Partager via


Contrôles système et d’organisation (SOC) 2 Type 2

Vue d’ensemble de SOC 2 Type 2

Les contrôles système et d’organisation (SOC) pour les organisations de services sont des rapports de contrôle interne créés par l’American Institute of Certified Public Accountants ( AICPA). Ils sont destinés à examiner les services fournis par un service organization afin que les utilisateurs finaux puissent évaluer et traiter les risques associés à un service externalisé.

Une attestation SOC 2 de type 2 est effectuée sous :

  • SSAE n° 18, Normes d’attestation : clarification et recodification, qui comprend l’article 105 de l’AT-C, concepts communs à tous les engagements d’attestation, et l’article 205 de l’AT-C, Missions d’examen (AICPA, Normes professionnelles).
  • Rapport SOC 2 sur un examen des contrôles au sein d’une organisation de service concernant la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité ou la vie privée (Guide AICPA).
  • Section 100 TSP, 2017 Critères de services de confidentialité pour la sécurité, disponibilité, intégrité de traitement, confidentialité et vie privée (AICPA, 2017 Trust Services Criteria).

En outre, le rapport d'attestation Office 365 SOC 2 de type 2 répond aux exigences énoncées dans la matrice des contrôles du Cloud (CCM) de la Cloud Security Alliance (CSA) et dans le catalogue des critères de conformité du Cloud Computing (C5:2020) créé par l'Office fédéral allemand de la sécurité de l'information (BSI).

Office 365 attestations SOC 2 sont basées sur des examens de tiers rigoureux et complets (également appelés audits) menés par un cabinet de CPA indépendant accrédité par l’AICPA. À la fin d'un audit SOC 2, l'auditeur émet une opinion dans un rapport SOC 2 de type 2, qui décrit le système du fournisseur de services en nuage (FSC) et évalue la justesse de la description de ses contrôles par le FSC. Il évalue également si les contrôles du CSP sont conçus de manière adéquate, étaient en fonctionnement à une date spécifique et fonctionnaient efficacement sur une période donnée. Les rapports Office 365 SOC 2 de type 2 concernent la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée du système.

Plateformes cloud et services Microsoft dans l’étendue

Les services en ligne Microsoft concernés sont indiqués dans le rapport d'attestation Azure SOC 2 Type 2 :

  • Azure (pour obtenir des informations détaillées, consultez Offres de conformité Microsoft Azure)
  • Azure DevOps (voir Azure DevOps rapport d’attestation de type 2 SOC 2)
  • Dynamics 365 (pour obtenir des informations détaillées, consultez le rapport d’attestation de type 2 d’Azure SOC 2)
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender pour point de terminaison
  • Microsoft Defender pour l’identité
  • Microsoft Forms Pro
  • Microsoft Intune
  • Bureau géré Microsoft
  • Microsoft Stream
  • Spécialistes des menaces Microsoft
  • Rubriques
  • Portail des nominations
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government - Haut, Office 365 U.S. Government Defense
  • Power Apps
  • Power Automate
  • Power BI
  • Power Virtual Agents
  • Conformité des mises à niveau

Azure, Dynamics 365 et SOC 2

Pour plus d’informations sur la conformité à Azure, Dynamics 365 et d’autres services de conformité en ligne, consultez l’offre Azure SOC 2.

Office 365 et SOC 2

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Gestionnaire de conformité, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Portail client, Office 365 microservices (y compris, mais sans s’y limiter, Kaizala, ObjectStore, Sway, PowerPoint Online Document Service, Service d’annotation de requête, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office Online, Infrastructure des services Office, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, Project Online, Service Encryption with Microsoft Purview Customer Key, SharePoint Online, Skype Entreprise
GCC Microsoft Entra ID, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, module complémentaire Conformité avancée Office 365, centre de conformité Office 365 sécurité &, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream
GCC High Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 extension, Office 365 Centre de conformité & sécurité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise
DOD Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, Conformité avancée Office 365 extension, Office 365 Centre de conformité & sécurité, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, Power BI, SharePoint Online, Skype Entreprise

Rapports d’audit Office 365

Conformément aux exigences de l’AICPA, vous devez disposer d’un abonnement ou d’un compte d’essai gratuit existant dans Office 365 ou Office 365 gouvernement des États-Unis pour télécharger les rapports d’attestation SOC 1 et SOC 2 et les lettres de pont si nécessaire.

Questions fréquemment posées

À quelle fréquence les rapports SOC Office 365 sont-ils émis ?

Microsoft commande chaque année un examen soc 1 type 2 complet et SOC 2 type 2 de Office 365. Les rapports de l’auditeur sur ces examens (également appelés audits) sont émis dès qu’ils sont prêts après cet audit. Le rapport SOC 3, basé sur l’examen SOC 2, est publié en même temps.

Étant donné que Microsoft ne contrôle pas l’étendue de l’enquête de l’examen ni le délai d’achèvement de l’audit, il n’existe aucun délai défini pour la publication de ces rapports. Les rapports sont généralement publiés quelques mois après la fin de la période à l’examen. Microsoft n’autorise aucun écart dans les périodes consécutives d’examen d’un examen à l’autre.

Microsoft commande également un examen SOC 1 Type 1 et SOC 2 Type 1 mi-année de Office 365 pour les nouveaux services Microsoft qui ont été émis depuis le dernier audit SOC Type 2. Les audits de type 1 ne regardent pas en arrière sur une période de performances.

En raison de la nature sophistiquée de Office 365, l’étendue du service est grande si elle est examinée dans son ensemble. Cela peut entraîner des retards d’achèvement de l’examen simplement en raison de l’échelle. Microsoft organise tous les examens décrits ci-dessus en 2 catégories : Services de base et Microservices. Microsoft émet un rapport limité à chaque examen.

Les audits soc de type 2 examinent une fenêtre d’exécution de 12 mois (également appelée période d’audit ou période de rendement plus formelle) avec des examens effectués annuellement pour la période du 1er octobre au 30 septembre de l’année civile suivante. L’examen commence rapidement une fois la période de performance terminée.

Microsoft émet également des lettres de pont (également appelées lettres d’écart). Il s’agit d’auto-attestations par Microsoft, et non de rapports basés sur des examens effectués par l’auditeur. Des lettres de pont sont émises pendant la période de rendement actuelle, qui n’est pas encore terminée et qui n’est pas encore prête pour l’examen de l’audit. Microsoft émet des lettres de pont à la fin de chaque trimestre pour attester de nos performances au cours de la période de trois mois précédente. En raison de la période de performance des audits soc de type 2, les lettres de pont sont généralement émises en décembre, mars, juin et septembre de la période d’exploitation actuelle.

Où puis-je obtenir la documentation d’audit SOC Office 365, y compris les lettres de pont ?

Pour obtenir des liens vers la documentation d’audit, consultez la section rapport d’audit du portail d’approbation de services. Vous devez disposer d’un abonnement ou d’un compte d’essai gratuit existant dans Office 365 ou Office 365 gouvernement des États-Unis pour vous connecter. Vous pouvez ensuite télécharger des certificats d’audit, des rapports d’évaluation et d’autres documents applicables pour vous aider à respecter vos propres exigences réglementaires.

Où puis-je trouver une évaluation de l’implémentation des contrôles CCM cloud Security Alliance ?

Microsoft demande un examen des Office 365 d’être basées sur les principes et critères des services de confiance de l’American Institute of Certified Public Accountants (AICPA), notamment la sécurité, la disponibilité, la confidentialité et l’intégrité du traitement, ainsi que les critères de la Matrice de contrôles cloud (CCM) de Cloud Security Alliance (CSA).

L’objectif est d’évaluer à la fois les critères et les exigences de l’AICPA définis dans le CCM en une seule inspection efficace. L’audit Office 365 SOC 2 de type 2 incorpore l’évaluation des contrôles CCM requise par l’attestation CSA STAR. Pour plus d’informations, consultez le rapport d’attestation Office 365 SOC 2 type 2.

Où puis-je voir les réponses de la direction aux exceptions notées ?

La plupart des examens comportent des observations sur un ou plusieurs contrôles spécifiques examinés. Il faut s’y attendre. Les réponses de la direction à toutes les exceptions se trouvent vers la fin du rapport d’attestation SOC. Recherchez « Réponse de gestion » dans le document.

Où puis-je voir les responsabilités des entités utilisateur ?

Les responsabilités de l’entité utilisateur sont vos responsabilités de contrôle nécessaires si le système dans son ensemble doit respecter les normes de contrôle SOC 2. Ceux-ci se trouvent à la toute fin du rapport d’attestation SOC. Recherchez « Responsabilités de l’entité utilisateur » dans le document.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources