Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft s’exécute en confiance, et les clients Microsoft 365 ont besoin de fonctions de sécurité et de confidentialité de classe mondiale au sein de leurs produits. L’audit approfondi de Microsoft 365 garantit aux clients que les fonctions de sécurité, les pratiques de gestion des données, les stratégies associées et les outils ont été implémentés efficacement et répondent aux normes correspondantes. Le programme de conformité interne de Microsoft 365 est conçu pour garantir que la sécurité et la confidentialité sont prises en compte à toutes les phases du cycle de vie du développement et de l’exploitation.
Chaque nouveau service et ceux qui apportent des modifications significatives à leurs fonctionnalités doivent exécuter trois efforts d’examen connexes : sécurité, confidentialité et conformité. Des évaluations sont effectuées pour comprendre l’étendue du service, ce qui aboutit à une liste des exigences qui doivent être remplies avant le déploiement.
Sécurité
L’évaluation de la sécurité appartient à l’équipe de sécurité Microsoft 365 et est conçue pour identifier toutes les solutions de sécurité que les équipes de service doivent installer et configurer. Microsoft 365 a développé des solutions pour sécuriser chaque service individuel et les connecter aux systèmes centralisés qui aident à protéger Microsoft dans son ensemble. Il s’agit notamment de solutions telles que la gestion des identités et des accès, les logiciels anti-programme malveillant, la journalisation centralisée et le chiffrement des données. Les équipes de service sont également tenues de créer des diagrammes de flux de données pour la modélisation des menaces afin de mapper les vecteurs d’attaque potentiels. L’équipe de sécurité Microsoft 365 fournit des conseils aux équipes de service et effectue une révision finale et une approbation des fonctions de sécurité du service.
Confidentialité
La confidentialité se concentre sur les données client que l’équipe de service transmet, traite et stocke. Les tâches incluent l’identification des types de données collectés, les périodes de rétention, la classification et toutes les interactions tierces. Un responsable de la confidentialité et des avocats dédiés effectuent un examen des fonctions de gestion des données. Les modèles de menace sont également utilisés pour vous protéger contre les fuites de données inattendues. Le responsable de la confidentialité doit fournir une approbation et une vérification officielles de l’achèvement de l’évaluation de la confidentialité.
Conformité
De nombreux clients ont des exigences de conformité régionales et sectorielles qui doivent être remplies pour utiliser des services cloud tels que Microsoft 365. L’un des objectifs de l’évaluation de la conformité est de s’assurer que le service et toutes les dépendances en aval répondent aux exigences de conformité pour les normes applicables telles que ISO 27001, SOC 2, FedRAMP pour les clients du secteur public, et d’autres décrites ici.
La dernière étape de ce processus d’évaluation est l’examen d’approbation final, qui implique une case activée globale de la posture de sécurité, de confidentialité et de conformité du service. Il vérifie que chaque service est correctement sécurisé, qu’il suit les meilleures pratiques, qu’il répond à toutes les exigences réglementaires pertinentes et que tous les risques identifiables ont été pris en compte et traités en fonction des besoins. En outre, la relation holistique avec tous les autres services et environnements est prise en compte à ce stade.
Les équipes qui développent un nouveau service sont encouragées à participer à une session de révision consultative en combinaison avec d’autres évaluations. Les équipes de service reçoivent des conseils sur leur conception, y compris des conseils pour éviter les pièges potentiels et les obstacles avant le début du développement.
Une fois les efforts de sécurité, de confidentialité et de conformité terminés et approuvés, un service peut devenir généralement disponible pour les clients ou avoir besoin d’attendre un audit en fonction de la taille, de l’étendue et du service.