Vous vous posez des questions sur la sécurité des offres Cloud Microsoft ? Sur la localisation des data centers, sur le respect de la vie privée, sur la fiabilité et plus globalement sur les mesures de sécurité mises en œuvre ? Dans cette session, nous allons balayer les questions les plus fréquentes qui nous sont posées. Dans la première partie, nous ferons un tour d’horizon des ressources en ligne et nous mettrons en évidence les points les plus intéressants. Dans la seconde partie, nous vous expliquerons comment Microsoft gère et maintient la conformité, nous vous détaillerons les éléments de sécurité physique et logique des data centers Microsoft. Enfin, nous vous présenterons les critères de choix édictés par le Cloud Security Alliance.

1. SEC 201 Comment
Microsoft gère la sécurité de
ses offres de Cloud public
Jean-Yves Grasset,
Arnaud Jumelet,
Direction Technique
Microsoft France
Cloud

2. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr

3. Les services Cloud Microsoft
Software as a Service
(SaaS)
Platform as a Service
(PaaS)
Infrastructure as a Service
(IaaS)
Global Foundation Services
Data Centers Operations Global Network Security

4. Le Cloud Microsoft en quelques chiffres

5. Le Cloud Microsoft en quelques dates
SSAE 16
FISMA
Infrastructure
ISO 27001
SAS-70
Security Development Lifecycle
Trustworthy Computing
Global Foundation Services
1er Data Center
Services de type Cloud
1989 1994-95 1997 2002 2004 2006 2008 2011 2012 2013

6. NIST, ENISA et CSA sur la sécurité du
Cloud

7. Chapitre 1
TRUST CENTER OFFICE 365

8. TrustCenter Office 365
http://www.microsoft.com/fr-fr/office365/trust-center.aspx
http://trust.office365.com/ (version EN)

9. TRUSTCENTER OFFICE 365

10. Conformité Office 365
Conformité/ Certifications
Office 365 • ISO/IEC 27001:2005
• Clauses Contractuelles Types (EU
Model Clauses)
• Accord de traitement des données
(DPA)
• HIPAA
• SSAE16-SOC1 Type II
DataCenter (Centre de • ISO/IEC 27001:2005,
données) • SSAE16
SOC1 Type II/SAS 70 Type II
SOC2 Type II
SOC3
• FISMA
Microsoft Safe Harbor

11. Conformité Office 365 : ISO 27001
• ISO 27001
– Norme internationale de système de gestion de la sécurité de
l'information (2005)
– Décrit les exigences pour la mise en place d'un Système de
Management de la Sécurité de l'Information (SMSI)
– Annexe A : 133 mesures de sécurité de la norme ISO/CEI 27002
• Certification par le British Standards Institution
– Certification sur 3 ans, audit annuel
• Importance du périmètre

12. Conformité Office 365 : EU Model Clauses
• EU Model Clauses
– Traite de l’autorisation du transfert des données personnelles en-
dehors de l’Union Européenne
– Atteste du respect de la conformité avec la directive européenne
95/46/EU sur la protection des données
– les organismes de réglementation ont la possibilité de bloquer
l'utilisation d'un service qui ne répond pas à potentiellement la
directive européenne sur la protection des données

13. Conformité Office 365

14. Chapitre 2
MICROSOFT COMPLIANCE
FRAMEWORK FOR ONLINE
SERVICES

15. Organisation de la conformité
INDUSTRY STANDARDS AND REGULATIONS
• ISO/IEC 27001:2005 • Sarbanes-Oxley
• EU Model Clauses • PCI-DSS
• FISMA/NIST 800-53 • HIPAA, etc
CONTROLS FRAMEWORK PREDICTABLE AUDIT SCHEDULE
• Identify and integrate • Test effectiveness and assess risk
• Regulatory requirements • Attain certifications and attestations
• Customer requirements
• Improve and optimize
• Assess and remediate • Examine root cause of non-compliance
• Eliminate or mitigate gaps in control design • Track until fully remediated
CERTIFICATION AND ATTESTATIONS
• ISO / IEC 27001:2005 certification • PCI DSS certification
• SSAE 16/ISAE 3402 SOC 1, 2 and 3 • FISMA certification and accreditation
• And more …

16. Diversité des défenses
IDENTITE ET
SECURITE DE
GESTION DES APPLICATION
L’HÔTE
ACCES
24x7x365 Réponse à incident

17. Transparence

18. Chapitre 3
DATACENTER MICROSOFT: LA
PLOMBERIE

19. Evolutions des datacenters Microsoft
1989-2005 2007 2008 2011+
Generation 1 Generation 2 Generation 3 Generation 4
Colocation Densité Confinement Modularité
Containers, PODS ITPACs & Colos
Capacité Densité et Déploiement Scalabilitéet Durabilité Réduction des émissions carbone
~2 PUE 1.4 – 1.6 PUE 1.2-1.5 PUE Dimensionnement au plus juste
Technologie utilisée depuis 20 Minimisation de l’impact en Economie Air & Eau 1.05 – 1.20 PUE
ans ressource SLA différenciés Adaptation rapide au marché
Refroidissement air extérieur

20. Visite guidée des datacenters
VIDEO
http://www.globalfoundationservices.com/

21. Chapitre 4
CLOUD SECURITY ALLIANCE / STAR

22. Cloud Security Alliance
(CloudSecurityAlliance.org)

23. CSA-STAR

24. RFI Office 365
• Réponses aux exigences de la
matrice CCM (Cloud Control
Matrix) de la Cloud Security
Alliance
• En version anglaise et
française
• Couverture des exigences ISO
27001
• Exigences matrice CCM
http://www.microsoft.com/fr-fr/download/details.aspx?id=26647

25. Chapitre 5
SYNTHÈSE

26. Ce que nous vous avons parcouru
ensemble

27. Critères de choix d’un fournisseur de Cloud
Connaître la valeur des
Exiger que le fournisseur ait Comprendre la répartition des
données, des processus métiers
obtenu des certifications et des rôles et des responsabilités
ainsi que les obligations de
rapports audits, par exemple, avec le fournisseur de service
conformité que vous devez
ISO/IEC 27001:2005. Cloud.
respecter.
Considérer l’agilité du
S'assurer que les données et Exiger la transparence dans les
fournisseur Cloud à s'adapter
les services peuvent être politiques de sécurité et les
aux nouvelles
rapatriés facilement. opérations.
réglementations.

28. • Merci de votre attention!
Merci de votre attention !

29. Pour aller plus loin
• Global Foundation Services
Web Site & Team Blogs
– www.globalfoundationservices.com
• Windows Azure
– http://www.windowsazure.com
• Office 365
– http://www.office365.com