Vous vous posez des questions sur la sécurité des offres Cloud Microsoft ? Sur la localisation des data centers, sur le respect de la vie privée, sur la fiabilité et plus globalement sur les mesures de sécurité mises en œuvre ? Dans cette session, nous allons balayer les questions les plus fréquentes qui nous sont posées. Dans la première partie, nous ferons un tour d’horizon des ressources en ligne et nous mettrons en évidence les points les plus intéressants. Dans la seconde partie, nous vous expliquerons comment Microsoft gère et maintient la conformité, nous vous détaillerons les éléments de sécurité physique et logique des data centers Microsoft. Enfin, nous vous présenterons les critères de choix édictés par le Cloud Security Alliance.
Comment Microsoft gère la sécurité de ses offres de Cloud public
1. SEC 201 Comment
Microsoft gère la sécurité de
ses offres de Cloud public
Jean-Yves Grasset,
Arnaud Jumelet,
Direction Technique
Microsoft France
Cloud
2. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
3. Les services Cloud Microsoft
Software as a Service
(SaaS)
Platform as a Service
(PaaS)
Infrastructure as a Service
(IaaS)
Global Foundation Services
Data Centers Operations Global Network Security
5. Le Cloud Microsoft en quelques dates
SSAE 16
FISMA
Infrastructure
ISO 27001
SAS-70
Security Development Lifecycle
Trustworthy Computing
Global Foundation Services
1er Data Center
Services de type Cloud
1989 1994-95 1997 2002 2004 2006 2008 2011 2012 2013
10. Conformité Office 365
Conformité/ Certifications
Office 365 • ISO/IEC 27001:2005
• Clauses Contractuelles Types (EU
Model Clauses)
• Accord de traitement des données
(DPA)
• HIPAA
• SSAE16-SOC1 Type II
DataCenter (Centre de • ISO/IEC 27001:2005,
données) • SSAE16
SOC1 Type II/SAS 70 Type II
SOC2 Type II
SOC3
• FISMA
Microsoft Safe Harbor
11. Conformité Office 365 : ISO 27001
• ISO 27001
– Norme internationale de système de gestion de la sécurité de
l'information (2005)
– Décrit les exigences pour la mise en place d'un Système de
Management de la Sécurité de l'Information (SMSI)
– Annexe A : 133 mesures de sécurité de la norme ISO/CEI 27002
• Certification par le British Standards Institution
– Certification sur 3 ans, audit annuel
• Importance du périmètre
12. Conformité Office 365 : EU Model Clauses
• EU Model Clauses
– Traite de l’autorisation du transfert des données personnelles en-
dehors de l’Union Européenne
– Atteste du respect de la conformité avec la directive européenne
95/46/EU sur la protection des données
– les organismes de réglementation ont la possibilité de bloquer
l'utilisation d'un service qui ne répond pas à potentiellement la
directive européenne sur la protection des données
15. Organisation de la conformité
INDUSTRY STANDARDS AND REGULATIONS
• ISO/IEC 27001:2005 • Sarbanes-Oxley
• EU Model Clauses • PCI-DSS
• FISMA/NIST 800-53 • HIPAA, etc
CONTROLS FRAMEWORK PREDICTABLE AUDIT SCHEDULE
• Identify and integrate • Test effectiveness and assess risk
• Regulatory requirements • Attain certifications and attestations
• Customer requirements
• Improve and optimize
• Assess and remediate • Examine root cause of non-compliance
• Eliminate or mitigate gaps in control design • Track until fully remediated
CERTIFICATION AND ATTESTATIONS
• ISO / IEC 27001:2005 certification • PCI DSS certification
• SSAE 16/ISAE 3402 SOC 1, 2 and 3 • FISMA certification and accreditation
• And more …
16. Diversité des défenses
IDENTITE ET
SECURITE DE
GESTION DES APPLICATION
L’HÔTE
ACCES
24x7x365 Réponse à incident
19. Evolutions des datacenters Microsoft
1989-2005 2007 2008 2011+
Generation 1 Generation 2 Generation 3 Generation 4
Colocation Densité Confinement Modularité
Containers, PODS ITPACs & Colos
Capacité Densité et Déploiement Scalabilitéet Durabilité Réduction des émissions carbone
~2 PUE 1.4 – 1.6 PUE 1.2-1.5 PUE Dimensionnement au plus juste
Technologie utilisée depuis 20 Minimisation de l’impact en Economie Air & Eau 1.05 – 1.20 PUE
ans ressource SLA différenciés Adaptation rapide au marché
Refroidissement air extérieur
20. Visite guidée des datacenters
VIDEO
http://www.globalfoundationservices.com/
24. RFI Office 365
• Réponses aux exigences de la
matrice CCM (Cloud Control
Matrix) de la Cloud Security
Alliance
• En version anglaise et
française
• Couverture des exigences ISO
27001
• Exigences matrice CCM
http://www.microsoft.com/fr-fr/download/details.aspx?id=26647
27. Critères de choix d’un fournisseur de Cloud
Connaître la valeur des
Exiger que le fournisseur ait Comprendre la répartition des
données, des processus métiers
obtenu des certifications et des rôles et des responsabilités
ainsi que les obligations de
rapports audits, par exemple, avec le fournisseur de service
conformité que vous devez
ISO/IEC 27001:2005. Cloud.
respecter.
Considérer l’agilité du
S'assurer que les données et Exiger la transparence dans les
fournisseur Cloud à s'adapter
les services peuvent être politiques de sécurité et les
aux nouvelles
rapatriés facilement. opérations.
réglementations.
28. • Merci de votre attention!
Merci de votre attention !
29. Pour aller plus loin
• Global Foundation Services
Web Site & Team Blogs
– www.globalfoundationservices.com
• Windows Azure
– http://www.windowsazure.com
• Office 365
– http://www.office365.com
Hinweis der Redaktion
Intro code / dev
Notation
SSAE 16. En vigueur depuis le 15 juin 2011, SSAE 16 (Statement on Standards for Attestation Engagements Number 16) remplace SAS 70, en tant que norme relative à la prestation d’une vérification indépendante de la conformité aux contrôles d’une société de services. Les audits SSAE 16 et SAS 70 représentent des vérifications indépendantes de la conformité aux contrôles de sécurité et de leur efficacité.Les audits SAS 70 ou SSAE 16 de Microsoft sont réalisés par un tiers externe (par l’un des cabinets comptables du classement « Big Four ») et sont effectués à raison d’une fois par an.Type IUn rapport de contrôle interne SAS-70 de Type I garantit la bonne définition de tous les contrôles pertinents. La certification de Type I est la certification de base.Type IIUn rapport de contrôle interne SAS-70 de Type II garantit non seulement la bonne définition des contrôles mais également l’efficacité du fonctionnement de tous les contrôles. La certification de Type II est la plus haute certification selon le standard SAS-70.SOC 2 and SOC 3 provide much more stringent audit requirements than SSAE 16 with a stronger set of controls and requirements specifically designed around data center service organizationsService Organization Control (SOC) 2 reports are intended to provide assurance about controls related to 1) security, 2) availability, 3) processing integrity, 4) confidentiality or 5) privacy of a system and its information.https://www.datacenterknowledge.com/archives/2011/03/03/sas-70-ssae-16-soc-and-data-center-standards/EU Model Clauses. En plus de EU Safe Harbor, Office 365 est le premier service de cloud public à productivité professionnelle de premier plan à signer les normes contractuelles standard créés par l'Union Européenne (« EU Model Clauses / Clauses contractuelles européennes ») avec tous les clients. Les EU Model Clauses règlent le transfert international de données. Visitez la page ici pour obtenir une copie signée des EU Model Clauses de Microsoft.DPA : Accord de traitement des données. Microsoft propose un Accord de traitement des données (DPA) standard pour tous les clients. Cet accord traite de la confidentialité, de la sécurité et du traitement des données personnelles de clients. Notre Accord de traitement des données standard permet aux clients d'être en accord avec leurs réglementations régionales.