Partager via


Australian Government Information Security Registered Assessor Program (IRAP)

Le Programme d’évaluateurs enregistrés pour la sécurité de l’information (IRAP) fournit un processus complet pour l’évaluation indépendante de la sécurité d’un système par rapport aux politiques et directives du gouvernement australien. L’objectif de l’IRAP est de maximiser la sécurité des données gouvernementales fédérales, étatiques et locales australiennes en se concentrant sur l’infrastructure des technologies de l’information et des communications qui les stocke, les traite et les communique.

Vue d’ensemble de l’IRAP

L’Information Security Registered Assessors Program (IRAP) est régi et administré par l’Australian Cyber Security Centre (ACSC). Le PARI fournit le cadre permettant d’approuver les individus des secteurs privé et public afin de fournir des services d’évaluation de la cybersécurité au gouvernement australien. Les évaluateurs approuvés de l’IRAP peuvent fournir une évaluation indépendante de la sécurité des TIC, suggérer des mesures d’atténuation et mettre en évidence les risques résiduels. L’IRAP fournit un processus complet pour l’évaluation indépendante de la sécurité d’un système par rapport aux politiques et directives du gouvernement australien. L’objectif de l’IRAP est de maximiser la sécurité des données gouvernementales fédérales, étatiques et locales australiennes en se concentrant sur l’infrastructure des technologies de l’information et des communications qui les stocke, les traite et les communique.

  • En 2014, Azure a été lancé en tant que premier service cloud évalué par IRAP en Australie, hébergé à partir de centres de données à Melbourne et Sydney. Ces deux centres de données permettent aux clients australiens de contrôler l’emplacement de stockage de leurs données client, tout en offrant une meilleure durabilité des données en cas de sinistres par le biais de sauvegardes aux deux emplacements.
  • Début 2015, Office 365 est devenu le premier service de productivité cloud à effectuer cette évaluation.
  • En avril 2015, l’ASD a annoncé la certification CCSL d’Azure et de Office 365, et en novembre 2015, de Dynamics 365.
  • En juin 2017, ASD a annoncé la recertification de Microsoft Azure et Office 365 pour un ensemble de services considérablement étendu.
  • En avril 2018, l’ACSC a annoncé la certification d’Azure et de Office 365 à la classification PROTECTED. Microsoft est le premier et le seul fournisseur de cloud public à atteindre ce niveau de certification.
  • En septembre 2019, l’étendue d’évaluation IRAP mise à jour de Microsoft s’est étendue pour inclure 113 services dans la classification PROTECTED.
  • En décembre 2020, Microsoft a publié deux évaluations IRAP incrémentielles pour Azure et Office 365. Ces rapports ont utilisé les nouvelles recommandations après la cessation de la liste des Services cloud certifiées (CCSL). Les rapports contiennent à la fois une évaluation de Microsoft en tant que fournisseur de services cloud (CSP) et d’autres services qui sont incrémentiels aux rapports 2019 dans Azure, Dynamics et Office 365.

Microsoft et IRAP

En décembre 2020, Microsoft a effectué deux évaluations azure & Dynamics et Office 365 incrémentielles. Ces évaluations ont ajouté d’autres services évalués au niveau de classification de PROTECTED. En outre, ces évaluations ont été effectuées dans le cadre du nouveau guide de sécurité du cloud de la CCSL, tel qu’il est décrit dans les conseils sur l’anatomie d’une évaluation et d’autorisation cloud de l’ACSC.

Pour chaque évaluation, Microsoft a engagé un évaluateur IRAP accrédité acSC qui a examiné les contrôles et les processus de sécurité utilisés par l’équipe des opérations informatiques de Microsoft, les centres de données physiques, la détection des intrusions, le chiffrement, la sécurité inter-domaines et réseau, le contrôle d’accès et la gestion des risques de sécurité des informations des services dans l’étendue. Les évaluations de l’IRAP ont révélé que l’architecture du système Microsoft est basée sur des principes de sécurité solides et que les contrôles applicables du Manuel de sécurité des informations du gouvernement australien (ISM) sont en place et pleinement efficaces dans nos services évalués.

Le cadre de gestion des risques utilisé par l’ISM s’appuie sur la publication spéciale du National Institute of Standards and Technology (NIST) 800-37 Rev. 2. Dans ce cadre de gestion des risques, l’identification des risques et la sélection des contrôles de sécurité peuvent être effectuées à l’aide de diverses normes de gestion des risques, telles que l’Organisation internationale de normalisation (ISO) 31000 :2018, Risk management - Guidelines. Globalement, le cadre de gestion des risques utilisé par l’ISM comprend six étapes :

  • Définir le système
  • Sélectionner des contrôles de sécurité
  • Implémenter des contrôles de sécurité
  • Évaluer les contrôles de sécurité
  • Autoriser le système
  • Surveiller le système

Comme toujours, des contrôles de compensation supplémentaires peuvent être implémentés sur une base gérée par les risques par des agences individuelles avant l’autorisation de l’agence et l’utilisation ultérieure de ces services cloud.

L’évaluation IRAP des services et des opérations cloud de Microsoft permet d’assurer aux clients du secteur public dans le secteur public et à leurs partenaires que Microsoft a mis en place des contrôles de sécurité appropriés et efficaces pour le traitement, le stockage et la transmission des données classifiées jusqu’au niveau protégé et y compris. Cette évaluation inclut la plupart des données gouvernementales, médicales et éducatives en Australie.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

Azure, Dynamics 365 et IRAP

Pour plus d’informations sur azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure IRAP.

Office 365 et IRAP

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Exchange Online, Exchange Online Protection, Formulaires, Microsoft Teams, Office 365 Portail client, Office Online, Infrastructure de service Office, OneDrive Entreprise, Planificateur, SharePoint Online, Skype Entreprise, Tableau blanc, Viva Engage

Forum aux questions

À qui le PARI s’applique-t-il ?

IRAP s’applique à toutes les agences gouvernementales fédérales, d’État et locales australiennes qui utilisent des services cloud. Les agences gouvernementales néo-zélandaises exigent le respect d’une norme similaire à celle de l’ISM du gouvernement australien, de sorte qu’elles peuvent également utiliser les évaluations de l’IRAP.

Puis-je utiliser la conformité de Microsoft dans le processus d’évaluation des risques et d’approbation de mon organization ?

Oui. Si votre organization nécessite ou recherche une approbation pour fonctionner conformément à l’ISM, vous pouvez utiliser les évaluations de sécurité IRAP d’Azure, Dynamics 365, Microsoft Managed Desktop et Office 365 dans votre évaluation des risques. Toutefois, vous devez faire appel à un évaluateur pour évaluer votre implémentation telle qu’elle est déployée sur les plateformes de Microsoft, ainsi que pour les contrôles et les processus au sein de votre propre organization.

Par où commencer par l’évaluation des risques et l’approbation de mon organization pour fonctionner ?

Il est recommandé de lire les conseils sur les évaluations de sécurité cloud de l’ACSC.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources