Auto-évaluation Azure CSA (Cloud Security Alliance) STAR

Présentation de l’auto-évaluation CSA STAR

La Cloud Security Alliance (CSA) est une association à but non lucratif gérée par une large coalition de professionnels, de sociétés et autres acteurs majeurs du secteur. Son rôle est de définir les meilleures pratiques permettant de garantir un environnement de cloud computing plus sécurisé et d'aider les clients potentiels du cloud à prendre des décisions éclairées lors du passage de leurs opérations informatiques vers le cloud.

En 2010, la CSA a publié une suite d'outils d'évaluation des opérations informatiques du cloud : la pile GRC (Governance, Risk Management and Compliance). Elle a été conçue pour aider les clients cloud à évaluer la façon dont les fournisseurs de service cloud (CSP) respectent les meilleures pratiques et normes du secteur et se conforment aux réglementations.

En 2013, la CSA et la British Standards Institution (STAR) ont lancé le registre Security, Trust & Assurance Registry (STAR), un registre gratuit, publiquement accessible qui permet aux CSP (fournisseurs de services Cloud) de publier leurs évaluations relatives au CSA.

L'évaluation CSA STAR est basée sur deux composants clés de la pile GRC de la CSA :

  • La matrice (Cloud Controls Matrix) : infrastructure de contrôle englobant les principes de sécurité fondamentaux sous 16 domaines et permettant aux clients cloud d'évaluer le risque de sécurité global d'un CSP.
  • Le questionnaire CAIQ (Consensus Assessments Initiative Questionnaire) : ensemble de plus de 140 questions basées sur la matrice CCM qu'un client ou auditeur cloud peut souhaiter poser aux CSP pour évaluer leur conformité avec les meilleures pratiques de la CSA.

Le registre STAR fournit trois niveaux d'assurance. L'autoévaluation CSA STAR correspond à l'offre d'introduction au Niveau 1, gratuit et accessibles à tous les CSP. En remontant la pile d’assurance, le Niveau 2 du programme STAR implique des certifications basées sur une évaluation tierce et le Niveau 3 inclut des certifications basées sur une surveillance continue.

Microsoft et l’auto-évaluation CSA STAR

Dans le cadre de l’auto-évaluation STAR, les CSP peuvent fournir deux types de documents distincts indiquant leur conformité avec les meilleures pratiques de la CSA : un questionnaire CAIQ rempli ou un rapport documentant la conformité avec la matrice CCM. Pour l’auto-évaluation CSA STAR, Microsoft publie un questionnaire CAIQ et un rapport basé sur la matrice CCM pour Microsoft Azure et des rapports basés sur la matrice CCM pour Microsoft Dynamics 365 et Microsoft Office 365.

Plateformes cloud et services Microsoft dans l’étendue

Auto-évaluation Azure, Dynamics 365 et CSA STAR

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services de conformité en ligne, consultez l' Offre d’auto-évaluation Azure CSA STAR.

Auto-évaluation Office 365 et CSA STAR

Environnements cloud Office 365

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section traite des environnements cloud Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial)  : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Exchange Online, Exchange Online Protection, Portail client Office 365, Office Online, Infrastructure des services Office, OneDrive Entreprise, SharePoint Online, Skype Entreprise

Questions fréquemment posées

Sur quelles normes du secteur la CSA CCM est-elle alignée ?

La matrice CCM correspond aux normes, réglementations et cadres de contrôle de sécurité acceptés par le secteur, tels que ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST, etc. Pour obtenir la liste la plus récente, consultez le site Web de la CSA.

Pourquoi l’auto-évaluation CSA STAR est-elle importante ?

Elle permet aux CSP de documenter leur conformité avec les meilleures pratiques publiées par la CSA de manière transparente. Les rapports d'autoévaluation sont publics, ils aident, par conséquent, les client cloud à avoir plus de visibilité sur les pratiques de sécurité des CSP, ainsi qu'à comparer différents CSP avec la même base de référence.

Quels sont les niveaux d’assurance CSA STAR atteints par Office 365 ?

  • Niveau 1: Auto-évaluation CSA STAR : offre gratuite des fournisseurs de services cloud pour documenter leurs contrôles de sécurité afin d’aider les clients à évaluer la sécurité du service.

Ressources Office 365