Partager via


ENISA information assurance Framework

À propos de l’ENISA information assurance Framework

L’Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) est un centre d’expertise des réseaux et de l’information. Il collabore étroitement avec les États membres de l’UE et le secteur privé pour donner des conseils et recommandations concernant les bonnes pratiques en matière de cybersécurité. ENISA prend également en charge le développement et l’implémentation de la politique et de la législation de l’UE relatives à la sécurité des informations nationales.

L’information assurance Framework (IAF) est un ensemble de critères d’assurance que les organisations peuvent réviser avec des fournisseurs de services cloud pour s’assurer qu’ils protègent les données client de façon suffisante. L’IAF est destiné à aider les organisations à évaluer les risques liés à l’adoption des services cloud, à mieux comparer les offres de différents services cloud et à réduire la charge d’assurance pour les fournisseurs de service cloud.

Microsoft et l’ENISA IAF

L’ENISA information assurance Framework est basé sur les nombreuses catégories de contrôles de la norme ISO/IEC 27001, la norme de gestion internationale de la sécurité des informations et le Cloud Controls Matrix (CCM) v 3.0.1 de la Cloud Security Alliance (CSA). Le CCM
est une infrastructure de contrôle englobant les principes de sécurité fondamentaux sous 16 domaines et permettant aux clients cloud d'évaluer le risque de sécurité global d'un fournisseur de services Cloud.

Pour l’auto-évaluation de CSA STAR, Microsoft a présenté un rapport sur la conformité de Microsoft Azure avec le CCM CSA. (Microsoft publie également un questionnaire caiq (Consensus Assessments Initiative Questionnaire) pour Azure.) Cette auto-évaluation
de la conformité est conforme à l'ENISA IAF.

La conformité Azure est répertoriée dans le registre CSA STAR, un registre gratuit accessible publiquement, dans lequel les fournisseurs de services Cloud publient leurs évaluations associées au CSA. À partir de là, Azure maintient également les certifications CSA STAR et attestations CSA STAR officielles.

Parce que les rapports d'auto-évaluation sont publics, ils aident les clients Azure à avoir plus de visibilité sur les pratiques de sécurité Microsoft, ainsi qu'à comparer différents fournisseurs de services Cloud avec la même base de référence.

Plateformes cloud et services Microsoft dans l’étendue

  • Azure
  • Office 365

Azure, Dynamics 365 et ENISA IAF

Pour plus d’informations sur la conformité d’Azure, de Dynamics 365 et d’autres services en ligne, consultez l'offre Azure ENISA IAF.

Office 365 et IAF ENISA

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Microsoft Entra ID, Azure Information Protection, Bookings, Gestionnaire de conformité, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender pour Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do pour le web, MyAnalytics, Conformité avancée Office 365 module complémentaire, Sécurité des applications cloud Office 365, groupes Office 365, Office 365 Centre de sécurité & conformité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, StaffHub, Stream, Sway, Viva Engage

Ressources