Stratégie de sécurité des services d’information sur la justice pénale (CJIS)

Vue d’ensemble du CJIS

La Division des services d’information sur la justice pénale (CJIS) du Bureau fédéral d’enquêtes (SCANNER) des États-Unis permet aux autorités judiciaires fédérales, locales et locales ainsi qu’aux organismes de justice pénale d’accéder à des informations sur la justice pénale (CJI), par exemple des dossiers d’empreintes digitales et des historiques judiciaires. Les forces de l’ordre et d’autres agences gouvernementales aux États-Unis doivent s’assurer que leur utilisation des services cloud pour la transmission, le stockage ou le traitement du CJI est conforme à la stratégie de sécurité CJIS,qui établit des exigences de sécurité et des contrôles minimaux pour la protection du CJI.

La stratégie de sécurité CJIS intègre des directives d’équipe et de sécurité, des lois fédérales et les décisions du comité de stratégie de conseil de la communauté de la justice pénale, ainsi que des conseils du National Institute of Standards and Technology (NIST). La stratégie est régulièrement mise à jour pour refléter l’évolution des exigences de sécurité.

La stratégie de sécurité CJIS définit 13 domaines que les sous-traitants privés tels que les fournisseurs de services cloud doivent évaluer pour déterminer si leur utilisation des services cloud peut être cohérente avec les exigences CJIS. Ces domaines correspondent étroitement au NIST 800-53, qui constitue également la base du programme FedRAMP (Federal Risk and Authorization Management Program),un programme dans lequel Microsoft a été certifié pour ses offres cloud pour le secteur public.

En outre, tous les sous-traitants privés qui assurent le traitement du CJI doivent signer l’addendum de sécurité CJIS, un contrat uniforme approuvé par le avocat général des États-Unis qui permet de garantir la sécurité et la confidentialité du CJI requis par la stratégie de sécurité. Il s’engage également à maintenir un programme de sécurité cohérent avec les lois, réglementations et normes fédérales et nationales et limite l’utilisation du CJI aux fins pour lesquelles une agence gouvernementale l’a fourni.

Microsoft et la stratégie de sécurité CJIS

Microsoft signe le addendum de sécurité CJIS dans les états avec les accords d’informations CJIS. Ces informations indiquent aux autorités de mise en œuvre de la loi de l’État responsables de la conformité avec la stratégie de sécurité CJIS comment les contrôles de sécurité cloud de Microsoft contribuent à protéger le cycle de vie complet des données et à garantir un filtrage d’arrière-plan approprié du personnel d’exploitation ayant accès au CJI. Microsoft continue de travailler avec les gouvernements des États pour conclure des accords d’information CJIS.

Microsoft a évalué les stratégies et procédures opérationnelles de Microsoft Azure Government, Microsoft Office 365 U.S. Government et Microsoft Dynamics 365 U.S. Government, et atteste de leur capacité dans les contrats de services applicables à répondre aux exigences DE LATS pour l’utilisation des services dans l’étendue.

En savoir plus sur les avantages de la stratégie de sécurité CJIS sur le cloud Microsoft : découvrez comment Genetec a effacé les enquêtes pénales

Plateformes cloud et services Microsoft dans l’étendue

  • Azure Government
  • Dynamics 365 U.S. Government
  • Office 365 Gouvernement américain
  • Service Cloud Power BI soit en service autonome, soit inclus dans un plan ou une suite Office 365

Azure, Dynamics 365 et CJIS

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne, voir l’offre CJIS Azure.

Office 365 et CJIS

Environnements cloud Office 365

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section traite des environnements cloud Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial)  : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
GCC Azure Active Directory, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, module complémentaire Conformité avancée Office 365, Centre de sécurité et conformité Office 365, Office Online, Office Pro Plus, OneDrive Entreprise, Planificateur, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream

Audits, rapports et certificats Office 365

Le PROGRAMME DNS ne permet pas de certification de la conformité de Microsoft avec les exigences CJIS. Au lieu de cela, une attestation Microsoft est incluse dans les accords entre Microsoft et l’autorité CJIS d’un état, et entre Microsoft et ses clients.

Microsoft CJIS Cloud Requirements

État CJIS aux États-Unis (actuel depuis le 05/11/2020)

44 États et le district de Colombie avec des contrats de gestion, mis en surbrillant sur la carte en vert incluent :

Oregona, Oregon, États-Unis, États-Unis, États-Unis, Washington, Oregon, États-Unis, Géorgie, New Jersey, New Mexico, New York, North États-Unis, North Premier, États-Unis, Oregon, Île DuPont, États-Unis, États-Unis, États-Unis et États-Unis.

L’engagement de Microsoft à respecter les contrôles réglementaires CJIS applicables permet aux organisations de justice pénale d’implémenter des solutions basées sur le cloud et d’être conformes à la stratégie de sécurité CJIS V5.9.

Foire aux questions

Où puis-je demander des informations de conformité ?

Contactez votre représentant de compte Microsoft pour obtenir des informations sur la juridiction qui vous intéresse. Contactez cjis@microsoft.com pour obtenir des informations sur les services actuellement disponibles dans quels états.

Comment Microsoft démontre-t-il que ses services cloud permettent de respecter les exigences de mon état ?

Microsoft signe un contrat d’information avec une agence des systèmes CJIS (CSA) d’état ; vous pouvez demander une copie auprès de la CSA de votre état. En outre, Microsoft fournit aux clients des informations détaillées sur la sécurité, la confidentialité et la conformité. Les clients peuvent également examiner les rapports de sécurité et de conformité préparés par des auditeurs indépendants afin de vérifier que Microsoft a implémenté des contrôles de sécurité (tels que la norme ISO 27001) appropriés à l’étendue d’audit appropriée.

Par où commencer avec l’effort de conformité de mon agence ?

La stratégie de sécurité CJIS couvre les précautions que votre agence doit prendre pour protéger le CJI. En outre, votre représentant de compte Microsoft peut vous mettre en contact avec ceux qui sont familiarisés avec les exigences de votre juridiction.

Utilisez le Gestionnaire de Conformité Microsoft pour évaluer vos risques

Le Gestionnaire de Conformité Microsoft est une fonctionnalité dans le centre de conformité Microsoft 365 pour vous aider à comprendre la position de la conformité de votre organisation et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources