Norme Multi-Tier Cloud Security (MTCS) pour Singapour
Présentation de la norme MTCS
La norme Multi-Tier Cloud Security (MTCS) pour Singapour a été préparée sous la direction du Comité des normes TI (ITSC) de l’Infocomm Development Authority of Singapore (IDA). L'ITSC encourage et propose les programmes nationaux en vue de normaliser la TI et les communications, ainsi que la participation de Singapour aux activités de normalisation internationale.
L'objet de la MTCS est également de fournir les éléments suivants :
- Une norme commune que les fournisseurs de services Cloud (CSP) peuvent appliquer pour répondre aux préoccupations des clients concernant la sécurité et la confidentialité des données dans le cloud et l'impact sur les entreprises de l'utilisation des services Cloud.
- Transparence et visibilité opérationnelles vérifiables des risques encourus par le client lors de l'utilisation des services Cloud.
La MTCS s'appuie sur des normes internationales reconnues telles qu'ISO/IEC 27001, et couvre des domaines tels que la rétention des données, la souveraineté des données, la portabilité des données, la fiabilité, la disponibilité, la continuité des activités, la récupération d'urgence et la gestion des incidents. Elle inclut également un mécanisme pour permettre aux clients de référencer et de classer par ordre de priorité les fonctionnalités des CSP en fonction d'un jeu d'exigences de sécurité de base.
La MTCS est la première norme de sécurité dans le cloud avec différents niveaux de sécurité. Ainsi, les CSP certifiés peuvent spécifier les niveaux qu'ils proposent. La MTCS inclut un total de 535 contrôles, couvrant la sécurité de base au Niveau 1, des contrôles de mutualisation et de gouvernance plus stricts au Niveau 2 et la fiabilité ainsi que la résilience pour des systèmes d’information à fort impact au Niveau 3.
Microsoft et MTCS
Après de rigoureuses évaluations menées par l’organe d’homologation de la MTCS, les services de cloud computing Microsoft ont reçu la certification MTCS 584:2013 sur les trois classifications de services : Infrastructure as a Service (IaaS), Platform as a Service (PaaS) et Software as a Service (SaaS). Microsoft a été le premier fournisseur de service Cloud dans le monde à recevoir cette certification pour les trois classifications.
Les services Microsoft Azure (IaaS et PaaS), les services Microsoft Dynamics 365 (SaaS) et les services Microsoft Office 365 (SaaS) ont obtenu la certification de niveau 3. Une certification de niveau 3 signifie que les services de cloud computing Microsoft dans le périmètre peuvent héberger des données à fort impact pour des organisations réglementées avec les exigences de sécurité les plus strictes. C’est un élément requis par le gouvernement de Singapour pour les implémentations de certaines solutions Cloud.
Plateformes cloud et services Microsoft dans l’étendue
- Azure
- Services en ligne Dynamics 365 (Centre d'affaires, Commerce, Service client, Service sur site, Finance, Protection contre la fraude, Marketing, Ventes, Gestion de la chaîne d'approvisionnement)
- Génomique
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Graph
- Microsoft Healthcare Bot
- Office 365
- OMS Service Map
- PowerApps
- Power BI
Office 365 et MTCS
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
| l’applicabilité | Les Services dans l’étendue |
|---|---|
| Commerciale | Delve, Exchange Online, Exchange Online Protection, Protection Loki, Microsoft Teams, Portail client Office 365, Office Online, Infrastructure des services Office, OneDrive Entreprise, SharePoint Online, Skype Entreprise |
Audits, rapports et certificats
La certification est valable pendant trois ans, avec un audit de surveillance annuelle à mener.
Certification MTCS Microsoft
Accord de confidentialité du fournisseur de services cloud Microsoft MTCS
Questions fréquentes (FAQ)
À qui la norme s'applique-t-elle ?
Elle s’applique aux entreprises situées à Singapour qui achètent des services cloud nécessitant une conformité avec la norme MTCS.
Quelles sont les différences entre les niveaux de sécurité MTCS ?
MTCS compte un total de 535 contrôles qui couvrent trois niveaux de sécurité :
- Le Niveau 1 est à faible coût, avec un nombre minimum de contrôles de sécurité de base requis. Il convient pour l'hébergement de sites Web, les tests et le travail de développement, la simulation et les applications de gestion non critiques.
- Le Niveau 2 traite les besoins de la plupart des organisations qui s'inquiètent de la sécurité des données, avec un jeu de contrôles plus stricts visant les risques de sécurité et les menaces envers les données. Le niveau 2 est applicable à la plupart des utilisations du cloud, dont des applications métier stratégiques.
- Le Niveau 3 est conçu pour des organisations réglementées avec des exigences spécifiques et celles souhaitant payer pour des exigences de sécurité plus strictes. Le Niveau 3 ajoute un jeu de contrôles de sécurité venant compléter ceux des Niveaux 1 et 2. Ils traitent les menaces et les risques de sécurité dans des systèmes d’information à fort impact en utilisant des services cloud, tels que des applications d’hébergement avec des informations sensibles et dans des systèmes réglementés.
Quelles sont les démarches à suivre en matière de conformité de mon organisation ?
Le Schéma de certification MTCS fournit des conseils sur les exigences de sécurité et les contrôles d'audit.
Puis-je tirer parti de la conformité Microsoft dans le processus de certification de mon organisation ?
Oui. Si vous avez des exigences pour certifier vos services s’appuyant sur ces services de cloud computing Microsoft, vous pouvez utiliser la certification MTCS pour réduire l’impact de l’audit de votre infrastructure informatique, si elle s’appuie sur eux. Il vous incombe néanmoins d’engager un évaluateur pour mesurer votre mise en œuvre de la conformité, ainsi que des contrôles et des processus au sein de votre propre organisation.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.
Ressources
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour