Aperçu sur la sécurité des centres de données

Comment Microsoft héberge-t-il ses services en ligne ?

Microsoft fournit plus de 200 services cloud, notamment des services d’entreprise tels que Microsoft Azure, Microsoft 365 et Microsoft Dynamics 365, aux clients 24 x 7 x 365. Ces services sont hébergés dans l’infrastructure cloud de Microsoft composée de centres de données distribués globalement, de serveurs edge computing et de centres d’opérations de service. Ils sont pris en charge et connectés par l’un des plus grands réseaux globaux au monde, avec une fibre étendue.

Les centres de données alimentant notre offres cloud se concentrent sur la fiabilité de haut niveau, l’excellence opérationnelle, la rentabilité, le respect de l’environnement et une expérience en ligne fiable pour nos clients et partenaires internationaux. Microsoft teste régulièrement la sécurité de nos centres de données par le biais d’audits internes et tiers. Par conséquent, les organisations les plus réglementées du monde approuvent le cloud Microsoft qui est compatible avec les certifications émanant d’autres fournisseurs de services cloud.

Comment Microsoft protège-t-il ses centres de données contre tout accès non autorisé ?

L’accès aux installations de centres de données physiques est étroitement contrôlé par les périmètres externes et internes avec une sécurité croissante à chaque niveau, y compris la périmètre de périmètre, les agents de sécurité, les racks de serveurs verrouillés, les systèmes d’alarme intégrés, la surveillance vidéo 24 heures sur 24 par le centre des opérations et le contrôle d’accès multi-facteur. Seuls les membres du personnel requis sont autorisés à accéder aux centres de données Microsoft. L’accès logique à Microsoft 365'infrastructure, y compris aux données client, est interdit dans les centres de données Microsoft.

Nos Centres des opérations de sécurité utilisent la surveillance vidéo et les systèmes de contrôle d’accès électronique intégrés pour surveiller les sites et installations des centres de données. Des caméras sont placées de façon stratégique pour assurer une couverture efficace du périmètre de l’installation, des entrées, des quais d’expédition, de la zone des serveurs, des couloirs intérieurs et d’autres points de sécurité sensibles. Dans le cadre de notre approche de sécurité multicouche, toute tentative d’entrée non autorisée détectée par les systèmes de sécurité intégrés génère des alertes auprès du personnel de sécurité dans le but de fournir une réponse et une mesure corrective immédiate.

Comment Microsoft protège-t-il ses centres de données contre les risques environnementaux ?

Microsoft utilise une variété de protections pour se protéger contre les menaces environnementales à la disponibilité des centres de données. Les sites de centre de données sont sélectionnés de façon stratégique pour minimiser les risques en raison de divers facteurs, notamment les catastrophes, les catastrophes naturelles et les catastrophes naturelles. Nos centres de données utilisent le contrôle de l’air pour surveiller et maintenir des espaces optimisés pour le personnel, l’équipement et le matériel. Les systèmes de détection et de suppression des incendies et les capteurs d’eau permettent de détecter et d’éviter les incendies et les dommages d’eau à l’équipement.

Les catastrophes sont imprévisibles, mais les centres de données et le personnel opérationnel de Microsoft se préparent aux urgences pour assurer une continuité de l’activité en cas d’événement inattendu. La résilience de l’architecture et des plans de continuité testés et mise à jour permettent d’atténuer les dommages potentiels et de promouvoir une récupération rapide des opérations de centres de données. Les plans de gestion de crise fournissent une transparence sur les rôles, les responsabilités et les activités d’atténuation avant, pendant et après une crise. Les rôles et contacts définis dans ces plans facilitent une escalade effective de la chaîne de commande pendant les situations de crise.

Comment Microsoft vérifie-t-il l’efficacité de la sécurité des centres de données ?

Nous savons que pour tirer pleinement parti des avantages du cloud, nos clients doivent être en mesure de faire confiance à leur fournisseur de services cloud. Notre infrastructure et notre suite de services cloud sont conçus entièrement pour répondre aux exigences rigoureuses de nos clients en matière de sécurité et de confidentialité. Nous aidons nos clients à se conformer aux exigences nationales, locales et sectorielles en matière de recueil et d’utilisation des données de personnes en proposant la série d'offres de conformité la plus complète parmi les prestataires de services sur le cloud.

Nos offres et notre infrastructure cloud satisfont aux exigences d’un large éventail de normes de conformité internationales et propres au secteur, telles que les normes ISO, la loi américaine HIPAA, le programme FedRAMP et SOC, ainsi que de normes spécifiques de pays, telles que le programme australien IRAP, le programme G-Cloud au Royaume-Uni et MTCS à Singapour. Des audits rigoureux, effectués par des tiers, vérifient notre adhésion aux contrôles stricts de sécurité que ces réglementations rendent obligatoires. Des rapports d’audit pour notre infrastructure de centre de données et nos offres cloud sont disponibles sur le portail d’confiance des services Microsoft.

Les services en ligne de Microsoft sont régulièrement audités pour assurer la conformité avec les réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés à la sécurité du centre de données.

Audits externes Section Date de rapport la plus récente
ISO 27001/27002 (Azure)

Déclaration d’applicabilité
Certification
A.11 : Sécurité physique et environnementale 2 décembre 2020
SOC 1 (Azure) PE-1 : mise en service de l’accès physique au centre de données
PE-2 : vérification de la sécurité du centre de données
PE-3 : révision de l’accès des utilisateurs du centre de données
PE-4 : mécanismes d’accès physique au centre de données
PE-5 : surveillance physique du centre de données
PE-6 : maintenance de l’environnement critique du centre de données
PE-7 : contrôles environnementaux du centre de données
PE-8 : réponse aux incidents du centre de données
30 octobre 2020
SOC 2 (Azure) PE-1 : mise en service de l’accès physique au centre de données
PE-2 : vérification de la sécurité du centre de données
PE-3 : révision de l’accès des utilisateurs du centre de données
PE-4 : mécanismes d’accès physique au centre de données
PE-5 : surveillance physique du centre de données
PE-6 : maintenance de l’environnement critique du centre de données
PE-7 : contrôles environnementaux du centre de données
PE-8 : réponse aux incidents du centre de données
30 octobre 2020

Ressources