Aperçu sur la gestion des incidents

Qu’est-ce qu’un incident de sécurité ?

Microsoft définit un incident de sécurité dans ses services en ligne comme une violation confirmée de la sécurité donnant lieu à une destruction fortuite ou illégale, à une perte, à une altération, à une divulgation ou à une consultation non autorisée de données client ou de données personnelles lors du traitement par Microsoft. Par exemple, l’accès non autorisé à l’infrastructure des services en ligne de Microsoft et l’exfiltration des données client constituent un incident de sécurité, tandis que les événements de conformité qui n’affectent pas la confidentialité, l’intégrité ou la disponibilité des services ou des données client ne sont pas considérés comme des incidents de sécurité.

Comment Microsoft répond-il aux incidents de sécurité ?

Chaque fois qu’il y a un incident de sécurité, Microsoft s’efforce de répondre rapidement et efficacement pour protéger services Microsoft données client. Microsoft utilise une stratégie de réponse aux incidents conçue pour examiner, contenir et supprimer rapidement et efficacement les menaces de sécurité.

Les services cloud de Microsoft sont surveillés en permanence pour les signes de compromission. Outre la surveillance et l’alerte de sécurité automatisées, tous les employés reçoivent une formation annuelle pour reconnaître et signaler les signes d’incidents de sécurité potentiels. Toute activité suspecte détectée par les employés, les clients ou les outils de surveillance de la sécurité est recalcalée aux équipes de réponse de sécurité spécifiques au service pour examen. Toutes les équipes d’opérations de service, y compris les équipes de réponse à la sécurité spécifiques au service, maintiennent une rotation d’appel approfondie pour s’assurer que les ressources sont disponibles pour la réponse aux incidents 24 x 7 x 365. Nos rotations d’appel permettent à Microsoft de monter une réponse efficace aux incidents à tout moment ou à l’échelle, y compris les événements étendus ou simultanés.

Lorsque des activités suspectes sont détectées et remontées, les équipes de réponse de sécurité spécifiques au service lancent un processus d’analyse, de containment, d’éradication et de récupération. Ces équipes coordonnent l’analyse de l’incident potentiel pour déterminer son étendue, y compris tout impact sur les clients ou les données client. Sur la base de cette analyse, les équipes de réponse à la sécurité spécifiques au service travaillent avec les équipes de service ayant un impact pour développer un plan visant à contenir la menace et à minimiser l’impact de l’incident, à éliminer la menace de l’environnement et à récupérer entièrement à un état de sécurité connu. Les équipes de service pertinentes implémentent le plan avec le support des équipes de réponse de sécurité spécifiques au service pour s’assurer que la menace est correctement éliminée et que les services concernés subissent une récupération complète.

Une fois qu’un incident est résolu, les équipes de service implémentent les leçons tirées de l’incident pour mieux prévenir, détecter et répondre à des incidents similaires à l’avenir. Sélectionnez les incidents de sécurité, en particulier ceux qui ont un impact sur le client ou qui entraînent une violation de données, subissent un post-mortem d’incident complet. L’examen post-mortem est conçu pour identifier les insuffisances techniques, les procédures défaillantes, les erreurs manuelles et d’autres défaillances de processus susceptibles de contribuer à l’incident ou précédemment identifiées pendant le processus de réponse aux incidents. Les améliorations identifiées au cours de la post-mortem sont implémentées avec la coordination des équipes de réponse de sécurité spécifiques au service afin d’éviter les incidents futurs et d’améliorer les fonctionnalités de détection et de réponse.

Comment et quand les clients sont-ils avertis des incidents de sécurité ou de confidentialité ?

Chaque fois que Microsoft prend connaissance d’une violation de la sécurité impliquant une perte, une divulgation ou une modification non autorisée des données client, Microsoft avertit les clients concernés dans les 72 heures comme indiqué dans la DPA (Data Protection Addendum) des conditions d’utilisation des services en ligne (OST). La chronologie de la notification démarre lorsque l’incident de sécurité est officiellement déclaré. Dès la déclaration d’un incident de sécurité, le processus de notification se produit le plus rapidement possible, sans retard injustifié.

Les notifications incluent une description de la nature de la violation, de l’impact approximatif sur l’utilisateur et des étapes d’atténuation (le cas échéant). Si l’examen de Microsoft n’est pas terminé au moment de la notification initiale, la notification indiquera également les étapes et les chronologies suivantes pour la communication ultérieure.

Si un client prend connaissance d’un incident qui pourrait avoir un impact sur Microsoft, y compris, mais sans s’y limiter, une violation de données, le client est responsable d’avertir rapidement Microsoft de l’incident tel que défini dans la DPA.

Les services en ligne de Microsoft sont régulièrement audités pour assurer la conformité avec les réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés à la gestion des incidents.

Azure et Dynamics 365

Audits externes Section Date de rapport la plus récente
ISO 27001/27002

Déclaration d’applicabilité
Certification
A.16.1 : Gestion des améliorations et des incidents de sécurité des informations 2 décembre 2021
ISO 27017

Déclaration d’applicabilité
Certification
A.16.1 : Gestion des améliorations et des incidents de sécurité des informations 2 décembre 2021
ISO 27018

Déclaration d’applicabilité
Certification
A.9.1 : Notification d’une violation de données impliquant des données personnelles 2 décembre 2021
SOC 1 IM-1 : infrastructure de gestion des incidents
IM-2 : Mécanismes de détection et alertes
IM-3 : exécution de la réponse aux incidents
IM-4 : post-mortems d’incident
IM-6 : test de réponse aux incidents
OA-7 : accès de l’ingénieur d’appel
31 mars 2021
SOC 2
SOC 3
CCM-9 : Procédures d’investigation
CUEC : signalement des incidents
IM-1 : infrastructure de gestion des incidents
IM-2 : Mécanismes de détection et alertes
IM-3 : exécution de la réponse aux incidents
IM-4 : post-mortems d’incident
IM-6 : test de réponse aux incidents
OA-7 : accès de l’ingénieur d’appel
SOC2-6 : site web du support technique
SOC2-9 : Tableaux de bord de service
31 mars 2021

Office 365

Audits externes Section Date de rapport la plus récente
FedRAMP IR-4 : gestion des incidents
IR-6 : rapport d’incident
IR-8 : plan de réponse aux incidents
24 septembre 2020
ISO 27001/27002/27017

Déclaration d’applicabilité
Certification
A.16.1 : Gestion des améliorations et des incidents de sécurité des informations 20 avril 2021
ISO 27018

Déclaration d’applicabilité
Certification
A.10.1 : Notification d’une violation de données impliquant des données personnelles 20 avril 2021
SOC 1 CA-26 : Rapports d’incident de sécurité
CA-47 : Réponse aux incidents
24 décembre 2020
SOC 2 CA-12 : contrats de niveau de service (SSL)
CA-13 : Guides de réponse aux incidents
CA-15 : Notifications d’état du service

CA-26 : Rapports d’incident de sécurité
CA-29 : ingénieurs en appel
CA-47 : Réponse aux incidents
24 décembre 2020
SOC 3 CUEC-08 : Signalement des incidents 24 décembre 2020

Ressources