Ministère de la Défense (DoD) Impact Level 5 (IL5)
Vue d’ensemble du DoD IL5
La Defense Information Systems Agency (DISA) est une agence du Département de la Défense des États-Unis (DoD) qui est responsable du développement et de la maintenance du Guide des exigences de sécurité du Cloud Computing (SRG) du DoD. Le SRG définit les exigences de sécurité de base utilisées par le DoD pour évaluer la posture de sécurité d’un fournisseur de services cloud (CSP), ce qui appuie la décision d’accorder une autorisation provisoire (PA) du DoD qui permet à un fournisseur de services cloud d’héberger des missions doD. Il incorpore, remplace et annule le modèle de sécurité cloud (CSM) du DoD publié précédemment et mappe au RmF (DoD Risk Management Framework).
L’ACSD guide les organismes et les ministères du DoD dans la planification et l’autorisation de l’utilisation d’un CSP. Il évalue également la conformité des offres CSP avec le SRG, un processus d’autorisation par lequel les csp peuvent fournir une documentation décrivant leur conformité aux normes du DoD. Il émet des autorisations provisoires du DoD le cas échéant, de sorte que les agences du DoD et les organisations de soutien peuvent utiliser les services cloud sans avoir à passer par un processus d’approbation complet de leur propre chef, ce qui permet d’économiser du temps et des efforts.
Selon la section 3.2 de la section 3.2de la SRG, les informations IL5 couvrent les éléments suivants :
Informations non classifiées contrôlées (CUI) qui nécessitent un niveau de protection plus élevé que celui offert par IL4
- Le registre CUI fournit des catégories d’informations spécifiques qui sont protégées par la branche exécutive. Par exemple, plus de 20 regroupements de catégories sont inclus dans la liste des catégories CUI.
- NIST SP 800-171Protecting Controlled Unclassified Information in NonFederal Systems and Organizations est destiné à être utilisé par les organismes fédéraux dans des contrats ou d’autres accords établis avec des organisations non fédérales.
Systèmes de sécurité nationale (NSS)
- NIST SP 800-59Guide pour l’identification d’un système d’information en tant que système de sécurité nationale fournit des définitions de NSS.
- CnsSI 1253Sécurité Catégorisation et sélection de contrôle pour les systèmes de sécurité nationale fournit des conseils sur les normes de sécurité que les organismes fédéraux doivent appliquer pour catégoriser les informations de sécurité nationale.
Le mémo du cio du Ministère de la Défense du 15 décembre 2014 concernant les instructions mises à jour sur l’acquisition et l’utilisation des services de cloud computing commerciaux indique que « FedRAMP servira de base de sécurité minimale pour tous les services cloud du Ministère de la Défense ». Le SRG utilise la base de référence FedRAMP Moderate à tous les niveaux d’impact d’information (IL) et considère la ligne de base élevée à certains.
SRG Section 5.1.1 Utilisation doD des contrôles de sécurité FedRAMP indique qu’un FedRAMP High PA, complété par les contrôles et améliorations de contrôle FedRAMP+ du DoD (C/CE) et les exigences dans le SRG, sont utilisés pour évaluer les CSP en vue de l’attribution d’un pa DoD à IL5. Quelle que soit la base de référence C/CE utilisée comme base pour une PA élevée FedRAMP, des considérations et/ou des exigences supplémentaires devront être évaluées et approuvées avant qu’un PA doD puisse être attribué à l’IL5. Plus précisément, la section 5.1.2du DoD FedRAMP+ Security Controls/Enhancements indique dans le tableau 2 que 10 C/CEs supplémentaires au-delà de la base de référence FedRAMP High sont nécessaires pour un pa DoD IL5.
En outre, conformément à la section 5.2.2.3 exigences d’emplacement et de séparation il5, les exigences suivantes (entre autres) doivent être en place pour un pa de niveau 5 :
- La séparation virtuelle/logique entre les locataires/missions du ministère de laD et du gouvernement fédéral est suffisante. Une séparation virtuelle/logique entre les systèmes de locataire/de mission est requise.
- La séparation physique des locataires non-DoD/non-gouvernement fédéral (c’est-à-dire les locataires publics, locaux/d’état) est requise.
- Le CSP limite l’accès potentiel aux informations du DoD et de la communauté aux employés csp qui sont des citoyens américains.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
- Azure
- Dynamics 365 Customer Service
- Microsoft Defender pour point de terminaison (anciennement Microsoft Protection avancée contre les menaces)
- Microsoft Graph
- Microsoft Stream
- Office 365 U.S. Government Defense
- Power Automate (anciennement Microsoft Flow)
- Power BI
Azure, Dynamics 365 et DoD IL5
Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure DoD IL5.
Office 365 et DoD IL5
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
| l’applicabilité | Les Services dans l’étendue |
|---|---|
| DOD | Service de flux d’activité, Services Bing, Bookings, Exchange Online Protection, Exchange Online, Services intelligents, Microsoft Teams, Office 365 Portail client, Office Online, Infrastructure du service Office, rapports d’utilisation d’Office, OneDrive Entreprise, Personnes Carte, SharePoint Online, Skype Entreprise, Windows Ink |
Documents d’attestation
Les clients du gouvernement américain peuvent demander Office 365 documentation FedRAMP du gouvernement américain directement à partir de la Place de marché FedRAMP en soumettant un formulaire de demande d’accès au package. Vous devez disposer d’une adresse e-mail .gov ou .mil pour accéder à un package de sécurité FedRAMP directement à partir de FedRAMP.
Sélectionnez la documentation FedRAMP et DoD, y compris le plan de sécurité du système (SSP), les rapports de surveillance continue, le plan d’action et les jalons (POA&M), etc., est disponible pour les clients sous NDA et en attente d’autorisation d’accès à partir de la section Rapports d’audit du portail d’approbation de services - Rapports FedRAMP . Contactez votre représentant de compte Microsoft pour obtenir de l’aide.
Ressources
- Solutions Microsoft pour le secteur public
- Documents FedRAMP
- Instruction DoD 8510.01DoD Risk Management Framework (RMF) pour le DoD Information Technology (TI)
- NIST SP 800-37Risk Management Framework for Information Systems and Organizations : A System Life-Cycle Approach for Security and Privacy
- NIST SP 800-53Contrôles de sécurité et de confidentialité pour les systèmes d’information et les organisations
- NIST SP 800-59Guide pour l’identification d’un système d’information en tant que système de sécurité nationale
- CNSSI 1253Sécurité Catégorisation et sélection de contrôle pour les systèmes de sécurité nationale
- NIST SP 800-171Protection des informations non classifiées contrôlées dans les systèmes et organisations non féderaux
- Registre CUI (Controlled Unclassified Information) et liste des catégories CUI.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour