Aperçu sur les ressources humaines

Comment Microsoft affiche-t-il les employés potentiels ?

Microsoft suit des exigences rigoureuses en matière de filtrage du personnel pour tous les employés, les internes et le personnel subordonné. Tous les candidats sont préalablement présentés à l’écran avant de commencer à travailler chez Microsoft.

Les vérifications des antécédents des candidats au contrat de travail incluent généralement la révision des composants suivants, dans la mesure où la loi le permet :

  • Vérification de l’identité
  • Vérification de l’éducation
  • Vérification de l’emploi
  • Révision du dossier judiciaire
  • Révision du Registre de la liberté de l’état
  • Révision de la liste des sanctions globales

Quelles vérifications supplémentaires sont effectuées pour les employés qui gèrent les services cloud ?

Outre le filtrage préalable à l’emploi, les employés de Microsoft qui maintiennent des services en ligne Microsoft aux États-Unis doivent faire l’objet d’une vérification des antécédents dans le Cloud Microsoft comme condition préalable à l’accès aux systèmes de services en ligne. Les exigences de vérification des antécédents varient pour se conformer aux lois et aux modèles de prestation de services applicables. Les résultats de la vérification en arrière-plan de Microsoft Cloud sont stockés dans la base de données des employés et doivent être renouvelés tous les deux ans au minimum. Si la vérification en arrière-plan microsoft Cloud expire et que l’employé ne la renouvelle pas, l’accès aux services en ligne est révoqué et n’est plus disponible tant que la vérification en arrière-plan de Microsoft Cloud n’est pas terminée. De même, lorsque la relation d’emploi avec Microsoft se termine, tout accès est immédiatement révoqué.

Comment Microsoft garantit-il que les employés conservent des compétences et des connaissances suffisantes pour assumer leurs responsabilités et suivre les stratégies de Microsoft ?

Tous les employés de Microsoft sont tenus d’effectuer une formation de sensibilisation de base à la sécurité. Une formation initiale se produit lorsqu’un nouvel employé commence à travailler chez Microsoft, et une session annuelle de remise à niveau s’effectue tous les ans par la suite. La formation est conçue pour fournir à l’employé une compréhension de l’approche fondamentale de Microsoft en matière de sécurité. Une formation sur la sécurité basée sur les rôles applicable est également requise avant d’accorder tout accès spécifique nécessaire aux responsabilités d’un individu. La formation sur la sécurité des employés de Microsoft est actualisée sur une base annuelle, et lorsque des modifications de système ou de stratégie justifient une nouvelle formation.

En plus de la formation de sensibilisation à la sécurité, les employés de Microsoft doivent effectuer une formation sur les normes de conduite professionnelle. Cette formation inclut l’engagement commercial, la sécurité des employés, la confidentialité, la protection contre le harcèlement et la tolérance zéro pour les comportements non éthiques. À la fin du cours, les employés doivent attester qu'ils respecteront le code de conduite professionnelle de Microsoft, qui est suivi au niveau de l'organisation. La formation sur les normes de conduite professionnelle est actualisée sur une base annuelle.

Comment Microsoft révoque-t-il l’accès pour les employés qui quittent Microsoft ?

Microsoft utilise des stratégies et procédures clairement définies pour révoquer rapidement l’accès physique et logique aux systèmes et ressources Microsoft lorsqu’un employé quitte Microsoft ou est licencié. Le processus de résiliation de Microsoft garantit que les anciens employés de Microsoft ne peuvent pas accéder aux données ou aux systèmes une fois leur emploi terminé.

Lorsque l’emploi d’un utilisateur d’équipe de service est marqué comme terminé, ces informations sont propagées à l’outil de gestion des comptes Microsoft, qui supprime automatiquement le compte de domaine de l’employé licencié. Tous les badges d’accès ou autres authentifiés physiques délivrés à l’employé licencié sont collectés au moment de l’entretien ou de l’arrêt.

Comment Microsoft s’assure-t-il que les fournisseurs tiers répondent aux mêmes exigences en matière de personnel que les employés de Microsoft ?

Les services en ligne Microsoft exigent que les fournisseurs tiers ont signé un contrat MSSA (Master Supplier Services Agreement). Ce contrat exige que le fournisseur se conforme aux stratégies et procédures de Microsoft, notamment aux stratégies et procédures de sécurité du personnel. Microsoft surveille la conformité aux exigences de filtrage pour le personnel tiers en suivant directement le résultat du filtrage. Microsoft exige que les fournisseurs soumettent les résultats du filtrage pour le personnel tiers directement à Microsoft.

Les services en ligne de Microsoft sont régulièrement audités pour assurer la conformité avec les réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés aux ressources humaines.

Azure et Dynamics 365

Audits externes Section Date de rapport la plus récente
ISO 27001/27002

Déclaration d’applicabilité
Certification
A.7 : Sécurité des ressources humaines 2 décembre 2020
ISO 27017

Déclaration d’applicabilité
Certification
A.7 : Sécurité des ressources humaines 2 décembre 2020
SOC 1 IS-4 : Formation sur la sécurité
OA-3 : révocation de compte
31 mars 2021
SOC 2
SOC 3
C5-2 : Évaluation des risques pour les fournisseurs
ELC-6 : Code de conduite du fournisseur
IS-4 : Formation sur la sécurité
OA-3 : révocation de compte
SOC2-1 : Actions de sanction
SOC2-12 : Vérifications en arrière-plan
SOC2-13 : Contrats de travail
SOC2-14 : Accords de confidentialité et de non-divulgation
31 mars 2021

Office 365

Audits externes Section Date de rapport la plus récente
FedRAMP AT-2 : Sensibilisation à la sécurité
AT-3 : formation sur la sécurité basée sur les rôles
AT-4 : Enregistrements de formation sur la sécurité
PS-3 : filtrage du personnel
PS-4 : résiliation du personnel
PS-5 : transfert de personnel
PS-7 : sécurité du personnel tiers
24 septembre 2020
ISO 27001/27002/27017

Déclaration d’applicabilité
Certification
A.7 : Sécurité des ressources humaines 20 avril 2021
SOC 1 CA-08 : Vérifications des antécédents
CA-43 : Révocation de compte
24 décembre 2020
SOC 2 CA-07 : Normes de conduite commerciale (SBC)
CA-08 : Vérifications des antécédents
CA-43 : Révocation de compte
ELC-13/08/14 : Contrats de travail
24 décembre 2020