Download - L'approche de Microsoft en matière de conformité dans le clouddownload.microsoft.com/download/5/B/F/5BFA7AAA-767... · Trustworthy Computing | L'approche de Microsoft en matière

Trustworthy Computing | L'approche de Microsoft en matière de conformité dans le cloud 1

L'approche de Microsoft en matière de conformité dans le cloud Microsoft Trustworthy Computing

Synthèse Microsoft reconnaît que la confiance est indispensable pour que les organisations et les utilisateurs individuels puissent bénéficier pleinement des services cloud. Microsoft s'engage à offrir à ses clients toutes les informations de conformité dont ils ont besoin pour gagner leur confiance en tant que fournisseur de services cloud (CSP) privilégié. Si le cloud computing peut être perçu comme quelque chose d'abstrait, l'approche de Microsoft est tout à fait concrète. Elle repose sur des années d'expérience, sur des engagements forts en matière de sécurité, de confidentialité et de transparence, ainsi que sur les meilleures pratiques du secteur. Alors que le cloud computing se généralise, la « conformité » devient une question récurrente. Le mot revêt différentes significations, par exemple comme outil d'évaluation des services cloud ou comme moyen de décrire les attentes quant à l'exploitation de ces services. Plusieurs facteurs font de la conformité un critère important pour les clients lorsqu'ils évaluent les services cloud Microsoft :

1) Les clients ont leurs propres besoins en matière de conformité : Les clients qui utilisent les services cloud doivent répondre à leurs propres obligations de conformité. Il peut s'agir d'obligations découlant de décisions internes ou des réglementations externes et normes du secteur. Les clients doivent donc pouvoir se fier aux capacités du CSP, qui deviennent de fait partie intégrante de la chaîne de conformité du client. Entre alors en jeu la validation indépendante des capacités déclarées par Microsoft, sous forme de certifications et d'attestations. Ces certifications et attestations, de même que les engagements contractuels, sont partagés avec les clients de Microsoft et sont à la base de la confiance et des garanties relatives à la chaîne de conformité. Entendue dans ce sens, la

Sommaire Synthèse 1

Introduction 3

Aider les clients à répondre à leurs exigences de conformité 8

Partenariat avec les leaders du secteur 11

Avec les services cloud Microsoft, le client reste libre de choisir 12


conformité consiste dans le respect vérifié par Microsoft d'une série d'exigences réglementaires, de normes professionnelles et de décisions commerciales, respect dont les clients peuvent s'assurer par le biais de déclarations de conformité.

2) La conformité est souvent perçue comme la clé de voûte de la confiance dans les services cloud de Microsoft : Les clients ont la possibilité de vérifier les gages de confiance offerts par Microsoft pour ses services cloud, afin de prendre des décisions informées quant aux risques afférents à l'adoption de ces services et à leur exploitation. Les clients peuvent ainsi s'assurer que Microsoft tient ses promesses en termes de sécurité, de confidentialité et de fiabilité.

3) Microsoft doit respecter les exigences liées aux marchés et secteurs dans lesquels il opère : Microsoft se doit de démontrer qu'il satisfait à certaines normes et réglementations, du fait même des marchés et secteurs dans lesquels il opère. Les organismes de réglementation, les organisations sectorielles et les clients attendent tous une telle conformité de la part de Microsoft. Par exemple, les clients tout comme le secteur des cartes de paiement comptent sur le respect des normes de sécurité des données en la matière, puisque les clients de Microsoft utilisent leurs cartes de paiement pour acheter des services cloud.

4) Microsoft doit valider son environnement par rapport aux exigences réglementaires et internes : Microsoft utilise la conformité à des fins internes, par exemple pour évaluer son fonctionnement selon ses propres politiques et exigences. En ce sens, la conformité est pour Microsoft un outil de gestion interne des risques.

Ce document décrit l'approche de Microsoft en matière de conformité cloud pour répondre à tous les besoins susmentionnés. Les pratiques de Microsoft en matière de conformité cloud peuvent être divisées en trois catégories principales, comme le montre le schéma ci-dessous : 1. Bâtir un socle de conformité 2. Aider les clients à répondre à leurs besoins spécifiques en matière de

conformité 3. Partenariat avec les leaders du secteur, les organismes de réglementation

et les législateurs


Introduction 3





Introduction Le cloud computing offre de nombreux avantages. Par exemple, la recherche Microsoft montre que, pour 70 % des PME qui ont eu recours aux services cloud, l'argent économisé grâce à l'adoption de cette technologie a été réinvesti dans le développement de produits, l'innovation, le marketing et la croissance. Parmi les personnes interrogées, 91 % déclarent que le passage au cloud a amélioré la sécurité. Plus généralement, le cloud computing permet aux organisations d'augmenter leur agilité, de rester réactives face à l'évolution des technologies et de s'adapter dynamiquement aux besoins, tout en permettant à des collaborateurs toujours plus mobiles de rester productifs en tout lieu et à tout moment. Un large éventail d'organisations des secteurs public et privé ont adopté les services cloud Microsoft tout en continuant à répondre à leurs besoins en matière de conformité. Ces organisations bénéficient des investissements substantiels de Microsoft dans la sécurité, la confidentialité et la fiabilité – des investissements que ces organisations sont souvent incapables de mobiliser elles-mêmes. Grâce aux services cloud de Microsoft, elles peuvent ainsi réinvestir leurs ressources dans des domaines stratégiques pour leurs missions. Pour les organisations qui font face à des exigences internes ou externes de conformité, le choix d'un CSP exige un examen approfondi. Dans bien des cas, les services du CSP deviennent partie intégrante de la chaîne de conformité du client, ce qui résulte en un partage des obligations de conformité. Le CSP peut même fournir des accords contractuels de conformité spécifiques, par exemple pour les organisations qui exigent un accord de partenariat (Business Associate Agreement) dans le cadre de la loi américaine sur l'assurance maladie (HIPAA).


Introduction 3




http://www.microsoft.com/en-us/news/download/presskits/security/docs/twcjune13us.pdf




Plus les besoins d'une organisation en matière de conformité sont complexes, plus il importe qu'un CSP puisse démontrer l'aptitude au partenariat et la souplesse adaptée à de telles ces exigences. Avec l'aide d'un CSP bien choisi, pratiquement toutes les organisations peuvent tirer profit du cloud computing. Pour évaluer les capacités de conformité d'un CSP et ses garanties en termes de sécurité et de confidentialité, les organisations doivent se fonder sur de nombreux critères, notamment :

• Le CSP a-t-il démontré sa capacité à fournir des services cloud sécurisés, fiables, construits pour la protection des données et le respect de la vie privée ?

• A-t-il obtenu de la part d'un organisme indépendant une validation pertinente pour les besoins de conformité de ses clients ?

• Offre-t-il à ses clients toute la souplesse requise dans le choix de capacités permettant de répondre à leurs propres exigences de conformité ?

• Ses investissements dans le développement et l'amélioration de la sécurité, du respect de la vie privée et des processus et technologies de conformité lui permettent-ils de faire face à l'évolution constante des normes partout dans le monde ?

• Offre-t-il toute la transparence attendue quant à ses capacités de conformité cloud et quant aux responsabilités qui sont partagées avec les clients ?

• Le CSP aide-t-il ses clients à répondre à leurs propres exigences en matière de conformité ?

• Fait-il preuve de leadership en participant à l'élaboration et à l'amélioration continue des normes du secteur applicables aux services cloud ?

Dans ce livre blanc, nous verrons comment l'approche de Microsoft concernant la conformité cloud lui permet de satisfaire à ces critères essentiels, et fait de Microsoft un CSP de confiance. Microsoft considère la sécurité, la confidentialité et la conformité comme des responsabilités partagées avec ses clients. Microsoft contribue à réduire le fardeau de la sécurité et de la conformité pour ses clients grâce à une gamme complète d'outils, de processus et de contrôles internes ; grâce à des investissements continus dans un socle technologique sécurisé ; et grâce la souplesse offerte aux clients pour mettre en œuvre leur propre approche de mise en conformité.


Introduction 3





Bâtir un socle de conformité Les services cloud Microsoft misent en priorité sur les capacités de sa technologie, de ses équipes et de ses processus en matière de sécurité, de confidentialité et de fiabilité. En hiérarchisant ces capacités à travers l'ensemble de ses offres, Microsoft réduit les risques commerciaux et techniques pour l'ensemble de ses clients, tout en facilitant l'obtention des certifications et attestations clés – pour lui-même comme pour ses clients.

Microsoft Trustworthy Computing Trustworthy Computing (TwC) désigne la démarche collaborative à long terme de Microsoft pour créer et fournir à tous une expérience informatique axée sur la sécurité, la confidentialité et la fiabilité. Microsoft est convaincu que les données client et les informations personnelles doivent être protégées. Microsoft adhère aux pratiques professionnelles visant à favoriser la confiance et mise sur une ingénierie robuste et sur les meilleures pratiques pour renforcer en permanence la fiabilité, la sécurité et la conformité de ses produits et services. Du point de vue de la conformité des services cloud, Trustworthy Computing (TwC) se traduit plus précisément par des outils et infrastructures qui orientent la conception, le développement et la mise en œuvre des offres Microsoft, y compris pour les services cloud. Le premier de ces éléments est Security Development Lifecycle (SDL), déployé au sein de Microsoft depuis dix ans et partagé librement avec le reste du secteur et ses clients. SDL intègre les exigences de sécurité directement dans le processus de développement logiciel, du début à la fin. Tous les services cloud utilisent SDL pour renforcer et vérifier ses capacités en matière de sécurité, de confidentialité et de conformité. SDL est revu et mis à jour régulièrement à mesure que de nouvelles menaces et de nouveaux besoins sont identifiés. Pour faire face au rythme rapide des développements et des déploiements cloud, Microsoft a mis au point une version de la méthodologie SDL appelée SDL for Agile. Les directives SDL for Agile sont disponibles en téléchargement gratuit pour les développeurs d'applications cloud sur Microsoft Azure et autres plates-formes de cloud, ainsi que pour les projets logiciels qui appliquent la méthodologie de développement « agile ». Si de nombreuses menaces ciblent les vulnérabilités des logiciels, d'autres s'attaquent aux faiblesses opérationnelles. C'est pourquoi Microsoft a créé l'infrastructure Operational Security Assurance (OSA). OSA permet un suivi continu, identifie les risques opérationnels, fournit des directives de sécurité opérationnelle et vérifie la mise en œuvre de ces directives. OSA contribue à rendre l'infrastructure cloud de Microsoft plus résiliente en réduisant le temps nécessaire pour sécuriser, détecter et répondre aux menaces de sécurité.


Introduction 3




http://www.microsoft.com/security/sdl/default.aspx

http://www.microsoft.com/security/sdl/discover/sdlagile.aspx

http://www.microsoft.com/en-us/download/details.aspx?id=40872


Investissements et innovation en matière de conformité Microsoft investit de façon massive dans une infrastructure de conformité unifiée basée sur la norme ISO/CEI 27001:2005 ainsi que sur les normes du secteur telles que SSAE 16/ISAE 3402 SOC 1, AT 101 SOC 2, PCI-DSS et FISMA/FedRAMP (basée sur NIST SP 800-53). Grâce à ses processus et à ses outils, Microsoft fait correspondre les éléments de contrôle selon les responsabilités techniques et opérationnelles, identifie et corrige les lacunes et réduit les efforts en double dès lors qu'une même activité de contrôle peut être reliée à des exigences similaires dans plusieurs normes. Cette mise en relation permet de se concentrer sur des contrôles rationalisés plutôt que sur des exigences d'audit particulières, ce qui permet aux équipes de concevoir des activités de contrôle efficaces. Grâce à cette infrastructure de contrôle, Microsoft peut développer un calendrier d'audit prévisible ; préparer plusieurs audits à partir d'une même analyse de contrôle annuelle ; et rationaliser la conformité pour tout un éventail de réglementations aujourd'hui et dans l'avenir.

Certifications indépendantes Le CSP devient partie intégrante de la chaîne de conformité de l'organisation client. En plus de certifier ses propres collaborateurs, processus et technologies, l'organisation doit vérifier que son CSP dispose de certifications pertinentes. Grâce à son socle technologique de confiance et ses innovations dans les processus de conformité, Microsoft est en mesure de guider le secteur des services cloud computing vers l'obtention de certifications indépendantes. Son approche rationalisée de la conformité permet d'accélérer la certification et d'offrir des services conformes aux exigences d'un plus grand nombre de clients et d'environnements réglementaires. Par exemple :

• Microsoft a été le premier grand fournisseur de services cloud à être certifié ISO 27001, l'une des grandes normes internationales de sécurité de l'information.

• Microsoft a reçu sa première certification Authority to Operate (ATO) FISMA en 2010. Depuis, Office 365, Microsoft Azure et Global Foundation Services (GFS) ont également reçu des certifications ATO de plusieurs organismes fédéraux américains.

• Avec Microsoft Azure et GFS, Microsoft a reçu une certification ATO provisoire (P-ATO) de la part du bureau d'autorisation conjoint du Federal Risk and Authorization Management Program (FedRAMP). Le P-ATO « General Support System » pour GFS couvre les services partagés dans neuf centres de données Microsoft aux États-Unis, dans les États de Californie, Illinois, Iowa, Texas, Virginie et Washington.

• En 2012, Microsoft est devenu l'un des premiers acteurs du secteur à obtenir les attestations SOC 2 Type 2 et SOC Type 3 pour GFS. Microsoft Azure a obtenu une attestation SOC 2.


Introduction 3





• Microsoft a été le premier grand CSP orienté productivité à offrir le BAA HIPAA à ses clients du secteur médical avec accès aux informations de santé protégées (PHI).

• Les clauses contractuelles types de l'Union européenne attestent l'engagement de Microsoft pour le traitement des données dans le respect des directives communautaires relatives à la protection des données. Microsoft invite les organismes de réglementation à examiner son approche de mise en conformité avec les clauses types de l'UE – une démarche encore rare parmi les CSP. Microsoft a également mis en œuvre des améliorations sur la base des retours des régulateurs. Avec des services tels que Microsoft Azure, Office 365 et Dynamics CRM Online notamment, Microsoft est le premier grand CSP à proposer les clauses types de l'UE à ses clients.

• La conformité de Microsoft Azure selon PCI-DSS Niveau 1 a été validée par un évaluateur de sécurité qualifié (QSA) indépendant.

• Microsoft a été le premier CSP à faire l'objet d'une évaluation indépendante selon la Cloud Controls Matrix (CCM) de la Cloud Security Alliance (CSA), dans le cadre de l'audit SOC 2 Type 2 pour Microsoft Azure.

Microsoft Global Foundation Services Avec son infrastructure de centres de données, Microsoft dessert des secteurs très variés à travers le monde, y compris ceux dans lesquels s'imposent des exigences strictes telles que ISO, PCI-DSS et FedRAMP. L'équipe Microsoft GFS est responsable des centres de données Microsoft, notamment pour ce qui concerne la mise en réseau, les opérations, la sécurité et la conformité. Cette infrastructure est utilisée par tous les services cloud de Microsoft et dessert plus de 20 millions d'entreprises dans le monde. GFS combine de nombreux processus et technologies de sécurité au sein d'une approche unifiée de « défense en profondeur », qui permet de constituer un socle de sécurité, de fiabilité, de confidentialité et de conformité pour les services cloud Microsoft. Le succès de cette approche est démontré par le fait que GFS a obtenu la certification ISO/CEI 27001:2005, les attestations SSAE 16/ISAE 3402 SOC 1, 2 et 3, une ATO provisoire de la part du bureau d'autorisation conjoint du Federal Risk and Authorization Management Program (FedRAMP) et la certification PCI-DSS en tant que fournisseur d'infrastructure. GFS gère des centaines de contrôles de sécurité basés sur plus de 1 000 exigences d'audit uniques. Les centres de données Microsoft sont répartis stratégiquement à travers le monde en vue d'améliorer les performances et de contribuer à la résilience des services. Conçus pour protéger les services et les données et pour améliorer la disponibilité, ils fonctionnent dans le respect des meilleures pratiques, telles que le strict contrôle des accès et la surveillance 24 heures sur 24.


Introduction 3





La confidentialité au cœur de nos services Microsoft est conscient des défis que représentent les services cloud en termes de confidentialité et de respect de la vie privée. En effet, le contrôle et la confidentialité des données sont souvent des aspects critiques de la conformité. Parmi les grands CSP, seul Microsoft a établi des déclarations de confidentialité spécifiques pour les services cloud et des engagements contractuels de limitation et de protection quant à l'utilisation des données. Avec Microsoft, les clients peuvent compter sur la confidentialité au cœur de nos services, c'est-à-dire la garantie que les mesures de protection de la confidentialité sont systématiquement appliquées dans tous les produits et services de Microsoft, dans ses opérations ainsi que dans l'organisation de ses équipes. Suivant ce principe, l'accès aux données client par le personnel de Microsoft est restreint. Les données client ne sont accessibles que si nécessaire à la résolution de problèmes ou à l'amélioration de fonctions liées à la détection et à la protection contre les menaces. Pour de nombreux clients, le fait de connaître et de contrôler l'emplacement de leurs données est un élément important de la conformité. Microsoft permet aux organisations de choisir la zone géographique dans laquelle leurs données seront stockées. Les clients peuvent également choisir de répartir leurs données sur plusieurs sites dans une zone géographique donnée, à des fins de redondance ou pour améliorer les performances.1

Aider les clients à répondre à leurs exigences de conformité Transparence La validation par des organismes indépendants reconnus par le secteur est importante. Toutefois, pour les clients, il importe aussi que les CSP soient suffisamment transparents quant à leurs activités de conformité. Les clients peuvent ainsi prendre une décision plus éclairée dans le choix d'un fournisseur adéquat selon leurs besoins propres. Microsoft offre à ses clients des informations à jour et détaillées sur ses services cloud afin de les aider à effectuer leurs propres évaluations de conformité et à vérifier que les services Microsoft répondent aux critères exigés pour leurs propres certifications. Microsoft a créé des Centres de gestion de la confidentialité pour Microsoft Azure, Office 365, Windows Intune et Dynamics CRM, afin d'aider les clients à comprendre les aspects relatifs à la conformité des services cloud Microsoft. Les Centres de gestion 1 Pour plus de détails sur la manière dont Microsoft restreint l'utilisation de données client, reportez-vous au Centre de gestion de la confidentialité pour le service en question.


Introduction 3




http://www.microsoft.com/privacy/bydesign.aspx



http://www.windowsazure.com/en-us/support/trust-center/

http://trustoffice365.com/

http://www.microsoft.com/en-us/WindowsIntuneTrust/



http://www.microsoft.com/en-us/dynamics/crm-trust-center.aspx


de la confidentialité permettent d'accéder à de la documentation relative à la conformité ainsi qu'à des informations sur la façon dont Microsoft gère les données stockées pour ses services cloud, y compris en termes de confidentialité, de transparence, de vérification indépendante et de sécurité. Les Centres de gestion de la confidentialité Microsoft Azure, Office 365, Windows Intune et Dynamics CRM fournissent des liens vers des tableaux de bord pour les clients, avec des informations à jour sur le temps de disponibilité des services et l'emplacement des données. Microsoft participe également à des initiatives sectorielles, notamment par son association avec la Cloud Security Alliance (CSA). Cette organisation industrielle indépendante a élaboré un cadre de contrôles appelé Cloud Controls Matrix (CCM) ainsi que le registre Security, Trust & Assurance Registry (STAR) pour recueillir les réponses détaillées à plus de 100 questions d'autoévaluation posées aux CSP au sujet des contrôles de sécurité dans le cloud. Microsoft a participé à l'élaboration de la CCM et applique les recommandations de la CSA, en plus d'avoir effectué son propre audit CCM, disponible dans le registre STAR. Outre un renforcement constant de la confiance par la transparence, Microsoft s'efforce de fournir aux clients les outils dont ils ont besoin pour atteindre leurs propres objectifs de conformité. Les organisations qui souhaitent examiner l'état de leur sécurité informatique, évaluer les avantages du cloud computing et en planifier l'adoption et la conformité peuvent utiliser le Cloud Security Readiness Tool. Après avoir répondu à quelques questions, l'outil génère un rapport correspondant aux besoins de l'organisation. Pour plus d'informations, reportez-vous au livre blanc « L'approche de Microsoft en matière de transparence du cloud ».

Choix et flexibilité Dans le domaine de la conformité, il n'y a pas de « taille unique ». C'est pourquoi Microsoft offre un choix et une souplesse parmi les meilleurs du marché, permettant ainsi aux clients d'utiliser ses services cloud selon leurs propres normes de sécurité et de conformité. Dans les secteurs les plus strictement réglementés ou manipulant des données clients sensibles, les organisations peuvent se voir imposer par leurs clients, leurs auditeurs ou leurs politiques internes de conserver certaines données à demeure. Si une offre cloud n'est pas compatible avec la technologie en vigueur sur le site, l'organisation ne pourra pas l'utiliser ou devra maintenir séparés les services cloud et les services locaux. Microsoft propose des solutions hybrides combinant parfaitement les logiciels sur site et les services cloud en des solutions unifiées. Les clients peuvent ainsi effectuer la transition vers le cloud à leur propre rythme, tandis que les outils de gestion et d'audit unifiés simplifient la mise en conformité.


Introduction 3




http://www.cloudsecurityalliance.org/

https://cloudsecurityalliance.org/research/ccm/



https://cloudsecurityalliance.org/star/



https://roianalyst.alinean.com/msft/AutoLogin.do?d=563612287085088525

http://www.microsoft.com/en-us/download/details.aspx?id=30157


Microsoft promeut l'interopérabilité pour permettre aux clients de développer et de gérer plus facilement et à moindre coût des environnements informatiques mixtes. Dans le cloud, Microsoft prend en charge les principales normes fournissant les bases pour des services cloud ouverts et interopérables. En outre, Microsoft laisse aux développeurs le choix entre différents langages de programmation tels que Java, Android et Ruby. Enfin, Microsoft garantit la portabilité des données et la maîtrise du client sur ses données, où qu'elles résident.

Fonctions de conformité contrôlées par le client En plus des robustes contrôles mis en œuvre dans l'infrastructure, Microsoft poursuit sa pratique établie de longue date consistant à intégrer des fonctions de conformité à certains produits et services cloud. Quelques exemples :

• Services RMS (Rights Management Services) : Désormais disponibles dans le cloud via Microsoft Azure, les services RMS permettent d'appliquer des politiques de protection aux documents et aux données sensibles. Contrairement aux approches qui tentent d'interrompre le flux de l'information aux points de sortie dans l'organisation, la protection de droits numériques RMS travaille à des niveaux plus bas sur les données. Les documents sont chiffrés et ne peuvent être déchiffrés qu'en utilisant des contrôles d'accès fournis par une solution d'authentification telle qu'un service d'annuaire.

• Contrôles d'identité et d'accès : Microsoft offre des solutions complètes et cohérentes de gestion des identités et des accès. Les clients peuvent utiliser ces solutions dans Microsoft Azure et autres services tels que Office 365, afin de simplifier la gestion de plusieurs environnements et applications et contrôler les accès utilisateur entre plusieurs applications.

• eDiscovery et archivage : Grâce à de puissants outils tels que l'archivage permanent, la conservation pour litige, les journaux d'audit et la recherche dans plusieurs boîtes aux lettres, Office 365 aide les organisations à répondre aux exigences de conformité juridique, réglementaire et normative.

• Protection contre la perte de données (DLP) : Dans Exchange Online, des règles de transport permettent de contrôler l'entrée, la sortie et la circulation des e-mails dans l'organisation. Par exemple, les règles de transport peuvent servir à détecter et arrêter les messages sortants contenant des informations personnelles telles que des numéros de sécurité sociale.

• Conseils de stratégie : Exchange peut détecter automatiquement les informations sensibles de l'entreprise sur la base de stratégies et en avertir les utilisateurs de Outlook et Outlook Web Application avant qu'ils ne cliquent sur Envoyer.


Introduction 3





Partenariat avec les leaders du secteur Microsoft ne se contente pas d'être à l'affut des nouvelles ou prochaines évolutions dans les exigences clés en matière de conformité : il participe activement aux discussions où s'élaborent ces changements, pour le plus grand bénéfice de ses clients. Microsoft aide ainsi les décideurs et organismes de réglementation à faire avancer les politiques selon les besoins réels des entreprises, tout en maintenant des normes rigoureuses de sécurité, de confidentialité et de fiabilité. Afin de promouvoir une approche de la conformité cloud basée sur les normes, Microsoft est membre d'organisations telles que la CSA. Microsoft y collabore avec d'autres CSP pour élaborer les lignes directrices et les meilleures pratiques qui définissent les futures normes. Microsoft collabore aussi proactivement avec les clients du secteur public, jouant le rôle d'un conseiller de confiance pour le développement et la mise en œuvre de leurs politiques et programmes de sécurité cloud. Microsoft possède une vaste expérience des évaluations de conformité et de sécurité pour ses produits et services, acquis auprès du gouvernement des États-Unis et d'autres administrations à travers le monde. En tant qu'architectes et responsables de systèmes cloud, les gouvernements font confiance à Microsoft pour la formation au maintien de la confidentialité, de la fiabilité et de la sécurité de leurs services en ligne. Microsoft collabore avec des partenaires officiels tels que l'ENISA (Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information) ou le NIST (Institut national des sciences et de la technologie des États-Unis), entre autres, afin de faire évoluer leur manière d'appréhender les problèmes de sécurité dans les environnements réseau/cloud traditionnels. Microsoft met tout en œuvre pour parvenir à un consensus sur les mesures nécessaires pour réduire les risques et atteindre le niveau de sécurité souhaité.


Introduction 3





Avec les services cloud Microsoft, le client reste libre de choisir Grâce à son approche globale de la sécurité, de la confidentialité et de la fiabilité, et grâce à ses processus, technologies et certifications spécifiques pour la conformité, Microsoft peut offrir une gamme complète de services cloud de confiance. Les clients peuvent acheter l'infrastructure, les plates-formes et les services logiciels Microsoft dans le cadre d'un package exhaustif, ce qui leur assure le contrôle commun et la cohérence de l'ensemble des services. Cette approche réduit le nombre de dépendances et des risques de conformité entre de multiples fournisseurs qui doivent tous être certifiés. Le processus de mise en conformité et d'obtention des certifications s'en trouve fortement simplifié. Pour autant, Microsoft croit dans la liberté de choisir du client. C'est pourquoi Microsoft utilise les technologies standard d'interopérabilité avec des solutions tierces et fournit des fonctionnalités hybrides avancées permettant aux clients de passer au cloud à leur propre rythme. Avec Microsoft, les clients ont la possibilité d'adopter les composants des services cloud selon leurs objectifs commerciaux et leurs exigences de conformité du moment, tout en conservant la flexibilité nécessaire pour modifier ce « mélange » à mesure que leurs besoins évoluent. Les services cloud offrent un potentiel énorme de création de valeur. Avec Microsoft, les organisations peuvent éviter bien des problèmes de mise en conformité. Les clients peuvent aussi réduire les risques et les coûts associés aux activités de conformité, tout en améliorant la sécurité, la fiabilité et la confidentialité. Microsoft utilise toutes les ressources à sa disposition pour aller vers un monde dans lequel tous les clients peuvent bénéficier de la puissance du cloud computing.


Introduction 3





Remerciements Collaborateurs et réviseurs Christine Aguirre Kevin Allison Mark Estberg Sarah Fender Adrienne Hall Carlene Heath Min Hyun Diane McDade Michael Mattmiller Chris Mullaney Paul Nicholas Ben Ravani Tim Rains Mike Reavey Greg Roberts Joe Scalone Frank Simorjay Shawn Veney Stevan Vidich

© 2014 Microsoft Corporation. Tous droits réservés.

Ce document est fourni en l'état. Les informations et points de vue exprimés dans le

présent document, y compris les URL et autres références à des sites Web, peuvent être

modifiés sans préavis. Vous l'utilisez en toute connaissance de cause. Ce document n'a pas

pour effet de vous concéder une quelconque licence sur la propriété intellectuelle des

produits Microsoft. Vous pouvez copier et utiliser ce document à des fins internes de

référence.