Support Microsoft, services professionnels et notification des violations dans le cadre du RGPD
Microsoft Professional Services comprend un groupe diversifié d’architectes techniques, d’ingénieurs, de consultants et de professionnels du support technique qui se consacrent à la réalisation de la mission de Microsoft, qui consiste à donner aux clients les moyens d’en faire plus et d’en faire plus. Notre équipe de services professionnels comprend plus de 21 000 consultants, conseillers numériques, support unifié, ingénieurs et professionnels de la vente travaillant dans 191 pays, prenant en charge 46 langues différentes et gérant plusieurs millions d’engagements par mois. L’équipe s’engage dans les interactions avec les clients et les partenaires par le biais d’outils locaux, téléphoniques, web, communautaires et automatisés. Le organization apporte une vaste expertise dans l’ensemble du portefeuille Microsoft, en tirant parti d’un vaste réseau de partenaires, de communautés techniques, d’outils, de diagnostics et de canaux qui nous connectent avec nos clients d’entreprise.
L’équipe globale de réponse aux incidents de protection des données des services professionnels Microsoft a pour objectif (a) d’utiliser des opérations et des processus rigoureux pour empêcher les incidents de protection des données de se produire, (b) de les gérer de manière professionnelle et efficace lorsqu’ils se produisent, et (c) d’apprendre de ces incidents de protection des données par le biais d’améliorations régulières post-mortem et du programme. Les processus et les résultats de l’équipe de réponse aux incidents de protection des données des services professionnels de Microsoft sont examinés et attestés par plusieurs audits de sécurité et de conformité (par exemple, ISO/IEC 27001).
Présentation de la réponse aux incidents de protection des données
Microsoft Professional Services s’engage à protéger ses clients et prend des mesures considérables pour empêcher les incidents de protection des données de se produire afin de maintenir la confiance des clients. Un incident de protection des données dans les services professionnels organization est une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès aux données personnelles, ou aux données de services professionnels, lors du traitement par Microsoft. Pour les clients commerciaux qui ont acheté des solutions de support unifié ou d’industrie, vous devez vous référer à votre langage de réponse aux incidents de protection des données dans l’Addendum sur la protection des données (DPA) microsoft.
Étendue et limites du processus de réponse aux incidents de protection des données
Le processus de notification de violation de données personnelles démarre lorsque nous déclarons qu’une [violation de données personnelles] s’est produite.
Pour être déclaré, l’équipe de réponse aux incidents de protection des données Microsoft doit déterminer qu’un incident de protection des données tel que défini précédemment s’est produit. La déclaration se produit dès que toutes les informations pertinentes sont disponibles pour déterminer qu’un incident de protection des données s’est produit.
En raison de la nature des services professionnels, certains événements qui semblent être des incidents de protection des données Microsoft ne sont pas nécessairement classés comme tels, car ils se sont produits par le biais d’actions du client ou sur les systèmes du client. Les services professionnels Microsoft ne surveillent pas et ne répondent pas aux incidents de protection des données dans le domaine de responsabilité du client. Toutefois, lorsque Microsoft prend connaissance d’un incident de protection des données piloté par le client, nous classons cet incident comme un incident de protection des données piloté par le client, que l’équipe de réponse aux incidents de protection des données appelle un « événement », informons le client de notre observation et, si demandé, l’assistons dans son effort de réponse, dans la mesure où l’interaction avec Microsoft l’exige. Parmi les exemples d’incidents de protection des données pilotés par le client, citons l’envoi par inadvertance des mots de passe du client et d’autres données sensibles à Microsoft, les demandes de suppression de données et le fait d’être victime d’une fraude.
Certaines actions sont totalement en dehors du champ d’application de ce processus, notamment les questions d’ordre général sur nos stratégies ou nos normes de protection des données, les demandes sur les droits de la personne concernée par le traitement des données, les demandes de retrait, les listes de vœux de produits ou les rapports de bogues non associés à la protection des données, les incidents de protection des données n’impliquant pas les données du client et les fraudes à l’encontre de Microsoft.
Types d’incidents de protection des données
L’équipe de réponse aux incidents de protection des données a identifié un ensemble de scénarios qui peuvent se produire dans les services professionnels. Tout en adhérant au framework de réponse aux incidents de protection des données de base, des procédures ont été développées et personnalisées pour accélérer le processus de réponse. Par instance, un e-mail mal acheminé peut nécessiter peu d’examen. En revanche, l’identification du personnel malveillant peut nécessiter une enquête judiciaire complète en raison de la nature subreptice des activités d’un délinquant. Cet ensemble de scénarios peut fournir des informations sur le processus de réponse aux incidents de protection des données pour les services professionnels.
Processus de réponse aux incidents de protection des données
Lorsque les Services professionnels Microsoft identifient un incident de protection des données, un processus de triage se produit en vertu duquel Microsoft (a) évalue l’événement, (b) détermine s’il est inclus dans le cadre de ce processus, (c) détermine s’il est malveillant, (d) effectue une enquête préliminaire et attribue un niveau de gravité, et (e) des alertes et se coordonne avec les parties prenantes appropriées au sein de Microsoft. L’équipe commence également à enregistrer les détails à des fins de suivi et l’exercice post-mortem.
Détection
Microsoft Professional Services surveille en permanence l’écosystème à la recherche d’incidents de protection des données émergents dans tous les magasins de données contenant des données personnelles, à la fois en ligne et hors connexion. Nous utilisons différentes méthodes pour détecter les incidents de protection des données, notamment les alertes automatisées, les rapports clients, les rapports de tiers externes, l’observation des anomalies et les indications d’activités malveillantes ou de pirates.
Les processus de détection utilisés par les services professionnels Microsoft sont conçus pour détecter les incidents de protection des données et déclencher des investigations. Par exemple :
- Les violations de sécurité sont signalées au système de création de rapports général de Microsoft à des fins de référence ou sont signalées directement à l’équipe de réponse aux incidents de protection de données des services professionnels.
- Les clients envoient des rapports décrivant les activités douteuses via le portail de Support client.
- Le personnel des services professionnels soumet des escalades. Les employés de Microsoft sont formés pour identifier et transmettre les éventuels problèmes de sécurité.
- Pour les outils et les systèmes utilisés dans le processus de fourniture de services professionnels, les équipes d’exploitation utilisent des alertes système automatisées via des infrastructures de supervision et d’alerte internes. Ces alertes peuvent survenir en tant qu’alarmes basées sur la signature (par exemple, les programmes malveillants, la détection de l’intrusion) ou via des algorithmes conçus pour profiler l’activité prévue et signaler des anomalies.
Exercices de réponse aux incidents de protection des données, tests du plan de réponse aux incidents de protection des données
En plus de la formation continue, les Services professionnels exécutent chaque année des exercices en partenariat avec les services internes appropriés pour communiquer les procédures, rôles et responsabilités d’escalade des incidents de protection des données à tous les membres de l’équipe de stabilisation. Cette formation prépare les principales parties prenantes aux incidents réels de protection des données, qu’il s’agisse de sécurité, physique ou de confidentialité par nature. Cette formation comprend des exercices avec des représentants de l’équipe de réponse aux incidents de protection des données, de l’équipe de sécurité, des équipes juridiques et de l’équipe de communication.
Suite aux exercices, nous documentons les résultats et les méthodes de résolution que nous avons décidé d’utiliser.
Formation à la réponse aux incidents de protection des données
Un composant clé de la réponse aux incidents de protection des données est la formation du personnel pour identifier et signaler les incidents de protection des données. Le personnel des services professionnels organization est tenu de suivre une formation qui couvre les principes fondamentaux de la confidentialité, les réglementations RGPD et d’autres bonnes pratiques sur la façon d’identifier et de signaler les incidents de protection des données.
Une formation en ligne régulière est disponible, et l’achèvement est obligatoire pour tout le personnel. Le programme de formation utilise des tests, des enquêtes continues, de la sensibilisation et du suivi conçus pour s’assurer que la formation est comprise et conservée.
Processus
Lorsque microsoft Professional Services organization identifie un incident de protection des données, il suit un plan de réponse standard documenté, en commençant par la détermination que les critères d’incident de protection des données sont remplis. Lorsqu’un incident de protection des données se produit, il est généralement déclaré immédiatement après le triage, mais, en fonction de la complexité, la déclaration peut se produire à tout moment lorsqu’un niveau d’informations nécessaires est disponible, y compris après l’étape d’investigation. En revanche, l’équipe a le pouvoir discrétionnaire de déclarer un incident de protection des données uniquement sur la base de soupçons raisonnables d’occurrence. L’équipe peut également alterner entre les différentes étapes au fur et à mesure que l’enquête progresse.
En fonction du niveau de gravité, Microsoft peut également effectuer un post-mortem interne pour les incidents de protection des données. Dans le cadre de cet exercice, la suffisance des procédures de réponse et d’exploitation est évaluée, et toutes les mises à jour qui peuvent être nécessaires à la procédure opérationnelle standard de réponse aux incidents de protection des données ou aux processus connexes sont identifiées et implémentées. Les post-mortems internes pour les violations de données sont des enregistrements hautement confidentiels qui ne sont pas accessibles aux clients. Toutefois, les post-mortem peuvent être résumés et inclus dans les notifications d’événements client. Dans le cadre d’un cycle de vérification de routine, les processus post-mortem sont examinés par des auditeurs externes pour s’assurer que le suivi se produit.
Notification
Lorsque les Services professionnels Microsoft déclarent un incident de protection des données dans le cadre du RGPD, la notification de nos clients dans un délai de 72 heures est notre priorité.
Après la déclaration d’un incident de protection des données, le processus de notification se déroule aussi rapidement que possible tout en tenant compte des risques de sécurité liés à un déplacement rapide. Pour s’assurer que la notification peut être correctement remise, il incombe au client de s’assurer que les informations de contact administratives sur chaque compte, abonnement et portail services en ligne applicable sont correctes. Bien que l’objectif soit de fournir aux clients concernés un préavis précis, exploitable et en temps voulu, pour atteindre l’engagement de notification de 72 heures, la notification initiale peut ne pas inclure de détails complets, car tous les détails peuvent ne pas être disponibles pendant les premières étapes d’un incident de protection des données. En outre, Microsoft peut être amené à refuser certains détails en raison des circonstances de l’incident de protection des données. Par instance, il peut être nécessaire de ne pas fournir de détails si le fait de fournir une notification augmente le risque pour d’autres clients ou interfère avec la capacité de Microsoft ou des forces de l’ordre à intercepter un acteur malveillant.
En sa qualité de processeur de données, Microsoft reconnaît que les clients sont chargés de déterminer si la notification est appropriée et, le cas échéant, de notifier l’autorité de protection des données (DPA) compétente et les personnes concernées par les données du client de toute violation de données personnelles. Les services professionnels Microsoft s’aideront à fournir aux clients les informations nécessaires pour procéder à la notification dans ces circonstances.
Lors de la notification aux clients d’une violation de données personnelles, Microsoft inclut les informations suivantes, si elles sont applicables et connues :
- Nature de la violation
- Mesures d’atténuation prises ou proposées par Microsoft
- Application, service ou produit concerné
- Durée de l’exposition des données personnelles, si connue
- Volume d’enregistrements de données concerné/exposé, si connu
- Détails sur le responsable du traitement/fournisseur, si associé à la violation
En savoir plus
En savoir plus sur les Services professionnels Microsoft (https://aka.ms/pstrust).