Loi Sarbanes-Oxley de 2002 (SOX)

Vue d’ensemble de SOX

La Loi Sarbanes-Oxley de 2002 (SOX) est une loi fédérale américaine administrée par la Securities and Exchange Commission (SEC). Entre autres choses, SOX exige que les sociétés cotées en bourse disposent de structures de contrôle internes appropriées pour vérifier que leurs états financiers reflètent correctement leurs résultats financiers. SOX est fortement influencé par les processus internes du client, en particulier lorsqu’il s’agit de contrôles pour l’information financière. Par exemple, les exigences SOX impliquent des contrôles internes des clients pour la préparation et l’examen des états financiers, et en particulier des contrôles qui affectent l’exactitude, l’exhaustivité, l’efficacité et la divulgation publique des changements importants liés à l’information financière.

La SEC ne définit pas ou n’impose pas de processus de certification SOX. Au lieu de cela, il fournit des lignes directrices générales pour les sociétés cotées en bourse afin de déterminer comment se conformer aux exigences de rapports SOX.

Microsoft et SOX

Les clients des services cloud Microsoft soumis à la conformité à la Sarbanes-Oxley Act (SOX) peuvent utiliser l’attestation SOC 1 Type 2 que Microsoft a reçue d’une société d’audit indépendante pour répondre à leurs propres obligations de conformité SOX. Cette attestation est appropriée pour la création de rapports sur les contrôles internes sur les rapports financiers.

Même s’il n’existe aucune certification OU validation SOX pour les fournisseurs de services cloud, Microsoft peut aider les clients à respecter leurs obligations SOX. Par exemple, SOX exige des contrôles internes pour la préparation et l’examen des états financiers, en particulier des contrôles qui affectent l’exactitude, l’exhaustivité, l’efficacité et la divulgation publique des changements importants liés à l’information financière. Pour aider les entreprises, Microsoft gère une attestation SOC 1 Type 2 appropriée pour créer des rapports sur ces contrôles dans un large portefeuille de services qui peuvent être utilisés pour créer un large éventail d’applications. Il est basé sur l’American Institute of Certified Public Accountants (AICPA) Statement on Standards for Attestation Engagements 18 (SSAE 18) et la International Standard on Assurance Engagements No. 3402 (ISAE 3402). (Cette attestation a remplacé SAS 70.)

Le rapport d’audit, produit par une société d’audit tierce, atteste que les contrôles Microsoft ont été conçus de manière appropriée, en cours d’exécution à une date spécifiée et qu’ils fonctionnent efficacement sur une période spécifiée. Les clients peuvent consulter les rapports pour en savoir plus sur les objectifs de contrôle Microsoft et l’efficacité de ses contrôles, et accéder à des contrôles complémentaires.

Chez Microsoft, nous partageons la responsabilité de la conformité avec nos clients. Nous fournissons les détails de nos programmes de conformité, que vous pouvez vérifier en demandant des résultats d’audit détaillés auprès des tiers de certification. En fin de compte, toutefois, il vous appartient de déterminer si nos services sont conformes aux lois et réglementations spécifiques applicables à votre entreprise. Par exemple, il existe des contrôles de sécurité liés à SOX, tels que l’accès utilisateur aux ressources cloud, qui sont de votre responsabilité : votre organization devez développer un audit approprié de ces contrôles dans le cadre de votre conformité SOX.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

• Azure
• Dynamics 365
• Intune
• Office 365
• Le service Cloud Power BI (en tant que service autonome, ou inclus dans un plan ou une suite Office 365).

Azure, Dynamics 365 et SOX

À mesure que l’adoption du cloud prend de l’ampleur, de plus en plus de clients explorent comment migrer vers le cloud des applications et des charges de travail soumises à des obligations de conformité SOX. Même s’il n’existe aucune certification OU validation SOX pour les fournisseurs de services cloud, Azure peut vous aider à respecter vos obligations SOX.

Si vous êtes soumis à des obligations de conformité SOX, vous devez passer en revue l’attestation Azure SOC 1 Type 2, qui est effectuée en fonction des points suivants :

• SSAE n° 18, Normes d’attestation : clarification et recodification, qui comprend l’article 320 de l’AT-C, Rapport sur un examen des contrôles dans une organisation de services pertinent pour le contrôle interne des entités utilisateur sur les rapports financiers (AICPA, Normes professionnelles).
• Rapport SOC 1 sur l’examen des contrôles au sein d’une organisation de service pertinente pour le contrôle interne des entités utilisateur sur les rapports financiers (Guide AICPA).

La norme AICPA SSAE 18 a remplacé SAS 70, et elle convient pour la création de rapports sur les contrôles d’un service organization pertinentes pour les contrôles internes des entités utilisateur sur les rapports financiers. Il s’agit de l’audit formel sur lequel vous pouvez vous appuyer pour les examens tiers des fournisseurs de services technologiques lors de l’exécution de vos propres obligations de conformité spécifiques au secteur pour les ressources déployées sur Azure. Il comprend l’opinion de l’auditeur sur l’efficacité du contrôle pour atteindre les objectifs de contrôle connexes pendant la période de surveillance spécifiée.

Office 365 et SOX

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

• Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
• Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
• Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
• Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
• Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité

Les Services dans l’étendue

Commerciale

Boucle d’augmentation, texte de remplacement automatique, Azure Information Protection, Binary Conversion Services, Bookings, Delve, Élément de document, Rédacteur, Exchange Online, Forms, Insérer un média en ligne, Insights, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, MyAnalytics, Sécurité des applications cloud Office 365, groupes Office 365, OneDrive Entreprise, Planificateur, Power Apps, PowerApps, Power Automate, Power BI, PowerPoint Designer, PowerPoint Online Document Service, SharePoint Online, Skype Entreprise, StaffHub, Stream, Sway, To-Do, Web Rendering Service, Viva Engage

Audits, rapports et certificats

Rapports SOC 1 Type 2 pour :

• Azure et Power BI
• Dynamics 365
• Office 365

Foire aux questions

Comment puis-je utiliser la conformité Microsoft SOX pour faciliter le processus de conformité de mon organization ?

Lorsque vous migrez vos applications et données vers les services cloud Microsoft couverts, vous pouvez vous appuyer sur les attestations et certifications que Microsoft détient. Les rapports d’audit indépendant attestent de l’efficacité des contrôles que Microsoft a implémentés pour assurer la sécurité et la confidentialité de vos données. Toutefois, vous êtes entièrement responsable de la conformité de votre organization à toutes les lois et réglementations applicables.

Ressources

• Documentation de conformité Azure
• Offres pour la conformité Microsoft
• Conformité sur le site Microsoft Trust Center
• Loi Sarbanes-Oxley de 2002 (SOX)
• Securities and Exchange Commission (SEC)
• Ressources des services financiers Microsoft Cloud
• Programme de conformité des services financiers Microsoft Cloud
• Carte de conformité des principes réglementaires du cloud computing et microsoft services en ligne
• Cas d’usage du secteur des services financiers