Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vue d’ensemble de SOC 1 Type 2
Les contrôles système et d’organisation (SOC) pour les organisations de services sont des rapports de contrôle interne créés par l’American Institute of Certified Public Accountants ( AICPA). Ils sont destinés à examiner les services fournis par un service organization afin que les utilisateurs finaux puissent évaluer et traiter les risques associés à un service externalisé.
Une attestation SOC 1 de type 2 est effectuée sous :
- SSAE n° 18, Normes d’attestation : clarification et recodification, qui comprend l’article 320 de l’AT-C, Rapport sur un examen des contrôles dans une organisation de services pertinent pour le contrôle interne des entités utilisateur sur les rapports financiers (AICPA, Normes professionnelles).
- Rapport SOC 1 sur l’examen des contrôles au sein d’une organisation de service pertinente pour le contrôle interne des entités utilisateur sur les rapports financiers (Guide AICPA).
En plus de l’AICPA Statement on Standards for Attestation Engagements 18 (SSAE 18), l’audit Microsoft 365 SOC 1 Type 2 est effectué conformément à l’International Standard on Assurance Engagements No. 3402 (ISAE 3402). L’attestation SOC 1 a remplacé SAS 70, et elle est appropriée pour la création de rapports sur les contrôles d’un service organization pertinents pour les contrôles internes des entités utilisateur sur les rapports financiers. Un rapport de Type 2 inclut l’avis de l’auditeur sur l’efficacité du contrôle pour atteindre les objectifs de contrôle associés pendant la période de surveillance spécifiée.
Plateformes cloud et services Microsoft dans l’étendue
Les services en ligne Microsoft concernés sont indiqués dans le rapport d'attestation Azure SOC 1 Type 2 :
- Azure (pour obtenir des informations détaillées, consultez Offres de conformité Microsoft Azure)
- Azure DevOps (consultez le rapport d’attestation Soc 1 Type 2 d’Azure DevOps distinct)
- Dynamics 365 (pour obtenir des informations détaillées, consultez rapport d’attestation Azure SOC 1 Type 2)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour l’identité
- Microsoft Intune
- Bureau géré Microsoft
- Microsoft Stream
- Spécialistes des menaces Microsoft
- Portail des nominations
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Conformité des mises à niveau
Microsoft services en ligne dans l’étendue du rapport d’attestation Microsoft 365 SOC 1 Type 2 sont indiqués ci-dessous.
Azure, Dynamics 365 et SOC 1
Pour plus d’informations sur la conformité à Azure, Dynamics 365 et d’autres services de conformité en ligne, consultez l’offre Azure SOC 1.
Microsoft 365 et SOC 1
Environnements Microsoft 365
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
Applicabilité de Microsoft 365 et services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnement Microsoft 365 :
| l’applicabilité | Les Services dans l’étendue |
|---|---|
| Commerciale | Bing Teams (y compris ObjectStore, Enterprise News – One Service et Semantic Fabric), Customer Lockbox, Education Services (notamment Insights, Microsoft LMS Gateway, OneDrive LTI, Progression/Devoirs de lecture, Synchronisation des données scolaires, Math Recognizer/Solver et Assistant de recherche), Exchange Online, Exchange Online Protection, service runtime de personnalisation IDEAs, Loki, rapports d’utilisation M365, Microsoft Defender for Cloud Apps (gouvernance des applications), Microsoft Defender pour Office 365 (y compris la chasse avancée, la simulation et la formation d’attaque et la protection one cyber endpoint), Microsoft Forms, Planificateur Microsoft, Microsoft Priva, Microsoft Purview (y compris audit, conformité des communications, gestionnaire de conformité, gestion du cycle de vie des données, gestionnaire d’enregistrements, protection contre la perte de données, eDiscovery, Information Protection, plateforme de commentaires unifiée, gestion des risques internes, services de classification des données, correspondance exacte des données et inférence ML), Microsoft Sway, Microsoft Teams, Office Collaboration, Office pour le web (anciennement appelé « Office Online »), Services OneNote, Application web Outlook, Service de documents PowerPoint Online, Chiffrement du service avec clé client, Service d’annotation de requête, canal en temps réel, Assistance à distance, Service de contenu de recherche, SharePoint Online (y compris OneDrive, Sauvegarde Microsoft 365, Project Online, Viva Topics et Viva Connections), Service scénarios d’entreprise de tâches, Viva Glint, Viva Goals, Viva Insights (notamment Personal Insights, Manager and Leader Insights et Advance Insights), Viva Learning, Viva Pulse, Whiteboard et Windows 365 |
| GCC | Bing Teams (y compris ObjectStore), Customer Lockbox, Exchange Online, Exchange Online Protection, service runtime de personnalisation IDEAs, Loki, rapports d’utilisation M365, Microsoft Defender for Cloud Apps (gouvernance des applications), Microsoft Defender pour Office 365 (y compris la chasse avancée, la simulation et la formation d’attaque et la protection one cyber-point de terminaison), Microsoft Forms, Planificateur Microsoft, Microsoft Priva, Microsoft Purview (y compris audit, conformité des communications, gestionnaire de conformité, gestion du cycle de vie des données, Gestionnaire d’enregistrements, protection contre la perte de données, eDiscovery, Information Protection, plateforme de commentaires unifiée, gestion des risques internes, services de classification des données, correspondance exacte des données et inférence ML), Microsoft Teams, Office Collaboration, Office pour le web (anciennement appelé « Office Online »), OneNote Services, Outlook Web Application, service de document PowerPoint Online, chiffrement du service avec clé client, service d’annotation de requête, canal en temps réel, Assistance à distance, service de contenu de recherche, SharePoint Online (y compris OneDrive, Sauvegarde Microsoft 365, Project Online, Viva Topics et Viva Connections), le service de scénarios d’entreprise de tâches, Viva Insights (y compris les insights personnels), Whiteboard et Windows 365 |
| GCC High | Bing Teams (y compris ObjectStore), Customer Lockbox, Exchange Online, Exchange Online Protection, Loki, rapports d’utilisation M365, Microsoft Defender for Cloud Apps (gouvernance des applications), Microsoft Defender pour Office 365 (y compris la chasse avancée, la simulation et la formation d’attaque et la protection one cyber-point de terminaison), Microsoft Forms, Planificateur Microsoft, Microsoft Priva, Microsoft Purview (y compris audit, conformité des communications, gestionnaire de conformité, gestion du cycle de vie des données, Gestionnaire d’enregistrements, protection contre la perte de données, eDiscovery, Information Protection, plateforme de commentaires unifiée, gestion des risques internes, services de classification des données, correspondance exacte des données et inférence ML), Microsoft Teams, Office Collaboration, Office pour le web (anciennement appelé « Office Online »), OneNote Services, Outlook Web Application, service de document PowerPoint Online, chiffrement du service avec clé client, service d’annotation de requête, canal en temps réel, SharePoint Online (y compris OneDrive, Sauvegarde Microsoft 365, Project Online, Viva Topics et Viva Connections), Service de scénarios métier de tâches, Viva Insights (y compris Les insights personnels), Whiteboard et Windows 365 |
| DOD | Bing Teams (y compris ObjectStore), Customer Lockbox, Exchange Online, Exchange Online Protection, Loki, rapports d’utilisation M365, Microsoft Defender for Cloud Apps (gouvernance des applications), Microsoft Defender pour Office 365 (y compris la chasse avancée, la simulation et la formation d’attaque et la protection one cyber-point de terminaison), Microsoft Forms, Planificateur Microsoft, Microsoft Priva, Microsoft Purview (y compris audit, conformité des communications, gestionnaire de conformité, gestion du cycle de vie des données, Gestionnaire d’enregistrements, protection contre la perte de données, eDiscovery, Information Protection, plateforme de commentaires unifiée, gestion des risques internes, services de classification des données, correspondance exacte des données et inférence ML), Microsoft Teams, Office Collaboration, Office pour le web (anciennement appelé « Office Online »), OneNote Services, Outlook Web Application, service de document PowerPoint Online, chiffrement du service avec clé client, service d’annotation de requête, canal en temps réel, SharePoint Online (y compris OneDrive, Sauvegarde Microsoft 365, Project Online, Viva Topics et Viva Connections), Service de scénarios métier de tâches, Viva Insights (y compris les informations personnelles) et Whiteboard |
Rapports d’audit Microsoft 365
- Les rapports Microsoft 365 SOC 1 Type 2 pour les microservices et les services centraux sont disponibles pour les clients en téléchargement via le portail d’approbation de services.
- Des lettres de pont et des rapports d’audit supplémentaires sont également disponibles dans le portail d’approbation de service.
Vous devez disposer d’un abonnement ou d’un compte d’essai gratuit dans Microsoft 365 ou Microsoft 365 U.S. Government pour télécharger les rapports d’attestation SOC 1 et SOC 2 et les lettres de pont si nécessaire.
Foire aux questions
À quelle fréquence les rapports SOC Microsoft 365 sont-ils émis ?
Microsoft commande chaque année un examen soc 1 type 2 complet et SOC 2 type 2 de Office 365. Les rapports de l’auditeur sur ces examens (également appelés audits) sont émis dès qu’ils sont prêts après cette vérification. Le rapport SOC 3, basé sur l’examen SOC 2, est publié en même temps.
Étant donné que Microsoft ne contrôle pas l’étendue de l’enquête de l’examen ni le délai d’achèvement de l’audit, il n’existe aucun délai défini pour la publication de ces rapports. Les rapports sont généralement publiés quelques mois après la fin de la période à l’examen. Microsoft n’autorise aucun écart dans les périodes consécutives d’examen d’un examen à l’autre.
Microsoft commande également un examen SOC 1 Type 1 et SOC 2 Type 1 de Microsoft 365 pour les nouveaux services Microsoft qui ont été émis depuis le dernier audit SOC Type 2. Les audits de type 1 ne regardent pas en arrière sur une période de performances.
En raison de la nature sophistiquée de Office 365, l’étendue du service est grande si elle est examinée dans son ensemble. Cela peut entraîner des retards d’achèvement de l’examen en raison de l’échelle. Microsoft organise tous les examens décrits précédemment en deux catégories : Core Services et Microservices. Microsoft émet un rapport limité à chaque examen.
Les audits soc de type 2 examinent une fenêtre d’exécution de 12 mois (également appelée période d’audit ou période de performance plus formelle) avec des examens effectués annuellement pour la période du 1er octobre au 30 septembre de l’année civile suivante. L’examen commence rapidement une fois la période de performance terminée.
Microsoft émet également des lettres de pont (également appelées lettres d’écart). Il s’agit d’auto-attestations par Microsoft, et non de rapports basés sur des examens effectués par l’auditeur. Des lettres de pont sont émises pendant la période de rendement actuelle, qui n’est pas encore terminée et qui n’est pas encore prête pour l’examen de l’audit. Microsoft émet des lettres de pont à la fin de chaque trimestre pour attester de nos performances au cours de la période de trois mois précédente. En raison de la période de performance des audits soc de type 2, les lettres de pont sont généralement émises en décembre, mars, juin et septembre de la période d’exploitation actuelle.
Comment les clients peuvent-ils bénéficier de l’attestation Microsoft 365 SOC 1 Type 2 ?
Les clients peuvent utiliser l’attestation Microsoft 365 SOC 1 Type 2 lorsqu’ils poursuivent leurs propres exigences de conformité spécifiques au secteur financier, telles que Sarbanes-Oxley (SOX), Le Conseil d’examen des institutions financières fédérales (FFIEC), Gramm-Leach-Bliley Act (GLBA), etc.
Où puis-je obtenir la documentation d’audit soc Microsoft 365, y compris les lettres de pont de Microsoft ?
Pour obtenir des liens vers la documentation d’audit, consultez la section rapport d’audit du portail d’approbation de services. Pour vous connecter, vous devez disposer d’un abonnement ou d’un compte d’essai gratuit dans Microsoft 365 ou Microsoft 365 U.S. Government. Vous pouvez ensuite télécharger des certificats d’audit, des rapports d’évaluation et d’autres documents applicables pour vous aider à respecter vos propres exigences réglementaires.
Où puis-je voir les réponses de gestion aux exceptions notées ?
La plupart des examens comportent des observations sur un ou plusieurs contrôles spécifiques examinés. Il faut s’attendre à un certain nombre d’observations. Les réponses de la direction à toutes les exceptions se trouvent vers la fin du rapport d’attestation SOC. Recherchez « Réponse de gestion » dans le document.
Où puis-je voir les responsabilités des entités utilisateur ?
Les responsabilités de l’entité utilisateur sont vos responsabilités de contrôle nécessaires si le système dans son ensemble doit respecter les normes de contrôle SOC 2. Ceux-ci se trouvent à la toute fin du rapport d’attestation SOC. Recherchez « Responsabilités de l’entité utilisateur » dans le document.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité du portail Microsoft Purview qui vous permet de comprendre la posture de conformité de votre organization et de prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.
Ressources
- Rapports d’audit du portail d’approbation de services
- SSAE n° 18, Normes d’attestation : Clarification et recodification
- Rapport SOC 1 sur l’examen des contrôles au sein d’une organisation de service pertinente pour le contrôle interne des entités utilisateur sur les rapports financiers (Guide AICPA)(disponible à la vente).