Explorer la stratégie de sécurité des informations dans Microsoft 365
Les divisions et groupes de produits Microsoft sont responsables de l’implémentation des stratégies de sécurité, des normes et des exigences du Programme sur les normes et la stratégie de sécurité Microsoft. Microsoft 365 documente ces implémentations de sécurité dans la stratégie de sécurité des informations Microsoft 365. Cette stratégie s’aligne sur la stratégie de sécurité Microsoft et régit le système d’information Microsoft 365, y compris tous les environnements Microsoft 365 et toutes les ressources impliquées dans la collecte, le traitement, la maintenance, l’utilisation, le partage, la diffusion et la suppression des données.
Portée
L’objectif de la stratégie de sécurité des informations de Microsoft 365 est de permettre à Microsoft 365 de fonctionner conformément aux meilleures pratiques, d’atteindre les objectifs professionnels de la création et de la gestion de la confiance des clients, de respecter les exigences réglementaires et les engagements client, et de soutenir les promesses de public en relation avec la confidentialité, l’intégrité et la disponibilité des services Microsoft 365.
Le système d’information Microsoft 365 inclut les composants suivants, régis par la stratégie de sécurité des informations Microsoft 365 :
- Infrastructure : composants physiques et matériels des systèmes Microsoft 365 (installations, équipements et réseaux)
- Logiciels : programmes et logiciels d'exploitation des systèmes Microsoft 365 (systèmes, applications et utilitaires)
- Personnes : personnel impliqué dans le fonctionnement et l’utilisation des systèmes Microsoft 365 (développeurs, opérateurs, utilisateurs et responsables)
- Procédures : procédures programmées et manuelles impliquées dans le fonctionnement des systèmes Microsoft 365
- Données : informations générées, collectées et traitées par les systèmes Microsoft 365 (flux de transactions, fichiers, bases de données et tables)
Tous les composants du système d’information Microsoft 365 sont régis par la stratégie de sécurité des informations Microsoft 365.
Infrastructure de contrôle Microsoft 365
La stratégie de sécurité des informations de Microsoft 365 est complétée par l’infrastructure de contrôle Microsoft 365. L’infrastructure de contrôle Microsoft 365 détaille la configuration minimale requise pour la sécurité pour tous les composants du système d’information et les services Microsoft 365, et fait référence aux besoins juridiques et professionnels de chaque contrôle. L’infrastructure inclut des noms d’activité de contrôle, des descriptions et des conseils pour assurer des implémentations de contrôle efficaces par les équipes de service. Microsoft 365 utilise l’infrastructure de contrôle pour suivre les preuves des implémentations de contrôle pour la création de rapports internes et externes.
L’infrastructure de contrôle comprend 18 objectifs dans les zones clés de domaine clés suivantes :
- Contrôle d’accès (AC)
- Sensibilisation et formation (AT)
- Audit et responsabilité (AU)
- Évaluation de la sécurité (CA)
- Gestion de la configuration (CM)
- Plans d'urgence (CP)
- Identification et authentification (IA)
- Réponse aux incidents (IR)
- Maintenance (MA)
- Protection des supports (MP)
- Contrôles d’accès physique (PE)
- Planification de la sécurité (PL)
- Gestion des programmes (PM)
- Sécurité du personnel (PS)
- Évaluation des risques (RA)
- Acquisition de système et de services (SA)
- Protection du système et des communications (SC)
- Intégrité du système et des informations (SI)
Rôles et responsabilités
Chaque équipe de service au sein de Microsoft 365 désigne les personnes responsables de la conformité de la stratégie de sécurité des informations de Microsoft 365, de la mise en place des contrôles de sécurité pertinents et de la vérification de l’implémentation des contrôles. Le tableau ci-dessous résume brièvement les rôles qui ont des responsabilités importantes pour l’alignement dans la stratégie de sécurité des informations de Microsoft 365.
| Role | Description des responsabilités |
|---|---|
| Responsable de la sécurité des systèmes d’information | Individu responsable du maintien de la posture de sécurité opérationnelle du système d'information. |
| Responsable de la conformité GRC | Les personnes responsables de la définition des exigences minimales en matière de sécurité et de vérification de ces exigences sont satisfaites par Microsoft 365. |
| VPE, expérience + appareils | Cadre supérieur chargé de définir l'orientation stratégique du groupe d'ingénierie, y compris les objectifs de sécurité et de conformité. |
| Champs de conformité des équipes de service | Spécialistes de chaque équipe de service qui aident les membres de l’équipe à répondre aux exigences de stratégie et de norme. |
| Membres de l’équipe de service | Membres des équipes de service responsables et comptables de l'implémentation des stratégies et des exigences normatives. |
Mises à jour de l’infrastructure de contrôle Microsoft 365
L’équipe De confiance Microsoft 365 travaille à maintenir l’infrastructure de contrôle Microsoft 365 interne en permanence. Plusieurs scénarios peuvent nécessiter la mise à jour de l’infrastructure de contrôle, notamment les modifications apportées aux réglementations ou lois pertinentes, les menaces émergentes, les résultats des tests d’intrusion, les incidents de sécurité, les commentaires d’audit et les nouvelles exigences de conformité. Lorsqu’une modification de l’infrastructure est requise, l’équipe d’approbation identifie les principales parties prenantes responsables de l’approbation et de l’implémentation de la modification pour s’assurer qu’elle est réalisable et n’entraîne pas de problèmes inattendus avec les services Microsoft 365. Une fois que l’équipe de confiance et les parties prenantes concernées se sont mises d’accord sur les besoins de la modification, les charges de travail responsables de l’implémentation de la modification définissent des dates d’achèvement cibles et travaillent à l’implémentation de la modification dans leurs services respectifs. Une fois les objectifs d’implémentation atteints, l’équipe d’approbation met à jour l’infrastructure de contrôle avec les contrôles nouveaux ou mis à jour.
Processus d’exception
Toutes les exceptions à la stratégie de sécurité des informations de Microsoft 365 doivent avoir une justification professionnelle légitime et être approuvées par une entité de gouvernance appropriée au sein de Microsoft 365. Les exceptions doivent également être approuvées par la direction de l'équipe de service et être documentées dans l'outil de gestion des risques Microsoft 365. Selon l'étendue de l'exception et le risque potentiel qu'elle représente, il se peut que l'approbation des exceptions doive être obtenue auprès d'un vice-président de l'entreprise ou d'un supérieur. Les exceptions sont entrées dans l’outil de gestion des risques de Microsoft 365 dans lequel ils sont revus et approuvés afin de garantir leur pertinence.