Aperçu sur la gestion des risques

Comment Microsoft évalue-t-il et gère-t-il les risques au sein de l’entreprise ?

La gestion des risques est le processus d’identification, d’évaluation et de réponse aux menaces ou aux événements qui peuvent avoir un impact sur les objectifs de l’entreprise ou du client. La gestion des risques chez Microsoft est conçue pour anticiper les nouvelles menaces et assurer la sécurité continue de nos systèmes Cloud et des clients qui les utilisent.

La gestion des risques de Microsoft s’aligne sur Enterprise’infrastructure de gestion des risques (ERM). ERM permet de gérer le processus global de gestion des risques d’entreprise et travaille en direction au sein de l’entreprise afin d’identifier et de garantir la responsabilité des risques les plus significatifs de Microsoft.

Structure de gestion des risques.

Microsoft ERM permet des principes courants de gestion des risques au sein de l’entreprise afin que les unités commerciales peuvent faciliter indépendamment des évaluations cohérentes et comparatives des risques. Cette coordination permet à Microsoft d’agréger et de signaler les informations sur les risques de manière consolidée pour la gestion. ERM offre aux entités de travail de Microsoft des méthodologies, outils et objectifs courants pour le processus de gestion des risques. Microsoft 365 et d’autres groupes d’ingénierie et unités d’entreprise utilisent ces outils pour effectuer des évaluations des risques individuelles dans le cadre de leurs propres programmes de gestion des risques sous l’aide d’ERM.

Comment fonctionnent les services en ligne Microsoft avec ERM ?

Chaque service en ligne suit les instructions ERM pour gérer les risques dans services Microsoft. Le programme se concentre sur l’alignement de l’infrastructure ERM avec les processus d’ingénierie, d’opérations de service et de conformité Microsoft existants, ce qui rend le programme de gestion des risques plus efficace et plus efficace. Les activités de gestion des risques de chaque service en ligne se resserrent et informent le processus ERM.

Dans le cadre des activités d’évaluation des risques, chaque service en ligne analyse la conception et l’efficacité opérationnelle des contrôles implémentés dans le cadre de Microsoft Controls Framework (Framework). L’infrastructure est un ensemble rationalisé de contrôles qui, lorsqu’ils sont correctement implémentés avec la prise en charge des activités de conformité, permettent aux équipes d’ingénierie de se conformer aux réglementations et certifications clés.

Les services en ligne de Microsoft sont régulièrement audités pour assurer la conformité avec les réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés à la gestion des risques.

Azure et Dynamics 365

Audits externes Section Date de rapport la plus récente
ISO 27001/27002

Déclaration d’applicabilité
Certification
R.5 : Stratégies de sécurité des informations 2 décembre 2020
ISO 27017

Déclaration d’applicabilité
Certification
R.5 : Stratégies de sécurité des informations 2 décembre 2020
ISO 27018

Déclaration d’applicabilité
Certification
R.5 : Stratégies de sécurité des informations 2 décembre 2020
ISO 22301

Certification
6.1.1 : Détermination des risques et des opportunités
6.1.2 : Résoudre les risques et les opportunités
13 mars 2020
SOC 1
SOC 2
SOC 3
SOC2-26 : évaluation annuelle des risques 31 mars 2021

Office 365

Audits externes Section Date de rapport la plus récente
FedRAMP CA-2 : Évaluations de sécurité
CA-5 : Plan d’action et jalons
RA-3 : évaluation des risques
24 septembre 2020
ISO 27001/27002/27017

Déclaration d’applicabilité
Certification
R.5 : Stratégies de sécurité des informations 20 avril 2021
SOC 1 CA-03 : Gestion des risques 24 décembre 2020
SOC 2 CA-02 : Responsabilités de l’équipe en matière de gouvernance, de risque et de conformité
CA-03 : Gestion des risques
CA-17 : stratégie de sécurité Microsoft
CA-24 : Évaluation interne des risques
24 décembre 2020