Vue d'ensemble de la gestion des incidents et de la sécurité

Qu’est-ce qu’un incident de sécurité ?

Microsoft définit un incident de sécurité dans ses services en ligne comme une violation confirmée de la sécurité donnant lieu à une destruction fortuite ou illégale, à une perte, à une altération, à une divulgation ou à une consultation non autorisée de données client ou de données personnelles lors du traitement par Microsoft. Par exemple, l’accès non autorisé à l’infrastructure microsoft services en ligne et l’exfiltration des données client constituent un incident de sécurité, tandis que les événements de conformité qui n’affectent pas la confidentialité, l’intégrité ou la disponibilité des services ou des données client ne sont pas considérés comme des incidents de sécurité.

Comment Microsoft répond-il aux incidents de sécurité ?

Chaque fois qu’il y a un incident de sécurité, Microsoft s’efforce de répondre rapidement et efficacement pour protéger les services Microsoft et les données client. Microsoft utilise une stratégie de réponse aux incidents conçue pour examiner, contenir et supprimer les menaces de sécurité rapidement et efficacement.

Les services cloud Microsoft sont surveillés en permanence pour détecter des signes de compromission. En plus de la surveillance et des alertes de sécurité automatisées, tous les employés reçoivent une formation annuelle pour reconnaître et signaler les signes d’incidents de sécurité potentiels. Toute activité suspecte détectée par des employés, des clients ou des outils de surveillance de la sécurité est réaffectée aux équipes de réponse de sécurité spécifiques au service pour investigation. Toutes les équipes des opérations de service, y compris les équipes de réponse de sécurité spécifiques au service, maintiennent une rotation approfondie des appels pour garantir que les ressources sont disponibles pour la réponse aux incidents 24 heures sur 24, 7 j/7, 365 heures sur 24. Nos rotations d’appel permettent à Microsoft de monter une réponse efficace aux incidents à tout moment ou à toute échelle, y compris les événements étendus ou simultanés.

Lorsque des activités suspectes sont détectées et remontées, les équipes de réponse de sécurité spécifiques au service lancent un processus d’analyse, d’endiguement, d’éradication et de récupération. Ces équipes coordonnent l’analyse de l’incident potentiel pour déterminer son étendue, y compris tout impact sur les clients ou les données client. Sur la base de cette analyse, les équipes de réponse de sécurité spécifiques au service travaillent avec les équipes de service concernées pour développer un plan pour contenir la menace et réduire l’impact de l’incident, éradiquer la menace de l’environnement et récupérer complètement à un état sécurisé connu. Les équipes de service appropriées implémentent le plan avec le support des équipes de réponse de sécurité spécifiques au service pour s’assurer que la menace est correctement éliminée et que les services concernés font l’objet d’une récupération complète.

Une fois qu’un incident est résolu, les équipes de service implémentent toutes les leçons tirées de l’incident pour mieux prévenir, détecter et répondre à des incidents similaires à l’avenir. Sélectionnez les incidents de sécurité, en particulier ceux qui ont un impact sur le client ou qui entraînent une violation de données, subissent un incident complet après mortem. L’examen post-mortem est conçu pour identifier les insuffisances techniques, les procédures défaillantes, les erreurs manuelles et d’autres défaillances de processus susceptibles de contribuer à l’incident ou précédemment identifiées pendant le processus de réponse aux incidents. Les améliorations identifiées pendant la post-mortem sont implémentées avec la coordination des équipes de réponse de sécurité spécifiques au service pour aider à prévenir les incidents futurs et améliorer les fonctionnalités de détection et de réponse.

Comment et quand les clients sont-ils informés des incidents de sécurité ou de confidentialité ?

Chaque fois que Microsoft est informé d’une violation de la sécurité impliquant une perte, une divulgation ou une modification non autorisée des données client, Microsoft informe les clients concernés dans les 72 heures, comme indiqué dans l’Addendum sur la protection des données (DPA). La chronologie de la notification démarre lorsque l’incident de sécurité est officiellement déclaré. Dès la déclaration d’un incident de sécurité, le processus de notification se produit le plus rapidement possible, sans retard injustifié.

Les notifications incluent une description de la nature de la violation, un impact approximatif sur l’utilisateur et des étapes d’atténuation (le cas échéant). Si l’examen de Microsoft n’est pas terminé au moment de la notification initiale, la notification indique également les étapes et les calendriers suivants pour les communications ultérieures.

Si un client prend connaissance d’un incident susceptible d’avoir un impact sur Microsoft, y compris, mais sans s’y limiter, une violation de données, le client est responsable d’informer rapidement Microsoft de l’incident tel que défini dans le DPA.

Les services en ligne de Microsoft sont régulièrement auditées pour vérifier la conformité aux réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés à la gestion des incidents.

Azure et Dynamics 365

Audits externes Section Date du dernier rapport
ISO 27001/27002

Déclaration d’applicabilité
Certificat
A.16.1 : Gestion des incidents et améliorations de la sécurité des informations 6 novembre 2023
ISO 27017

Déclaration d’applicabilité
Certificat
A.16.1 : Gestion des incidents et améliorations de la sécurité des informations 6 novembre 2023
ISO 27018

Déclaration d’applicabilité
Certificat
A.9.1 : Notification d’une violation de données impliquant des informations d’identification personnelle 6 novembre 2023
SOC 1 IM-1 : Infrastructure de gestion des incidents
IM-2 : Mécanismes de détection et alertes
IM-3 : Exécution de la réponse aux incidents
IM-4 : Post-morttems d’incident
IM-6 : Test de réponse aux incidents
OA-7 : Accès aux ingénieurs sur appel
17 novembre 2023
SOC 2
SOC 3
CCM-9 : Procédures d’investigation
CUEC : Signalement des incidents
IM-1 : Infrastructure de gestion des incidents
IM-2 : Mécanismes de détection et alertes
IM-3 : Exécution de la réponse aux incidents
IM-4 : Post-morttems d’incident
IM-6 : Test de réponse aux incidents
OA-7 : Accès aux ingénieurs sur appel
SOC2-6 : Site web du support technique
SOC2-9 : Tableaux de bord de service
17 novembre 2023

Microsoft 365

Audits externes Section Date du dernier rapport
FedRAMP (Office 365) IR-4 : Gestion des incidents
IR-6 : Rapports d’incidents
IR-8 : Plan de réponse aux incidents
31 juillet 2023
ISO 27001/27002/27017

Déclaration d’applicabilité
Certification (27001/27002)
Certification (27017)
A.16.1 : Gestion des incidents et améliorations de la sécurité des informations Mars 2023
ISO 27018

Déclaration d’applicabilité
Certificat
A.10.1 : Notification d’une violation de données impliquant des informations d’identification personnelle Mars 2023
SOC 1 CA-26 : Rapports sur les incidents de sécurité
CA-47 : Réponse aux incidents
23 janvier 2024
SOC 2 CA-12 : Contrats de niveau de service (SLA)
CA-13 : Guides de réponse aux incidents
CA-15 : notifications État des services

CA-26 : Rapports sur les incidents de sécurité
CA-29 : Ingénieurs de garde
CA-47 : Réponse aux incidents
23 janvier 2024
SOC 3 CUEC-08 : Signalement des incidents 23 janvier 2024

Ressources