Mesures de sécurité de niveau élevé de l’Esquema Nacional de Seguridad (ENS) d’Espagne
Présentation de l’ENS (Espagne)
En 2007, le gouvernement espagnol a promulgué la Loi 11/2007, qui établissait un cadre juridique destiné à donner aux citoyens un accès électronique à l’administration et aux services publics. Cette loi sert de base à l'Esquema Nacional de Seguridad (infrastructure de sécurité nationale), qui est régie par le Décret Royal (DR) 3/2010. Cette infrastructure a pour objectif d'instaurer la confiance dans la fourniture des services électroniques et de garantir l'accès, l'intégrité, la disponibilité, l'authenticité, la confidentialité, la traçabilité et la préservation des données, informations et services.
L'infrastructure s'applique à toutes les organisations du secteur public et organismes gouvernementaux d'Espagne qui achètent des services cloud, ainsi qu'aux fournisseurs de technologies d'informations et de communications (TIC). Elle guide ces agences et sociétés pour mettre en œuvre des contrôles de sécurité efficaces dans le cloud et sur site, conformément aux normes de sécurité et de confidentialité en vigueur en Espagne et dans l'Union Européenne.
L'infrastructure établit des stratégies de base et des exigences obligatoires que les organismes gouvernementaux et leurs fournisseurs de services doivent respecter. Elle définit un ensemble de contrôles de sécurité spécifiques, dont beaucoup s'alignent directement sur la norme ISO/IEC 27001, concernant la disponibilité, l'authenticité, l'intégrité, la confidentialité et la traçabilité. La sensibilité des informations, qu'elle soit faible, moyenne ou élevée, détermine les mesures de sécurité qui doivent être appliquées pour les protéger.
Chaque organisme gouvernemental doit adopter une approche de gestion des risques en matière de sécurité, qui consiste à évaluer les risques, puis à appliquer des contrôles de sécurité appropriés à ces risques. Les fournisseurs de services, eux aussi, doivent respecter les exigences strictes de l'infrastructure afin d'aider à s'assurer que leurs procédures, capacités techniques et opérations sont sécurisées et permettent aux agences de respecter les réglementations.
L'infrastructure prescrit un processus d'accréditation qui est volontaire pour les systèmes qui assurent la gestion des informations de sensibilité faible , mais obligatoire pour les systèmes qui assurent la gestion des informations de sensibilité moyenne ou élevée. Un audit est effectué par un auditeur indépendant agréé. Le rapport est ensuite examiné au cours d’un processus de certification avant que les contrôles de gestion des risques soient acceptés lors de l’étape finale de l’accréditation.
Microsoft et les mesures de sécurité de niveau élevé de l’ENS (Espagne)
Microsoft Azure et Microsoft Office 365 ont fait l’objet d’une évaluation rigoureuse par BDO, un auditeur indépendant, qui a publié une déclaration officielle au sujet de leur conformité. BDO a indiqué que les mesures de sécurité dans les deux services et leurs systèmes d’information et installations de traitement des données, sont conformes au niveau élevé du RD 3/2010 sans qu’aucune mesure corrective supplémentaire ne soit nécessaire. Microsoft a été le premier fournisseur de services Cloud à grande échelle à recevoir cette certification en Espagne.
Plateformes et services du cloud computing de Microsoft dans le champ d’application
- Azure
- Office 365
Office 365 et ENS élevé
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
| l’applicabilité | Les Services dans l’étendue |
|---|---|
| Commerciale | Delve, Exchange Online, Exchange Online Protection, Protection Loki, Microsoft Teams, Portail client Office 365, Office Online, Infrastructure des services Office, OneDrive Entreprise, SharePoint Online, Skype Entreprise |
Audits, rapports et certificats
La certification est valable pendant deux ans, avec un audit de surveillance annuelle.
Azure
- Certificat ENS de l'infrastructure de sécurité nationale Azure (Azure National Security Framework ENS certificate)
- Rapport d'audit ENS de l'infrastructure de sécurité nationale espagnole Azure (Azure Spanish National Security Framework (ENS) audit report)
- Rapport d'audit sur l'azur ENS (espagnol)
- Certificat cadre de sécurité nationale Azure ENS (espagnol)
Office 365
- Certificat ENS de l'infrastructure de sécurité nationale Office 365 (Office 365 National Security Framework ENS certificate)
- Rapport d'audit ENS de l'infrastructure de sécurité nationale espagnole Office 365 (Office 365 Spanish National Security Framework (ENS) audit report)
- Rapport d'audit de l'Office 365 ENS (espagnol)
- Office 365 Certificat cadre de sécurité nationale ENS (espagnol)
Questions fréquemment posées
Comment puis-je me procurer des copies des rapports d’audit et des certifications ?
Le portail d’approbation de services fournit les rapports d'audit et les certifications en espagnol et en anglais. Les rapports permettent à vos auditeurs de comparer les services de cloud computing Microsoft avec vos propres exigences légales et réglementaires.
Quelles sont les démarches à suivre en matière de conformité de mon organisation ?
Si votre organisation utilise Azure ou Office 365, vous pourrez alors tirer parti de l'accréditation et des rapports d'audit ENS Microsoft dans le cadre de votre propre processus d'accréditation. Il vous incombe néanmoins d’engager un auditeur pour mesurer votre mise en œuvre de la conformité, et de vous assurer que les contrôles et les processus au sein de votre propre organisation sont conformes à l’infrastructure.
Ressources
- Esquema Nacional de Seguridad d'Espagne (espagnol et anglais)
- Conditions de Microsoft Online Services
- Conformité sur le site Microsoft Trust Center
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour