NIST (National Institute of Standards and Technology) Cybersecurity Framework (CSF)
Vue d’ensemble du NIST CSF
Le National Institute of Standards and Technology (NIST) promeut et maintient des normes de mesure et des conseils pour aider les organisations à évaluer les risques. En réponse à l’ordonnance 13636 sur le renforcement de la cybersécurité des réseaux fédéraux et des infrastructures critiques, le NIST a publié le Framework for Improving Critical Infrastructure Cybersecurity (FICIC) en février 2014.
Les priorités main de la FICIC étaient d’établir un ensemble de normes et de pratiques pour aider les organisations à gérer les risques de cybersécurité, tout en favorisant l’efficacité de l’entreprise. Le framework NIST traite les risques de cybersécurité sans imposer d’exigences réglementaires supplémentaires pour les organisations gouvernementales et privées.
La FICIC fait référence à des normes mondialement reconnues, notamment le NIST SP 800-53 figurant à l’Annexe A du Framework for Improving Critical Infrastructure Cybersecurity du NIST. Chaque contrôle de l’infrastructure FICIC est mappé aux contrôles NIST 800-53 correspondants dans la base de référence FedRAMP Moderate.
Microsoft et le NIST CSF
NIST Cybersecurity Framework (CSF) est un framework volontaire qui se compose de normes, de directives et de bonnes pratiques pour gérer les risques liés à la cybersécurité. Les services Cloud Microsoft ont fait l’objet d’audits fedRAMP Moderate et High Baseline tiers indépendants et sont certifiés conformément aux normes FedRAMP. En outre, grâce à une évaluation validée effectuée par HITRUST, l’un des principaux organization de développement et d’accréditation de normes de sécurité et de confidentialité, Office 365 est certifié pour les objectifs spécifiés dans le NIST CSF.
Découvrez comment accélérer votre déploiement de l’infrastructure de cybersécurité NIST avec Le Gestionnaire de conformité et notre blueprint sécurité et conformité Azure :
- Vue d’ensemble de l’exemple de blueprint NIST SP 800-53 R4
- En savoir plus sur l’évaluation NIST CSF pour Office 365 dans le Gestionnaire de conformité
Plateformes et services du cloud computing de Microsoft dans le champ d’application
- Azure Government
- Dynamics 365 pour le gouvernement
- Office 365
Azure, Dynamics 365 et NIST CSF
Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure NIST CSF.
Office 365 et NIST CSF
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
l’applicabilité | Les Services dans l’étendue |
---|---|
Commerciale | Service de flux d’activité, Services Bing, Delve, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 Portail client, Office Online, Infrastructure du service Office, Rapports d’utilisation Office, OneDrive Entreprise, carte Personnes, SharePoint Online, Skype Entreprise, Windows Ink |
Office 365 cycle d’audit et certification
La certification NIST CSF de Office 365 est valable pendant deux ans.
Forum aux questions
Un évaluateur indépendant a-t-il vérifié qu’Office 365 prend en charge les exigences du NIST CSF ?
Oui, Office 365 obtenu la lettre de certification NIST CSF de HITRUST en juillet 2019.
Comment Microsoft Services cloud démontrer la conformité avec l’infrastructure ?
À l’aide des rapports d’audit formels préparés par des tiers pour l’accréditation FedRAMP, Microsoft peut montrer comment les contrôles pertinents notés dans ces rapports démontrent la conformité avec le NIST Framework for Improving Critical Infrastructure Cybersecurity. Les contrôles audités implémentés par Microsoft permettent de garantir la confidentialité, l’intégrité et la disponibilité des données stockées, traitées et transmises par Azure, Office 365 et Dynamics 365 qui ont été identifiées comme étant de la responsabilité de Microsoft.
Quelles sont les responsabilités de Microsoft pour maintenir la conformité avec cette initiative ?
La participation à la FICIC est volontaire. Toutefois, Microsoft s’assure que Office 365 remplit les conditions définies dans les conditions générales des services en ligne et les contrats de niveau de service applicables.
Puis-je utiliser la conformité de Microsoft pour mon organization ?
Oui. Les rapports de conformité tiers indépendants aux normes FedRAMP témoignent de l’efficacité des contrôles que Microsoft a implémentés pour maintenir la sécurité et la confidentialité des Services cloud Microsoft. Les clients Microsoft peuvent utiliser les contrôles audités décrits dans ces rapports connexes dans le cadre de leurs propres efforts d’analyse des risques et de qualification fedRAMP et NIST FICIC.
Quelles organisations sont considérées par le gouvernement États-Unis comme étant des infrastructures essentielles ?
Selon le ministère de la Sécurité intérieure, il s’agit d’organisations dans les secteurs suivants : Produits chimiques, Installations commerciales, Communications, Fabrication critique, Barrages, Base industrielle de défense, Services d’urgence, Énergie, Services financiers, Alimentation et agriculture, Installations gouvernementales, Soins de santé et santé publique, Technologies de l’information, Nucléaire (réacteurs matériaux et déchets), Systèmes de transport et eau (et eaux usées).
Pourquoi certains services Office 365 ne sont-ils pas inclus dans le cadre de cette certification ?
Microsoft fournit les offres les plus complètes par rapport à d’autres fournisseurs de services cloud. Pour suivre nos offres de conformité étendues dans les régions et les secteurs d’activité, nous incluons des services dans le cadre de nos efforts d’assurance en fonction de la demande du marché, des commentaires des clients et du cycle de vie des produits. Si un service n’est pas inclus dans l’étendue actuelle d’une offre de conformité spécifique, votre organization a la responsabilité d’évaluer les risques en fonction de vos obligations de conformité et de déterminer la façon dont vous traitez les données dans ce service. Nous recueillons en permanence les commentaires de nos clients et travaillons avec les régulateurs et les auditeurs pour étendre notre couverture de conformité afin de répondre à vos besoins en matière de sécurité et de conformité.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.
Ressources
- Mappage des offres Microsoft Cyber à : NIST Cybersecurity Framework (CSF), CIS Controls, ISO27001 :2013 et HITRUST CSF
- Framework pour l’amélioration de la cybersécurité des infrastructures critiques
- Décret présidentiel sur le renforcement de la cybersécurité des réseaux fédéraux et des infrastructures critiques
- Cloud Microsoft Service publique
- Conditions d’utilisation des services en ligne
- Conformité sur le site Microsoft Trust Center