Partager via


ISO/IEC 27017:2015 Code de pratique international des contrôles de sécurité des informations

Présentation d’ISO-IEC 27017

Le code de pratique ISO/IEC 27017:2015 est conçu comme une référence permettant aux entreprises de sélectionner les contrôles de sécurité des informations des services Cloud lors de la mise en œuvre d’un système de gestion de la sécurité des informations de Cloud computing basé sur la norme ISO/IEC 27002:2013. Il peut être également utilisé par les fournisseurs de services cloud comme document de référence pour l'implémentation des contrôles de protection communément admis.

Cette norme internationale fournit des conseils d'implémentation supplémentaires spécifiques au cloud basés sur la norme ISO/IEC 27002, et fournit des contrôles supplémentaires pour traiter les menaces et les risques de sécurité des informations spécifiques au cloud conformément aux clauses 5-18 de la norme ISO/IEC 27002: 2013 pour les contrôles, les conseils d'implémentation, ainsi que d'autres informations. Plus précisément, cette norme fournit des conseils sur les 37 contrôles de la norme ISO/IEC 27002 et contient également 7 nouveaux contrôles non dupliqués dans la norme ISO/IEC 27002. Ces nouvelles commandes traitent des aspects importants suivants :

  • Rôles et responsabilités partagés dans un environnement de cloud computing
  • Retrait et restitution des biens des clients des services cloud à la fin du contrat
  • Protection et séparation de l’environnement virtuel d’un client des environnements d’autres clients
  • Durcissement des exigences des machines virtuelles pour répondre aux besoins des entreprises
  • Procédures pour les opérations administratives d'un environnement de cloud computing
  • Possibilité donnée aux clients de surveiller les activités pertinentes dans un environnement de cloud computing
  • Alignement de la gestion de la sécurité pour les réseaux virtuels et physiques

Microsoft et la norme ISO/IEC 27017

La norme ISO/IEC 27017 est la seule à fournir des conseils à la fois aux fournisseurs et aux clients des services Cloud. Elle fournit également aux clients des services cloud des informatiques pratiques sur ce à quoi ils doivent s'attendre de la part des fournisseurs de services cloud. Les clients peuvent tirer parti directement de la norme ISO/IEC 27017 en s’assurant qu’ils ont bien compris les responsabilités partagées dans le Cloud.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

  • Azure, Azure Gouvernement et Azure Allemagne
  • Microsoft Defender for Cloud Apps
  • Dynamics 365, Dynamics 365 et Dynamics 365 Allemagne
  • Intune
  • Microsoft Defender pour point de terminaison
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Microsoft Managed Desktop
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense et Office 365 Allemagne
  • Service Cloud Power Automate (anciennement Microsoft Flow), soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Service Cloud PowerApps, soit en service autonome, soit inclus dans un plan ou une suite Office 365 ou Dynamics 365
  • Service Cloud Power BI soit en service autonome, soit inclus dans un plan ou une suite Office 365
  • Power BI intégré
  • Windows 365

Azure, Dynamics 365 et ISO 27017:2015

Pour plus d’informations sur la conformité à Azure, Dynamics 365 et d’autres services en ligne, consultez l’offre ISO/IEC 27017 Azure.

Office 365 et ISO 27017:2015

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Access Online, Microsoft Entra ID, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 portail client, Office 365 microservices (y compris, mais sans s’y limiter, Kaizala, ObjectStore, Sway, Service de document PowerPoint Online, Service d’annotation de requête, School Data Sync, Siphon, Speech, StaffHub, programme d’application eXtensible), Office 365 Centre de sécurité & conformité, Office Online, Office Pro Plus, Infrastructure des services Office, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, Project Online, Chiffrement de service avec clé client Microsoft Purview, SharePoint Online, Skype Entreprise, Stream, Tableau blanc
GCC ID Microsoft Entra, Azure Communications Service, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 Centre de sécurité & conformité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream, Tableau blanc
GCC High ID Microsoft Entra, Azure Communications Service, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 module complémentaire, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Tableau blanc
DOD ID Microsoft Entra, Azure Communications Service, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 module complémentaire, Office 365 Centre de conformité & sécurité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, Power BI, SharePoint Online, Skype Entreprise

Audits, rapports et certificats Office 365

Les services Cloud Microsoft font l’objet d’un audit une fois par an pour le code de pratique ISO/IEC 27017:2015 dans le cadre du processus de certification pour ISO/IEC 27001:2013.

Foire aux questions

À qui la norme s'applique-t-elle ?

Ce code de pratique fournit des contrôles et des conseils de mise en œuvre aux fournisseurs de services Cloud et à leurs clients. Il se présente sous la même forme que la norme ISO/IEC 27002:2013.

Où puis-je consulter les informations de conformité de Microsoft concernant la norme ISO/IEC 27017:2015?

Vous pouvez télécharger le certificat ISO/IEC 27017:2015 pour Azure, Intune et Power BI.

Puis-je utiliser la conformité ISO/IEC 27017 des services Microsoft dans le processus de certification de mon entreprise?

Oui. Si votre entreprise cherche une certification pour des implémentations déployées sur les services Enterprise Cloud de Microsoft, vous pouvez utiliser les certifications pertinentes de Microsoft dans votre évaluation de la conformité. Il vous incombe néanmoins d’engager un évaluateur pour mesurer votre mise en œuvre de la conformité, ainsi que des contrôles et des processus au sein de votre propre organisation.

Comment puis-je me procurer des copies des rapports d’audit applicables ?

Le portail d'approbation de services fournit des rapports d'audit indépendants et tiers, ainsi que toute autre documentation. Vous pouvez utiliser le portail pour télécharger et examiner cette documentation afin d’obtenir de l’aide concernant vos propres exigences légales et réglementaires.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources