Mesures de sécurité de niveau élevé de l’Esquema Nacional de Seguridad (ENS) d’Espagne
Présentation de l’ENS (Espagne)
En 2007, le gouvernement espagnol a promulgué la Loi 11/2007, qui établissait un cadre juridique destiné à donner aux citoyens un accès électronique à l’administration et aux services publics. Cette loi est la base de l’Esquema Nacional de Seguridad (Cadre de sécurité nationale), qui est régie par le décret royal (RD) mis à jour 311/2022. Cette infrastructure a pour objectif d'instaurer la confiance dans la fourniture des services électroniques et de garantir l'accès, l'intégrité, la disponibilité, l'authenticité, la confidentialité, la traçabilité et la préservation des données, informations et services.
L'infrastructure s'applique à toutes les organisations du secteur public et organismes gouvernementaux d'Espagne qui achètent des services cloud, ainsi qu'aux fournisseurs de technologies d'informations et de communications (TIC). Elle guide ces agences et sociétés pour mettre en œuvre des contrôles de sécurité efficaces dans le cloud et sur site, conformément aux normes de sécurité et de confidentialité en vigueur en Espagne et dans l'Union Européenne.
L'infrastructure établit des stratégies de base et des exigences obligatoires que les organismes gouvernementaux et leurs fournisseurs de services doivent respecter. Elle définit un ensemble de contrôles de sécurité spécifiques, dont beaucoup s'alignent directement sur la norme ISO/IEC 27001, concernant la disponibilité, l'authenticité, l'intégrité, la confidentialité et la traçabilité. La sensibilité des informations, qu'elle soit faible, moyenne ou élevée, détermine les mesures de sécurité qui doivent être appliquées pour les protéger.
Chaque organisme gouvernemental doit adopter une approche de gestion des risques en matière de sécurité, qui consiste à évaluer les risques, puis à appliquer des contrôles de sécurité appropriés à ces risques. Les fournisseurs de services, eux aussi, doivent respecter les exigences strictes de l'infrastructure afin d'aider à s'assurer que leurs procédures, capacités techniques et opérations sont sécurisées et permettent aux agences de respecter les réglementations.
L'infrastructure prescrit un processus d'accréditation qui est volontaire pour les systèmes qui assurent la gestion des informations de sensibilité faible , mais obligatoire pour les systèmes qui assurent la gestion des informations de sensibilité moyenne ou élevée. Un audit est effectué par un auditeur indépendant agréé. Le rapport est ensuite examiné au cours d’un processus de certification avant que les contrôles de gestion des risques soient acceptés lors de l’étape finale de l’accréditation.
Microsoft et les mesures de sécurité de niveau élevé de l’ENS (Espagne)
Microsoft Azure et Microsoft Office 365 ont fait l’objet d’une évaluation rigoureuse par BDO, un auditeur indépendant, qui a publié une déclaration officielle au sujet de leur conformité. BDO a indiqué que les mesures de sécurité dans les deux services et leurs systèmes d’information et installations de traitement des données, sont conformes au niveau élevé du RD 3/2010 sans qu’aucune mesure corrective supplémentaire ne soit nécessaire. Microsoft a été le premier fournisseur de services Cloud à grande échelle à recevoir cette certification en Espagne.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
- Azure
- Microsoft 365 & Microsoft 365 éducation
- Dynamics 365
Microsoft 365 et ENS High
Environnements Microsoft 365 (Office 365)
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
Microsoft 365 & microsoft 365 pour l’éducation et services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Microsoft 365 et Microsoft 365 pour l’Éducation :
l’applicabilité | Les Services dans l’étendue |
---|---|
Commerciale | Microsoft Viva (inclut Connections, Insights, Learning et Engage), Microsoft 365 (inclut Word, Excel, PowerPoint, Outlook, Sharepoint, Exchange, OneNote, OneDrive, Planificateur Microsoft, Sway, Whiteboard, Delve, Microsoft Forms, Microsoft To Do et Windows), Microsoft Purview (inclut audit, protection adaptative, conformité des communications, eDiscovery, Gestionnaire de conformité, Information Protection, gestion du cycle de vie des données, gestion des risques internes, protection contre la perte de données et gouvernance unifiée des données alias Azure Purview), Microsoft Teams (comprend l’audioconférence et le système téléphonique), Microsoft Outlook Web App, Microsoft Outlook Mobile, Microsoft Copilot pour Microsoft 365, Copilot pour Windows, Microsoft Copilot avec la protection des données commerciales, protection Microsoft Exchange Online, Microsoft Defender XDR (inclut Microsoft Defender pour point de terminaison, Microsoft Defender pour Identity et Microsoft Defender pour Office 365 et Microsoft Defender for Cloud Apps), Microsoft Defender pour point de terminaison, Microsoft Defender pour Identity, Microsoft Defender pour Office 365, Microsoft Defender for Cloud Apps, Microsoft Intune |
Dynamics 365 et ENS High
Dynamics 365 l’applicabilité et les services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services de Dynamics 365 et de votre abonnement :
l’applicabilité | Les Services dans l’étendue |
---|---|
Commerciale | Copilot Studio, Dynamics 365 Sales, Dynamics 365 Customer Insights Journey, Dynamics 365 données Customer Insights, Dynamics 365 Finance, Dynamics 365 Supply Chain Management, Dynamics 365 Business Central, Dynamics 365 Customer Service (comprend Omnicanal), Dynamics 365 Field Service (inclut Remote Assist), Dynamics 365 Ressources humaines, Dynamics 365 Project Operations, Dynamics 365 Commerce, Dynamics 365 Fraud Protection, Dynamics 365 Customer Voice, Power Platform (inclut Power BI, Power Apps, Power Automate et Power Pages), Copilot dans Power Platform (inclut Copilot pour Power Apps, Copilot pour Power Automate, Copilot pour Power Pages et Copilot pour Power BI), Copilot pour les ventes, Copilot pour les services, Copilot pour la finance, Copilot pour Dynamics 365 |
Microsoft Azure et ENS High
Applicabilité Azure et services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnement Azure :
l’applicabilité | Les Services dans l’étendue |
---|---|
Commerciale | Informatique confidentielle Azure, Microsoft Entra (inclut Entra ID, Entra ID Governance, Entra ID externe, Entra Domain Services, Entra Vérification d’identité, Entra Gestion des autorisations, Entra ID de charge de travail, Entra Internet Access y Entra Private Access), Azure Site Recovery, Azure Réseau virtuel, Azure ExpressRoute, Azure Load Balancer, Sauvegarde Azure, Azure AI Services (inclut Azure OpenAI, Recherche cognitive Azure, Azure AI Vision, Azure AI Custom Vision, Azure AI Language, Azure AI Speech, Azure AI Translator, Azure AI Document Intelligence, Azure AI Bot Service, Azure AI Audio & Video, Azure AI Détecteur d'anomalies, Azure AI Sécurité du Contenu, Azure AI Personalizer, Azure AI Metrics Advisor et Azure AI Lecteur immersif), Azure AI Studio (comprend Azure OpenAI Studio, Azure Machine Learning Studio, Azure Language Studio, Azure Speech Studio, Azure Vision Studio, Azure Custom Translator Studio, Azure Document Intelligent Studio et Azure Content Safety Studio), Copilot pour Azure, Azure SQL, Azure Cosmos DB, Azure SQL Database, Azure Database pour PostgreSQL, Azure SQL Managed Instance, Azure Database pour MySQL, Azure Cache pour Redis, Azure Database for MariaDB, Stockage Azure (y compris Blob, Archive, Disque, Fichier et Data Box), Azure Synapse Analytics |
Azure Databricks, Azure Data Factory, Azure HDInsight, Azure Analysis Services, Azure Data Lake, Azure Data Lake Analytics, Microsoft Fabric, Fabric Copilot, Power BI Embedded, Azure DevOps, Azure IoT Hub, Azure Event Hubs, Azure Log Analytics, Azure Monitor, Azure Key Vault (inclut Standard, Premium et Managed HSM), Microsoft Sentinel, Microsoft Copilot pour la sécurité, Microsoft Defender pour IoT, Microsoft Defender pour le cloud, Gestion de la posture de sécurité cloud Microsoft Defender, Gestion de surface d’attaque externe Microsoft Defender (GSAE), Azure DDOS Protection, Pare-feu Azure, Pare-feu Azure Manager, Azure Web Application Firewall, Azure Application Gateway, Azure passerelle VPN, Azure Bastion, Azure Machines Virtuelles, Azure Kubernetes Service, Azure Container Instances, Azure Container Registry, Azure Containers Apps, Azure App Service, Azure Web Apps, Azure Logic Apps, Azure Gestion des API, Azure Service Bus, Azure Event Grid, Azure VMWare Solution, Azure Virtual Desktop (AVD), Azure Arc, Azure NetApp Files |
Audits, rapports et certificats
La certification est valable pendant deux ans, avec un audit de surveillance annuelle.
Azure
- Certificat Azure National Security Framework (ENS) (espagnol)
- Rapport d’audit Azure National Security Framework (ENS) (Espagnol)
Microsoft 365 et Microsoft 365 éducation
- Certificat Microsoft 365 & Microsoft 365 for Education National Security Framework (ENS) (espagnol)
- Rapport d’audit Microsoft 365 & Microsoft 365 for Education National Security Framework (ENS) (espagnol)
Dynamics 365
- certificat Dynamics 365 National Security Framework (ENS) (espagnol)
- Dynamics 365 National Security Framework (ENS) Audit Report (Espagnol)
Questions fréquemment posées
Comment puis-je me procurer des copies des rapports d’audit et des certifications ?
Le portail d’approbation de services fournit les rapports d'audit et les certifications en espagnol et en anglais. Les rapports permettent à vos auditeurs de comparer les services de cloud computing Microsoft avec vos propres exigences légales et réglementaires.
Quelles sont les démarches à suivre en matière de conformité de mon organisation ?
Si votre organisation utilise Azure ou Office 365, vous pourrez alors tirer parti de l'accréditation et des rapports d'audit ENS Microsoft dans le cadre de votre propre processus d'accréditation. Il vous incombe néanmoins d’engager un auditeur pour mesurer votre mise en œuvre de la conformité, et de vous assurer que les contrôles et les processus au sein de votre propre organisation sont conformes à l’infrastructure.
Ressources
- Esquema Nacional de Seguridad d'Espagne (espagnol et anglais)
- Conditions de Microsoft Online Services
- Conformité sur le site Microsoft Trust Center