Comment Microsoft gère la sécurité de ses offres de Cloud public
description
Transcript of Comment Microsoft gère la sécurité de ses offres de Cloud public
![Page 1: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/1.jpg)
SEC 201 Comment
Microsoft gère la sécurité de
ses offres de Cloud public
Jean-Yves Grasset,
Arnaud Jumelet,Direction Technique
Microsoft France
Cloud
![Page 2: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/2.jpg)
Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
![Page 3: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/3.jpg)
Global Foundation Services
Platform as a Service(PaaS)
Infrastructure as a Service (IaaS)
SecurityGlobal NetworkOperationsData Centers
Les services Cloud Microsoft
Software as a Service (SaaS)
![Page 4: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/4.jpg)
Le Cloud Microsoft en quelques chiffres
![Page 5: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/5.jpg)
Le Cloud Microsoft en quelques dates
ISO 27001
1er Data Center
1989 1994-95 1997 2002 2004 2006
SAS-70
FISMA
Infrastructure
Services de type Cloud
SSAE 16
Trustworthy Computing
Security Development Lifecycle
2008 2011 2012 2013
Global Foundation Services
![Page 6: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/6.jpg)
NIST, ENISA et CSA sur la sécurité du
Cloud
![Page 7: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/7.jpg)
TRUST CENTER OFFICE 365
Chapitre 1
![Page 8: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/8.jpg)
TrustCenter Office 365
http://www.microsoft.com/fr-fr/office365/trust-center.aspxhttp://trust.office365.com/ (version EN)
![Page 9: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/9.jpg)
TRUSTCENTER OFFICE 365
![Page 10: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/10.jpg)
Conformité Office 365
Conformité/ Certifications
Office 365 • ISO/IEC 27001:2005• Clauses Contractuelles Types (EU
Model Clauses)• Accord de traitement des données
(DPA)• HIPAA• SSAE16-SOC1 Type II
DataCenter (Centre de
données)
• ISO/IEC 27001:2005, • SSAE16
SOC1 Type II/SAS 70 Type IISOC2 Type II SOC3
• FISMA
Microsoft Safe Harbor
![Page 11: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/11.jpg)
• ISO 27001– Norme internationale de système de gestion de la sécurité de
l'information (2005)
– Décrit les exigences pour la mise en place d'un Système de
Management de la Sécurité de l'Information (SMSI)
– Annexe A : 133 mesures de sécurité de la norme ISO/CEI 27002
Conformité Office 365 : ISO 27001
• Certification par le British Standards Institution– Certification sur 3 ans, audit annuel
• Importance du périmètre
![Page 12: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/12.jpg)
• EU Model Clauses– Traite de l’autorisation du transfert des données personnelles en-
dehors de l’Union Européenne
– Atteste du respect de la conformité avec la directive européenne
95/46/EU sur la protection des données
– les organismes de réglementation ont la possibilité de bloquer
l'utilisation d'un service qui ne répond pas à potentiellement la
directive européenne sur la protection des données
Conformité Office 365 : EU Model Clauses
![Page 13: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/13.jpg)
Conformité Office 365
![Page 14: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/14.jpg)
MICROSOFT COMPLIANCE
FRAMEWORK FOR ONLINE
SERVICES
Chapitre 2
![Page 15: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/15.jpg)
Organisation de la conformité
CERTIFICATION AND ATTESTATIONS
CONTROLS FRAMEWORK
• Identify and integrate• Regulatory requirements
• Customer requirements
• Assess and remediate • Eliminate or mitigate gaps in control design
PREDICTABLE AUDIT SCHEDULE
• Test effectiveness and assess risk
• Attain certifications and attestations
• Improve and optimize• Examine root cause of non-compliance
• Track until fully remediated
INDUSTRY STANDARDS AND REGULATIONS
• Sarbanes-Oxley
• PCI-DSS
• HIPAA, etc
• ISO/IEC 27001:2005
• EU Model Clauses
• FISMA/NIST 800-53
• ISO / IEC 27001:2005 certification
• SSAE 16/ISAE 3402 SOC 1, 2 and 3
• PCI DSS certification
• FISMA certification and accreditation
• And more …
![Page 16: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/16.jpg)
Diversité des défenses
APPLICATIONSECURITE DE
L’HÔTE
IDENTITE ET
GESTION DES
ACCES
24x7x365 Réponse à incident
![Page 17: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/17.jpg)
Transparence
![Page 18: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/18.jpg)
DATACENTER MICROSOFT: LA
PLOMBERIE
Chapitre 3
![Page 19: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/19.jpg)
Evolutions des datacenters Microsoft
Generation 1 Generation 2
Densité et Déploiement1.4 –1.6 PUE
Minimisation de l’impact en ressource
Capacité~2 PUE
Technologie utilisée depuis 20 ans
2011+20081989-2005 2007
Generation 3 Generation 4
Densité Confinement
Containers, PODSScalabilitéet Durabilité
1.2-1.5 PUEEconomie Air & Eau
SLA différenciés
Colocation
ITPACs & ColosRéduction des émissions carbone Dimensionnement au plus juste
1.05 –1.20 PUE Adaptation rapide au marchéRefroidissement air extérieur
Modularité
![Page 20: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/20.jpg)
VIDEO
Visite guidée des datacenters
http://www.globalfoundationservices.com/
![Page 21: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/21.jpg)
CLOUD SECURITY ALLIANCE / STAR
Chapitre 4
![Page 22: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/22.jpg)
Cloud Security Alliance
(CloudSecurityAlliance.org)
![Page 23: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/23.jpg)
CSA-STAR
![Page 24: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/24.jpg)
• Réponses aux exigences de la
matrice CCM (Cloud Control
Matrix) de la Cloud Security
Alliance
• En version anglaise et
française
• Couverture des exigences ISO
27001
• Exigences matrice CCM
RFI Office 365
http://www.microsoft.com/fr-fr/download/details.aspx?id=26647
![Page 25: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/25.jpg)
SYNTHÈSE
Chapitre 5
![Page 26: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/26.jpg)
Ce que nous vous avons parcouru
ensemble
![Page 27: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/27.jpg)
Critères de choix d’un fournisseur de Cloud
Exiger la transparence dans les politiques de sécurité et les
opérations.
Comprendre la répartition des rôles et des responsabilités avec le fournisseur de service
Cloud.
S'assurer que les données et les services peuvent être
rapatriés facilement.
Connaître la valeur des données, des processus métiers
ainsi que les obligations de conformité que vous devez
respecter.
Considérer l’agilité du fournisseur Cloud à s'adapter
aux nouvelles réglementations.
Exiger que le fournisseur ait obtenu des certifications et des rapports audits, par exemple,
ISO/IEC 27001:2005.
![Page 28: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/28.jpg)
• Merci de votre attention!Merci de votre attention !
![Page 29: Comment Microsoft gère la sécurité de ses offres de Cloud public](https://reader034.fdocuments.fr/reader034/viewer/2022052623/559b64f01a28ab213c8b45d9/html5/thumbnails/29.jpg)
• Global Foundation Services Web Site & Team Blogs– www.globalfoundationservices.com
• Windows Azure– http://www.windowsazure.com
• Office 365– http://www.office365.com
Pour aller plus loin