Introduction
Vous trouverez ci-dessous les questions fréquentes (FAQ) posées par les éditeurs de logiciels indépendants (ISV) lors du démarrage de la certification Microsoft 365. Si vous avez des requêtes qui ne sont pas couvertes ici, contactez l’équipe de certification des applications Microsoft 365 via AppCert@Microsoft.com. Ce document s’adresse aux éditeurs de logiciels indépendants. Vous trouverez des informations générales sur le programme de sécurité et de conformité Microsoft 365 dans la page du programme de conformité des applications Microsoft 365.
Je n’ai pas passé d’audit sur un framework reconnu par le secteur comme PCI DSS, SOC 2 ou ISO 27001. Cela signifie-t-il que je ne parviens pas à demander la certification Microsoft 365 ?
Non, l’obtention de l’un de ces frameworks reconnus par le secteur n’est pas une exigence de la certification Microsoft 365.
J’ai déjà passé un audit externe sur un cadre reconnu par l’industrie. Cela peut-il être comptabilisé dans la certification Microsoft 365 ?
La réponse courte est Oui. Actuellement, la spécification de certification Microsoft 365 accepte des preuves de frameworks externes PCI DSS, SOC 2 et ISO27001. Le Guide des soumissions de certification Microsoft 365 a mappé l’emplacement où ces frameworks externes existants s’alignent ; Toutefois, nous avons constaté dans certains cas que la norme/l’infrastructure existante n’était pas correctement alignée. Pour cette raison, l’équipe de certification Microsoft 365 effectuera un examen des normes/preuves de l’infrastructure fournies, en indiquant quels contrôles au sein de la certification Microsoft 365 sont respectés.
Comment démontrer la conformité au RGPD si nous n’avons pas eu d’évaluation externe du RGPD ?
Microsoft n’a pas besoin d’un examen indépendant de la conformité au RGPD pour la certification Microsoft 365, car il s’agit d’un scénario où nous acceptons l’auto-attestation que nous pouvons vérifier indépendamment lorsqu’aucun examen externe n’a eu lieu. Comme il s’agit plus d’une évaluation qu’d’un audit, et en ce qui concerne les preuves que nous devons collecter pendant nos processus, l’examen des politiques de confidentialité et des processus internes est la façon dont nous avons abordé le contrôle RGPD. Pour les besoins de ce que nous recherchons dans le contrôle RGPD, il s’agit principalement de passer en revue les politiques de confidentialité pour s’assurer qu’elles répondent aux exigences de base du RGPD ; Par exemple, quelles données personnelles sont traitées, quelle est la licéité du traitement, en mettant en évidence les droits des personnes concernées, comment une demande d’accès du sujet (SAR) sera effectuée par un utilisateur, comment l’éditeur de logiciels indépendants entreprendra des demandes d’accès partagé, les détails de l’entreprise ISV et les détails de la conservation des données.
Nous avons subi un test d’intrusion; toutefois, nous n’avons pas de test d’intrusion « propre », car nous n’avons pas entrepris de retest d’intrusion. Avons-nous besoin d’effectuer un nouveau test et d’avoir un rapport propre?
La spécification de la certification Microsoft 365 n’exige pas que les éditeurs de logiciels indépendants effectuent de retests de tests d’intrusion. Des preuves de correction adéquates peuvent être fournies pour démontrer que les problèmes identifiés dans le rapport de test d’intrusion sont corrigés.
Une partie de la documentation et des preuves demandées est sensible, y a-t-il des accords de non-divulgation (NDA) en place?
Oui, certaines des informations que vous soumettez seront des informations publiques et d’autres peuvent être des informations confidentielles. Si vous disposez d’une NDA existante avec Microsoft, les conditions de cette NDA s’appliquent aux informations confidentielles que vous soumettez. Si vous n’avez pas de NDA avec Microsoft, les conditions de confidentialité du Contrat éditeur que vous avez signé dans l’Espace partenaires s’appliquent à ces informations confidentielles.
Comment transférer en toute sécurité la documentation et les preuves sensibles dans le cadre de l’évaluation de la certification Microsoft 365 ?
Actuellement, Microsoft ne dispose pas d’une plateforme pour partager ces informations en toute sécurité. Nous vous recommandons de partager ces informations par le biais des mécanismes sécurisés que vous avez déjà mis en place. De nombreux éditeurs de logiciels indépendants utilisent OneDrive et partagent un lien authentifié vers l’équipe de certification Microsoft 365.
Nous venons d’implémenter des processus de sécurité supplémentaires pour répondre à certains des contrôles de certification Microsoft 365. Cela signifie-t-il que nous devons attendre 12 mois avant de pouvoir certifier ?
Non, Microsoft reconnaît que vous devrez peut-être développer des processus de sécurité supplémentaires pour combler les écarts entre les processus de sécurité existants et ce qui est attendu de la certification Microsoft 365. L’équipe de certification Microsoft 365 examinera les processus documentés nouvellement développés et examinera les preuves indiquant que le processus a été effectué au moins une fois. Aucune preuve historique supplémentaire ne sera nécessaire, car elles ne seront pas disponibles pour ces nouveaux processus. Après douze mois, un échantillon de preuves historiques commencera alors à être évalué lors de l’évaluation annuelle.
Qu’est-ce que je suis responsable de fournir ?
Au cours de l’évaluation, les analystes de certification examineront le document et les preuves fournis pour évaluer votre conformité aux contrôles de certification Microsoft 365. Dans le cadre de ce travail, l’équipe de certification Microsoft 365 demandera des informations qui comprendront des détails architecturaux, des diagrammes, des détails de stockage des données, des détails de conception d’application, des documents de stratégie et de traitement, des fichiers de configuration et des captures d’écran. Dans certains cas, ou si c’est plus facile pour vous, une session de partage d’écran peut être organisée pour montrer les preuves des analystes de certification. Si les cadres de conformité existants doivent être utilisés pour soutenir les activités d’évaluation, une documentation adéquate sera requise pour démontrer ce que l’auditeur externe/évaluateur a évalué et confirmé comme étant en place. Si la documentation à l’appui n’est pas en mesure de fournir la narration nécessaire pour montrer exactement comment les contrôles au sein de l’infrastructure de sécurité externe ont été respectés, l’équipe de certification Microsoft 365 ne pourra pas utiliser le framework de sécurité externe pour prendre en charge l’évaluation de la certification Microsoft 365.
L’obtention de la certification m’oblige-t-elle à apporter des modifications à mon infrastructure actuelle ?
Il est peu probable que des modifications importantes de l’infrastructure soient nécessaires pour répondre à la certification Microsoft 365. Les contrôles sont basés sur les meilleures pratiques de sécurité du secteur et seront probablement déjà implémentés. Nous avons vu dans la plupart des cas; Les éditeurs de logiciels indépendants ont dû mettre à jour les processus internes pour combler les écarts entre les pratiques de travail actuelles et ce qui est requis dans le cadre de la certification Microsoft 365. Si cela pose problème, Microsoft vous recommande de passer en revue les derniers contrôles de certification Microsoft 365 qui se trouvent dans le Guide des soumissions de certification Microsoft 365 pour vous assurer que votre environnement et vos pratiques de travail actuellement déployés respectent les contrôles définis.
Microsoft a-t-il des recommandations sur les composants/infrastructures/logiciels spécifiques qui doivent être utilisés pour répondre aux exigences de certification ?
Microsoft ne fournit pas de recommandation spécifique sur les solutions pour répondre aux contrôles de certification Microsoft 365. Toutes les offres commerciales ou open source peuvent être utilisées, à condition qu’elles soient activement prises en charge et gérées.
Combien de temps faut-il pour terminer l’évaluation ?
En règle générale, une évaluation peut prendre en moyenne 30 jours, mais cela peut dépendre de nombreuses variables. La durée d’exécution peut varier selon : la taille de l’environnement d’hébergement utilisé pour prendre en charge l’application/le complément, le type d’environnement d’hébergement prenant en charge l’application/le complément et la façon dont les éditeurs de logiciels indépendants répondent aux demandes de preuves.
Combien de temps dois-je allouer à ce processus ?
La majeure partie du travail consiste simplement à rassembler la documentation et les preuves en temps voulu. Après quoi il ne devrait pas nécessiter plus de quelques heures par semaine terminer le processus d’évaluation. Voici quelques variables qui peuvent avoir un impact sur le temps nécessaire : la taille de l’environnement aura un impact sur le temps nécessaire pour collecter les preuves demandées, et s’il existe des infrastructures de sécurité externes qui peuvent être exploitées pour prendre en charge l’évaluation. Lorsque des infrastructures de sécurité externes sont en place et qu’une documentation appropriée peut être fournie, les analystes de certification peuvent utiliser ces évaluations externes pour satisfaire un sous-ensemble de contrôles Microsoft 365, sans que vous ayez besoin de fournir des preuves supplémentaires.
Pourquoi existe-t-il un délai fixe de 60 jours pour l’évaluation ?
Nous avons fixé une limite à la durée pendant laquelle une évaluation peut être effectuée, car les éléments de preuve déjà recueillis peuvent devenir obsolètes plus l’évaluation prend de temps. Il s’agit d’un point d’évaluation du temps et, par conséquent, une période appropriée doit être allouée pour l’achèvement. Une fois que vous avez envoyé votre document initial, nous répondrons avec une demande de preuve. La période de 60 jours commence lorsque vous recevez la demande de preuve. Le Guide des soumissions de certification Microsoft 365 doit être lu et vous devez être certain que tous les contrôles peuvent être respectés avant de soumettre votre soumission de preuve initiale.
Que se passe-t-il si l’évaluation n’est pas terminée dans le délai de 60 jours ?
Malheureusement, si l’évaluation n’est pas terminée pendant la période de 60 jours, Microsoft marquera un échec par rapport à l’évaluation. Cette marque concerne uniquement les statistiques internes et ne sera jamais publiée. Vous serez en mesure de redémarrer immédiatement le processus d’évaluation, mais vous serez invité à renvoyer une nouvelle preuve pour prendre en charge la nouvelle application.
Combien me coûte la certification Microsoft 365 ?
Actuellement, vous pouvez effectuer la certification Microsoft 365 gratuitement.
Quel est le coût des tests d’intrusion dans le cadre de ce programme ?
Si votre application doit subir des tests d’intrusion, si cela ne fait pas partie de vos activités de sécurité, les tests d’intrusion peuvent être effectués sous la certification Microsoft 365 et sont GRATUITS. L’étendue des tests d’intrusion est limitée à l’application et à l’infrastructure de prise en charge qui est dans le cadre de la certification Microsoft 365.
Avez-vous des documents marketing qui peuvent être utilisés pour annoncer que notre application a été certifiée ?
Nous n’offrons pas de supports promotionnels ou marketing pour le moment. Bien que nous vous encourageons à indiquer aux clients que votre application a reçu une certification Microsoft 365, les seuls graphiques disponibles seront ceux affichés sur votre liste d’applications dans AppSource et les pages Microsoft Docs. Nous mettons à jour ce document si des documents marketing sont disponibles.
Quel niveau de preuve recherchez-vous lors de l’évaluation ?
Les preuves fournies lors de l’évaluation de la certification Microsoft 365 doivent être en mesure de fournir suffisamment d’assurance que vous respectez les contrôles de certification Microsoft 365 spécifiques en cours d’évaluation. Les preuves peuvent prendre la forme de fichiers de configuration, de captures d’écran de paramètres ou de preuves, de documentation sur les stratégies/procédures ou de sessions de partage d’écran pour montrer les preuves à l’analyste de certification. Voici deux exemples :
Activité d’évaluation : « Démontrer que le logiciel antivirus s’exécute sur tous les composants système échantillonné . » – Pour ce contrôle, vous pouvez fournir une capture d’écran de chaque appareil de l’exemple qui prend en charge l’antivirus qui montre le processus antivirus en cours d’exécution, ou si vous disposez d’une console de gestion centralisée pour l’antivirus, vous pouvez être en mesure de la montrer à partir de cette console de gestion.
Activité d’évaluation : « Montrer comment les nouvelles vulnérabilités de sécurité sont identifiées ». : ce contrôle provient de la section Gestion des correctifs. L’objectif est que vous ayez un processus formellement documenté pour identifier les nouvelles vulnérabilités de sécurité. Il peut s’agir de votre code source, mais également de l’environnement de prise en charge, par exemple, des vulnérabilités Windows, des vulnérabilités au sein des dépendances web (par exemple AngularJS, JQuery, etc.). Vous devez avoir un processus documenté que vous devez suivre pour identifier les nouvelles failles de sécurité. Vous devez donc fournir le document de processus documenté. En plus de la documentation, vous devez fournir la preuve que le processus est suivi; Par exemple, si vous utilisez quelque chose comme l’audit npm pour vérifier les dépendances à la recherche de vulnérabilités, la fourniture d’un exemple de rapports fournit des preuves. Si vous utilisez plusieurs processus, c’est-à-dire pour différents composants système, une preuve de tous les processus doit être fournie.