acquisitions fédérales de défense (DFARS) et imposant des obligations de protection et de signalement des cyber-incidents aux sous-traitants de la défense dont les systèmes d’information traitent, stockent ou transmettent les informations de défense couvertes (CDI).
La clause DFARS finale 252.204-7012 (Protection des informations de défense couvertes et des rapports sur les cyber-incidents) spécifie des mesures de protection pour inclure les exigences de signalement des cyber-incidents et des considérations supplémentaires pour les fournisseurs de services cloud. Selon DFARS 252.204-7012, tous les sous-traitants du DoD et la base industrielle de défense sont tenus de se conformer aux exigences DFARS pour une sécurité adéquate « dès que possible, mais pas plus tard que le 31 décembre 2017 ».
Microsoft et DFARS
Les services cloud Microsoft Government aident les clients de la base industrielle de défense États-Unis et des prestataires de défense à répondre aux exigences DFARS énumérées dans les clauses DFARS 252.204-7012 qui s’appliquent aux fournisseurs de services cloud. Lorsque les sous-traitants de défense sont tenus de se conformer à la clause DFARS 252.204-7012 dans les contrats, Microsoft peut prendre en charge les exigences applicables aux fournisseurs de services cloud pour Azure Government et Office 365 services de défense du gouvernement américain. Les deux services démontrent la prise en charge des fonctionnalités nécessaires pour que les clients se conforment aux clauses DFARS 7012 par le biais de leur accréditation L5 au Guide des exigences de sécurité du ministère de la Défense.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
Services couverts pour doD Impact Level 5
- Azure et Azure Government
- Office 365 gouvernement des États-Unis et Office 365 défense du gouvernement des États-Unis
Azure, Dynamics 365 et DFARS
Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure DFARS.
Office 365 et DFARS
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
l’applicabilité | Les Services dans l’étendue |
---|---|
GCC | ID Microsoft Entra, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 Centre de conformité sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream |
GCC High | ID Microsoft Entra, Exchange Online, Formulaires, Microsoft Defender pour Office 365, Microsoft Teams, module complémentaire Conformité avancée Office 365, Office 365 Centre de conformité sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise |
DOD | ID Microsoft Entra, Exchange Online, Formulaires, Microsoft Defender pour Office 365, Microsoft Teams, module complémentaire Conformité avancée Office 365, Office 365 Centre de conformité & sécurité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, Power BI, SharePoint Online, Skype Entreprise |
Audits, rapports et certificats Office 365
Foire aux questions
Quelles sont les exigences DFARS prises en charge par Office 365 us Government Defense ?
Office 365 U.S. Government Defense permet à nos clients de la base industrielle de défense et des sous-traitants de défense de répondre aux exigences DFARS énumérées dans les clauses DFARS de 252.204-7012 qui s’appliquent aux fournisseurs de services cloud.
Un évaluateur indépendant a-t-il vérifié qu’Office 365 us Government Defense prend en charge les exigences DFARS ?
Oui, un organization d’évaluation tiers a attesté que l’offre de service cloud Office 365 U.S. Government Defense répond aux exigences applicables de la clause DFARS 252.204-7012 (Protection des informations techniques contrôlées non classifiées).
Quelle est la relation entre les informations non classifiées contrôlées (CUI) et les informations de défense couvertes (CDI) ?
L’ICR est une information qui nécessite la protection ou la diffusion des contrôles conformément à la loi, à la réglementation ou à la politique gouvernementale. Le registre CUI identifie les catégories et sous-catégories CUI approuvées.
L’IDE est une information technique contrôlée ou d’autres informations (comme décrit dans le registre CUI) qui nécessitent des contrôles de protection ou de diffusion et qui sont soit :
- Marqué ou autrement identifié dans le contrat, l’ordre de tâche ou l’ordre de livraison, et fourni à l’entrepreneur par ou au nom du DoD dans le cadre de l’exécution du contrat ou
- Collectés, développés, reçus, transmis, utilisés ou stockés par ou au nom de l’entrepreneur à l’appui de l’exécution du contrat
Tous les services Microsoft Office 365 répondent-ils aux exigences de « sécurité adéquate » applicables aux « informations de défense couvertes » en vertu de la réglementation DFARS ?
En octobre 2016, le ministère de la Défense (DoD) a promulgué une règle finale mettant en œuvre les clauses du supplément de règlement sur les acquisitions fédérales (DFARS) de la défense qui s’appliquent à tous les sous-traitants du Ministère de la Défense qui traitent, stockent ou transmettent les « informations de défense couvertes » par le biais de leurs systèmes d’information. La règle stipule que ces systèmes doivent répondre aux exigences de sécurité définies dans NIST SP 800-171, Protection des informations non classifiées contrôlées dans les systèmes d’information non féderaux et les organisations, ou une « mesure de sécurité alternative, mais tout aussi efficace » approuvée par le responsable des contrats du DoD. Et lorsqu’un sous-traitant du DoD utilise un fournisseur de services cloud externe pour traiter, stocker ou transmettre des informations de défense couvertes, ce fournisseur doit répondre à des exigences de sécurité équivalentes à la base de référence FedRAMP Moderate.
Les services cloud Microsoft Office 365 suivants ont reçu une autorisation FedRAMP modérée et sont adaptés à DFARS : Office 365 gouvernement des États-Unis et Office 365 défense du gouvernement des États-Unis.
En outre, les offres Microsoft en dehors de la limite certifiée FedRAMP qui pourraient potentiellement être utilisées par les sous-traitants du DoD pour traiter, stocker ou transmettre des « informations de défense couvertes » font l’objet d’un examen pour respecter la date limite de conformité du 31 décembre 2017. Microsoft s’efforce de documenter la façon dont ces services internes et orientés client sont conformes au NIST SP 800-171 ou à un équivalent de sécurité acceptable, afin de respecter les clauses DFARS pertinentes.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.