Explorer la stratégie de sécurité des informations dans Microsoft 365

Effectué

Les divisions et groupes de produits Microsoft sont responsables de l’implémentation des stratégies de sécurité, des normes et des exigences du Programme sur les normes et la stratégie de sécurité Microsoft. Microsoft 365 documente ces implémentations de sécurité dans la stratégie de sécurité des informations Microsoft 365. Cette stratégie s’aligne sur la stratégie de sécurité Microsoft et régit le système d’information Microsoft 365, y compris tous les environnements Microsoft 365 et toutes les ressources impliquées dans la collecte, le traitement, la maintenance, l’utilisation, le partage, la diffusion et la suppression des données.

Portée

L’objectif de la stratégie de sécurité des informations de Microsoft 365 est de permettre à Microsoft 365 de fonctionner conformément aux meilleures pratiques, d’atteindre les objectifs professionnels de la création et de la gestion de la confiance des clients, de respecter les exigences réglementaires et les engagements client, et de soutenir les promesses de public en relation avec la confidentialité, l’intégrité et la disponibilité des services Microsoft 365.

Le système d’information Microsoft 365 inclut les composants suivants, régis par la stratégie de sécurité des informations Microsoft 365 :

  • Infrastructure : composants physiques et matériels des systèmes Microsoft 365 (installations, équipements et réseaux)
  • Logiciels : programmes et logiciels d'exploitation des systèmes Microsoft 365 (systèmes, applications et utilitaires)
  • Personnes : personnel impliqué dans le fonctionnement et l’utilisation des systèmes Microsoft 365 (développeurs, opérateurs, utilisateurs et responsables)
  • Procédures : procédures programmées et manuelles impliquées dans le fonctionnement des systèmes Microsoft 365
  • Données : informations générées, collectées et traitées par les systèmes Microsoft 365 (flux de transactions, fichiers, bases de données et tables)

Tous les composants du système d’information Microsoft 365 sont régis par la stratégie de sécurité des informations Microsoft 365.

Infrastructure de contrôle Microsoft 365

La stratégie de sécurité des informations de Microsoft 365 est complétée par l’infrastructure de contrôle Microsoft 365. L’infrastructure de contrôle Microsoft 365 détaille la configuration minimale requise pour la sécurité pour tous les composants du système d’information et les services Microsoft 365, et fait référence aux besoins juridiques et professionnels de chaque contrôle. L’infrastructure inclut des noms d’activité de contrôle, des descriptions et des conseils pour assurer des implémentations de contrôle efficaces par les équipes de service. Microsoft 365 utilise l’infrastructure de contrôle pour suivre les preuves des implémentations de contrôle pour la création de rapports internes et externes.

L’infrastructure de contrôle comprend 18 objectifs dans les zones clés de domaine clés suivantes :

  • Contrôle d’accès (AC)
  • Sensibilisation et formation (AT)
  • Audit et responsabilité (AU)
  • Évaluation de la sécurité (CA)
  • Gestion de la configuration (CM)
  • Plans d'urgence (CP)
  • Identification et authentification (IA)
  • Réponse aux incidents (IR)
  • Maintenance (MA)
  • Protection des supports (MP)
  • Contrôles d’accès physique (PE)
  • Planification de la sécurité (PL)
  • Gestion des programmes (PM)
  • Sécurité du personnel (PS)
  • Évaluation des risques (RA)
  • Acquisition de système et de services (SA)
  • Protection du système et des communications (SC)
  • Intégrité du système et des informations (SI)

Rôles et responsabilités

Chaque équipe de service au sein de Microsoft 365 désigne les personnes responsables de la conformité de la stratégie de sécurité des informations de Microsoft 365, de la mise en place des contrôles de sécurité pertinents et de la vérification de l’implémentation des contrôles. Le tableau ci-dessous résume brièvement les rôles qui ont des responsabilités importantes pour l’alignement dans la stratégie de sécurité des informations de Microsoft 365.

Role Description des responsabilités
Responsable de la sécurité des systèmes d’information Individu responsable du maintien de la posture de sécurité opérationnelle du système d'information.
Responsable de la conformité GRC Les personnes responsables de la définition des exigences minimales en matière de sécurité et de vérification de ces exigences sont satisfaites par Microsoft 365.
VPE, expérience + appareils Cadre supérieur chargé de définir l'orientation stratégique du groupe d'ingénierie, y compris les objectifs de sécurité et de conformité.
Champs de conformité des équipes de service Spécialistes de chaque équipe de service qui aident les membres de l’équipe à répondre aux exigences de stratégie et de norme.
Membres de l’équipe de service Membres des équipes de service responsables et comptables de l'implémentation des stratégies et des exigences normatives.

Mises à jour de l’infrastructure de contrôle Microsoft 365

L’équipe Confiance Microsoft 365 s’efforce de maintenir en continu l’infrastructure interne de contrôle Microsoft 365.Plusieurs scénarios peuvent exiger que l’équipe Confiance mette à jour l’infrastructure de contrôle, notamment les modifications dans des règlements ou lois pertinentes, l’émergence de menaces, les résultats de test de pénétration, les incidents liés à la sécurité, les commentaires sur des audits et les nouvelles exigences en matière de conformité. Lorsqu’une modification d’infrastructure est exigée, l’équipe Confiance identifie les parties prenantes clé chargées de l’approbation et de l’implémentation pour s’assurer qu’elle est faisable et qu’elle n’entraînera aucun problème imprévu avec les services Microsoft 365. Une fois que l’équipe Confiance et les parties prenantes pertinentes s’accordent sur ce que la modification exige, les charges de travail responsables de l’implémentation de la modification définissent des dates d’achèvement de l’objectif et s’efforcent d’implémenter la modification dans leur service respectif. Après satisfaction des objectifs d’implémentation, l’équipe Confiance met à jour l’infrastructure de contrôle à l’aide des contrôles mis à jour ou nouveaux.

Processus d’exception

Toutes les exceptions à la stratégie de sécurité des informations de Microsoft 365 doivent avoir une justification professionnelle légitime et être approuvées par une entité de gouvernance appropriée au sein de Microsoft 365. Les exceptions doivent également être approuvées par la direction de l'équipe de service et être documentées dans l'outil de gestion des risques Microsoft 365. Selon l'étendue de l'exception et le risque potentiel qu'elle représente, il se peut que l'approbation des exceptions doive être obtenue auprès d'un vice-président de l'entreprise ou d'un supérieur. Les exceptions sont entrées dans l’outil de gestion des risques de Microsoft 365 dans lequel ils sont revus et approuvés afin de garantir leur pertinence.