Comprendre le processus de notification des clients
Le diagramme suivant illustre le processus de notification du client après un incident de sécurité confirmé.
Le processus de réponse aux incidents et de notification des clients est le suivant : Début de l’événement, Événement détecté, Ingénieur d’appel engagé, Équipe de réponse de sécurité engagée, Incident de sécurité confirmé, Impact client déterminé, Clients affectés déterminés et enfin Clients affectés notifiés.
Responsabilité de Microsoft
Si, à un moment quelconque de l’investigation d’un incident de sécurité ou de confidentialité, l’équipe de réponse de sécurité découvre que les données client ont fait l’objet d’une destruction accidentelle ou illégale, d’une perte ou d’une modification, d’une divulgation non autorisée ou d’un accès non autorisé, l’événement est déclaré une violation des données client et le processus de notification d’incident client est lancé. Microsoft identifie et informe tous les clients concernés dans un délai de 72 heures, conformément à de nombreux cadres réglementaires.
La chronologie de la notification démarre lorsque l’incident de sécurité est officiellement déclaré. Dès la déclaration d’un incident de sécurité, le processus de notification se produit le plus rapidement possible, sans retard injustifié.
La notification aux clients en cas d’incidents de sécurité s’effectue via des canaux appropriés sur la base de la nature et de l’étendue de l’incident. Ces canaux peuvent inclure une ou plusieurs des notifications suivantes :
- Notification dans le centre de messages du Centre d'administration Microsoft 365
- E-mail envoyé à l’administrateur client
- Email au contact global de confidentialité désigné par le client (si le locataire Administration l’a défini dans le centre de Microsoft Entra Administration)
- Appel téléphonique direct à l’administrateur client par un membre de l’équipe du support technique spécialement formé
Les engagements de notification des clients de Microsoft sont détaillés dans deux sections de l’Addendum sur la protection des données des produits et services Microsoft.
Notification d’incident de sécurité
Les notifications d’incidents de sécurité seront remises à un ou plusieurs administrateurs du client par tous les moyens sélectionnés par Microsoft, y compris par e-mail. Il incombe uniquement au Client de s’assurer que les administrateurs du Client conservent des informations de contact précises sur chaque portail services en ligne applicable. Le client est seul responsable du respect de ses obligations en vertu des lois en matière de notification d’incident applicables au client et du respect des obligations de notification tierces liées à tout incident de sécurité.
Microsoft mettra tout en œuvre pour aider le client à respecter ses obligations conformément à l’article 33 du RGPD ou aux autres lois ou réglementations applicables afin d’avertir l’autorité de surveillance compétente et les personnes concernées par le traitement des données de cet incident de sécurité.
La notification ou la réponse de Microsoft à un incident de sécurité conformément à la présente section ne constitue pas la reconnaissance, par Microsoft, d’une faute ou d’une responsabilité en ce qui concerne cet incident de sécurité.
Les clients doivent avertir Rapidement Microsoft de toute utilisation incorrecte possible de ses comptes ou informations d’identification d’authentification, ou de tout incident de sécurité lié à un service en ligne.
Annexe A : mesures de sécurité
Procédures de réponse aux incidents
Pour chaque incident de sécurité qui constitue une violation de données client, la notification par Microsoft (comme décrit dans la section « Notification d’incident de sécurité ») est effectuée sans délai excessif et, dans tous les cas, dans les 72 heures.
Responsabilité du client
Pour que les notifications parviennent rapidement aux personnes adéquates, le client doit conserver des coordonnées exactes dans ses profils.
Les clients doivent s’assurer que leurs informations de contact sont à jour dans le Centre d'administration Microsoft 365.
Les administrateurs des clients doivent configurer les options sur le mode d’affichage des messages de confidentialité des données dans le Centre de messages. Effectivement, les administrateurs des clients concernés doivent être au courant des notifications d’incident.
Si nécessaire, les administrateurs généraux peuvent configurer d’autres rôles avec accès au contenu du Centre de messages afin d’éviter d’accorder des droits d’administration inutiles aux non-administrateurs qui ont besoin d’accéder aux notifications d’incident.
Les clients partagent avec Microsoft la responsabilité du signalement des incidents de sécurité. Dans le contexte des services commerciaux de Microsoft (contrairement aux services grand public), Microsoft est le sous-traitant de données, tandis que le client est le contrôleur de données. En cas d’incident de sécurité au cours duquel Microsoft est le sous-traitant de données, Microsoft avertit les clients concernés. Il incombe alors à ces derniers d’en informer les autorités de protection des données, les organismes de réglementation et les utilisateurs affectés, conformément aux réglementations ou législations applicables. En outre, si un client prend connaissance d’un incident de sécurité impliquant ses propres comptes d’utilisateur ou tout service en ligne Microsoft, le client doit en informer Microsoft rapidement, comme décrit dans l’Addendum sur la protection des données des produits et services Microsoft.