Listes de 10 points clés

Les clients ont besoin d’une solution de productivité opérationnelle intrinsèquement sécurisée et fiable. Pour vous aider à déterminer la sécurité et la fiabilité des services de productivité cloud et à choisir un fournisseur de service cloud qui répond à vos attentes en matière de sécurité, nous avons identifié les principales considérations en termes de sécurité et de protection des données qui doivent guider votre décision.

Ces trois listes de dix points clés vous feront gagner du temps et vous aideront à prendre des décisions plus éclairées.

 

Afficher tout

1. À qui appartiennent les données que nous stockons dans votre service ? Allez-vous utiliser nos données pour créer des produits publicitaires ?
En tant que client Office 365, vos données vous appartiennent et vous les contrôlez. Nous utilisons vos données uniquement pour vous fournir le service auquel vous vous abonnez. En tant que fournisseur de services, nous n’analysons pas vos messages électroniques ou documents à des fins publicitaires. Pour plus d’informations, voir Utilisation de vos données par Microsoft dans le Centre de gestion de la protection des données d’Office 365.

2. Votre service offre-t-il des contrôles en matière de protection des données des données ?
Les contrôles de protection des données sont activés par défaut pour tous les clients du service et nous vous permettons de désactiver et d’activer les fonctionnalités de protection des données en fonction des besoins de votre organisation. Nous nous engageons contractuellement à mettre en place de solides mesures de protection de la protection des données et de la sécurité dans les conditions relatives au traitement des données de votre contrat.

3. Avons-nous une visibilité sur l’emplacement de stockage de nos données dans le service ?
Nous sommes transparents sur l’emplacement où se situent vos données. Pour plus d’informations, voir Où se trouvent mes données ? dans le Centre de gestion de la protection des données d’Office 365.

4. Quelle est votre approche en matière de sécurité et quelles fonctionnalités de sécurité proposez-vous pour protéger votre service contre des attaques externes ?
La sécurité est l’un des principes de conception fondamentaux et l’une des fonctionnalités clés d’Office 365. Nous nous focalisons sur la sécurité aux niveaux du matériel, des logiciels, de la sécurité physique de nos centres de données, des stratégies et contrôles, et de la vérification par des auditeurs indépendants.

Sur le plan des fonctionnalités de sécurité, il existe globalement deux catégories : 1) la sécurité intégrée et 2) les contrôles client. La sécurité intégrée représente toutes les mesures que Microsoft prend pour le compte des clients Office 365 afin de protéger leurs informations et de faire fonctionner un service à haut niveau de disponibilité. Les contrôles client sont des fonctionnalités qui vous permettent de personnaliser Office 365 afin de répondre aux exigences spécifiques de votre organisation. Pour plus d’informations sur les deux types de fonctionnalités de sécurité, voir la section Sécurité dans le Centre de gestion de la protection des données d’Office 365.

5. Pouvons-nous retirer nos données de votre service ?
Vos données vous appartiennent et vous conservez tous les droits sur celles que vous stockez dans Office 365. Pendant 90 jours après la souscription de votre abonnement, vous pouvez télécharger une copie de l’ensemble de vos données à tout moment et pour n’importe quelle raison, sans l’assistance de Microsoft. Pour plus d’informations, voir Vos données vous appartiennent dans le Centre de gestion de la protection des données d’Office 365.

6. Nous avertissez-vous si le service évolue et si la sécurité de nos données est compromise ?
Nous vous avertissons si des changements majeurs interviennent aux niveaux de la sécurité, de la protection des données et de la conformité du service. De plus, nous vous avertissons rapidement si nous constatons un accès inadéquat à vos données.

7. Êtes-vous transparent quant à la façon dont vous utilisez nos données et y accédez ?
Nous partageons les aspects essentiels relatifs au stockage des données, comme l’emplacement géographique où elles résident, qui peut y accéder chez Microsoft, et l’usage de ces informations en interne. Pour plus d’informations, voir Qui peut accéder à vos données ? dans le Centre de gestion de la protection des données d’Office 365.

Notre position concernant l’accès à vos données est la suivante :
Nous vous autorisons à tout moment à accéder à vos données client. L’accès aux données client est strictement contrôlé. Des audits d’échantillons et de connexions sont effectués par Microsoft et des tiers pour garantir que l’accès aux données s’effectue uniquement dans le cadre des activités professionnelles appropriées. Nous reconnaissons l’importance particulière du contenu de nos clients. Si un utilisateur, tel qu’un employé ou un partenaire Microsoft, ou l’un de vos administrateurs, accède à votre contenu via le service, nous vous fournissons, sur votre demande, un rapport relatif à cet accès.

8. Quels types d’engagements prenez-vous en ce qui concerne la sécurité et la protection des données des données ?
Au nom d’Office 365, nous sommes disposés à signer avec chaque client un contrat relatif au traitement des données, un accord de partenariat HIPAA et les clauses types de l’UE. Nous respectons également des normes telles qu’ISO 27001 et ISO 27018, ainsi que les obligations découlant du programme FedRAMP et de la loi FISMA. Pour plus d’informations, voir Conformité continue dans le Centre de gestion de la protection des données d’Office 365.

9. Comment garantissez-vous la fiabilité de votre service ?
Nous appliquons les meilleures pratiques en matière de conception et d’exploitation, comme la redondance, la résilience, les services distribués, la surveillance, etc. Nous avons récemment commencé à publier nos chiffres trimestriels concernant le temps de fonctionnement du service. Le taux de disponibilité relevé au cours du dernier trimestre dépasse 99,9 %. Pour plus d’informations, voir Opérations transparentes dans le Centre de gestion de la protection des données d’Office 365.

10. Quels sont vos engagements concernant la continuité de mon service ?
Nous offrons un temps de fonctionnement de 99,9 % garanti financièrement par un contrat de niveau de service. Si, un mois donné, un client rencontre un temps de fonctionnement inférieur à 99,9 %, nous le dédommagerions via des avoirs service.

Pour plus d’informations et des éléments probants sur la façon dont Microsoft Office 365 offre des garanties à ses clients en rapport avec les questions ci-dessus, voir le Centre de gestion de la protection des données d’Office 365.

1. Nous limitons l’accès au centre de données physique au personnel autorisé et avons implémenté plusieurs niveaux de sécurité physique, tels que des lecteurs biométriques, des détecteurs de mouvement, un accès sécurisé 24h/24, une vidéosurveillance et des alarmes de violation de la sécurité.

2. Nous chiffrons les données à la fois « au repos » et via le réseau quand elles sont transmises entre un centre de données et un utilisateur.

3. Nous n’exploitons pas vos données et nous n’y accédons pas à des fins publicitaires.

4. Nous utilisons les données des clients uniquement pour fournir le service. Nous n’accédons jamais au contenu de votre boîte aux lettres sans votre autorisation.

5. Nous sauvegardons régulièrement vos données.

6. Nous ne supprimerons pas la totalité des données de votre compte à la fin de votre service tant que vous n’aurez pas eu le temps de profiter de la portabilité des données que nous mettrons à votre disposition.

7. Le lieu où nous hébergeons vos données client tient compte de votre emplacement.

8. Nous imposons l’utilisation de mots de passe complexes pour accroître la sécurité de vos données.

9. Nous vous permettons d’activer et de désactiver les fonctionnalités ayant une incidence sur la protection des données en fonction de vos besoins.

10. Nous nous engageons par contrat à respecter les promesses formulées ici concernant le traitement des données dans le cadre de votre contrat de licence en volume. Pour plus d’informations, voir Conformité continue dans le Centre de gestion de la protection des données d’Office 365.

1. Loi américaine HIPAA (Health Insurance Portability and Accountability Act) : la loi HIPAA impose des contraintes de sécurité, de protection des données et de création de rapports à nos clients qui peuvent être des « entités couvertes » soumises à la loi concernant le traitement des informations de santé protégées. Microsoft a développé Office 365 pour fournir des garanties physiques, administratives et techniques permettant à nos clients de respecter entièrement les exigences de la loi HIPAA. Nous proposons un accord de partenariat HIPAA (HIPAA BAA) à tous les clients. Pour plus d’informations sur l’accord de partenariat HIPAA, voir le forum aux questions sur les lois HIPAA et HITECH (en anglais).

2. Health Information Trust Alliance (HITRUST) : l’équipe Office 365, en partenariat avec un organisme indépendant, a évalué notre respect des principes établis par le groupement HITRUST. Considérée comme un standard important par les organisations de santé américaines, l’infrastructure de certification CSF (Common Security Framework) mise en place par HITRUST peut être utilisée par les organisations qui créent, consultent, stockent ou échangent des informations de santé ou financières personnelles. HITRUST a défini un système d’évaluation des programmes de gestion de la sécurité utilisés par les organisations. L’avancement du développement d’une organisation y est mesuré selon cinq niveaux de maturité. La note obtenue indique la capacité d’une organisation à protéger les informations de façon durable. La note maximale (niveau 5) a été attribuée au programme de sécurité de Microsoft par un auditeur indépendant.

3. Contrats de traitement des données : nous fournissons aux clients des assurances contractuelles supplémentaires par le biais de contrats de traitement des données indiquant la façon dont Microsoft traite et sécurise les données client. En acceptant ces conditions, nous sommes contraint de respecter plus de 40 engagements de sécurité spécifiques émanant de réglementations du monde entier. Les engagements solides pris dans le cadre de nos conditions relatives au traitement des données sont disponibles par défaut pour les clients.

4. La loi FISMA (Federal Information Security Management Act) oblige les agences fédérales américaines à développer, à documenter et à implémenter des contrôles pour sécuriser leurs informations et systèmes d’information. FedRAMP (Federal Risk and Authorization Program) est un programme fédéral de gestion des risques qui offre une approche normalisée de l’évaluation et de la surveillance de la sécurité des produits et services cloud. Le forum aux questions FISMA (en anglais) explique comment le service Office 365 respecte les processus de sécurité et de protection des données des données liés à la loi FISMA.

5. ISO 27001 : la norme ISO 27001 est l’une des meilleures références en matière de sécurité proposées au niveau mondial. Le respect par Office 365 de l’ensemble strict des contrôles de gestion et des procédures physiques et logiques définis par la norme ISO 27001:2013 a été vérifié. Désormais, le service inclut les nouveaux contrôles de protection des données définis par la norme ISO 27018. L’intégration de ces nouveaux contrôles au cadre ISO existant va permettre au service Office 365 d’apporter une garantie supplémentaire aux clients quant au respect d’un niveau de sécurité optimal en matière de protection de la protection des données des données client.

6. Clauses types de l’Union européenne (U.E.) : la directive sur la protection des données à caractère personnel, instrument clé de la législation de l’UE. en matière de protection des données et de droits de l’homme, impose à nos clients se trouvant dans un pays de l’UE de légitimer le transfert de données personnelles en dehors de l’UE. Les clauses types de l’UE sont reconnues comme étant la méthode de prédilection pour légitimer le transfert de données personnelles en dehors de l’UE pour les environnements cloud. L’intégration des clauses types à l’offre implique un investissement, ainsi que la création des contrôles et des processus opérationnels permettant de satisfaire aux exigences contraignantes de ces clauses. Sauf si un fournisseur de service cloud est prêt à accepter les clauses contractuelles types, un client peut douter du respect par ce fournisseur des contraintes de la directive de l’UE sur la protection des données pour le transfert de données personnelles depuis l’UE vers des territoires qui n’offrent pas une « protection adéquate » des données personnelles. Le forum aux questions sur les clauses types de l’UE décrit l’approche approuvée par le régulateur qui est mise en place par Microsoft en ce qui concerne les clauses types de l’UE.

7. ISO 27018 : Microsoft est le premier fournisseur de services cloud d’envergure dont la conformité à la norme ISO 27018 a été établie dans le cadre d’une vérification indépendante. Cette norme propose un code de bonnes pratiques pour la protection des données personnelles stockées dans le cloud. Cela garantit le traitement des informations personnelles conformément aux instructions des clients, la transparence du traitement réservé aux données des clients, la sécurité renforcée des informations personnelles dans le cloud, la non-utilisation des données des clients à des fins publicitaires, et l’information des clients en cas d’accès par les autorités à leurs données.

8. Loi FERPA (Family Educational Rights and Privacy Act) : la loi « FERPA » impose aux organisations d’enseignement aux États-Unis des conditions sur l’utilisation ou la divulgation des dossiers scolaires des étudiants, y compris des messages électroniques et pièces jointes. Microsoft accepte les restrictions d’utilisation et de divulgation imposées par cette loi, qui limitent notre utilisation des dossiers des étudiants, notamment l’analyse des courriers électroniques ou documents à des fins de publicité.

9. Norme SSAE 16 (Statement on Standards for Attestation Engagements No. 16) : Office 365 a fait l’objet d’un audit par des tiers indépendants et peut fournir des rapports SOC 1 SSAE16 Type I et SOC 2 Type II sur la façon dont le service implémente les contrôles.

10. Loi GLBA (Gramm-Leach-Bliley Act) : la loi GLBA impose aux institutions financières de mettre en place des processus visant à protéger les informations personnelles non publiques de leurs clients. Cette loi impose des stratégies visant à protéger les informations contre des menaces prévisibles de la sécurité et de l’intégrité des données. Les clients soumis à la loi GLBA peuvent utiliser Office 365 et respecter les prescriptions de la loi GLBA.