Portefeuille de stratégies de Microsoft Cloud for Sovereignty
Azure propose une gamme d’initiatives intégrées qui s’alignent sur divers cadres de conformité réglementaire et normes du secteur. Ces initiatives couvrent des aspects critiques tels que la protection des données, la sécurité du réseau et les contrôles d’accès. En appliquant des configurations et des contrôles robustes, vous pouvez améliorer la position de souveraineté et de sécurité des ressources Azure de votre organisation et protéger les données sensibles contre tout accès non autorisé.
Microsoft Cloud for Sovereignty étend les initiatives intégrées Azure existantes en ajoutant régulièrement d’autres initiatives.
Initiatives de stratégie intégrées Azure
Les initiatives de stratégie intégrées à Azure constituent un ensemble d’outils puissants qui permettent un contrôle centralisé sur les ressources Azure et l’application de configurations spécifiques. Ces initiatives comprennent un ensemble de définitions de stratégies et assurent la conformité avec divers cadres réglementaires, normes industrielles et meilleures pratiques de sécurité.
Les initiatives offrent une approche rationalisée et automatisée de la gouvernance, ce qui permet aux organisations de gérer et de surveiller la conformité à grande échelle. Pour plus d’informations sur les initiatives de stratégie, consultez Qu’est-ce que Azure Policy ?.
Initiatives de stratégie de Microsoft Cloud for Sovereignty
Les initiatives et les mappages de conformité de Microsoft Cloud for Sovereignty, qui étendent les initiatives intégrées Azure, vous aident à automatiser l’application de stratégies et à promouvoir un cadre de gouvernance robuste qui réduit le risque de non-conformité. En outre, les initiatives renforcent également les mesures de protection des données. Les organisations peuvent utiliser la vaste suite d’initiatives intégrées de conformité réglementaire disponibles tout en continuant à développer d’autres cadres.
Initiatives en matière de stratégie de conformité réglementaire
Microsoft Cloud for Sovereignty conserve plusieurs initiatives en matière de stratégie de conformité réglementaire.
L’une de ces initiatives en matière de stratégies vise à soutenir les exigences techniques spécifiques au cloud dans le cadre de la base de référence gouvernementale en matière de sécurité des informations (Baseline informatiebeveiliging Overheid ou BIO en néerlandais), le cadre de normes fondamental pour sécurité de l’information à tous les niveaux du gouvernement néerlandais (gouvernement central, municipalités, provinces et services des eaux).
Microsoft Cloud for Sovereignty a récemment publié deux autres initiatives de stratégie intégrées sur la conformité réglementaire : les Stratégies globales de référence Microsoft Cloud for Sovereignty et les Stratégies confidentielles de référence Microsoft Cloud for Sovereignty.
Les Mesures de sécurité de haut niveau de l’Esquema Nacional de Seguridad (ENS) en Espagne imposent des contrôles de sécurité aux organisations publiques et aux fournisseurs de TIC, garantissant la conformité aux normes espagnoles et européennes pour protéger les données et les services.
Le Manuel sur la sécurité de l’information en Nouvelle Zélande (NZ ISM) vise à établir des processus et des contrôles pour protéger les informations et les systèmes du gouvernement néo-zélandais.
Pour plus d’informations sur ces initiatives de stratégie sur la conformité réglementaire, consultez azure-policy/built-in-policies/policySetDefinitions.
Initiatives de référence de stratégie de souveraineté
Les initiatives en matière de stratégies Microsoft Cloud for Sovereignty sont principalement conçues pour aider à démontrer la conformité à un cadre de contrôle de sécurité spécifique. Cependant, les initiatives de référence de stratégie de souveraineté sont un ensemble spécial d’initiatives Azure Policy intégrées, destinées à compléter les cadres avec des contrôles de souveraineté.
Les contrôles de souveraineté contribuent à une utilisation appropriée des offres d’informatique confidentielle Azure qui fournissent des barrières de protection des données au-delà de ce que les cadres de contrôle de sécurité existants exigent généralement d’une manière facile à adopter pour les organisations.
Les initiatives en matière de stratégie de base de souveraineté fournissent aux organisations une méthode simple pour configurer plusieurs stratégies Azure d’une manière qui répond à un ou plusieurs des objectifs de contrôle de souveraineté, répertoriés comme suit :
- Les données des clients doivent être entièrement stockées et traitées dans des centres de données résidant dans des régions géopolitiques approuvées en fonction des exigences définies par le client.
- Les clients doivent approuver l’accès aux données des clients par les opérateurs de services cloud et gérés.
- Les données sensibles du client définies par le client ne doivent être accessibles que de manière chiffrée pour les opérateurs de services cloud et gérés.
- Le client doit avoir un contrôle exclusif sur le choix des identités pouvant accéder aux clés utilisées pour déchiffrer les données sensibles définies par le client.
Ces objectifs de contrôle sont les pratiques recommandées par Azure pour répondre aux préoccupations sur la souveraineté des données en prenant en charge l’utilisation et les configurations appropriées au sein de diverses offres Azure qui stockent ou traitent les données des clients. Si vous estimez qu’il est nécessaire d’inclure d’autres objectifs de contrôle dans la référence, vous pouvez créer une demande de fonctionnalité.
Les initiatives de référence de stratégie de souveraineté sont préinstallées avec la Zone d’atterrrisage souveraine ou peuvent être déployées dans n’importe quel locataire Azure en tant que Azure Policy intégrée.
Les initiatives de référence de stratégie de souveraineté ne remplacent pas les initiatives de conformité réglementaire intégrées ni ne sont associées directement à l’un des cadres. Les organisations doivent continuer à utiliser leurs initiatives existantes pour démontrer leur conformité avec tous les cadres réglementaires appropriés.
Pour plus d’informations sur la manière dont Microsoft voit la souveraineté des données, consultez nos livres blancs.
Initiatives en matière de stratégies personnalisées
Microsoft Cloud for Sovereignty rend plusieurs initiatives de stratégies personnalisées et mappages de conformité accessibles via le Portefeuille de stratégies Cloud for Sovereignty sur GitHub. Les initiatives en matière de stratégies Microsoft Cloud for Sovereignty aident à personnaliser les déploiements pour réduire le temps et la complexité nécessaires pour auditer les environnements et aident à respecter les cadres de conformité réglementaire établis et les exigences gouvernementales.
Les initiatives personnalisées actuelles se concentrent sur :
La Stratégie italienne du cloud, qui contient les orientations stratégiques pour la migration vers le cloud des données et des services numériques de l’administration publique italienne, et l’Agence nationale de cybersécurité (ACN) a publié un ensemble d’exigences pour la qualification des services cloud et des infrastructures de services cloud. Les initiatives de stratégie et les fichiers contenus dans ce référentiel sont destinés à servir de point de départ. Ces fichiers ne sont pas destinés à être des solutions finales ou complètes, mais plutôt une ressource utile pour dynamiser vos efforts.
Une initiative en matière de stratégie Azure personnalisée et un mappage de contrôle qui aident les clients à respecter les directives définies par le cadre de contrôle de cybersécurité Cloud Controls Matrix (CCM) v4 de la Cloud Security Alliance (CSA) pour le cloud computing.
Pour faciliter le déploiement d’initiatives de stratégie personnalisées, consultez le script New-PolicySets.ps1 sur GitHub. De plus, vous pouvez utiliser les Fonctionnalités de Microsoft Defender for Cloud pour des initiatives personnalisées.
Important
Les organisations ont l’entière responsabilité de garantir leur propre conformité à toutes les lois et réglementations applicables. Les informations fournies dans ce document ne constituent pas un avis juridique, et les organisations doivent consulter leurs conseillers juridiques pour toute question concernant la conformité réglementaire.