Normes de gestion de la sécurité des informations ISO/IEC 27001:2013
Présentation de la norme ISO/IEC 27001
L’Organisation internationale de normalisation ISO est une organisation non-gouvernementale indépendante et le plus grand développeur au monde de normes internationales volontaires. La Commission électrotechnique internationale IEC est la première organisation au monde de préparation et de publication de normes internationales pour les technologies électriques, électroniques et associées.
Publiée sous l’égide du sous-comité commun ISO/IEC, la famille de normes ISO/IEC 27000 souligne des centaines de contrôles et de mécanismes de contrôle pour aider les organisations de tous types et de toutes tailles à sécuriser des informations. Ces normes internationales fournissent un cadre pour des stratégies et des procédures qui incluent tous les contrôles juridiques, physiques et techniques impliqués dans les processus de gestion des risques liés aux informations d’une organisation.
ISO/IEC 27001 est une norme de sécurité qui spécifie formellement un système de gestion de sécurité de l’information (ISMS) qui vise à apporter une sécurité des informations dans le cadre d’un contrôle de gestion explicite. En tant que spécification formelle , elle rend obligatoires des exigences qui définissent comment implémenter, surveiller, tenir à jour et améliorer en continu l’ISMS. Elle prévoit également un ensemble de pratiques idéales qui incluent des exigences de documentation, de partage de responsabilité, de disponibilité, de contrôle d’accès, de sécurité, d’audit ainsi que des mesures correctives et préventives. La certification ISO/IEC 27001 aide les organisations à se conformer à plusieurs exigences légales et réglementaires relatives à la sécurité des informations.
Microsoft et la norme ISO/IEC 27001
L’applicabilité et l’acceptation internationales d’ISO/IEC 27001 sont les raisons clés expliquant la raison pour laquelle une certification à cette norme est au cœur de l’approche de Microsoft sur la mise en œuvre et la gestion de la sécurité des informations. L’objectif de la certification par Microsoft à la norme ISO/IEC 27001 marque son engagement à respecter les promesses faites au client sur le plan de la conformité au niveau de l’activité et de la sécurité. Azure Public et Azure Allemagne sont actuellement audités une fois par an par un organisme agréé tiers de certification pour leur conformité à la norme ISO/IEC 27001, fournissant une validation indépendante indiquant que des contrôles de sécurité sont en place et fonctionnent efficacement.
En savoir plus sur les avantages de la norme ISO/IEC 27001 sur le cloud Microsoft : Téléchargez la norme ISO/IEC 27001 :2013.
Plateformes cloud et services Microsoft dans l’étendue
- Azure, Azure Gouvernement et Azure Allemagne
- Azure DevOps Services
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour point de terminaison
- Dynamics 365, Dynamics 365 Gouvernement et Dynamics 365 Allemagne
- Microsoft Graph
- Microsoft Healthcare Bot
- Intune
- Bureau géré Microsoft
- Service Cloud Power Automate (anciennement Microsoft Flow), soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
- Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense
- Office 365 Allemagne
- OMS Service Map
- Service Cloud PowerApps, soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
- Service Cloud Power BI soit en service autonome, soit inclus dans un plan ou une suite Office 365
- Power BI intégré
- Power Virtual Agents
- Services professionnels Microsoft
- Microsoft Stream
- Spécialistes des menaces Microsoft
- Microsoft Translator
- Rubriques
- Windows 365
Azure, Dynamics 365 et ISO 27001
Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure ISO 27001.
Office 365 and ISO 27001
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
| l’applicabilité | Les Services dans l’étendue |
|---|---|
| Commerciale | Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender pour Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 Portail client, Office 365 Microservices (notamment Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Centre de sécurité & conformité, Office Online, Office Pro Plus, Infrastructure des services Office, OneDrive Entreprise, Planner, PowerApps, Power BI, Project Online, Service Encryption with Microsoft Purview Customer Key, SharePoint Online, Skype Entreprise, Stream |
| GCC | ID Microsoft Entra, Azure Communications Service, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, module complémentaire Conformité avancée Office 365, centre de conformité Office 365 sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream |
| GCC High | ID Microsoft Entra, Azure Communications Service, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 module complémentaire, Office 365 Centre de conformité sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise |
| DOD | ID Microsoft Entra, Azure Communications Service, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 module complémentaire, Office 365 Centre de conformité & sécurité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, Power BI, SharePoint Online, Skype Entreprise |
Audits, rapports et certificats Office 365
Les services cloud Office 365 sont audités au moins une fois par an par rapport à la norme ISO 27001:2013.
Évaluations et rapports Office 365
- Rapport d’évaluation ISO Microsoft 365 final (2023)
- Office 365 - Déclaration d’applicabilité iso 27001, 27017, 27018, 27701 (2.23.2022)
Questions fréquemment posées
Pourquoi la conformité Office 365 avec ISO/IEC 27001 est-elle importante ?
La conformité à ces normes, confirmée par un auditeur agréé, démontre que Microsoft utilise des meilleures pratiques et des processus reconnus internationalement pour gérer l’infrastructure et l’organisation qui soutient et fournit ses services. Le certificat confirme que Microsoft a mis en œuvre les directives et les principes généraux d’initiation, d’implémentation, de tenue à jour et d’amélioration de la gestion de la sécurité des informations.
Où puis-je obtenir les déclarations de champ d’application et les rapports d'audit ISO/IEC 27001 pour les services Office 365 ?
Le portail d’approbation de services fournit des rapports de conformité audités indépendamment. Vous pouvez utiliser le portail pour demander des rapports afin que vos auditeurs puissent comparer les services Cloud Microsoft à vos propres exigences légales et réglementaires.
Les tests annuels sont-ils exécutés pour les défaillances d’infrastructure Office 365 ?
Oui. Le processus annuel de certification ISO/IEC 27001 pour le groupe Microsoft Cloud Infrastructure and Operations inclut un audit de la résistance opérationnelle. Pour afficher le dernier certificat, sélectionnez le lien ci-dessous.
- Certificat Microsoft 365 et Office 365 : Office 365 - Certificat ISO 27001 :2013 (2021-2024)
Où dois-je commencer concernant l’effort de conformité ISO/IEC 27001 de mon organisation ?
L’adoption d’ISO/IEC 27001 est un engagement stratégique. Commencez par consulter l'Annuaire ISO/IEC 27000.
Puis-je tirer profit de la conformité ISO/IEC 27001 des services Office 365 dans la certification de mon organisation ?
Oui. Si votre activité nécessite la certification ISO/IEC 27001 pour des implémentations déployées dans des services Microsoft, vous pouvez utiliser la certification applicable dans votre évaluation de la conformité. Il vous incombe néanmoins de mobiliser un évaluateur pour mesurer la mise en œuvre de la conformité à l’ISO/IEC 27001 ainsi que les contrôles et les processus au sein de votre propre organisation.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de conformité offre une évaluation prédéfinie de cette réglementation pour les clients d’Entreprise E5. Recherchez le modèle de création de l’évaluation sur la page des modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.
Ressources
- Recensement des offres Microsoft Cyber sur : NIST Cyber-sécurité (CSF), CIS Controls et normes ISO27001:2013
- Norme ISO/IEC 27001:2013 (achat)
- Microsoft place très haut la barre pour la sécurité des informations (étude de cas BSI)
- Infrastructure de conformité Microsoft Common Controls Hub
- Conditions de Microsoft Online Services
- Microsoft Cloud pour le secteur public
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour