L'approche de Microsoft en matiأ¨re de conformitأ© dans le Trustworthy Computing | L'approche de...

download L'approche de Microsoft en matiأ¨re de conformitأ© dans le Trustworthy Computing | L'approche de Microsoft

of 13

  • date post

    18-Jul-2020
  • Category

    Documents

  • view

    0
  • download

    0

Embed Size (px)

Transcript of L'approche de Microsoft en matiأ¨re de conformitأ© dans le Trustworthy Computing | L'approche de...

  • Trustworthy Computing | L'approche de Microsoft en matière de conformité dans le cloud 1

    L'approche de Microsoft en matière de conformité dans le cloud Microsoft Trustworthy Computing

    Synthèse Microsoft reconnaît que la confiance est indispensable pour que les organisations et les utilisateurs individuels puissent bénéficier pleinement des services cloud. Microsoft s'engage à offrir à ses clients toutes les informations de conformité dont ils ont besoin pour gagner leur confiance en tant que fournisseur de services cloud (CSP) privilégié. Si le cloud computing peut être perçu comme quelque chose d'abstrait, l'approche de Microsoft est tout à fait concrète. Elle repose sur des années d'expérience, sur des engagements forts en matière de sécurité, de confidentialité et de transparence, ainsi que sur les meilleures pratiques du secteur. Alors que le cloud computing se généralise, la « conformité » devient une question récurrente. Le mot revêt différentes significations, par exemple comme outil d'évaluation des services cloud ou comme moyen de décrire les attentes quant à l'exploitation de ces services. Plusieurs facteurs font de la conformité un critère important pour les clients lorsqu'ils évaluent les services cloud Microsoft :

    1) Les clients ont leurs propres besoins en matière de conformité : Les clients qui utilisent les services cloud doivent répondre à leurs propres obligations de conformité. Il peut s'agir d'obligations découlant de décisions internes ou des réglementations externes et normes du secteur. Les clients doivent donc pouvoir se fier aux capacités du CSP, qui deviennent de fait partie intégrante de la chaîne de conformité du client. Entre alors en jeu la validation indépendante des capacités déclarées par Microsoft, sous forme de certifications et d'attestations. Ces certifications et attestations, de même que les engagements contractuels, sont partagés avec les clients de Microsoft et sont à la base de la confiance et des garanties relatives à la chaîne de conformité. Entendue dans ce sens, la

    Sommaire Synthèse 1

    Introduction 3

    Aider les clients à répondre à leurs exigences de conformité 8

    Partenariat avec les leaders du secteur 11

    Avec les services cloud Microsoft, le client reste libre de choisir 12

  • Trustworthy Computing | L'approche de Microsoft en matière de conformité dans le cloud 2

    conformité consiste dans le respect vérifié par Microsoft d'une série d'exigences réglementaires, de normes professionnelles et de décisions commerciales, respect dont les clients peuvent s'assurer par le biais de déclarations de conformité.

    2) La conformité est souvent perçue comme la clé de voûte de la confiance dans les services cloud de Microsoft : Les clients ont la possibilité de vérifier les gages de confiance offerts par Microsoft pour ses services cloud, afin de prendre des décisions informées quant aux risques afférents à l'adoption de ces services et à leur exploitation. Les clients peuvent ainsi s'assurer que Microsoft tient ses promesses en termes de sécurité, de confidentialité et de fiabilité.

    3) Microsoft doit respecter les exigences liées aux marchés et secteurs dans lesquels il opère : Microsoft se doit de démontrer qu'il satisfait à certaines normes et réglementations, du fait même des marchés et secteurs dans lesquels il opère. Les organismes de réglementation, les organisations sectorielles et les clients attendent tous une telle conformité de la part de Microsoft. Par exemple, les clients tout comme le secteur des cartes de paiement comptent sur le respect des normes de sécurité des données en la matière, puisque les clients de Microsoft utilisent leurs cartes de paiement pour acheter des services cloud.

    4) Microsoft doit valider son environnement par rapport aux exigences réglementaires et internes : Microsoft utilise la conformité à des fins internes, par exemple pour évaluer son fonctionnement selon ses propres politiques et exigences. En ce sens, la conformité est pour Microsoft un outil de gestion interne des risques.

    Ce document décrit l'approche de Microsoft en matière de conformité cloud pour répondre à tous les besoins susmentionnés. Les pratiques de Microsoft en matière de conformité cloud peuvent être divisées en trois catégories principales, comme le montre le schéma ci- dessous : 1. Bâtir un socle de conformité 2. Aider les clients à répondre à leurs besoins spécifiques en matière de

    conformité 3. Partenariat avec les leaders du secteur, les organismes de réglementation

    et les législateurs

    Sommaire Synthèse 1

    Introduction 3

    Aider les clients à répondre à leurs exigences de conformité 8

    Partenariat avec les leaders du secteur 11

    Avec les services cloud Microsoft, le client reste libre de choisir 12

  • Trustworthy Computing | L'approche de Microsoft en matière de conformité dans le cloud 3

    Introduction Le cloud computing offre de nombreux avantages. Par exemple, la recherche Microsoft montre que, pour 70 % des PME qui ont eu recours aux services cloud, l'argent économisé grâce à l'adoption de cette technologie a été réinvesti dans le développement de produits, l'innovation, le marketing et la croissance. Parmi les personnes interrogées, 91 % déclarent que le passage au cloud a amélioré la sécurité. Plus généralement, le cloud computing permet aux organisations d'augmenter leur agilité, de rester réactives face à l'évolution des technologies et de s'adapter dynamiquement aux besoins, tout en permettant à des collaborateurs toujours plus mobiles de rester productifs en tout lieu et à tout moment. Un large éventail d'organisations des secteurs public et privé ont adopté les services cloud Microsoft tout en continuant à répondre à leurs besoins en matière de conformité. Ces organisations bénéficient des investissements substantiels de Microsoft dans la sécurité, la confidentialité et la fiabilité – des investissements que ces organisations sont souvent incapables de mobiliser elles-mêmes. Grâce aux services cloud de Microsoft, elles peuvent ainsi réinvestir leurs ressources dans des domaines stratégiques pour leurs missions. Pour les organisations qui font face à des exigences internes ou externes de conformité, le choix d'un CSP exige un examen approfondi. Dans bien des cas, les services du CSP deviennent partie intégrante de la chaîne de conformité du client, ce qui résulte en un partage des obligations de conformité. Le CSP peut même fournir des accords contractuels de conformité spécifiques, par exemple pour les organisations qui exigent un accord de partenariat (Business Associate Agreement) dans le cadre de la loi américaine sur l'assurance maladie (HIPAA).

    Sommaire Synthèse 1

    Introduction 3

    Aider les clients à répondre à leurs exigences de conformité 8

    Partenariat avec les leaders du secteur 11

    Avec les services cloud Microsoft, le client reste libre de choisir 12

    http://www.microsoft.com/en-us/news/download/presskits/security/docs/twcjune13us.pdf http://www.microsoft.com/en-us/news/download/presskits/security/docs/twcjune13us.pdf http://www.microsoft.com/en-us/news/download/presskits/security/docs/twcjune13us.pdf

  • Trustworthy Computing | L'approche de Microsoft en matière de conformité dans le cloud 4

    Plus les besoins d'une organisation en matière de conformité sont complexes, plus il importe qu'un CSP puisse démontrer l'aptitude au partenariat et la souplesse adaptée à de telles ces exigences. Avec l'aide d'un CSP bien choisi, pratiquement toutes les organisations peuvent tirer profit du cloud computing. Pour évaluer les capacités de conformité d'un CSP et ses garanties en termes de sécurité et de confidentialité, les organisations doivent se fonder sur de nombreux critères, notamment :

    • Le CSP a-t-il démontré sa capacité à fournir des services cloud sécurisés, fiables, construits pour la protection des données et le respect de la vie privée ?

    • A-t-il obtenu de la part d'un organisme indépendant une validation pertinente pour les besoins de conformité de ses clients ?

    • Offre-t-il à ses clients toute la souplesse requise dans le choix de capacités permettant de répondre à leurs propres exigences de conformité ?

    • Ses investissements dans le développement et l'amélioration de la sécurité, du respect de la vie privée et des processus et technologies de conformité lui permettent-ils de faire face à l'évolution constante des normes partout dans le monde ?

    • Offre-t-il toute la transparence attendue quant à ses capacités de conformité cloud et quant aux responsabilités qui sont partagées avec les clients ?

    • Le CSP aide-t-il ses clients à répondre à leurs propres exigences en matière de conformité ?

    • Fait-il preuve de leadership en participant à l'élaboration et à l'amélioration continue des normes du secteur applicables aux services cloud ?

    Dans ce livre blanc, nous verrons comment l'approche de Microsoft concernant la conformité cloud lui permet de satisfaire à ces critères essentiels, et fait de Microsoft un CSP de confiance. Microsoft considère la sécurité, la confidentialité et la conformité comme des responsabilités partagées avec ses clients. Microsoft contribue à réduire le fardeau de la sécurité