livre blanc sécurité windows azure...
TRANSCRIPT
Réd'i >S
éponsnform
Sécur
se stamatio
rité et
andaon
t Res
rd po
spect
our le
de la
es de
a vie
man
privé
des
ée
Mars | Versioon 1
Déd Les idate interfourncons Ce dCON Le redes drestitdans Micrd'autstipuconc © 20 Microet/ou Les nprop
dit de respon
nformations cde publicatio
rprétées commnies après la dsulter le lien su
ocument est pNCERNANT LES
espect de toutdroits d'auteutution, ou trans quelque but
osoft peut détteur ou autres
ulation expresscéder une licen
011 Microsoft
osoft et Microsu dans d’autres
noms de produriétaires respe
nsabilité
contenues dann. Dans la me
me un engagemdate de publicauivant : http://w
publié à titre iS INFORMATIO
es les lois de cr, aucune part
nsmise à quelqque ce soit sa
tenir des brevs droits de prose contraire d'nce sur ces bre
Corporation. T
soft Azure sonts pays.
uits et de sociétectifs.
Réponse
ns ce documensure où Microment de la paation. Pour acwww.microsoft
nformatif uniqONS CONTEN
copyright en vtie de ce docuque fin, par quans la permissi
ets, avoir dépoopriété intellec'un contrat deevets, marque
Tous droits ré
t soit des marq
tés réels menti
standard pour
nt représentenosoft doit s'adart de Microsofcéder à la verst.com/downloa
quement. MICUES DANS CE
vigueur relève ment ne peut
uelque moyen on expresse e
osé des demactuelle portant licence écrit ds, droits d'aut
servés
ques déposées,
ionnés dans la
r les demande
nt la vision de apter aux chanft, et Microsofsion la plus réad/en/details.a
ROSOFT NE FOE DOCUMENT.
de la responsêtre reprodui(électronique
et écrite de Mi
ndes d'enregit sur des élémde Microsoft, teur ou autres
, soit des marq
a présente docu
es d'informatio
Microsoft Corngements du ft ne garantit ecente de ce dospx?id=26647
ORMULE AUC.
sabilité de l'utiite, stockée ou
e, mécanique, pcrosoft Corpo
istrement de bents qui font la fourniture ddroits de pro
ques de fabriqu
umentation pe
on- Sécurité et
rporation sur lemarché, ces inen rien l'exactiocument en la
UNE GARANT
ilisateur. Sans u introduite daphotocopie, eration.
brevets ou êtrel'objet du présde ce documenpriété intellect
ue de Microsof
euvent être des
t respect de la
es questions anformations neitude des infoangue anglaise
TIE, EXPLICITE
restriction deans un systèmenregistrement
e titulaire de msent documennt n'a pas poutuelle.
ft Corporation
s marques de l
a vie privée | P
abordées à la e sauraient êtrrmations e, veuillez
OU IMPLICITE
s droits dérivée de t ou autre) ou
marques, droitnt. Sauf ur effet de vou
aux États-Unis
leurs
Page 2
re
E,
és
ts
us
s
Réponse
standard pour
Introductio
Comment Wservices
Certificatio
Réponse dela matrice «
Conform
Gouver
Sécurité
Ressou
Sécurité
Juridiqu
Gestion
Gestion
Gestion
Continu
Architec
Tab
r les demande
n
Windows Azu
ns ISO aligné
e Microsoft s« Cloud » :
mité
rnance des do
é des installat
urces humaine
é de l'informat
ue
n des Opératio
n du risque
n des changem
uité de l’activit
cture de sécur
le de
es d'informatio
ure est mis à
ées sur les co
selon les iden
C
onnées D
tions F
es H
tion I
L
ons O
R
ments R
é R
rité S
es ma
on- Sécurité et
disposition :
ontrôles Wind
ntifiants des c
CO-01 à CO-0
DG-01 à DG-0
FS-01 à FS-08
HR-01 à HR-0
S-01 à IS-34
LG-01 à LG-02
OP-01 à OP-0
RI-01 à RI-05
RM-01 à RM-0
RS-01 à RS-0
SA-01 à SA-15
atière
t respect de la
la pile de
dows Azure
contrôles de
06
08
8
03
2
04
05
08
5
es
a vie privée | P
Page
4
5
6 - 8
9 - 5
9 - 1
12 - 1
16 - 1
19
20 - 3
34 - 3
35 - 3
37 - 3
39 - 4
41 - 4
44 – 5
Page 3
e
8
50
1
5
8
34
35
36
38
40
43
50
L'a
Sec
ent
le b
l’ut
pra
séc
env
Com
L'a
CC
pou
leu
Clo
que
lég
d'u
ser
pub
Ser
pou
don
prin
com
cer
Pouhttp
ssociation C
curity Allian
tité à but no
but est de pr
tilisation de
atiques pour
curité dans l
vironnemen
mputing ».
ssociation a
M (Cloud Co
ur aider les
r évaluation
oud et pour
estions qu'il
itimement s
tiliser ce typ
rvices. En ré
blication, Mi
rvices a créé
ur souligner
nt nous app
ncipes sugg
mment nous
rtification IS
ur en savoirps://cloudsec
CSA (Cloud
nce) est une
n-lucratif do
romouvoir
bonnes
r garantir la
les
ts de « Clou
a publié l'ou
ontrol Matri
clients dans
n des servic
identifier les
ls doivent
se poser ava
pe de
éponse à ce
icrosoft Onl
é ce docum
r la manière
pliquons les
gérés, et
s les relions
SO.
r plus : curityalliance
Réponse
ont
ud
util
x),
s
ces
s
ant
ette
line
ent
e
s à la
.org
standard pour
IntrodLe « Cloud Co
données, la c
hébergé dans
répondre aux
d'évolutivité, d
technologie à
et le respect d
Azure offre de
réglementatio
Dans ce docu
manière dont
dessous) répo
gestion du ris
publié par l'as
pour objectif d
Azure. Il est d
environnemen
utilisateurs et
exigences rég
Portée Le thème cen
comme comp
Windows Azu
stockage et le
Windows Azu
distribution de
Exigences d
Matrix)
L'outil Matrice
organisation à
marché dont l
de passer au
respect de la
Cloud Securit
Microsoft pub
vis des exigen
d'information,
aussi complèt
Présentatio
Windows Azu
environnemen
services pour
des capacités
de distribution
applications W
Azure, Micros
Windows Azu
r les demande
ductioomputing » so
confidentialité
s les centres d
x exigences de
de sécurité et
à l’état de l’art,
de la vie privé
es fonctionnal
ons et de direc
ument, nous p
les services n
ondent aux ex
sque, telles qu
ssociation CSA
de fournir éga
de la responsa
nt une fois que
t respect des s
glementaires).
ntral de ce livre
posant de plate
ure, à savoir le
e réseau virtue
ure telles que S
e contenu, etc
de sécurité
e de contrôle C
à but non-lucr
l'objectif est d
Cloud. Cette
vie privée, de
ty Alliance en
blie dans ce do
nces de la ma
, nous souhait
tes que possib
on de Windo
ure est un syst
nt propre au d
r la plateforme
s à la demand
n de contenu
Web sur Intern
soft héberge le
ure doit donc r
es d'informatio
on
oulève des qu
et la propriété
de données de
es clients profe
de niveau de
ainsi que des
ée fiables et co
ités intégrées
ctives sur le re
proposons à no
noyau de Wind
xigences de sé
e définies dan
A (Cloud Secu
alement des in
abilité des clie
e le service es
stratégies et d
.
e blanc est le
eforme de ser
e calcul (rôles
el, mais ne co
SQL Azure, S
c.
pour le Clo
Cloud, ou CCM
atif, une assoc
e venir en aid
matrice fourni
es concepts et
13 domaines.
ocument une p
atrice CCM. Av
tons aider les
ble afin d'éval
ows Azure
tème d'exploit
développemen
e Windows Az
de en matière
pour leur perm
net via les cen
es données et
relever des dé
on- Sécurité et
estions sur la
é des données
e Microsoft à t
essionnels en
service. Nous
s processus po
ohérents pour
pour être con
espect de la vi
os clients une
dows Azure (v
écurité, de con
ns le documen
urity Alliance).
formations su
nts de contrôl
st fourni (par e
es procédures
système d'exp
rvices en ligne
Web, Worker
uvre pas en d
ervice Bus, M
ud : l'outil C
M (Cloud Cont
ciation compo
e aux clients q
it une descript
des principes
présentation d
vec cette répo
clients en leur
uer les différe
tation de servi
nt, à l'héberge
ure. Windows
de calcul, de s
mettre d'héber
ntres de donné
t programmes
éfis quant à la
t respect de la
sécurité, la pr
s. Windows®A
travers le mon
matière de pe
s avons mis e
our maintenir
chaque utilisa
nforme à un la
ie privée.
présentation
voir la rubrique
nfidentialité, d
nt CCM (Cloud
. A noter que c
r le fonctionne
ler et de gérer
exemple, gest
s conforméme
ploitation Wind
e. Il traite des s
r et machines v
détail les autre
Marketplace, le
CCM (Cloud
trol Matrix), es
osée de grand
qui veulent pr
tion détaillée d
s qui sont align
détaillée de no
onse standard
r fournissant d
entes offres du
ices Cloud qu
ment et à la g
s Azure fournit
stockage, de m
rger, d'adapter
ées Microsoft.
s qui appartien
sécurité des i
a vie privée | P
rotection des
Azure™ est
nde et conçu p
erformance,
n œuvre une
l’accès, la séc
ateur. Window
arge éventail d
détaillée sur l
e « Portée » c
de conformité e
d Control Matr
ce document a
ement de Win
r leur
tion des accès
ent à leurs
dows Azure p
services noya
virtuelles), le
es fonctionnalit
e réseau de
Control
st publié par u
s acteurs du
endre la décis
de la sécurité
nés sur le guid
os capacités v
aux demande
des informatio
u marché actu
i compose un
gestion des
t aux développ
mise en résea
r et de gérer d
Avec Window
nnent aux clien
nformations q
Page 4
pour
curité
ws
de
a
ci-
et de
rix)
a
dows
s des
ris
au de
tés
une
sion
et du
de
is-à-
es
ns
el.
peurs
au et
des
ws
nts.
qui se
L
ju
A
in
s
s
d
D
c
P
s
n
C
d
P
v
g
c
A
d
ju
A
ho hw
La page d’in
uridiques W
Azure fourni
nformations
supplémenta
sujets tels q
de service, l
Déclaration
conformité,
Présentation
sécurité, les
niveau de se
Conditions d
du portail cli
Pour en savo
visitez le Ce
gestion de la
confidentiali
Azure et la p
d’informatio
uridiques W
Azure.
http://www.wiom/trustcente
http://www.miwindowsazure
nformations
Windows
it des
s
aires sur de
ue le Contra
a
de
la
n de la
s Contrats de
ervice et les
d’utilisation
ient.
oir plus,
ntre de
a
ité Windows
page
ons
Windows
indowsazure.er
icrosoft.com/e/legal/
Réponse
es
at
e
s
s
.c
/
standard pour
situent bien a
document tra
regard de l'ou
plus amples i
Azure à l'adre
http://blogs.m
is0-27001-cer
En outre, ce l
Windows Azu
documenter s
http://www.wainsi qu'au Ce
www.windows
Commmis àservic
Lors de l'éval
est important
fournisseur de
la fourniture d
risque de dys
compromettre
Pour cette rai
fournisseurs d
plateformes d
Dans l'environ
and Tools Bu
clients fournis
plateforme, ta
l'infrastructure
sont stockées
r les demande
au-delà de la q
ite de l’ensem
util CCM CSA
nformations s
esse suivante
msdn.com/b/wi
rtification-from
livre blanc tien
ure, qui ne son
sur ces conce
windowsazure.centre de gesti
sazure.com/tr
ment à dispces uation de l'en
de prendre e
e service Clou
de services d'i
sfonctionneme
e la fourniture
ison, les client
de service, et
du service, ain
nnement Wind
usiness (STB),
ssent et gèren
andis que l’ent
e physique su
s.
es d'informatio
question habitu
mble des contrô
et de sa confo
sur cette derniè
:
ndowsazure/a
m-the-british-st
nt les lecteurs
nt pas abordés
pts fondamen
com/en-us/deon de la confi
rustcenter.
Windositio
vironnement d
n considératio
ud. Différentes
infrastructure
ent. Une interr
du service Cl
ts devraient év
appréhender
nsi que les app
dows Azure, le
qui offre la co
nt la couche de
tité Microsoft
r laquelle la p
on- Sécurité et
uelle de l'infor
ôles que Wind
ormité avec no
ère sont dispo
archive/2011/1
tandards-instit
pour familiers
s dans les pagtaux, on se ré
evelop/net/othdentialité Wind
dows Aon : la
de contrôle d'u
on la totalité de
s organisation
et d'applicatio
uption sur l’un
oud et avoir d
valuer comme
l'infrastructure
plications effec
e service est g
ouche corresp
es applications
Global Founda
lateforme est
t respect de la
rmatique sur o
dows Azure m
otre certificatio
onibles sur le b
12/19/windows
tute.aspx .
s des concepts
ges qui suivenéférera à la pa
her-resources/dows Azure à
Azurepile d
une offre de C
e la pile de se
ns peuvent être
ons, ce qui peu
ne des couche
des conséquen
ent fonctionne
e sous-jacente
ctivement déli
géré par l’entit
pondant à la p
s et des donn
dation Services
exécutée et o
a vie privée | P
ou hors site. C
met en œuvre a
on ISO 27001
blog Windows
s-azure-achiev
s de base de
nt. Pour se
ge
/white-papers/à l'adresse
e est de
Cloud Computi
ervices du
e impliquées d
ut augmenter
es de la pile pe
nces importan
nt leurs
e et les
ivrées.
té Microsoft S
lateforme. Les
ées logées su
s (GFS) appor
où les données
Page 5
Ce
au
. De
s
ves-
/,
ing, il
dans
le
eut
ntes.
Server
s
ur la
rte
s
Grâce à la c
ISO 27001 d
les clients p
évaluer la m
Microsoft a
dépasse les
directives d
œuvre.
certification
de Microsof
peuvent
manière don
atteint ou
s normes et
de mise en
Réponse
n
ft,
nt
t les
standard pour
ContrservicWindows Azu
méthodologiq
ISO 27000. L
virtuel) sont c
prévu que leu
plus, l'infrastr
exécutée, à l'
27001.
Forgé autour
clients d'évalu
sécurité et les
méthodes de
du Système d
l'infrastructure
(Statements o
le standard S
Institute of Ce
Type 2 pour l
clients signata
divulgation. C
3402. Pour pl
Windows Azu
Applicable à W
alignée sur la
Windows Azu
ensemble de
Comment li
Dans les pa
sécurité et
intitulées «
plus pertine
Microsoft »
1) Une
recomm
2) Une
Global
certific
(1) Le con
Securit
r les demande
rôles ces Wure et l'infrastr
ques de sécur
Les services no
certifiés ISO/IE
ur travail s'app
ructure physiq
exception du
de cette norm
uer la manière
s directives de
mise en œuv
de Manageme
e GFS fait cha
on Standards
SAS (Statemen
ertified Public
es fonctionna
aires d’un Acc
Cet audit a été
lus d’informati
ure en sa page
Windows Azu
a norme ISO 2
ure. Cette norm
contrôles ada
ire les exige
ages suivante
les préconisat
Contrôle ID C
ents de l'outil C
comprend :
e brève explica
mandations d
e référence au
Foundation S
cations ISO 27
ntenu des colo
ty Alliance, ut
es d'informatio
ISO dWindow
ructure GFS so
ité basés sur l
oyau de Wind
EC 27001:200
plique aux autr
ue GFS sur la
réseau de dis
me, notre cadre
e dont Microso
e mise en œuv
vre, de contrôle
ent de la Sécu
aque année l'o
for Attestation
nt of Auditing S
Accountants)
lités centrales
cord Entrepris
é conduit en ac
ion, consultez
e de conformit
re, la politique
27002, complé
me n'est pas u
aptés au SMS
ences du CS
es, nous avons
tions de l'outil
CCM » et « De
CCM1. La trois
ation sur la ma
u CSA.
x contrôles IS
Services) et/ou
7001, le cas éc
onnes 1 et 2 de
ilisé avec perm
on- Sécurité et
de la pws Azous-jacente fo
e corpus de n
ows Azure (ca
5 (également
res fonctionna
aquelle l'intégr
tribution de co
e méthodolog
oft atteint ou d
vre. La norme
e, de gestion e
rité de l'Inform
objet d'audits s
n Engagement
Standards) 70
. Ainsi est disp
s. Le rapport d
e sous couver
ccord avec les
le centre de g
té ainsi que le
e de sécurité d
étée par des ex
une certificatio
I.
SA et les rép
s mis en paral
CCM. Les de
escription », re
sième colonne
anière dont W
SO 27001 resp
u Windows Az
chéant.
e la matrice C
mission.
t respect de la
pile dzure ont appel à de
normes interna
alcul, stockag
appelé ISO 2
alités de la pla
ralité de Windo
ontenu, est ce
gique de sécur
dépasse les no
e ISO 27001 d
et d'optimisati
mation (SMSI)
selon le stand
ts) qui a remp
0 de l'AICPA (A
ponible un rap
d’audit est disp
rt d’un accord
s standards SS
gestion de la c
e blog Window
de l'informatio
xigences spéc
on, mais elle fo
ponses de M
lèle nos pratiq
eux premières
eprennent les
e, intitulée « R
Windows Azure
pectés par GF
zure dans le ca
CCM est © 201
a vie privée | P
e
es cadres
ationales
e et réseau
27001) et il est
ateforme. De
ows Azure est
ertifiée ISO
rité permet aux
ormes de
éfinit les
on en continu
. En outre,
dard SSAE
placé récemme
American
pport SOC 1
ponible aux
de non
SAE 16 et ISA
confidentialité
ws Azure.
n est égaleme
cifiques à
ournit un
Microsoft
ques de
colonnes,
contrôles les
Réponse
e satisfait aux
S (Microsoft
adre des
11 Cloud
Page 6
t
t
x
u
ent
AE
ent
Le
so
sig
en
att
ex
no
re
no
La
ce
Az
httessedirDirReS+Xe
e fait que Wi
oit certifié IS
gnifie que n
n mesure de
tentes des a
xternes, et m
otre environ
specte ou d
ormes.
a copie publ
ertification IS
zure est disp
tp://www.bsigsment-and-crvices/Clientrectory/Certifrectory-Searc
esults/?pg=1&+577753&seareqXmicrosoft
indows Azu
SO 27001
nous avons é
e répondre a
auditeurs
montrer que
nement
dépasse ces
lique de la
SO de Wind
ponible ici :
group.com/enertification-
t-ficateClient-ch-&licencenumrchkey=compt
Réponse
re
été
aux
s
dows
n/Ass
mber=Ipany
standard pour
Exemp Le contrôle ISrecommanda
« La
form
et d
l'exé
Réponse de M
« C
l'info
pren
l'ens
Tou
qu'i
de s
Tou
pert
part
la re
doc
Une
être
acc
Les
l'info
ISO
Pou
disp
Pour en sav
Il est vivemen
disponibles p
de l'Organisa
http://www.iso
détaillées et l
r les demande
ple :
S-O2 de l'outil tion suivante :
a direction et la
melles pour sout
documentées, u
écution de la m
Microsoft :
haque version a
ormation et de s
nantes. La polit
semble des em
us les employés
ls approuvent to
sécurité de l'info
utes les équipes
tinentes définies
ties n'a pas acc
esponsabilité de
cuments corresp
e version de la p
e obtenue sur de
cord de non divu
s dispositions «
ormation » et «
O 27001, notamm
ur plus d’informa
ponibles publiqu
voir plus :
nt recommand
ubliquement.
ation Internatio
o.org/iso/iso_c
a marche à su
es d'informatio
Matrice de co:
chaîne de man
tenir la sécurité
n engagement,
ission.»
approuvée par l
ses mises à jou
ique de sécurité
ployés (existan
s de Windows A
outes les mesur
ormation.
s des fournisseu
s dans la politiq
cès à cette politi
e l'agent de sup
pondants.
politique de séc
emande. Les cli
ulgation (NDA),
Implication de la
Responsabilité
ment dans la Cl
ations, il est con
uement pour les
dé de consulte
Les normes IS
onale de Norm
catalogue. Ce
uivre pour leur
on- Sécurité et
ontrôle Cloud (
agement doiven
de l’information
une mission ex
e management
r est distribuée
é de l'informatio
ts ou nouveaux
zure indiquent q
res définies dan
urs de Windows
ue de sécurité d
que pour quelqu
ervision de Mic
urité de l'inform
ients et les pros
ou équivalent, p
a direction vis-à
de la direction
ause 5 et à l'An
nseillé de consu
squelles nous so
er les normes I
SO peuvent êt
malisation :
s normes ISO
r mise en œuv
t respect de la
(CCM) du CSA
nt prendre des
n grâce à des d
xplicite et une vé
t de la politique
à l'ensemble de
on est communiq
x) de Windows A
qu'ils ont pris co
ns les document
s Azure approuv
de l'information
ue raison que c
crosoft de leur fo
mation destinée a
spects doivent a
pour en recevoi
à-vis de la sécur
» sont abordée
nnexe A, Paragr
ulter les normes
ommes certifiés
ISO 27001 et
tre commandé
O fournissent d
vre.
a vie privée | P
A définit la
mesures
irectives claires
érification de
de sécurité de
es parties
quée à
Azure.
onnaissance et
ts de la politique
vent les mesures
. Si une de ces
ce soit, il est de
ournir les
aux clients peut
avoir signé un
r un exemplaire
rité de
s dans la norme
raphe 6.1.1.
ISO
s. »
ISO 27002
ées sur le site
des information
Page 7
s
e
s
t
e.
e
e
ns
Réponse
standard pour
Exemple :
Lors d
l'ISO
direct
ISO 2
« Respon
Ressou
Visitez nonotre pag
Co Dé Pr Co
Lien vers http://wwLien vers http://ww
La copie Certificaservices/
r les demande
de l'examen d
27001, en exa
tion sur sécuri
27001 ou à pa
nsabilité du m
urces
otre Centre dege d’informa
ontrat de serviéclaration de crésentation deontrats de nive
le centre de gww.windowsaz
la page d’infoww.microsoft.c
publique de laation ISO http/Client-direct
es d'informatio
de la norme, o
aminer les spé
té de l'informa
artir de l'ISO 27
management...
e gestion de tions juridiqu
ice et droits dconfidentialité
e la sécurité eau de service
gestion de la czure.com/en-uormations juridcom/windowsa
a certification p://www.bsigrtory/Certifica
on- Sécurité et
n peut prendre
écificités, par e
ation » en Clau
7002 les détai
»
la confidentiaues pour accéd
'utilisation é
e
confidentialité us/support/trudiques: azure/legal/
ISO de Windoroup.com/en/teClient-Dire
t respect de la
e le contrôle o
exemple « En
use 5, à partir
ils du contrôle
alité Windowder aux docum
é Windows Azuust-center/
ows Azure est /Assessment-ectory-Search/
a vie privée | P
ou la clause de
ngagement de
r de la norme
e 6.1.1 :
ws Azure et/ouments suivants
ure :
disponible ici-and-certifica/
Page 8
e
la
u s :
: ation-
WCo
ID
CP
C
in
Windows ontrôles
D du contrôleCCM1
CO-01
Conformité - Planification
de l'audit
CO-02
Conformité - Audits
ndépendants
1Le contenu
Azure - s CO-01
(
Des plans d'action opduplicationlimitations être conçuperturbatioactivités d’convenuesprenantes
Des examdoivent êtrou à intervl'organisatprocédureréglementaaudits intepénétratio
des colonne
Réponse
Réponsà CO-0
DescrCCM Version
d’audit, des apérationnels sn des donnéesdes frontières
us pour minimion des proces’audit doivent s à l'avance pa.
ens indépendre effectués auvalles planifiéstion est confors, normes et eaires applicab
ernes/externesn et de la vuln
es 1 et 2 de la
standard pour
se à la m02
ription n R1.1. Finale
activités et dese concentrants, l'accès, et les des donnéesiser le risque dsus métier. Leêtre planifiéesar les parties
ants et des évu moins annues, afin d'assurerme aux politiqexigences bles (par exems, certificationsnérabilité).
a matrice CC
r les demande
matrice d
e)
s éléments t sur la es s doivent de es s et
v
t
W
v
W
valuations ellement, er que ques,
mple, s, tests de
M est © 201
es d'informatio
de contr
Nos objectifs comme principvous fournir davons implémraisonnable eorganisationnusuels liés à lprotéger les ddestruction ouaccès non autannée, nous ftiers mondialeindépendanteprocédures cocontinuité et la
Les certificatio(qui gère l'infrsite Web de n(British Standl’AFNOR en Aconsultables ssignature d’un
Les rapports dWindows Azude voir ces decertifications eméthodes d'osécurité et de nous en servovalider nos en
Pour des raisoWindows Azuleurs propres Microsoft, mapénétration nol’obtention d’u
La dispositionabordée dansClause 4.2.3. consulter les nlesquelles nou
Pour plus d’in
11 Cloud Sec
on- Sécurité et
rôle Clou
Répo
sont d'exploitepes essentielses garanties q
menté et maintit appropriée leelles, les conta sécurité de onnées du cli
u altération actorisés ; ou lesfaisons réaliseement reconnu
de conformitéoncernant la sa conformité.
ons ISO 2700astructure phyotre auditeur ard Institution
Angleterre. D'asur demande pn accord de no
d'audit indépere sont partag
erniers réaliseret attestationsbtention et de conformité, a
ons en tant qungagements e
ons de sécuritre ne permet audits sur la pis ils peuvent on invasifs de un accord préa
« Surveillancs la norme ISO
Pour plus d’innormes ISO dus sommes ce
formations, vo
urity Alliance
t respect de la
ud (CCM
onse Microsof
er nos services le respect dequant aux mesiendrons de mes mesures tetrôles internesl’information pent contre tou
ccidentelles; les destructionser des audits pus, afin d'obteé avec nos po
sécurité, la con
1 pour Windowysique) sont dISO externe, ) qui est l’équ
autres élémenpar nos prospon divulgation
endants et les gés avec nos cr des audits in
s indiquent prée respect de noainsi que la maue mécanismeenvers tous no
té et de fonctiopas à nos clieplateforme Wieffectuer des leur applicatio
alable.
ce et réexameO 27001, notamnformations, il disponibles puertifiés.
oir CO-01.
e, utilisé avec
a vie privée | P
M) du CS
ft
es en appliquae la sécurité, esures prises. N
manière echniques et s, et les traitempour contribueute perte, es diffusions os illégales. Chapar des organinir une attesta
olitiques et nfidentialité, la
ws Azure et Gdisponibles surle BSI Group ivalent de
nts d'audit sontpects après .
certifications dclients, plutôt ndividuels. Ceécisément les os objectifs deanière dont noe pratique pouros clients.
onnement, ents de réalisendows Azure tests de on après
n du SMSI » emment dans laest conseillé
bliquement po
c permission.
Page 9
SA
ant et de Nous
ments er à
u les aque ismes ation
a
GFS r le
t
de que s
e ous r
er de
est a de
our
.
WCo
I
A
Co
rédd
Windows ontrôles
D du contrôleCCM
CO-03
Conformité -Audits des tier
CO-04
Conformité -Contact /
Gestion de l'autorité
CO-05
Conformité -orrespondan
de églementatiodes systèmesd'information
Azure - s CO-03
e
- rs
Les fourdémontrla confiddéfinitionniveau dde tiers. de tiers sexamenmaintenprestatio
-
Des liaisles autoren confoentreprisaux exigcontractapplicatipeuvent législatifpoints de
- ce
on s n
Les exigcontractles élémL'approcaux besonouveaudéfinie, dchaque él’organisd'informales objetle matérattribué juridictiode confo
Réponse
Réponsà CO-0
Desc(CCM Versio
rnisseurs de serer leur confordentialité de l’inns du service de prestation in
Les rapports,sont soumis à, à intervalles ir la conformit
on du service.
sons et des porités locales dormité avec lesses et des cliegences législatuelles. Les doons, l’infrastruse voir assign
f et une juridicte contact appr
gences légalesuelles doivent
ments du systèche de l'organoins connus, eux mandats, ddocumentée eélément du sy
sation. Les éléation peuvent ts, les applicatriel. Chaque élà un domaine
on pour faciliteormité appropr
standard pour
se à la m05
ription n R1.1. Finale
ervice tiers domité avec la snformation, leet les accordsnclus dans les dossiers et s
à vérification eplanifiés, poué avec les acc
oints de contacoivent être mas exigences d
ents et la confotives, régleme
onnées, objetsucture et le maner un domaintion pour faciliropriés de con
s, réglementait être définies me d'informatisation pour réet pour s'adapoit être explici
et mise à jour ystème d'informéments du syst
inclure les dotions, l’infrastrlément peut ê
e législatif et ur une corresporiée.
r les demande
matrice d
e)
oivent sécurité et s s sur le s contrats services et ur gérer et cords de
Wdc
Lttlddc
ct avec aintenus
des ormité entaires et s, atériel ne iter les nformité.
Mleleloddcc
Lanecp
ires et pour tous
tion. épondre pter aux itement pour mation de tème
onnées, ructure et tre ne ondance
Wcgsf
WlsrpWcd
LpWLdsCPcle
es d'informatio
de contr
Windows Azurde satisfaire à confidentialité
Les dispositioniers » et « Geiers » sont ab'Annexe A, Pad’informationsdisponibles pucertifiés.
Microsoft gardes organismees organisatio’industrie) pouobtenir si besodédiée pour lad'application dconcernant la clairement déf
Les dispositionavec des grounorme ISO 27et 6.1.7 respecconseillé de copubliquement
Windows Azurconfidentialité généralement service Windofigurent dans n
Windows Azur'identification services en réréglementationpendant notre Windows Azurcomptes dans d'application d
Les clients sonpropres à leur Windows AzurLes dispositiondirection du SMsont abordéesClauses 4.2.1 Paragraphe 15consulter les nesquelles nou
on- Sécurité et
rôle Clou
Répon
re demande cod'importanteset de sécurité
ns « Sécurité dstion de la preordées dans l
aragraphes 6.2, il est conseil
ubliquement po
e le contact as de réglemen
ons de gestionur assurer desoin des consei plupart des ce la loi. Les rôgestion et le c
finis.
ns « Relationspes de spécia001, notammectivement. Pouonsulter les nopour lesquelle
re respecte touet à la protectapplicables à ws Azure. Desnos contrats d
re dispose d'uet la mise en œponse aux mons applicablesaudit ISO 270
re limite la posles juridictione Windows Az
nt responsablesecteur ou à
re. ns « ÉtablisseMSI » et « Co dans la normet 7.3 respect
5.1. Pour plus normes ISO dius sommes ce
t respect de la
ud (CCM
nse Microsof
ontractuellems exigences ené.
dans les accoestation de sela norme ISO 2. et 10.2 resplé de consulteour lesquelles
avec les partientation, les foun du risque ou s mesures appils. Microsoft d
contacts avec ôles et les rescontrôle de ce
s avec les autoalistes » sont aent à l'Annexeur plus d’inforormes ISO dises nous somm
utes les lois retion des donn la prestation s informations
de service.
n processus bœuvre des chodifications das, qui sont rév001. De plus, ssibilité de créns situées en dzure.
es du respect leur utilisation
ement du SMSnformité aux e
me ISO 27001,tivement, ains d’informationisponibles pub
ertifiés.
a vie privée | P
M) du CS
ft
ent à ses fourn matière de
ords conclus arvice conclus 27001, notampectivement. Per les normes s nous somme
s externes (teurnisseurs de les forums de
propriées et radispose d'une les organismeponsabilités s relations so
orités » et « Rabordées danse A, Paragraphmations, il est
sponibles mes certifiés.
elatives à la ées qui sont par Microsoft
s complément
bien établi qui hangements à ans les statutsisés chaque ale portail d'ach
éer de nouveadehors du cha
des lois et règn particulière d
SI », « Revue dexigences léga notamment d
si qu'à l'Annexs, il est conse
bliquement po
Page 10
SA
rnisseurs
vec des avec un
mment à Pour plus ISO
es
elles que service,
e apides et
équipe es
nt
Relations s la hes 6.1.6 t
du aires
permet ses et
année hat ux
amp
glements de
de ales » dans les xe A, eillé de ur
WCo
ID
C
i
Windows ontrôle C
D du contrôleCCM
CO-06
Conformité - Propriété
ntellectuelle
Azure - CO-06
e (
Une politiqdoivent êtprotéger lal'utilisationen comptejuridiction l'organisat
Réponse
Répons
Descr(CCM Version
que, un procetre établies et a propriété intn de logiciels pe les contraintet contractuetion.
standard pour
se à la m
ription n R1.1. Finale
ssus et une pmis en œuvre
tellectuelle et propriétaires etes législativeslles qui régiss
r les demande
matrice d
e)
rocédure e pour
en prenant s de la sent
IdMpo
Dgldl
Mnc
Lsdpllrc
McilsppcccMs
Lnddc
es d'informatio
de contr
l est exigé de d'appliquer lesMicrosoft gardpropriétaires aobligations con
De plus, Windgarantissent lea loi américaindroits d'auteure service.
Microsoft n'acqn'utilisera ni necelles indiquée
Les données dservices Winddépannage deproblèmes tou'amélioration da protection crelatives à l'uticourrier indési
Microsoft ne dcompris les ornstance gouv'exclusion de si la loi l'exigeportant sur lespour rediriger client. À cette coordonnées dcontraint de diMicrosoft fera sauf si la loi l'i
La disposition norme ISO 27d’informationsdisponibles pucertifiés.
on- Sécurité et
rôle Clou
Répon
tous les empls lois relatives dant la responsau sein des jurntractuelles qu
ows Azure dise respect des ne Digital Miller, de même qu
querra aucun e divulguera ces ci-dessous
du client ne seows Azure au
estiné à empêcuchant au foncdes fonctionnaontre des menilisateur (tellesrable).
ivulguera les dganismes d'apernementale, nos fournisse. Si un tiers ad
s données du cledit tiers afin fin, Microsoft du client à ce vulguer les doson possible nterdit.
« Établisseme001, notamme, il est conseil
ubliquement po
t respect de la
ud (CCM
nse Microsof
loyés et équips à la propriétésabilité d'utilisridictions légisui régissent l'o
spose de procexigences deenium Copyrigue la réglemen
droit sur les dces données às.
eront utilisées u client. Cela pcher, détecter
ctionnement dalités qui implnaces émerges que logiciels
données du cpplication de lou toute parti
eurs), sauf à ladresse à Microclient, Microsoqu'il s'adresspourra fournirtiers. Pour le
onnées du cliepour en inform
ent du SMSI »ent dans la Clllé de consulteour lesquelles
a vie privée | P
M) du CS
ft
pes sous-traitaé intellectuelleser des logicieslatives et desorganisation.
cédures qui « désinstallat
ght Act (DMCAntation sembla
données du clià aucune autre
que pour fourpeut inclure le r et réparer leses services etiquent la déte
entes ou évolus malveillants o
client à aucun a loi, toute aue à un litige, à
a demande du osoft une demoft fera le nécee directementr les simples cas où il serai
ent à un tiers, mer le client à
» est abordée ause 4.2.1. Po
er les normes s nous somme
Page 11
SA
antes ,
els
tion » de A) sur les able sur
ient, et e fin que
rnir les
s t à
ection et utives ou
tiers (y utre à
client ou mande essaire t au
it
l'avance,
dans la our plus ISO
es
WCo
ID
Gde
GdeC
Windows ontrôles
D du contrôle CCM
DG-01
ouvernance es données - Propriété / Gérance
DG-02
ouvernance es données - lassification
Azure - s DG-01
(C
Toutes les avec un chresponsabidocumenté
Les donnéedonnées, dclassificatiola juridictiondomiciliatiojuridiques, valeur, la sl'organisatioconcernantdivulgationsautorisés.
Réponse
Réponsà DG-0
DescripCM Version R
données doivargé d'intendailités assignée
ées et commun
es et les objetdoivent se voiron basée sur ln d'origine, la
on, le contexteles contrainteensibilité, de con et l'obligatit la rétention es ou les emplo
standard pour
se à la m02
ption R1.1. Finale)
vent être désigance avec deses qui seront dniquées.
ts contenant dr assigner unee type de donjuridiction de
e, les contraints contractuellecriticité pour on des tiers
et la préventionois abusifs no
r les demande
matrice d
gnées s définies,
WicomdoAzcesinfode Lessécda6.1conpo
des e nnées,
tes es, la
n des n
Wide ensMiclescon La la nPoISOcer
es d'informatio
de contr
ndows Azure mptabilisationnnées et le mure, ainsi ques actifs. Les pormations conla gestion de
s dispositions curité de l’infons la norme IS1.3 et 7.1.2 resnseillé de conur lesquelles n
ndows Azure classification
semble standacrosoft ne clas
s clients sur Wnformément à
disposition «norme ISO 27
our plus d’inforO disponibles rtifiés.
on- Sécurité et
rôle Clou
Répon
a mis en œuvdes actifs (qu
atériel) utilisésla désignation
ropriétaires dencernant leurs
leurs propres
« Attribution drmation » et «
SO 27001, notspectivement. sulter les normnous sommes
classifie les ddes données ard d'attributs ssifie pas les d
Windows Azure son engagem
Classification 7001, notammermations, il estpubliquement
t respect de la
ud (CCM
nse Microsof
vre une politiqui comprennens pour exploiten d'un propriées actifs doive actifs. Les cli
s données.
des responsa« Propriété detamment à l'A Pour plus d'in
mes ISO dispos certifiés.
données confoWindows Azude sécurité e
données envoe, mais traite toment défini en
des informatient à l'Annexet conseillé de t pour lesquel
a vie privée | P
M) du CS
t
ue formelle qunt notamment er les services
étaire pour chaent tenir à jourents sont resp
bilités en matis actifs » sont
Annexe A, Paranformations, ilonibles publiq
ormément au sure, puis implét de confident
oyées et stockoutes ces donCO-06.
ons » est aboe A, Paragrapconsulter les les nous somm
Page 12
SA
ui exige la les
s Windows acun de r toutes les ponsables
ère de t abordées agraphes l est uement
système émente un tialité. kées par nnées
ordée dans he 7.2. normes mes
WCo
ID
GdeMa
MP
GdePco
Windows ontrôles
D du contrôle CCM
DG-03
ouvernance es données - anipulation / Marquage / Politique de
sécurité
DG-04
ouvernance es données - Politique de onservation
Azure - s DG-03
(C
Des politiquétablies pola sécurité contiennend'héritage dœuvre poudes conten
Des politiqudes donnéeétablies et ou de redoassurer la créglementamétier. Dessauvegardeêtre mis en
Réponse
Réponsà DG-0
DescripCM Version R
ues et procéduur l'étiquetagedes données
nt des donnéesde l'étiquetager les objets qu
neurs globaux
ues et procédues et de stockdes mécanismndance mis enconformité aveaires, statutaires tests de récues sur disque
n œuvre à inte
standard pour
se à la m04
ption R1.1. Finale)
ures doivent êe, la manipulatet des objets s. Des mécane doivent être ui agissent compour les donn
ures de consekage doivent êmes de sauvegn œuvre pour ec les exigences, contractueupération des ou sur bande rvalles planifié
r les demande
matrice d
être tion et qui ismes mis en mme nées.
Wide ens La la nPoISOcer
ervation être garde
ces elles ou
doivent és.
Dedéfrégprol'ob Wid'inpé Witraen appocréstoplaseisau La noPoISOcer
es d'informatio
de contr
ndows Azure classification
semble standa
disposition «norme ISO 27
our plus d’inforO disponibles rtifiés.
es politiques etfinies et contrôglementaires, ogramme de sbjet d'un contr
ndows Azure nfrastructure eriodique à des
ndows Azure itées ci-dessocas de panne
partient aux cur offrir une pléant des sauveockant les sauateforme, en din d’un centre uvegardant ét
disposition «rme ISO 2700
our plus d’inforO disponibles rtifiés.
on- Sécurité et
rôle Clou
Répon
classifie les ddes données ard d'attributs
Classification 7001, notammermations, il estpubliquement
t procédures dôlées conformstatutaires, co
sauvegarde et rôle et d'une va
sauvegarde réet valide la ress fins de repris
comprend desous qui aident e interne d’un lients de prendlus grande toléegardes historvegardes des éployant des de données eat et données
Sauvegarde d01, notammenrmations, il estpubliquement
t respect de la
ud (CCM
nse Microsof
données confoWindows Azude sécurité e
des informatient à l'Annexet conseillé de t pour lesquel
de conservatiomément aux exontractuelles ot de redondancvalidation chaq
égulièrement stauration desse après sinist
s fonctionnalità prévenir la centre de dondre des mesuérance aux pariques des do
s données clieinstances de
et entre centres sur une mac
de l'informationt à l'Annexe At conseillé de t pour lesquel
a vie privée | P
M) du CS
t
ormément au sure, puis implét de confident
ons » est aboe A, Paragrapconsulter les les nous somm
on des donnéexigences ou métier. Le ce Windows Aque année.
les données données de m
tre.
tés de réplicatperte de donn
nnées Microsoures supplémeannes, par exennées client, ent en dehors dcalcul redonda
es de donnéeshine virtuelle.
n » est abordéA, Paragrapheconsulter les les nous somm
Page 13
SA
système émente un tialité.
ordée dans he 7.2. normes mes
es sont
Azure fait
manière
tion nées client oft. Il entaires emple en en de la antes au s, ou en
ée dans la 10.5.1. normes mes
WCo
ID
GdeM
GdeDo
p
Windows ontrôles
D du contrôle CCM
DG-05
ouvernance es données -
Mise au rebut sécurisée
DG-06
ouvernance es données - onnées hors production
Azure - s DG-05
(C
Des politiquétablies et pour l'élimincomplète dstockage, arécupérabled’investigat
Les donnéeêtre répliquenvironnem
Réponse
Réponsà DG-0
DescripCM Version R
ues et procédudes mécanismnation sûre ete données de
assurant que les par aucun tion.
es de productiuées ou utiliséments hors-pro
standard pour
se à la m06
ption R1.1. Finale)
ures doivent êmes mis en œ
la suppressioe tous les suppes données nmoyen
ion ne doivents dans des
oduction.
r les demande
matrice d
être œuvre
on ports de ne sont
Micsolamdode ou en con Toapmismél'av Lesmano10conles
t pas
Micgade Le envprodu déc Lesde tesl'And'indis
es d'informatio
de contr
crosoft utilise lution d’efface
méricaine NISTnnées qui ne destruction mincinération). fonction du ty
nservé.
utes les équipprouvés pour ses au rebut. éthodes approvance.
s dispositions atériel » et « Mrme ISO 2700.7.2 respectivensulter les nor
squelles nous
crosoft appliqurantir la restricproduction, co
déplacement vironnement doduction est exclient, si néce
cision de la di
s dispositions test et d’explo
st » sont abordnnexe A, Paranformations, ilsponibles publ
on- Sécurité et
rôle Clou
Répon
des procédurement des don
T 800-88. Poupeuvent être e
matérielle (désLa méthode d
ype de l’actif. U
pes de Windowla gestion du Les documentuvées, à la fin
« Mise au rebMise au rebut d01, notammenement. Pour prmes ISO dispsommes certif
ue le principe ction des accèonformément
ou la copie dede production xpressément essaire en vuevision juridiqu
« Séparation oitation » et « dées dans la nagraphes 10.1
est conseillé iquement pou
t respect de la
ud (CCM
nse Microsof
es de bonnes nnées conformur les disques effacées, nousintégration, brde mise au reUn historique
ws Azure utilisstockage des ts papier sont
n de leur cycle
but ou recyclades supports »
nt à l'Annexe Aplus d'informatponibles publiqfiés.
de ségrégatioès entre les enà la politique
es données dvers un envirointerdit, sauf ce du dépannague ou d'investig
des équipemProtection de
norme ISO 27.4 et 12.4.2. Pde consulter l
ur lesquelles n
a vie privée | P
M) du CS
t
pratiques, ainme à la norme durs contenans utilisons un royage, pulvérbut adaptée ede la destruct
sent des servicsupports et d
t détruits selone de vie défini
ge sécurisé(e» sont abordé
A, Paragraphetions, il est coquement pour
on des fonctionnvironnementsdéfinie.
e client depuisonnement horconsentementge du service,gation de Micr
ents de déveloes données sy001, notammePour plus les normes ISous sommes
Page 14
SA
nsi qu'une
nt des processus risation,
est choisie tion est
ces e leurs
n les à
e) du es dans la s 9.2.6 et nseillé de
r
ns pour s de test et
s un rs-t explicite , ou sur rosoft.
oppement, ystème de ent à
O certifiés.
WCo
ID
Gde
d'
Gde
d
Windows ontrôles
D du contrôle CCM
DG-07
Gouvernance es données -
Fuite informations
DG-08
Gouvernance es données - Évaluation des risques
Azure - s DG-07
Descr(CCM Vers
Fina
s
Des mécanmis en œudonnées
Les évaluaexigences doivent êtren considé Sensib
donnétransmles basl'infras
Conforsur lesmatièr
Classifcontredestruautoris
Réponse
Réponsà DG-0
iption sion R1.1. ale)
nismes de sécuvre pour emp
ations des risqde gouvernan
re réalisées à érant les éléme
bilisation sur l'es sensibles s
mises à traversses de donnée
structure résearmité avec less délais de conre de dispositiofication des do l'utilisation, l'action et la fals
sés
standard pour
se à la m08
curité doivent êcher les fuite
ques associés nce des donnéintervalles plaents suivants
endroit où lessont stockées s les applicatioes, les serveuau. s exigences dénservation et eon en fin de vionnées et proaccès, la pertesification non-
r les demande
matrice d
être es de
Les envidansconshttp La dISO10.1de clesq
aux ées anifiés :
s et
ons, urs et
éfinies en ie.
otection e, la
Winqui c Evadisples d Le set gnotaPouISOcert
es d'informatio
de contr
Répo
contrôles logiironnements Ws le livre blancsultable ici : ://go.microsof
disposition « F 27001, notam
10.3, 10.10.4 econsulter les nquelles nous s
dows Azure récomprend les
luation de l’imponibilité sur ledonnées, les l
sujet « Établissestion des act
amment dans r plus d’inform disponibles pifiés.
on- Sécurité et
rôle Clou
onse Microso
ques et physiWindows Azurc Présentation
t.com/?linkid=
Fuite d'informamment à l'Anneet A.12.6. Pounormes ISO disommes certifié
éalise chaqueéléments suiv
mpact de la cones actifs. Par «ogiciels et le m
sement du SMtifs » est abordla Clause 4.2.
mations, il est cpubliquement p
t respect de la
ud (CCM
oft
ques sont misre. Le sujet esn de la sécurit
=9740388&CL
ations » est abexe A, Paragr
ur plus d’informsponibles pubés.
e année une évvants :
nfidentialité, d« actifs » s'entmatériel.
MSI et classificdé dans la no.1, et à l'Anneconseillé de cpour lesquelle
a vie privée | P
M) du CS
s en œuvre dast traité en proé de Windows
CID=0x40C
bordée dans laraphes 10.4.1mations, il est bliquement po
valuation des
e l'intégrité et tendent, entre
cation des informe ISO 2700xe A, Paragra
consulter les nes nous somm
Page 15
SA
ans les fondeur
s Azure
a norme , 10.10.2, conseillé ur
risques,
de la e autres,
ormations 01, aphe 7.2. ormes
mes
WCo
ID
Sin
Sin
u
Windows ontrôles
D du contrôle CCM
FS-01
Sécurité des nstallations -
Politique
FS-02
Sécurité des nstallations - Accès des utilisateurs
Azure - s FS-01
(C
Des politiquétablies potravail sûr elocaux, inst
L'accès phyliés à l’inforpersonnel d
Réponse
Réponsà FS-02
DescripCM Version R
ues et procéduur maintenir uet sécurisé datallations et zo
ysique aux acrmation par lede support do
standard pour
se à la m2
ption R1.1. Finale)
ures doivent êun environnemns les bureauones sécurisée
ctifs et des fons utilisateurs eit être restrein
r les demande
matrice d
être ment de ux, les es.
L'aresbadentl'acfoupedelesêtr La insà l'conpo
ctions et le nt.
LesperWidiffcarsurfacdonOuporCeopéfou • Lauxautdéc• Ld'a• Lrégnéc La aboPaconles
es d'informatio
de contr
accès à tous lestreint par desdge d'identifictrer dans les cccueil doit idenurnisseurs autorsonnel doit pomander des e
s signaler. Toure accompagn
disposition «stallations » es'Annexe A, Panseillé de conur lesquelles n
s accès sont drsonnel indispndows Azure.férents procesrtes à puce, scr site, vidéosucteur pour l'accnnées.
utre les contrôlrtes dans le ce
enter Managemérationnelles purnisseurs et v
'autorisation px centres de dtorisées. Les dcoulent sont ces badges so
accès après vé'organisation M
gulièrement la cessaires son
disposition «ordée dans la ragraphe 9. Pnsulter les nor
squelles nous
on- Sécurité et
rôle Clou
Répon
es bâtiments M lecteurs de cation autorisé
centres de donntifier les emporisés qui ne sorter un badgexplications au
us les invités dés par le pers
Sécurisation dst abordée danaragraphe 9.1.sulter les normnous sommes
donnés en fonpensable reçoi
Les autorisatssus d'authentcanners biomérveillance percès physique
les d'accès phentre de donnment a mis en pour limiter l'avisiteurs autori
pour accorder données Microdemandes et l
conservées ennt fournis au pérification de l'Microsoft Dataliste d'accès. t appliquées.
Sécurité physnorme ISO 27
Pour plus d’informes ISO dispsommes certif
t respect de la
ud (CCM
nse Microsoft
Microsoft est ccartes (utilisatié) ou de systèmnnées. Le perployés à plein sont pas mune d'identificati
ux individus qudoivent porter sonnel Microso
des bureaux, ns la norme IS.3. Pour plus dmes ISO dispos certifiés.
nction du profilit l’autorisationtions d'accès ptification et deétriques, resprmanente, et aà l'environnem
hysique installnées, l'organis place des pro
accès physiqueisés :
un accès temosoft est limitéles décisions
n utilisant un spersonnel fais'identification. a Center Mana Après ce con
sique et enviro7001, notammormations, il eponibles publiqfiés.
a vie privée | P
M) du CS
t
contrôlé ; leur on obligatoiremes de biomésonnel chargétemps ou les is de badges. on en perman
ui n'en portentun badge Vis
oft autorisé.
des salles et dSO 27001, notd’informationsonibles publiq
l de poste ; sen de gérer les physiques fon
e sécurité : badonsables de s
authentificationment du centre
és sur différenation Microsofocédures e aux employé
mporaire ou peée aux équipesd'autorisation ystème de tickant une dema
agement examntrôle, les actio
onnementale »ment à l'Annexest conseillé dequement pour
Page 16
SA
accès est d'un
étrie pour é de
Le nence et t pas ou iteur et
des tamment
s, il est uement
eul le services t appel à dges et sécurité n à double e de
ntes ft Data
és,
rmanent s qui en
ket/accès. ande
mine ons
» est xe A, e
WCo
ID
SinPo
SinA
Sin
pe
Windows ontrôles
D du contrôleCCM
FS-03
Sécurité des nstallations - oints d'accès
contrôlés
FS-04
Sécurité des nstallations - Autorisation des zones sécurisées
FS-05
Sécurité des nstallations - Accès des
ersonnes nonautorisées
Azure - s FS-03
e (C
s
Des périm(clôtures, surveillancd'authentiréception doivent êtdonnées esensibles.
L’entrée edoivent êtmécanismpour s'assautorisé s
n
Les pointsaires de spersonnelles locauxet, si possstockage prévenir laperte de d
Réponse
Réponsà FS-05
DescripCCM Version
mètres de sécumurs, barrièrece électroniqufication physiqet de patrouill
tre mis en œuvet systèmes d.
et la sortie destre limitées et
mes de contrôlsurer que seuls’en verra perm
s d'entrée et dservice et autrel non autorisé x doivent être ssible, isolés deet de traitemea corruption, cdonnées.
standard pour
se à la m5
ption R1.1. Finale)
urité physique es, gardes, poue, mécanismeque, comptoirsles de sécuritévre pour proté'information
s zones sécuricontrôlées pae d'accès phy le personnel
mettre l'accès.
e sortie commes points où lepeut pénétrersurveillés, cones installationsent des donnéecompromission
r les demande
matrice d
ortes, es s de é) éger les
Leset ad'hemlimsond'adu critéqude cod Leenvnotil epub
sées ar des ysique
.
LeschaaboPaconles Po
me les e r dans ntrôlés s de es pour n ou
LeschaaboPaconles Po
es d'informatio
de contr
s constructionaucune indica
hébergement dmplacement. L'
ité. Les portesnt équipées de
accès, afin de centre de don
tiques (serveuuipements réssécurité (cont
de, sas, etc.) e
es dispositionsvironnementatamment à l'A
est conseillé debliquement po
s dispositions argement » etordées dans laragraphe 9. Pnsulter les nor
squelles nous
ur plus d'infor
s dispositions argement » etordées dans laragraphe 9. Pnsulter les nor
squelles nous
ur plus d'infor
on- Sécurité et
rôle Clou
Répon
s abritant les ation n'est donde centres de 'accès aux inss qui s'ouvrente dispositifs éllimiter l'accès nnées Microsours, groupes éseau, etc.) sontrôle d'accès éet/ou par des d
s « Périmètre dle » sont abornnexe A, Parae consulter lesour lesquelles
« Zones d’acc« Sécurité ph
a norme ISO 2our plus d’info
rmes ISO dispsommes certif
mations, veuil
« Zones d’acc« Sécurité ph
a norme ISO 2our plus d’info
rmes ISO dispsommes certif
mations, veuil
t respect de la
ud (CCM
nse Microsoft
centres de donée quant à ladonnées Micr
stallations du ct sur la salle plectroniques d aux espaces oft qui hébergelectrogènes, ant protégés paélectronique pdispositifs bio
de sécurité phrdées dans la agraphe 9. Pos normes ISOnous sommes
cès public, dehysique et env27001, notamormations, il eponibles publiqfiés.
llez-vous repo
cès public, dehysique et env27001, notamormations, il eponibles publiqfiés.
llez-vous repo
a vie privée | P
M) du CS
t
onnées sont ana présence derosoft à cet centre de donprincipale ou l'de contrôle deintérieurs. Le
ent les systèmarmoires électar différents sypar carte, serrumétriques.
hysique » et «norme ISO 27
our plus d’infordisponibles
s certifiés.
e livraison et dvironnementalement à l'Annest conseillé dequement pour
orter au code F
e livraison et dvironnementalement à l'Annest conseillé dequement pour
orter au code F
Page 17
SA
nonymes e services
nées est 'accueil s cartes s locaux
mes triques, ystèmes ure à
Sécurité 7001, rmations,
e e » sont
exe A, e
FS-03
e e » sont
exe A, e
FS-03
WCo
ID
SinA
SinÉ
SinG
Windows ontrôles
D du contrôleCCM
FS-06
Sécurité des nstallations - Autorisation hors locaux
FS-07
Sécurité des nstallations - Équipement hors locaux
FS-08
Sécurité des nstallations - Gestion des
actifs
Azure - s FS-06
e (C
L'autorisarelocalisatlogiciels oextérieurs
Des politiqétablies pdes actifs mise à diséquipemelocaux de
Un inventadoivent êtdéfinie et
Réponse
Réponsà FS-08
DescripCCM Version
tion doit être otion ou le tran
ou données das.
ques et procédour la sécurisadans le cadre
sposition sécuents gérés et u
l'organisation
aire complet dtre maintenu adocumentée.
standard pour
se à la m8
ption R1.1. Finale)
obtenue avantsfert de matér
ans des locaux
dures doivent ation et la gese de l'utilisationrisée des
utilisés en dehn.
des actifs esseavec leur prop
r les demande
matrice d
t la riels, x
Leset ddonconstoDéhttp Lesmonotd’indis
être stion n et la
ors des
La d'ulestec Unauxproou La dan9.2norsom
entiels riété
WicomAzL'inWigérl'invl'emactmastade La ISOd’indis
es d'informatio
de contr
s procédures des actifs fournnées logiquencernant les dockage de leuréclaration de cp://www.micro
s dispositions odifications » stamment à l'Anformations, ilsponibles publ
politique Micrutilisation corres actifs technochnologies des
e version de lx clients peut ospects doivenéquivalent, po
disposition «ns la norme IS2.5. Pour plus rmes ISO dispmmes certifiés
ndows Azure mptabilisation ure, ainsi que nventaire des ndows Azure rer toutes les ventaire, notamplacement etifs sont égaleaintien de la prandards. Des a
l’inventaire.
disposition «O 27001, notanformations, ilsponibles publ
on- Sécurité et
rôle Clou
Répon
de Microsoft rrnissent des pes et physiquedéménagemenrs données. Poonfidentialité à
osoft.com/wind
« Sortie d'un sont abordéesnnexe A, Paraest conseillé
iquement pou
rosoft de gestiectes ont été dlogiques, les cs services Win
a politique de être obtenue snt avoir signé our en recevo
Sécurité du mSO 27001, notd’informations
ponibles publiqs.
a mis en œuvdes actifs utilla désignationactifs matérieest maintenu.informations cmment le propt la classificatment responsrotection de leaudits régulier
Gestion des aamment à l'Ann
est conseillé iquement pou
t respect de la
ud (CCM
nse Microsoft
relatives à la pprescriptions ses, ainsi que dnts. Les clientsour en savoir à l'adresse sudowsazure/leg
actif » et « Mas dans la normagraphes 9.2.de consulter l
ur lesquelles n
ion des actifs développées ecomposants dndows Azure.
sécurité de l'isur demande.un accord de
oir un exempla
matériel hors lotamment à l'As, il est consequement pour
vre une politiqulisés pour les n d'un proprié
els majeurs de. Les propriétaconcernant leupriétaire ou totion de sécuritsables de la cleurs actifs conrs sont effectu
actifs » est abonexe A, Paragde consulter l
ur lesquelles n
a vie privée | P
M) du CS
t
protection des ur la protectioes instructionss contrôlent leplus, voir notr
uivante : gal/.
anagement deme ISO 27001,
7 et 10.1.2. Poles normes ISous sommes c
et les normeset mises en œdes infrastructu
information de. Les clients etnon-divulgatio
aire.
ocaux » est abAnnexe A, Para
illé de consultr lesquelles no
ue formelle quservices Windtaire de chaqu l'environneme
aires des actifsurs actifs au seout agent assoé. Les propriéassification et
nformément auués pour la vér
ordée dans la graphe 7. Poules normes ISous sommes c
Page 18
SA
données on des s
e lieu de re
es , our plus O certifiés.
œuvre pour
ures et les
estinée t les on (NDA),
bordée agraphe ter les ous
ui exige la dows ue actif. ent s doivent ein de
ocié, étaires des t du ux rification
norme r plus O certifiés.
WCo
ID
S
S
S
Rhu
Windows ontrôles
D du contrôleCCM
HR-01
Sécurité des ressources humaines -
Sélection en amont
HR-02
Sécurité des ressources humaines - Contrats de
travail
HR-03
Ressources umaines - Finde contrat
Azure - s HR-01
e (C
Conforméréglementcontractueles fournisune vérificproportiondonnées dexigences
Avant d'acphysique systèmes fournisseudoivent coles termesou de conexplicitempour la sé
n
Les rôles la cessatiodans les pêtre attribucommuniq
Réponse
Réponsà HR-0
DescripCCM Version
ément à la légitation, l'éthiquelles, tous les sseurs et les tcation des antnnelle à la clasdevant être acs métier et au
ccorder aux peou logique auou données,
urs, utilisateurontractuellemes et les conditntrat de servicement la responsécurité de l'info
et responsabion ou des chaprocédures d’eués, documenqués.
standard pour
se à la m3
ption R1.1. Finale)
slation locale,e et les contracandidats à l'iers seront soécédents ssification desccédées, aux risque accept
ersonnes l'accx installationsles employés,s tiers et clien
ent accepter eions de leur ee, qui doit inclsabilité des paormation.
lités pour le sangements d'eembauche dointés et
r les demande
matrice d
, la aintes emploi, umis à
s
table.
Tounepronotsurcasapp
cès s, ,
nts et signer mploi ure arties
ToproAzmisparlesà la Le Wiforau LesquasonPaconles
uivi de emploi ivent
La res La la nPoISOcer
es d'informatio
de contr
us les employe vérification socessus d'embtamment un cr son parcourssier judiciaire plicable.
us les employogramme de foure; par la suise à niveau, srtie d'un proce
s risques. Micra confidentiali
personnel de ndows Azure mations approrôle rempli.
s dispositions alification et font abordées dragraphe 8. Pnsulter les nor
squelles nous
fin de contrat ssources huma
disposition «norme ISO 27ur plus d’inforO disponibles rtifiés.
on- Sécurité et
rôle Clou
Répon
yés à plein temstandard de lebauche. Ces vontrôle des infs scolaire et unsous réserve
yés Microsoft cormation à la ste, ils participei nécessaire. L
essus permanerosoft a égalemté dans les co
GFS et de l'edoivent mettre
opriées, corres
« Rôles et resormations en mans la norme
Pour plus d’informes ISO dispsommes certif
des employésaines de Micro
Fin ou modific7001, notammemations, il estpubliquement
t respect de la
ud (CCM
nse Microsoft
mps de Microseurs antécédevérifications poformations founiversitaire, sedu respect de
concernés parsécurité mis eent à des sessLa sensibilisaent et régulierment prévu deontrats de trav
ensemble des e en place pouspondant aux
sponsabilités matière de sécISO 27001, n
ormations, il eponibles publiqfiés.
s est gérée seosoft.
cation du content à l'Annexet conseillé de t pour lesquell
a vie privée | P
M) du CS
t
soft doivent pants, dans le caourraient comurnies par le ces emplois et
e la règlementa
rticipent à un en place par Wsions régulièretion à la sécurr entrepris poues dispositionsvail de ses em
fournisseurs dur leurs équipprestations fo
» et « Sensibicurité de l’infootamment à l'A
est conseillé dequement pour
elon la procéd
trat » est abore A, Paragrapconsulter les les nous somm
Page 19
SA
asser par adre du prendre
candidat son ation
Windows es de rité fait ur réduire s relatives ployés.
de es des
ournies et
ilisation, ormation » Annexe A, e
ure de
dée dans he 8.3. normes mes
WCo
ID
lPm
lPdu
Windows ontrôles
D du contrôleCCM
IS-01
Sécurité de 'information
Programme demanagement
IS-02
Sécurité de 'information rise en chargu managemen/ Implication
Azure - s IS-01 à
e (C
- e t
Un SystèSécurité élaboré, œuvre quprotectiophysiquedonnéesinappropdivulgatioprogrammsans s'y dans la mcaractéri • Gestio • Politiqu • Organil'informat • Gestio • Sécurit • Sécurit • Commopération • Contrô • Acquismaintena
- ge nt
La directdoivent ppour sougrâce à ddocumenmission el'exécutio
Réponse
Réponsà IS-02
DescriCCM Version
ème de Managde l’Informatiodocumenté, aui comprend dn administrati
es pour protégs contre toute pprié, accès nonon, modificatiome de sécuritélimiter, les do
mesure où ils sstiques de l'enn du risque ue de sécuritéisation de la stion n des actifs té des ressouté physique etunication et gns ôle d'accès sition, dévelopance des systè
tion et la chaînprendre des mutenir la sécurides directives ntées, un engaexplicite et unon de la missio
standard pour
se à la m
iption R1.1. Finale)
gement de la on (SMSI ) a éapprouvé et mdes mesures dves, technique
ger les actifs eperte, usage n autorisé, on et destructié doit abordermaines suivanse rapportent ntreprise :
é écurité de
rces humainet environnemeestion des
pement et èmes d’inform
ne de managemesures forme
té de l’informaclaires et
agement, une e vérification don.
r les demande
matrice d
)
été mis en de es et
et les
ion. Le r, mais nts aux
s entale
mation
Unœuter Unauxproou Les« Ola nA, conles
ement elles ation
de
Chsécl'enl'in(exWiapppolfouper Unauxproou Lesde aboet àconpou
es d'informatio
de contr
n SMSI d'enseuvre pour répomes de sécur
ne version de lx clients peut ospects doivenéquivalent, po
s dispositions Organisation dnorme ISO 27Paragraphe 6nsulter les nor
squelles nous
haque version curité de l'infonsemble des pformation est
xistants ou noundows Azure prouvent toutelitique de sécuurnisseurs de Wrtinentes défin
ne version de lx clients peut ospects doivenéquivalent, po
s dispositions l'information »
ordées dans laà l'Annexe A, nseillé de conur lesquelles n
on- Sécurité et
rôle Clou
Répon
mble pour Winondre aux meiité, de confide
a politique de être obtenue snt avoir signé our en recevo
« Établissemede la sécurité d7001, notamme6. Pour plus d’irmes ISO dispsommes certif
approuvée parmation et de parties prenancommuniquéeuveaux) de Windiquent qu'iles les mesuresurité de l'informWindows Azu
nies dans la po
a politique de être obtenue snt avoir signé our en recevo
« Implication » et « Respona norme ISO 2Paragraphe 6sulter les normnous sommes
t respect de la
ud (CCM
nse Microsoft
ndows Azure illeures pratiquentialité et de
e sécurité de l'isur demande.un accord de
oir un exempla
ent et managede l’informatioent dans la Clinformations,
ponibles publiqfiés.
ar le managemses mises à j
ntes. La politiqe à l'ensemble
Windows Azurels ont pris con
es définies danmation. Toutesre approuventolitique de séc
e sécurité de l'isur demande.un accord de
oir un exempla
de la directionnsabilité de la 27001, notam
6.1.1. Pour plumes ISO dispos certifiés.
a vie privée | P
M) du CS
t
a été conçu eues du marchérisque.
information de. Les clients etnon-divulgatio
aire.
ement du SMSon » sont abordlause 4.2 et à il est conseilléquement pour
ment de la poliour est distrib
que de sécuritée des employée. Tous les emnnaissance et ns les documes les équipes t les mesures curité de l'infor
information de. Les clients etnon-divulgatio
aire.
n vis-à-vis de direction » sonment dans la
us d’informatioonibles publiqu
Page 20
SA
et mis en é en
estinée t les on (NDA),
SI » et dées dans l'Annexe
é de
itique de uée à é de és
mployés de qu'ils
ents de la des
rmation.
estinée t les on (NDA),
la sécurité nt Clause 5
ons, il est uement
WCo
ID
Sl'i
Sl'iEx
Sl'iR
de
Windows ontrôle I
D du contrôle CCM
IS-03
Sécurité de nformation - Politique
IS-04
Sécurité de nformation - xigences de référence
IS-05
Sécurité de nformation - Réexamens e la politique
Azure -IS-03 à
(
La directionde politiqueêtre commufournisseurconcernéesl'informatiol'organisatiopratiques, let internatioappuyée paprogrammeresponsabimanageme
Des exigenêtre établiemise en œuou achetéeinfrastructul'informationormes et eLa conformréférence dannuellemesignificatifs
La directionsécurité deà la suite dl'organisatioefficacité et
Réponse
RéponsIS-05
Descr(CCM Version
n doit approuve de sécurité duniqué aux emrs et autres pas. La politiquen doit établir lon et s’alignerla réglementatonales le cas ar un plan strae de sécurité ailités bien défient.
nces de sécuries et appliquéeuvre des appl
es), bases de dure réseau, et n qui se confoexigences rég
mité aux exigendoit être réévaent ou lors de s.
n doit réexamie l'information es changemeon, pour assut son exactitud
standard pour
se à la m
ription n R1.1. Finale
ver un documede l’informatiomployés, aux arties externese de sécurité d'orientation der sur les meilletion, les lois néchéant. Elle atégique et unavec des rôlesnis pour la dir
ité de références à la concepications (dévedonnées, systaux traitemen
orment aux poglementaires ances de sécur
aluée au moinschangements
iner la politiquà intervalles p
ents apportés àrer continuellede.
r les demande
matrice d
e)
ent formel on qui doit
s de e eures ationales doit être
n s et rection et le
ce doivent ption et la eloppées tèmes et nts de olitiques, applicables. rité de s s
ue de planifiés ou à ement son
es d'informatio
de contr
Pour plus d'in La dispositionabordée dansParagraphe 5consulter les lesquelles no
En tant que pde sécurité det implémentLes dispositiodes systèmesapplicables ala norme ISOPour plus d’innormes ISO dsommes cert
La politique dl'objet d'un prdes intervalle1 an. Si une mexigences deeffectués en La dispositionl’information notamment àd’informationdisponibles pcertifiés.
on- Sécurité et
rôle Clou
Répo
nformations, v
n « Politique ds la norme ISO5.1.1. Pour plunormes ISO d
ous sommes c
parties intégrae base sont coées. ons « Acquisits d'information
aux systèmes dO 27001, notamnformations, ildisponibles puifiés.
de sécurité de rocessus formes régulièrememodification s
e sécurité, le rédehors du cyc
n « Réexamen» est abordée
à l'Annexe A, Ps, il est conse
publiquement p
t respect de la
ud (CCM
onse Microso
veuillez-vous r
de sécurité deO 27001, notaus d’informatiodisponibles pu
certifiés.
antes du cadreconstamment c
tion, développn » et « Exiged'information mment à l'Annl est conseillé ubliquement p
e l'information mel de réexament planifiés qsignificative doéexamen et lacle normal.
n de la politique dans la normParagraphe 5.eillé de consultpour lesquelle
a vie privée | P
M) du CS
oft
reporter au cod
l'information amment à l'Anons, il est consubliquement p
e SMSI, les excontrôlées, am
pement et mainnces de sécur» sont abordé
nexe A, Paragde consulter l
pour lesquelles
de Windows Aen et de miseui ne peuvent
oit être apportéa mise à jour s
ue de sécuritéme ISO 27001,.1.2. Pour pluster les normes
es nous somm
Page 21
SA
de IS-02.
» est nexe A, seillé de our
xigences méliorées
ntenance rité
ées dans raphe 12. les s nous
Azure fait à jour à dépasser
ée aux sont
é de , s s ISO
mes
WCo
ID
Sl'i
Ade
Sl'i
du
Windows ontrôles
D du contrôle CCM
IS-06
Sécurité de nformation - Application e la politique
IS-07
Sécurité de nformation - Politique
d’accès des utilisateurs
Azure - s IS-06 à
(CCM
Une politiqude sanctionemployés qet procéduremployés dmesures pode violationtelles dans procédures
Les politiqud'accès desdocumentéen œuvre prévocation privilégié adonnées etet réseau eexigences conformité niveau de s
Réponse
Réponsà IS-07
DescriptionVersion R1.1
ue officielle dins doit être étaqui ont violé leres de sécuritédoivent être coouvant être prn et déclaréesles politiques
s.
ues et les procs utilisateurs d
ées, approuvéepour l'octroi etd’un accès noux applicationt à l'infrastructen conformité métier, sécuriet d’engagem
service (SLA).
standard pour
se à la m
n . Finale)
sciplinaire ou ablie pour les es politiques é. Les onscients des rises en cas comme
s et
cédures doivent être es et mises t la ormal ou ns, bases de ture serveurs avec les té,
ment de .
r les demande
matrice d
Le personnfailles de sWindows Apeut faire lpouvant allLe fournissvioler la popeut faire ljusqu'à la r Les ressoudisciplinair Les dispossécurité dedans la nor8.2.3. Pourdisponibles
Windows Ad'organisatElles ont étpolitique deAzure soit propriétaire(besoin d’eplus, cette gestion desl'authentificd'accès et La dispositnotammenconseillé dlesquelles
es d'informatio
de contr
nel des serviceécurité et/ou d
Azure – équiva'objet d'une enler jusqu'à la rseur suspecté olitique de séc'objet d'une enrésiliation de c
urces humainee.
sitions « Sensie l’informationrme ISO 2700r plus d’informs publiquemen
Azure a adoptétion applicableté approuvéese sécurité de laccordé sur jue des actifs, een connaître) epolitique répos actifs, y comcation, l'autorisles vérification
tion « Contrôlet à l'Annexe Ae consulter lenous sommes
on- Sécurité et
rôle Clou
Réponse M
es Windows Ade violer la poalant à la violanquête et d'unrésiliation du cde provoquerurité de l'informnquête et d'unces contrats.
es sont chargé
bilisation, qua» et « Proces
01, notammentmations, il est cnt pour lesque
é des politiquees, dont une ps, publiées et 'information e
ustification prot limité selon let du « least-pond aux exigenmpris celles posation de l'accns périodiques
e d'accès » esA, Paragraphe s normes ISOs certifiés.
t respect de la
ud (CCM
Microsoft
Azure suspectéolitique de sécation du Code ne action discicontrat. r des failles dermation de Micne action appr
ées de coordo
alification et fossus disciplinat à l'Annexe Aconseillé de coelles nous som
es de sécuritépolitique de sécommuniquée
exige que l'accofessionnelle, les principes dprivilege » (monces en matiè
ortant sur la focès, la suppres de l'accès.
st abordée dan 11. Pour plus
O disponibles p
a vie privée | P
M) du CS
é de provoqueurité de l'informde conduite Mplinaire appro
e sécurité et/ocrosoft Online ropriée pouvan
onner la répons
ormations en maire » sont aboA, Paragrapheonsulter les no
mmes certifiés.
é d'entreprise ecurité de l'infoes à Windowscès aux actifs avec l'autorisa
du « need-to-koindre privilègeère de cycle deurniture des assion des dro
ns la norme ISs d’informationpubliquement
Page 22
SA
er des mation de
Microsoft – opriée
u de Services
nt aller
se
matière de ordées s 8.2.2 et ormes ISO .
et ormation. Azure. La Windows ation du know » e). De e vie de accès, its
SO 27001, ns, il est pour
WCo
Sl'i- R
audu
Sl'i-
u
Windows ontrôles
ID du contrôle
CCM
IS-08
Sécurité de information Restrictions
/ utorisations d'accès aux utilisateurs
IS-09
Sécurité de information Révocation des accès
des utilisateurs
Azure - s IS-08 à
(CCM
L'accès norl’utilisateur abases de doréseau et dosensibles dopar la direct
Le déprovisles modificautilisateurs d’informatiol’organisatioœuvre en techangemenfournisseurscommerciauchangemencessation dle changemau sein de l
Réponse
Réponsà IS-09
Descriptio Version R1.1
rmal ou privilégaux applicatioonnées, configonnées ou fonoit être limité etion avant d'êt
sionnement, laations de l'accaux systèmes
on et données on doivent êtreemps opportunnt de statut des, clients, partux ou tiers. Lents de statut in'emploi, contra
ment d'emploi o'organisation.
standard pour
se à la m
n 1. Finale)
gié de ons, systèmes,gurations nctions et approuvé tre accordé.
a révocation ouès des
s, actifs de
e mis en n lors de tout s employés, tenaires es ncluent la at ou accord, ou le transfert
r les demande
matrice d
,
Windowsd'organisElles ont Windowsl'accès auprofessioselon les « least-prexigencescelles porde l'accèspériodiqu Les dispoprivilègesl'Annexe consultersommes
u Les resposont resputilisateurvalider qu Dans l'enl'accès au La disposISO 2700d’informapubliquem
es d'informatio
de contr
Azure a adopation applicabété approuvée Azure. La poux actifs Windnnelle, avec l'principes du «
rivilege » (mois en matière drtant sur la fous, la suppresses de l'accès.
ositions « Gess » sont abordA, Paragraphe
r les normes IScertifiés.
onsables et leponsables de lrs. Des auditsue la fourniture
nvironnement Wux applications
sition « Retrait01, notammenations, il est coment pour lesq
on- Sécurité et
rôle Clou
Réponse
pté des politiqubles, dont une es, publiées elitique de sécuows Azure soautorisation d« need-to-knondre privilègede cycle de vieurniture des acion des droits
tion des accèsées dans la noe 11.2. Pour pSO disponibles
s propriétairesa vérification préguliers de v
e appropriée d
Windows Azurs des clients h
t des droits d'at à l'Annexe A
onseillé de conquelles nous s
t respect de la
ud (CCM
Microsoft
ues de sécuritpolitique de s
et communiquéurité de l'inform
oit accordé surdu propriétaireow » (besoin de). De plus, cee de gestion dccès, l'authen
s d'accès et les
s des utilisateorme ISO 270
plus d’informates publiqueme
s des applicatpériodique devérification dedes accès a e
re, les clients hébergées dan
accès » est abA, Paragraphensulter les norsommes certif
a vie privée | P
M) du CS
té d'entreprisesécurité de l'inées au personmation exige qr justification des actifs, et ’en connaître)tte politique ré
des actifs, y cotification, l'auts vérifications
eurs » et « Ges001, notammetions, il est cont pour lesque
ions et des dos accès des
es accès permu lieu.
sont chargés ns Windows A
bordée dans la 8.3.3. Pour p
rmes ISO dispfiés.
Page 23
SA
e et formation.
nnel de que
limité ) et du épond aux ompris torisation
stion des ent à onseillé de elles nous
onnées
ettent de
de gérer Azure.
a norme plus ponibles
WCo
ID
Sl'i
Vde
Sl'i
Se
Windows ontrôles
D du contrôleCCM
IS-10
Sécurité de information - Vérification es accès desutilisateurs
IS-11
Sécurité de information - Formation / ensibilisation
Azure - s IS-10 à
e (CCM
s
Tous les ndoivent êtrintervalles Pour les vla correctioet procédudocumenté
n
Un prograsécurité dofournisseuemployés cas échéaayant accèorganisatiosensibilisaà jour réguorganisatiopolitiques,l'organisat
Réponse
Réponsà IS-11
DescriptioM Version R1
niveaux d'accère examinés p planifiés et doiolations d'accon doit suivre ures de contrôées.
mme de sensoit être établi p
urs, utilisateursde l'organisat
ant. Toutes lesès aux donnéeonnelles doive
ation appropriéulières dans leonnelles, les p liées à leur fotion.
standard pour
se à la m
on .1. Finale)
ès utilisateur par la directionocumentés. cès identifiéesdes politiques
ôle d'accès
ibilisation à la pour tous les s tiers et ion, et requis
s personnes es ent recevoir unée et des misees procédures procédures et onction dans
r les demande
matrice d
n à
s, s
La politiqWindowsl'autorisa« need-t(moindrematière sur la fosuppressl'accès. donnéesutilisateu Les clienresponsa Les clienabonnemapplicatigestion d Les dispprivilègel'Annexede consunous som
le
ne es
L'ensemde formapar la sunécessapermanecomme eégalemecontrats Les memsuivre defournies La disposécurité notammest conspour lesq
es d'informatio
de contr
que de sécurits Azure soit aation du proprto-know » (bese privilège). Dede cycle de viurniture d'accèsion des droitsLes responsas sont responsurs.
nts contrôlent ables de la bo
nts Windows Ament sur le poons et stockagde Windows A
positions « Gees » sont aborde A, Paragraphulter les normmmes certifiés
mble du personation à la sécuuite, il participeaire. La sensibent et régulier exemple la for
ent prévu des de travail de s
mbres du perses formations et aux rôles q
osition « Senside l’informatioent à l'Annexe
seillé de consuquelles nous s
on- Sécurité et
rôle Clou
Réponse
té de l'informaccordé sur jusiétaire des actsoin d’en conne plus, cette pe de gestion dès, l'authentifis d'accès et lebles et les prosables de la vé
l'accès de leuonne vérificatio
Azure s'inscrivrtail du site Wge grâce à leu
Azure.
estion des accdées dans la nhe 11.2. Pour es ISO dispons.
nnel Microsoft urité mis en plae à des sessioilisation à la sentrepris pourmation interndispositions reses employés
onnel de Windappropriées,
qu’ils remplisse
ibilisation, quaon » est aborde A, Paragraphulter les normesommes certif
t respect de la
ud (CCM
e Microsoft
ation exige questification proftifs, et limité snaître) et du «politique répondes actifs, y coication, l'autores vérificationsopriétaires desérification péri
urs propres ution de ces acc
vent au serviceWeb de Windowur abonnemen
cès des utilisatnorme ISO 27plus d’informa
nibles publique
concerné parace par Windo
ons régulières sécurité fait paur réduire les rne Microsoft Seelatives à la cs.
dows Azure ecorrespondanent.
alification et fodée dans la nohe 8.2. Pour pes ISO disponfiés.
a vie privée | P
M) du CS
e l'accès aux aessionnelle, a
selon les princ least-privilege
nd aux exigencompris celles isation de l'acs périodiques s applications iodique des ac
lisateurs et socès.
e en créant unws Azure. Ils gnt via le portai
teurs » et « G7001, notammations, il est coement pour le
rticipe à un proows Azure et/ode mise à niv
artie d'un proceisques. On peecurity 101.Monfidentialité d
t/ou de GFS dnt aux prestatio
ormations en morme ISO 270plus d’informatnibles publique
Page 24
SA
actifs avec ipes du e » ces en portant
ccès, la de et des ccès des
ont
n gèrent l de
estion des ent à onseillé squelles
ogramme ou GFS ;
veau, si essus
eut citer icrosoft a dans les
doivent ons
matière de 01, tions, il
ement
WCo
ID
l'C
co
l'
Re
l'Rded
Windows ontrôles
D du contrôleCCM
IS-12
Sécurité de information –
Connaissanceet analyse
omparative dsecteur
IS-13
Sécurité de 'information -
Rôles et esponsabilité
IS-14
Sécurité de 'information -
Responsabilitée surveillanc
de la direction
Azure - s IS-12 à
e (CCM V
– e
u
Au niveaconnaisset l'analydevront êbiais d’undes forumla sécuritassociati
-
és
Les rôlesdes fournemployéstiers doivlorsqu’ilsactifs d'insécurité.
- é
ce n
Les dirigeresponsala sensibdes politiprocédurs’appliqude respo
Réponse
Réponsà IS-14
Description Version R1.1.
u de l’industriesances de la syse comparativêtre maintenuen travail en résms de spécialité, et des ons professio
s et responsabnisseurs, des s et des utilisa
vent être docu se rapportent
nformation et à
eants sont ables du maintbilisation et du ques de sécu
res et des norment à leur domnsabilité.
standard pour
se à la m
Finale)
e, les écurité ve es par le seau, stes de
nnelles.
Mil'eMi
Lala d’ipu
bilités
ateurs mentés t aux à la
Laaul'inacqul'inla ex
La27esles
tien de respect rité, des mes qui maine
Chl'inprel'eWtoul'inapunsofou
LedirISplupu
r les demande
matrice d
icrosoft est meentreprise particrosoft organ
a disposition «norme ISO 27
informations, iubliquement po
a politique de sux fournisseursnformation clactifs d’informatuant à la protenformation a éSécurité de l'
xaminée, appr
a disposition «7001, notammst conseillé de squelles nous
haque versionnformation et denantes. La p
ensemble des Windows Azure
utes les mesunformation. Topprouvent les ne de ces partoit, il est de la urnir les docu
es dispositionsrection vis-à-vO 27001, notaus d’informatioubliquement po
es d'informatio
de contr
embre de plusicipe à leurs sise de nombre
Relations ave7001, notammil est conseilléour lesquelles
sécurité de l'ins de Windowsir et concis inction et à la séc
ection appropriété créée commInformation (Souvée et aval
Rôles et respent à l'Annexeconsulter les sommes cert
n approuvée pade ses mises
politique de sécemployés (ex
e indiquent qu'ures définies doutes les équipmesures pertiies n'a pas acresponsabilitéments corresp
s « Responsabvis de la sécuramment dans ons, il est consour lesquelles
on- Sécurité et
rôle Clou
Réponse Mic
sieurs organisaessions et y d
euses formatio
ec des groupement à l'Annexeé de consulter s nous somme
nformation exiss Azure un enscluant leurs rôcurité. Ces poliée de Windowme composan
SMSI) global pisée par la dire
ponsabilités » e A, Paragrapnormes ISO difiés.
ar le managemà jour sont discurité de l'infoistants ou nouelles ont pris cans les documpes des fourninentes définie
ccès à cette poé de l'agent depondants.
bilité de la direité de l'informala Clause 5 eseillé de cons
s nous somme
t respect de la
ud (CCM
crosoft
ations de son délègue des inons internes.
es de spécialisxe A, Paragrap
les normes ISes certifiés.
ste afin de fousemble de polôles et responslitiques donnews Azure. La pnt d'un Systèmpour Windows rection de Win
est abordée dhe 8.1. Pour pdisponibles pu
ment de la polstribuées à l'enormation est couveaux). Touteconnaissancements de la poisseurs de Wies dans le cadolitique pour qe supervision d
ection » et « Imation » sont a
et à l'Annexe Asulter les normes certifiés.
a vie privée | P
M) du CS
secteur d'actintervenants. D
stes » est abophe 6.1.7. PouSO disponibles
urnir au persolitiques de sécsabilités relati
ent des orientapolitique de sé
me de ManageAzure. Elle a
ndows Azure.
dans la normeplus d’informaubliquement p
litique de sécunsemble des pommuniquée àes les équipes
e et qu'elles apolitique de sécndows Azure
dre de cette poquelque raisonde Microsoft d
mplication de bordées dans
A, Paragraphemes ISO dispon
Page 25
SA
ivité ; De plus,
rdée dans ur plus s
nnel et curité de fs aux
ations écurité de ement de
été
e ISO tions, il our
urité de parties à s de pprouvent curité de
olitique. Si n que ce de leur
la s la norme 6.1. Pour nibles
WCo
ID
l'Sé
l'Red
l'
Windows ontrôles
D du contrôleCCM
IS-15
Sécurité de information -éparation des
tâches
IS-16
Sécurité de information -esponsabilitée l'utilisateur
IS-17
Sécurité de information -Espace de
travail
Azure - s IS-15 à
e (CCM V
- s
Des politiqprocédureœuvre poassurer undes fonctiune contrad’intérêt sl'utilisateutechniqueplace poude modificou non intmauvaise d’informat
- é r
Les utilisasensibiliséresponsab • Maintenla conformde sécuritprocédureexigencesapplicable • Maintende travail • Laisser surveillanc
-
Des politiqdoivent êtenlever lecontenantsensibles travail est pour l'appdéconnexposte au-dd'inactivité
Réponse
Réponsà IS-17
Description Version R1.1.
ques, processes doivent êtreur faire respecne séparation ons. Dans lesainte de confli
sur le rôle de r existe, des c
es doivent êtrer atténuer tou
cation non auttentionnelle ouutilisation des
tions de l'orga
ateurs doivent és à leurs bilités pour : nir la sensibilismité avec les pté publiées, leses, normes et s réglementaires nir un environnsûr et sécurisun équipemence de façon sé
ques et procédtre établies pos documents t des donnéesquand un espsans surveilla
plication de la xion de sessiondelà d’une péré.
standard pour
se à la m
Finale)
sus et e mis en cter et correcte
s cas où t
contrôles e en t risque torisée u de s actifs nisation.
Lal'eindeenprl'e
LaAz
La27il ele
être
sation et politiques s
res
nement é nt sans écurisée
Tofopaseau
Lemau
LaISd’pu
dures our visibles
s pace de ance et
n du riode
LeMdé
LaISd’pu
r les demande
matrice d
a séparation denvironnemententionnel ou e ces derniersntre les équiperopriétaires/déenvironnemen
a séparation dzure pour rédu
a disposition «7001, notammest conseillé d
esquelles nous
ous les emploormation à la sarticipent à deensibilisation àu minimum un
e personnel demettre en placeux prestations
a disposition «SO 27001, notinformations, ubliquement p
es contrôles teMicrosoft ; ils s'éconnexion au
a disposition «SO 27001, notinformations, ubliquement p
es d'informatio
de contr
des tâches estt Windows Aznon autorisé a
s. Les fonctiones opérationneétenteurs d'actt de productio
des tâches estuire les risque
« Séparation dment à l'Annexde consulter les sommes cert
oyés Microsoft sécurité de Wies sessions réà la sécurité fane fois par an
e GFS et de l'e pour ses équs fournies et au
« Responsabiltamment à l'Anil est conseillé
pour lesquelles
echniques et p'appliquent noutomatique de
« Responsabiltamment à l'Anil est conseillé
pour lesquelles
on- Sécurité et
rôle Clou
Réponse Mi
t établie sur lezure pour minimaux systèmes s et responsaelles de Windotifs approuven
on.
t effectuée danes de fraude, d
des tâches » ee A, Paragrapes normes ISOtifiés.
concernés pandows Azure gulières de mait partie d'un pour réduire le
ensemble desuipes des formu rôle rempli.
ités de l'utilisannexe A, Paraé de consulters nous somme
procéduraux footamment à dees sessions.
ités de l'utilisannexe A, Paraé de consulters nous somme
t respect de la
ud (CCM
icrosoft
es fonctions crmiser le risqu
s de productionabilités sont séows Azure. Lent les différent
ns les environde mauvaise u
est abordée daphe 10.1.3. PoO disponibles
articipent à unet/ou GFS ; pise à niveau, sprocessus coes risques.
s fournisseursmations approp
ateur » est aboagraphe 11.3. r les normes ISes certifiés.
ont partie deses sujets tels q
ateur » est aboagraphe 11.3. r les normes ISes certifiés.
a vie privée | P
M) du CS
ritiques de e d'accès nonn, ou de changéparées et défes ts accès et priv
nnements Winutilisation ou d
ans la norme Iour plus d’inforpubliquement
programme dpar la suite, ils si nécessaire.ntinu et est en
de Windows priées, corresp
ordée dans la Pour plus
SO disponible
politiques de que les exigen
ordée dans la Pour plus
SO disponible
Page 26
SA
n gement finies
vilèges de
dows d'erreur.
ISO rmations, t pour
de
La ntreprise
Azure doit pondant
norme
es
nces de
norme
es
WCo
ID
l'C
l'G
Windows ontrôles
D du contrôleCCM
IS-18
Sécurité de information -Chiffrement
IS-19
Sécurité de information -Gestion des
clés de chiffrement
Azure - s IS-18 à
e (CC
-
Des politiqétablies etœuvre posensibles exemple, données eutilisateur(par exemréseaux pélectroniq
-
Des politiqétablies etefficace dpermettre niveau dutransmiss
Réponse
Réponsà IS-19
DescriptCM Version R
ques et procédt des mécanisur le chiffremeau niveau du serveurs de fiet postes de trs) et des donn
mple, interfacespublics et messue).
ques et procédt des mécanises clés mis enle chiffremen stockage et dion.
standard pour
se à la m
tion R1.1. Finale)
dures doivent smes mis en ent des donnéstockage (parchiers, bases ravail des nées en transis entre systèmsagerie
dures doivent smes de gestion œuvre pour t des donnéesde la
r les demande
matrice d
être
ées r de
it mes,
Microsau chifde chifWindo Microstransmdes réchiffrecentre La disnormeplus ddispon
être on
s au
Microspermechiffreclés du La dis27001d’inforpubliq
es d'informatio
de contr
soft limite l'accffrement des dffrer les donné
ows Azure).
soft offre aux cmises vers et déseaux publicsment pour rép
es de données
position « Éche ISO 27001, n’informations,
nibles publique
soft dispose deettant une gestment des donu service Wind
position « Ges, notamment à
rmations, il estuement pour l
on- Sécurité et
rôle Clou
Répons
cès aux donnédonnées au seées stockées d
clients la possdepuis les cens. Microsoft utipliquer les dons Microsoft.
hange des infonotamment à lil est conseillé
ement pour les
e politiques, ption efficace dnées stockéesdows Azure.
stion des clés à l'Annexe A, t conseillé de cesquelles nou
t respect de la
ud (CCM
se Microsoft
ées de client. ein de son appdans XStore (
sibilité de chiffntres de donnéilise des réseannées client no
ormations » esl'Annexe A, Paé de consultersquelles nous
procédures et des clés afin des et transmise
» est abordéeParagraphe 1consulter les us sommes ce
a vie privée | P
M) du CS
Le client peut plication. Il est(compte de sto
rer leurs données Microsoft aux privés aveon publiques e
st abordée daaragraphe 10.r les normes I
s sommes cert
mécanismes e prendre en
es pour les co
e dans la norm2.3.2. Pour plnormes ISO d
ertifiés.
Page 27
SA
recourir t possible ockage
nées au travers
ec du entre
ns la .8. Pour SO tifiés.
charge le mposants
me ISO lus
disponibles
WCo
ID
Sl'– vu
Windows ontrôle I
D du contrôle CCM
IS-20
Sécurité de information Gestion des ulnérabilités
et des correctifs
Azure -IS-20
(CCM
Des politiquêtre établieœuvre pouvulnérabilits'assurant niveau appéquipemenque les cordisposition appliqués eune approcpour prioris
Réponse
Répons
Descriptio Version R1.1
ues et procédes et un mécanr la gestion deés et des corrque les vulnér
plications, systnts réseau sonrrectifs de sécpar les fourni
en temps oppoche fondée suser les correct
standard pour
se à la m
n 1. Finale)
ures doivent nisme mis en es rectifs, en rabilités au tèmes et nt évaluées et urité mis à sseurs sont ortun dans r le risque ifs critiques.
r les demande
matrice d
Les équipvulnérabilMSRC (Mpertinenceproductionfonction dpubliées s(SE) à l'aiLes misespublicatioProcess])utilisent l'os'appliqueclients onSE via le responsab Le servicerégulièremsécurité. Dvulnérabilet mène dBusiness La disposabordée d12.6. PouISO dispo
es d'informatio
de contr
pes de composités potentielle
Microsoft Secue de ces misen Windows Az
de leur caractèsuivant le cyclide de procéds à jour logicien (à 0 jour et S sont déployéoption par déferont automatit la possibilitéportail. En casbles de l'évalu
e MSRC (Micrment les sites Dans le cadreités, Windows
des actions su(STB) pour at
sition « Mesuredans la normer plus d’inform
onibles publiqu
on- Sécurité et
rôle Clou
Réponse
sants Windowes et des dernrity Response
es à jour au regzure et examinère critique. Lee mensuel deures de gestio
elles de sécuriSSIRP [Softwaes le plus rapiaut « Mise à niquement à leude se mettre
s de rôle de muation et de la
rosoft Securityexternes d'infdu processus
s Azure évaluer l'ensemble dtténuer les risq
e relative aux e ISO 27001, nmations, il est cuement pour le
t respect de la
ud (CCM
Microsoft
ws Azure sont nières mises àe Center) et Ggard de l'envirnent les vulnées mises à joues versions duon des modificité d'urgence h
ware Security Iidement possniveau auto »,urs machines à niveau sur
machine virtue mise à jour d
y Response Seformation sur ls régulier de ge notre exposde l’entité Micrques lorsque c
vulnérabilités notamment à lconseillé de cesquelles nou
a vie privée | P
M) du CS
prévenues deà jour logicielleFS. Elles analronnement derabilités assoc
ur logicielles sosystème d’ex
cations et des hors cycle habncident Respoible. Si les clie ces mises à jvirtuelles. Sinla dernière imlle (MV), les ce leurs MV.
ervice) surveilles vulnérabili
gestion des ition à ces vulrosoft Server acela est néces
techniques » l'Annexe A, Pa
consulter les nus sommes ce
Page 28
SA
es es par le lysent la
e ciées en ont
xploitation versions.
bituel de onse ents jour
non, les age du
clients sont
lle tés de
nérabilités and Tools ssaire.
est aragraphe ormes rtifiés.
WCo
ID
Sl'i
A
m
Sl'iG
Windows ontrôles
D du contrôle CCM
IS-21
Sécurité de nformation - Anti-virus / Logiciels
malveillants
IS-22
Sécurité de nformation -
Gestion des incidents
Azure - s IS-21 à
(CC
S'assurer qantivirus sosupprimer etypes connnon autorissignatures 12 heures
Une politiquprocéduresassurer la srelatifs à lagestion mintemps oppo
Réponse
Réponsà IS-22
DescriptiM Version R1
que tous les pront capables det protéger cous de logiciels
sés avec des mantivirus au m
ue, des proces doivent être sélection des sécurité et asnutieuse des iortun.
standard pour
se à la m
ion 1.1. Finale)
rogrammes de détecter, ontre tous les s malveillants mises à jour dmoins toutes le
ssus et établis pour événements ssurer une ncidents en
r les demande
matrice d
ou e
es
Le gromalvesuppod'une malve La disabordéParagconsunous s
Des rôdéfinispour les'occu Il incomveiller sécuritprocesmener Un pladirectid'incid Notre Isolatio La disl’inform27001d’inforpubliq
es d'informatio
de contr
oupe Windowsillants, y comprt spécialisés.surveillance villantes sur les
position « Proée dans la norraphe 10.4. Plter les normesommes certif
ôles et des ress pour l'ingéniee responsableupent des fonc
mbe aux respaux investigaté et à la confssus d'escaladr à bien les inv
an d'escalade on des service
dent de sécurit
processus comon, Éradicatio
position « Gesmation et des , notamment à
rmations, il estuement pour l
on- Sécurité et
rôle Clou
Répons
s Azure Securipris par l'escal Plusieurs par
visant à identifis systèmes.
otection contrerme ISO 2700our plus d’infos ISO disponiiés.
sponsabilités leur et le respo
e de la commuctionnalités.
onsables des tions et à la réidentialité, avede et d'embauvestigations et
et de communes confidentiaté a été élabor
mprend les étn, Récupératio
stion des incidaméliorations à l'Annexe A, t conseillé de cesquelles nou
t respect de la
ud (CCM
se Microsoft
rity répond auxlade et l'embaramètres de sfier les activité
e les codes ma01, notammenormations, il esbles publique
iés à la gestioonsable en chunication et po
opérations deésolution des ec l'aide d'aut
uche sur d'autrt l'analyse des
nication permealité, juridique ré.
tapes suivanteon et Leçons
dents liés à la » est abordéeParagraphe 1consulter les us sommes ce
a vie privée | P
M) du CS
x événementsauche de grousécurité clés foés potentiellem
alveillant et mot à l'Annexe Ast conseillé dement pour les
on des incidenarge des incid
our les équipes
e Windows Azincidents relatres postes. Deres postes afins incidents son
ettant d'informou exécutif en
es : Identificatià retenir.
sécurité de e dans la norm3.2. Pour plusnormes ISO d
ertifiés.
Page 29
SA
pes de
ont l'objet ment
obile » est A, e quelles
nts ont été dents, s qui
zure de tifs à la es n de nt prévus.
mer la n cas
ion,
me ISO s
disponibles
WCo
ID
Sl'i
d
Windows ontrôle I
D du contrôle CCM
IS-23
Sécurité de nformation -
Rapport d'incidents
Azure - IS-23
(C
Les fournistiers doivenresponsabiévénementen temps osécurité derapidementcommunicaconforme aréglementa
Réponse
Répons
DescripCM Version R
sseurs, employnt être tenus inilité de signalets liés à la sécopportun. Les e l'information t signalés par ation prédéfiniavec les exigeaires et contra
standard pour
se à la m
ption R1.1. Finale)
yés et utilisatenformés de leuer tous les curité de l’inforévénements ldoivent être des canaux ds et ce de mances légales, ctuelles.
r les demande
matrice d
eurs ur
rmation iés à la
de anière
Wiuneproautdiv Le com • Idêtrévésécsécd'uL'eing• Isl'ins'aintèappappsysd’in• Éd'eproayadéting• Rjousysfon• LgarappSi clieclie Les« RISOPoISOcer
es d'informatio
de contr
ndows Azure e réponse coooduire. Un évétres, en un ac
vulgation ou l'a
processus demprend les ph
dentification –e collectées, cénements est curité de Microcurité, l'inciden
une procédureescalade impliqgénierie. solation – L'éqcident. La priossurer que l'inègres. L'équippropriés et improfondie est stèmes concenvestigation ju
Éradication – Uescalade se coovoqués par laant entraîné leterminée, l'équ
génieurs produRecouvrement ur des logicielsstème pour penctionnement oeçons à retenrantir que les pliquées pour le personnel dent ont subi unent en sera av
s dispositions ResponsabilitéO 27001, notaur plus d’inforO disponibles rtifiés.
on- Sécurité et
rôle Clou
Répon
a développé dordonnée aux énement lié à lcès non autor
altération de d
e réponse aux hases suivante
Les alertes ducorrélées et anassurée par le
osoft. Si un évnt fait l'objet dd'escalade ap
que tous les s
quipe d'escaladorité immédiatncident est circpe d'escalade fplémente les mrequise, le conrnés, en utilisa
udiciaire et lesUne fois que laonsacre à l'éraa faille de sécue problème deuipe d'escaladuit. – Pendant la
s ou des configermettre aux soptimale. ir – Chaque inmesures d’attése protéger à
de Windows Ane faille ou touverti.
« Remontée dés et procéduramment à l'Annmations, il estpubliquement
t respect de la
ud (CCM
nse Microsoft
des processusincidents, si ula sécurité perisé débouchaonnées.
incidents de Wes :
u système et dnalysées. L'inves services d'vénement indid'une classificappropriée au s
spécialistes pr
de évalue la pte de l'équipe conscrit et queformule la répmodifications.ntenu est colleant les meilleu
s meilleures pra situation est adication de tourité, et identif
e sécurité. Si ude communiqu
phase de recogurations sont
services de ret
ncident de sécténuation apprà l'avenir contrAzure constateut autre type d
des failles de res » sont abonexe A, Paragt conseillé de t pour lesquell
a vie privée | P
M) du CS
t
s robustes pouun incident devut consister, e
ant sur la perte
Windows Azu
de la sécurité vestigation suexploitation etque un problèation de sévérsein de Microsoduits, sécurit
portée et l'impad'escalade ese les donnéesponse, réalise Si une investecté depuis leurs logiciels ratiques du sesous contrôle
ous les dommafie la cause inune vulnérabiliue le problème
ouvrement, let mises en œutrouver leur ca
curité est analyropriées ont étre les mêmes e que les donnd'accès non au
sécurité » et ordées dans lagraphe 13.1.2 consulter les les nous somm
Page 30
SA
ur fournir vait se
entre e, la
re
doivent ur les t de
ème de rité et soft. té et
act de st de s sont les tests
tigation es
ecteur. e, l'équipe ages itiale ité est e aux
s mises à uvre sur le apacité de
ysé pour té incidents.
nées d'un utorisé, ce
a norme et 13.2.1. normes mes
WCo
ID
l'
jr
l'Él
l'
Windows ontrôles
D du contrôleCCM
IS-24
Sécurité de information -Préparation juridique de réponse aux
incidents
IS-25
Sécurité de information -
Évaluation dela réponse à
l'incident
IS-26
Sécurité de information -Utilisation correcte
Azure - s IS-24 à
e (C
-
Dans le caconcernanorganisatisécurité daction en jd’investigachaîne dede l’informla collectepreuves pen justice concernée
-
Des mécapour survevolumes esécurité d
-
Les politiqétablies pactifs infor
Réponse
Réponsà IS-26
DescripCCM Version
as où une actint une personon après un ine l’informationjustice, des pration appropri
e responsabilitmation devraiee, la rétention, pour appuyer u
assujettie à lae.
anismes doiveeiller et quantiet coûts des ine l’information
ques et procédour une utilisarmationnels.
standard pour
se à la m
ption R1.1. Finale)
ion de suivi ne ou une ncident lié à lan nécessiteraitrocédures ées incluant laé des déposita
ent être requiseet la présenta
une potentiellea juridiction
ent être mis enifier les types,ncidents liés à n.
dures doivent ation correcte
r les demande
matrice d
a t une
a aires es pour ation de e action
Enproimmestd'eimp Les« Cnotd’indis
n place la
Lesdiffd'inleu Lesl’inliésdan13.norsom
être des
Lesserdesfonquiet llog Pol'utconl'ad La ISOd’indis
es d'informatio
de contr
tant que partiocessus de répmédiate de l'ét circonscrit et
escalade formuplémente les m
s dispositions Collecte de pretamment à l'Anformations, ilsponibles publ
s incidents liésférents niveauncidents sont éur gestion.
s dispositions formation et ds à la sécurité ns la norme IS.2. Pour plus drmes ISO dispmmes certifiés
s données du rvice Windowsstiné à empêcnctionnement di impliquent lal'évolution de
giciels malveill
ur plus informtilisation des dnfidentialité etdresse suivant
disposition «O 27001, notanformations, ilsponibles publ
on- Sécurité et
rôle Clou
Répon
ie intégrante dponse aux incquipe d'escalaque les donn
ule la réponsemodifications.
« Plan de répeuves » sont annexe A, Paraest conseillé
iquement pou
s à la sécuritéux de sévérité établis réguliè
« Gestion desdes amélioratio
de l’informatioSO 27001, notd’informationsponibles publiqs.
client ne seros Azure au cliecher, détecter des services edétection de,
menaces vis-àants ou courri
ations sur l'enonnées de cliles Droits d'u
te : http://www
Utilisation coramment à l'Ann
est conseillé iquement pou
t respect de la
ud (CCM
nse Microsoft
de l'étape « Iscidents de sécade est de s'a
nées sont intège, réalise les te
ponse aux inciabordées dansagraphe 13.2.de consulter l
ur lesquelles n
é de l'informatiet traités en fo
èrement afin d
s incidents liésons » et « Expon déjà survetamment à l'A
s, il est conseilquement pour
ont utilisées quent. Cela peutet réparer les
et à l'améliora, et la protectioà-vis de l'utilisier indésirable
ngagement deent, consultez
utilisation des sw.microsoft.co
rrecte » est abnexe A, Paragde consulter l
ur lesquelles n
a vie privée | P
M) du CS
t
olation » de ncurité, la prioritassurer que l'ingres. L'équipeests approprié
dents de sécus la norme ISO Pour plus les normes ISous sommes c
on sont classéonction. Des re rendre comp
s à la sécuritéploitation des inus » sont ab
Annexe A, Parallé de consulter lesquelles no
ue pour fournit inclure le dépproblèmes totion des foncton contre, l'émsateur (telles qe).
e Microsoft quaz la Déclaratioservices en ligm/windowsaz
bordée dans lagraphe 7.1.3. les normes ISous sommes c
Page 31
SA
otre té ncident
és et
urité » et O 27001,
O certifiés.
és en rapports pte de
é de incidents ordées agraphe er les ous
r le pannage
ouchant au ionnalités
mergence que
ant à on de gne à ure/legal/.
a norme Pour plus O certifiés.
WCo
ID
l’iRe
l’Tdé
l’i
o
Windows ontrôles
D du contrôleCCM
IS-27
Sécurité de information –estitution des
Actifs
IS-28
Sécurité de information -
Transactions de commerce électronique
IS-29
Sécurité de information –Accès aux
outils d’audit
Azure - s IS-27 à
e (C
– s
Les emploutilisateurrestituer tol’organisatdocumentcontrat ou
-
Les donnécommercepublics doappropriéefrauduleusou de modtoute contcompromi
–
L’accès à qui interagd’informatsegmentéappropriéecompromierronée d
Réponse
Réponsà IS-29
DescripCCM Version
oyés, les fourns de sociétés ous les actifs tion dans un dté une fois la du d’accord term
ées de commee) qui traverseoivent être clase et protégéesse, de divulgadification, de mtestation contrission de donn
et l’utilisation gissent avec letion des organés et restreintse pour prévenission ou utilises données jo
standard pour
se à la m
ption R1.1. Finale)
nisseurs et tierces doivenpropriété de délai défini et durée d’emplominée.
erce électroniqent les réseauxssifiées de mas de toute acti
ation non-autormanière à prévractuelle ou nées
des outils d’aes systèmes nisations devros de manière nir toute sation abusiveournalisées
r les demande
matrice d
nt
oi, de
Lessonmatleursupfouconma La dISOd’indisp
que (e-x anière ivité risée venir
Winélec
audit
ont être
e ou
L'acper Un les spéauxWinincld’expro Lesd’inaboParconpou
es d'informatio
de contr
s employés, lent formellementériel physiquer emploi ou la pport électronirnisseur ou de
nduire un auditnière appropri
disposition « RO 27001, notamnformations, il ponibles publi
ndows Azure nctronique (e-c
ccès aux outilsrsonnel autoris
modèle de geaccès dont ils
écifiques, rédux systèmes et ndows Azure puent un examxploitation norcédures de su
s dispositions nformation » etordées dans laragraphes 15.nseillé de consur lesquelles n
on- Sécurité et
rôle Clou
Répon
s fournisseursnt notifiés de de que Microsopériode de coque doit être de la société tiet pour s’assureiée.
Restitution desmment à l'Annest conseillé dquement pour
ne fournit pas ommerce).
s d'audit du sysé au sein de W
estion délégués ont besoin pouisant la probafonctions que
possède des pmen à intervallermalisées et uupervision.
« Protection dt « Protection
a norme ISO 23.2 et 10.10.3sulter les normnous sommes
t respect de la
ud (CCM
nse Microsoft
s et utilisateurdétruire ou resoft leur a fournontrat avec le déconnecté deerce. Microsoftrer que les don
s actifs » est anexe A, Paragde consulter ler lesquelles no
de solutions d
ystème d'inforWindows Azu
ée n’autorise aour accomplir
abilité d’erreure sur la base dprocessus formes réguliers de
une revue des
des outils d’audes informatio
27001, notamm3. Pour plus d’mes ISO dispo
certifiés.
a vie privée | P
M) du CS
t
rs de sociétés stituer, selon leni durant la durfournisseur, ee l’infrastructut peut égalemnnées sont ret
abordée dans raphe 8.3.2. Pes normes ISOous sommes c
de commerce
rmation est limure.
aux administrades tâches
s et n’autorisadu strict nécesmels de survees procéduresprocessus et
dit du systèmeons journalisément à l'Annexinformations,
onibles publiqu
Page 32
SA
tierces e cas, tout rée de
et tout ure du ent tirées de
la norme Pour plus O certifiés.
mité au
ateurs que
ant l’accès saire.
eillance qui s
e ées » sont xe A, il est
uement
WCo
ID
l’i
c
l’i
In
Windows ontrôles
D du contrôleCCM
IS-30
Sécurité de information –Accès aux ports de
diagnostic / configuration
IS-31
Sécurité de information –
Services Réseau/
nfrastructure
Azure - s IS-30 à
e (CC
– L’accès dediagnosticrestreint aautorisées
–
Les accorréseau et externalisdocumentles niveaudimensionmétier ou
Réponse
Réponsà IS-31
DescriptiM Version R1
es utilisateursc et de configuaux personness.
rds sur le niveainfrastructureé) devront clater les contrôleux de service ennement, et leclients.
standard pour
se à la m
ion 1.1. Finale)
s aux ports de uration doit êtrs et application
au de service (en interne ou
airement es de sécuritéet de
es exigences
r les demande
matrice d
re ns
La politglobalejour. L'aexigencplus : • L'accèknow »privilèg• Lorsqusont utizone de• Les poaux nor WindowconfiguLes poraccessipersonnserviceséquipemfonction La dispdans la10.6.1, consultnous so
u
é,
DimensperformWindowet une dou un égénèretraiter lel'utilisatoptimis La princpar GFSservicesISO 270 Les diset « Sé27001, plus d'indisponi
es d'informatio
de contr
tique de contrô qui fait l'objetaccès aux actices du métier
ès aux actifs e(besoin d’en e). ue cela est polisés pour alloe responsabiliolitiques de cormes.
ws Azure contrration par le brts de diagnosibles par acconel de supports, et équipemment réseau, qn métier, sont
osition « Mesu norme ISO 211.1.1 et 11.4er les normesommes certifié
sionnement : umance des souws Azure au redisponibilité du
événement irrédes avertisse
e seuil ou l’évétion des capacer l'environne
cipale infrastruS. Les contrats ou des fabri001 de GFS.
positions « Sécurité des servnotamment à nformations, ilbles publiquem
on- Sécurité et
rôle Clou
Réponse
ôle d’accès est d'un processifs de Windowet sur autorisa
est autorisé enconnaître) et «
ossible, les conouer des accèsté, plutôt qu'à ontrôle d'accès
rôle l'accès phbiais de contrôstic et de configord entre le prot matériel/logicents similairesqui ne sont padésactivés ou
ures de contrô7001, notamm
4.4. Pour plus ISO disponib
és.
une surveillancus-systèmes cegard des limitu service acceégulier se prodements pour quénement. L’ancités sont prévment.
ucture réseau ts de niveau dcants de maté
écurité dans levices réseau »l'Annexe A, P est conseillé ment pour lesq
t respect de la
ud (CCM
e Microsoft
st un composasus formel de rws Azure est aation du propr
n fonction des « least-privileg
ntrôles d'accès logiques à u une personnes physique et
hysique aux pôles physiquesguration sont opriétaire de l’ciel demandans installés sur as spécifiquemu retirés.
ôle sur les résment à l'Annex
d’informationsbles publiquem
ce proactive mclés de la platetes établies poeptables. Quaduit, le systèmue l’équipe denalyse des pevues de maniè
sous-jacente de service desériel sont qual
es accords con» sont abordé
Paragraphes 6de consulter quelles nous s
a vie privée | P
M) du CS
ant de la politiqréexamen et dutorisé en fon
riétaire des ac
principes « nge » (moindre
ès basés sur leune fonction oue. logique sont c
orts de diagnos du centre deuniquement ’actif/service ent l’accès. Lesun ordinateur
ment requis po
seaux » est abxe A, Paragraps, il est conse
ment pour lesq
mesure en coneforme de servour des perfor
and un seuil esme de surveillaes opérations rformances syère proactive p
est actuellemprestataires d
ifiés par la cer
nclus avec deées dans la no6.2.3 et 10.6.2les normes ISsommes certif
Page 33
SA
que de mise à nction des ctifs. De
need-to-
es rôles u à une
conformes
ostic et de e données.
et le s ports, les r ou un our une
bordée phe illé de
quelles
ntinu la vices rmances st atteint ance puisse ystème et pour
ment gérée de rtification
s tiers » rme ISO . Pour
SO fiés.
WCo
ID
l’E
l’i
c
l’i
p
co
Windows ontrôles
D du contrôleCCM
IS-32
Sécurité de ’information- Equipements
portables / Mobiles
IS-33
Sécurité de information –Restriction d’accès au
code source
IS-34
Sécurité de information –Accès des
programmes utilitaires
LG-01
Juridique – Accords de onfidentialité
Azure - s IS-32 à
e (CC
Des politiqêtre établiimplémenstricte l’acdepuis lesmobiles, ttéléphonepersonnelgénéral pléquipemeposte de tde l’organ
–
L'accès auprogrammrestreint abase du «enregistrequant à laindividuel,version du
–
Les prograpotentiellecontrôles machine vêtre restre
é
Les exigedivulgationles besoinprotectionopérationndocumentplanifiés.
Réponse
Réponsà LG-01
DescriptCM Version R
ques et procédies et des mestées pour limi
ccès aux donns équipementsels que ordina
es cellulaires, els digitaux (PDlus à risque qu
ents non-portatravail fixe dannisation).
u code sourcemes ou objets dau personnel a« besoin d’en cements devrona permission d, la raison de lu code source
ammes utilitaiement de contsystème, obje
virtuelle et appeints.
nces pour les n ou de confid
ns de l’organisn des donnéesnels seront idetés et réexami
standard pour
se à la m
tion R1.1. Finale)
dures devrontsures ter de manière
nées sensibless portables et ateurs portableet assistants
DA), qui sont eue des bles (par ex.
ns les bâtimen
e des applicatidevra être
autorisé sur la connaître ». Dnt être mainten’accès au nivel’accès et la
e exposé.
res capables tourner les et, réseau, plications devr
accords de nodentialité reflétsation pour la s et des détailsentifiés, inés à interval
r les demande
matrice d
t
e s
es,
en
nts
Les éqrespecéquipel'utilisaWindoexigen La disabordéParagconsunous s
ions,
Des nus eau
Les bipersoncode sles provoient besoinassuresourcesoumisbiblioth La disdu prol'Anneconselaquel
de
ront
Les prprocesautoris
La disexternl'Anneconselesque
on-tant
s
lles
Les semaintil’impléconfid La disnormeplus ddispon
es d'informatio
de contr
quipes et le pecter les politiquements mobileation de ces éqows Azure. Lesnces en matièr
position « Infoée dans la norraphe 11.7.1. lter les normesommes certif
bliothèques dennel autorisé. source maintiojets indépendattribuer l'acc
n pour exercerent le respect e en exigeant ssion. Un jourhèque de cod
position « Conogramme » esxe A, Paragraillé de consultle nous somm
rogrammes utissus de gestiosé.
position « Autnes » est abordxe A, Paragraillé de consult
elles nous som
ervices juridiquennent des po
émentation et lentialité.
position « Enge ISO 27001, n’informations,
nibles publique
on- Sécurité et
rôle Clou
Répons
ersonnel de Wues applicablees dans l'envirquipements a s points d'accère de sécurité
ormatique et crme ISO 2700Pour plus d’ins ISO disponiiés.
e code sourceLorsque cela ennent des esdants. Windowcès uniquemenr leur fonction.du contrôle deque les vérific
rnal d’audit que source est m
ntrôle d’accès t abordée dan
aphe 11 et 12.4er la norme IS
mes certifiés.
ilitaires subisson des version
hentification ddée dans la noaphe 11.4.2. Per les normes
mmes certifiés
ues et des resolitiques et desl’exécution de
gagements denotamment à lil est conseillé
ement pour les
t respect de la
ud (CCM
se Microsoft
Windows Azurees, qui n'autorronnement de été approuvé
cès mobiles doé des appareils
communication01, notammennformations, il bles publique
e Windows Azest faisable, l
spaces de travws Azure et sent aux espace. Les bibliothèes modificatiocateurs désignui détaille les mmaintenu.
s et contrôle d’ns la norme IS4.3. Pour plus
SO disponible
sent des modifns et sont rés
de l’utilisateur orme ISO 270
Pour plus d’infos ISO disponibs.
ssources humas procédures
es contrats de
e confidentialitl'Annexe A, Paé de consultersquelles nous
a vie privée | P
M) du CS
e sont tenus derisent pas les production, s
ée par la directoivent satisfairs sans fil.
ns mobiles » et à l'Annexe Aest conseillé
ment pour les
zure sont réseres bibliothèquvail projet sépes fournisseurses de travail doèques de codens apportées
nés les examinmodifications v
accès au codSO 27001, notas d'informationpubliquement
fications à travervés au pers
pour les conn001, notammeormations, il ebles publiquem
aines Microsodéfinissant non-divulgatio
é » est abordéaragraphe 6.1r les normes I
s sommes cert
Page 34
SA
e
auf si tion de re aux
est A, de quelles
rvées au ues de arés pour s se ont ils ont
e source au code
nent avant visant la
e source amment à ns, il est t pour
vers le onnel
nexions nt à
est ment pour
oft
on et de
ée dans la .5. Pour SO tifiés.
WCo
ID
c
O
Windows ontrôles
D du contrôleCCM
LG-02
Juridique – Accords
conclus avec des tiers
OP-01
Opérations – Politique de
gestion
Azure - s LG-02
e (C
Pour toustiers qui, dimpactentdonnées dd’inclure lexigencesconcerne traitementl’hébergeminformatioou la suppl’informatid’approvisinclure deexemple, préventiondonnées édivulgatioincorrecte
Les politiqétablies el'ensemblemanière ades servic
Réponse
Réponsà OP-0
DescripCCM Version
les accords cdirectement out les actifs infode l’organisatia couverture ds de sécurité ales accords imt, l’accès, la coment ou la gesonnels de l’orgpression de seon existante. sionnement de
es contrôles dechiffrement, cn de fuite) et déchangées pon, altération o
e.
ques et procédt rendues dispe du personne
adéquate le rôces.
standard pour
se à la m1
ption R1.1. Finale)
conclus avec du indirectemenormationnels oon, il est exigéde toutes les appropriées. Cmpliquant le ommunicationstion des actif
ganisation, ou ervices ou proLes accords es actifs devroe sécurité (parcontrôles d’accd’intégrité pouour prévenir unou destruction
dures doivent ponibles pour el afin d'assure
ôle des opérati
r les demande
matrice d
des nt, ou é
Ceci
n, fs l’ajout
oduits à
ont r cès, r les ne
Lesl'orcerprosenle ctierséc LaestPaconles
être
rer de ions
Enrecrecdécparcardétconpotproet p La dan5.1norsom
es d'informatio
de contr
s normes des rganisation dertains échangeocessus, cettensibles avec dcadre d'une prrs comprennecurité dans les
disposition «t abordée danragraphe 6.2.nsulter les nor
squelles nous
cohérence avcrutent définisscrutement, entcrivent les resr le poste, l’exractéristiques terminées, lesnstitue le profitentiels. Lorsqocessus d’entrprendre une d
disposition «ns la norme IS. Pour plus d’
rmes ISO dispmmes certifiés
on- Sécurité et
rôle Clou
Répon
services Wind gestion des res avec des p
e organisation des parties horrocédure formnt des exigencs contrats.
Sécurité danss la norme ISO3. Pour plus drmes ISO dispsommes certif
vec la politiquesent les exigetretien et embasponsabilités pxpérience nécepersonnelles
s dirigeants crél du poste et e
que des candidretien commendécision d’emb
Politique de sSO 27001, notinformations,
ponibles publiqs.
t respect de la
ud (CCM
nse Microsoft
dows Azure strisques de Winparties externe
garantit que lrs Microsoft s
melle. Les accoces approprié
s les accords cO 27001, nota
d’informations,ponibles publiqfiés.
e Microsoft, leences du posteauche. Les ex
principales et lessaire pour erequises. Uneéent une descest utilisé poudats viables sonce pour l’évabauche approp
sécurité de l’intamment à l'Ail est conseilléquement pour
a vie privée | P
M) du CS
t
tipulent que ndows Azure aes. Dans le caes échanges de font uniquemords conclus aées en matière
conclus avec damment à l'An, il est conseillquement pour
es dirigeants qe avant tout xigences du poles tâches impexécuter le trae fois les exigecription de posr identifier les ont identifiés,
aluation des capriée.
formation » esAnnexe A, Paraé de consulterr lesquelles no
Page 35
SA
approuve dre de ce d'actifs ment dans avec des e de
des tiers » nnexe A, lé de
qui
oste pliquées vail et les ences ste, qui candidats le
andidats
st abordée agraphe r les ous
WCo
D
Pdiet
M
Windows ontrôles
ID du contrôlCCM
OP-02
Gestion desOpérations
Documentatio
OP-03
Gestion desOpérations –
Planification dmensionnemdes ressourc
OP-04
Gestion desopérations –
Maintenance dmatériel
Azure - s OP-02
le
s - on
La docud’informutilisateetc.) dopersonsuivant • Confsystèm • Utilissécurité
s – du
ment ces
La dispdimensadéquaet mesusystèmexigencet métiebesoinsprises psurchar
s – du
Des poétabliesdans ledisponi
Réponse
Réponsà OP-0
Desc(CCM Versio
umentation dumation (ex., gueur, diagrammoit être mis à lanel autorisé àts : iguration, insta
me d’informatioation efficace é du système
ponibilité, la qusionnement et ats doivent êtrurés pour offrie requises coces réglementer. Des projecs de dimensiopour atténuer rge du systèm
olitiques et pros pour la maine but d’assurerbilité des opé
standard pour
se à la m4
cription n R1.1. Finale
u système uides administ
mes d’architecta disposition dassurer les é
allation et geson
des fonctions
ualité, ainsi qules ressourcee planifiés, prér les performanformément ataires, contracctions sur les fnnement doivles risques de
me.
cédures doiventenance du mr la continuité rations.
r les demande
matrice d
e)
trateur et ture, du
éléments
stion du
s de
LedoLeauMcoouAzsi L'W Le«noetnoso
ue le es éparés ances aux ctuelles futurs vent être e
Wsudesodestla le
LaISpldi
ent être matériel
et la
UdeSCpracWexl'eLeapgé
LanoPoISce
es d'informatio
de contr
es procéduresocumentées ees procéduresu moins une fo
Microsoft Windoomplète, que cu d'aide au dézure. La docutes centralisés
accès à la docWindows Azure
es dispositionsSécurité de la
orme ISO 270t 10.7.4. Pour ormes ISO disommes certifié
Windows Azureuivants : gestioes événementous-système pe service acceockage et latesurveillance e
urs application
a disposition «SO 27001, notus d’informatiosponibles pubn processus pe la continuité CM) est en plarocessus comctifs Windows
Windows Azurexigences de séenvironnemenes clients sontpplications suréographique.
a disposition «orme ISO 270our plus d'info
SO disponiblesertifiés.
on- Sécurité et
rôle Clou
Répon
s normalisées et approuvées s normalisées ois par an. ows Azure mece soit sous fopannage dansmentation de s.
cumentation de concernées s
s « Procédurea documentatio01, notammenplus d’informa
sponibles publés. e a mis en placon proactive dts définis ; survpour un niveaueptables, utilisaence du réseaet de la planifins.
« Dimensionneamment à l'Anons, il est con
bliquement poupour le dévelop
des services ace pour l'envprend une straAzure et la re
e. La solution décurité, de cont de productiot responsablesr plusieurs site
« Maintenance01, notammen
ormations, il ess publiquemen
t respect de la
ud (CCM
nse Microsof
d'exploitation par la directiod'exploitation
et à dispositionorme de guides le cadre du Windows Azu
du système esselon leur fon
es d’exploitatioon système » nt à l'Annexe Aations, il est coliquement pou
ce les processdes capacités rveillance matéu de performaation des serv
au. Les clients ication des be
ement » est abnnexe A, Paranseillé de consur lesquelles nppement et le(Services Con
vironnement Watégie pour le
eprise des prode continuité dnformité et de
on de service ss du déploiemes pour bénéfi
e du matériel »nt à l'Annexe Ast conseillé dent pour lesque
a vie privée | P
M) du CS
ft
sont formelleon de Window
sont passées
n une documee, d'aide, de foservice Windo
ure est stockée
st réservé aux ction.
on documentésont abordéeA, Paragrapheonseillé de cour lesquelles n
sus opérationnbasée sur desérielle et logicnce et une dis
vices, utilisatiosont responsasoins en capa
bordée dans laagraphe 10.3.1sulter les normnous sommes maintien d'unntinuity Manag
Windows Azurerecouvremen
cessus métierde l’activité re
e confidentialitésur le site de s
ment de leurs icier d'une red
» est abordée A, Paragraphe
e consulter leselles nous som
Page 36
SA
ment ws Azure. s en revue
entation ormation ows e sur des
équipes
es » et es dans la es 10.1.1 nsulter les
nous
nels s seuils ou ielle du sponibilité on du ables de acité de
a norme 1. Pour
mes ISO s certifiés. ne gestion gement ou e. Le nt des r clés de produit les é de secours.
dondance
dans la e 9.2.4.
s normes mmes
WCo
ID
M
A
Windows ontrôles
D du contrôleCCM
RI-01
Gestion du risque -
Programme
RI-02
Gestion du risque
Management Evaluation
RI-03
Gestion du risque -
Atténuation /Acceptation
Azure - s RI-01 à
e (C
Les orgamainteniniveau deun nivea
-
AlignemeDes évaldoivent êpar an oudéterminles risqueméthodeprobabilitinhérent détermincompte trisques (analyse dconformi
/
Les risquacceptabbasés suêtre étabdes délad’approb
Réponse
Réponsà RI-03
DescriCCM Version
anisations doivr un cadre de e l’entreprise u acceptable.
ent sur la strucuations de ris
être effectuéesu à intervalleser la probabilies identifiés, e
es qualitatives té et l'impact aet résiduel deés de manièreenu de toutespar exemple, des menaces té réglementa
ues seront attéble. Les niveauur les critères dblis et documeis raisonnable
bation par la di
standard pour
se à la m
iption R1.1. Finale)
vent élaborer egestion du rispour gérer le r
cture de l'entreques formelles au moins un planifiés pourté et l'impact d
en utilisant deset quantitative
associé à un revraient être e indépendants les catégorierésultats d’auet vulnérabilit
aire).
énués à un nivux d'acceptatiode risque doivntés conformé
es de résolutiorection.
r les demande
matrice d
)
et sque au risque à
Le estam La risqPaconles
eprise. es ne fois r de tous s es. La risque
te, es de udits, tés, et
L'ocadintérisql'idedétl'iderédrecrisq La danpludis
veau on
vent ément à on et
L'ocadintérisq La desde desdu et cpos La danpludis
es d'informatio
de contr
processus Plat utilisé par Wi
méliorer le cadr
disposition «ques » est aboragraphe 4.2.nsulter les norquelles nous s
organisation dedre d'évaluatioégrante de la ques. La phasentification determination deentification de
duire l'impact dcommandationques du mieux
disposition «ns la norme IS
us d’informatioponibles publ
organisation dedre d'évaluatioégrante de la ques.
phase d'évalus risques, en éla probabilité
s contrôles et risque à un ncontrôles sontssible.
disposition «ns la norme IS
us d’informatioponibles publ
on- Sécurité et
rôle Clou
Répon
anifier, Déployindows Azure re méthodolog
Établissemenordée dans la 1. Pour plus drmes ISO dispsommes certife gestion des on des risquesméthodologie
se d'évaluationes risques, en e la probabilitées contrôles etdu risque à unns et contrôlesx possible.
ÉtablissemenSO 27001, spéns, il est consiquement poue gestion des on des risquesméthodologie
uation des risqétablissant un d'occurrence des protectioniveau acceptat mis en place
ÉtablissemenSO 27001, spéns, il est consiquement pou
t respect de la
ud (CCM
nse Microsoft
yer, Contrôlerpour continue
gique de la ge
nt du SMSI et cnorme ISO 27
d'informations,ponibles publiqfiés. risques de W
s sur la norme est le procesn des risques établissant un
é d'occurrencet des protection niveau acceps sont mis en p
nt et gestion duécifiquement àseillé de consur lesquelles nrisques de W
s sur la norme est le proces
ques commen niveau de riset de l'impactns qui permett
able. Des mese pour atténue
nt et gestion duécifiquement àseillé de consur lesquelles n
a vie privée | P
M) du CS
t
, Agir (PDCA) ellement mainestion des risq
cadre de gesti7001, notamm, il est conseillquement pour
indows Azure e ISO 27001. Usus d'évaluaticommence pan niveau de rise et de l'impacons qui permetptable. Des mplace pour att
u SMSI » est aà la Clause 4.2ulter les normeous sommes cindows Azure
e ISO 27001. Usus d'évaluati
ce par l'identifque par déter, et enfin, l'idetent de réduireures, recommr les risques d
u SMSI » est aà la Clause 4.2ulter les normeous sommes c
Page 37
SA
de l'ISO tenir et ues.
ion des ment au
é de
fonde son Une partie on des
ar sque par ct, et enfin, ttent de esures, énuer les
abordée 2. Pour es ISO certifiés. fonde son
Une partie on des
fication mination
entification e l'impact
mandations du mieux
abordée 2. Pour es ISO certifiés.
WCo
Ge
Mé
G
l
Windows ontrôles
ID du contrôCCM
RI-04
estion du risqImpacts
étier/changemde politique
RI-05
Gestion du ris– Gestion d
’accès des ti
Azure - s RI-04 à
ôle
que -
ment es
Les rédoivenpolitiqet condeme
sque de ers
L'idenpriorisprocestiers adonnésuiviedes resurveil'impainapprcomperisquel'autor
Réponse
Réponsà RI-05
Des(CCM Versio
ésultats de l'évnt comprendreues de sécuri
ntrôles pour s'aurent pertinen
ntification, l'évasation des risqssus métier né
aux systèmes ées de l'organs par une app
essources afiniller et de mesct d’un accès roprié. Des coensatoires isses doivent êtrerisation d'accè
standard pour
se à la m
cription on R1.1. Fina
valuation des e les mises à jté, procéduresassurer qu'ils
nts et efficaces
aluation et la ques posés paécessitant l'acd'information isation doiven
plication coordn de minimisersurer la probabnon autorisé o
ontrôles us de l'analys
e mis en œuvrès.
r les demande
matrice d
ale)
risques jour des s, normes
s.
Lbdple
Lrdcle
ar les ccès des et aux
nt être donnée r, de bilité et ou
se des re avant
LgmLfop
• «(• rôo• c
LeISrecle
es d'informatio
de contr
Les décisions dbasées sur lesdes risques sopériodique et ee paysage des
La disposition isques » est a
dans la Clauseconsulter les nesquelles nouLa politique deglobale qui faitmise à jour. L'accès aux aconction des ex
propriétaire de
L'accès aux a« need-to-knowmoindre privilèLorsque cela
ôles sont utilisou à une zone
Les politiquesconformes aux
Les dispositionet « Politique dSO 27001, noespectivemen
consulter les nesquelles nou
on- Sécurité et
rôle Clou
Répo
de mise à jour rapports d'évnt régulièreme
en relation aves risques.
« Établissemeabordée dans le 4.2.1. Pour pormes ISO diss sommes cer
e contrôle d’act l'objet d'un pr
ctifs des servicxigences du ms actifs. De pl
actifs est autorw » (besoin d’eège). est possible,
sés pour allouede responsab
s de contrôle dx normes.
ns « Identificatde contrôle d'atamment à l'A
nt. Pour plus dormes ISO diss sommes cer
t respect de la
ud (CCM
onse Microso
r des politiquevaluation des rent examinéeec les changem
ent du SMSI ela norme ISO plus d'informatsponibles pubrtifiés.
ccès est un corocessus form
ces Windows métier et sur aulus :
risé en fonctioen connaître)
les contrôles er des accès bilité, plutôt qud'accès physiq
tion des risqueaccès » sont aAnnexe A, Par'informations,sponibles pubrtifiés.
a vie privée | P
M) du CS
ft
es et procédurrisques. Les és sur une basments émerge
et cadre de ge27001, notamtions, il est co
bliquement pou
mposant de lamel de réexam
Azure est autoutorisation du
on des principeet « least-priv
d'accès baséslogiques à uneu'à une personque et logique
es provenant dabordées dansagraphes 6.2.il est conseillé
bliquement pou
Page 38
SA
res sont évaluations e eant dans
stion des mment nseillé de ur
a politique en et de
orisé en
es vilege »
s sur les e fonction nne. e sont
des tiers » s la norme .1 et 11 é de ur
WCo
G
Dé
G
Windows ontrôles
ID du coCC
RM-
Gestion des c– Nouv
éveloppemen
RM-
Gestion des c–Changem
produc
Azure -s RM-01
ontrôle M
-01
changements veau
nt/Acquisition
-02
changements ment en ction
Réponse
Répons à RM-0
(C
n
Des politiqétablies, ppour le dévnouvelles données, iopérations
Les changproductionet approuvLes changen productapplicationet équipemcorrectifs, jour et mo
standard pour
se à la m02
DescripCM Version R
ques et procédpour la gestionveloppement applications, sinfrastructuress, et installatio
gements de l'en doivent être vés avant leur gements des lotion peuvent inns, systèmes, ments réseau Service Packdifications.
r les demande
matrice d
ption R1.1. Finale)
dures doivent n des autorisatou l'acquisitiosystèmes, bass, services,
ons.
environnementdocumentés,
r mise en œuvogiciels et manclure les bases de donnécessitant de
ks et autres mi
es d'informatio
de contr
être tions, n de ses de
Windévevisamaje• L'idplan• L'idmé
• Lafonc• L'esuiéva
• Lasuienvd'in(pro
Les héb
La dabol'And’infISOsom
t de testés
vre. tériels
nnées es ses à
Pou
on- Sécurité et
rôle Clou
R
dows Azure aeloppement lo
ant à contrôler eures, avec nodentification enifiés dentification d
étier pendant la spécification
ctionnalité/du cexamen de la vant des critèraluer le risque gestion des tvant des critèrvironnements ntégration), SToduction) lorsqclients sont re
bergées par d
disposition « Mrdée dans la nnexe A, Paragformations, il edisponibles p
mmes certifiés.
r plus d’inform
t respect de la
ud (CCM
Réponse Mic
a mis au point ogiciel et de gela mise en œ
otamment : et la document
des objectifs, pa planificationquant à la concomposant mise à disposres/une check
e/l'impact globatests, autorisares d'entrée/sDEV (dévelop
TAGE (préproque cela est nesponsables des clients dan
Management dnorme ISO 27graphe 10.1.2est conseillé dpubliquement .
mations voir R
a vie privée | P
M) du CS
crosoft
des processuestion des ver
œuvre des mod
tation des cha
priorités et scé du produit nception de la
sition opérationk-list prédéfini(al tions et modifortie pour les ppement), INTduction) et PR
nécessaire des applicationns Windows Az
des modificatio001, notamme. Pour plus
de consulter lepour lesquelle
M -01.
Page 39
SA
s de rsions difications
angements
énarios
a
nnelle (e)(s) pour
fications
T (test ROD
ns zure.
ons » est ent à
es normes es nous
WCo
ID
GchTe
GchDé
GchIn
l
Windows ontrôles
D du contrôleCCM
RM-03
Gestion des hangements –est de qualité
RM-04
Gestion des hangements –éveloppemenexternalisé
RM-05
Gestion des hangements –stallations deogiciels non autorisés
Azure -s RM-03
e
– é
Une procésystématiqualité soles logiciecritères d’des systènouvelles documentdoivent êtdéveloppegarantir lemanagemsupervisioqualité du«fonctionnl’utilisationversion » avant la m
– nt
Un prograsystématinormes depour tous externalislogiciels epar l'organsécurité, ul'environnindépendasur la sécexternaliscertificatioêtre définselon la nlicence oula juridictiosous-traitadomiciliée
– e
Des politiqet des mél'installatio
Réponse
Répons3 à RM-0
Des(CCM Versi
édure pour le ques pour ass
ont respectéesels développés’évaluation et mes d'informa versions doivtés et des testtre effectués aement et avane même nivea
ment doit avoir on claire dans u produit final cnel » (le produn visée) et « c(les erreurs d
mise à disposit
amme pour le ques permettae qualité sont les développe
sés. Le déveloexternalisés donisation et doiun examen deement externaante et certifié
curité pour les sés, et des revon pour les beie comme uneorme ISO/CE
u certification lon législative ant le dévelope.
ques et procéécanismes mison de logiciels
standard pour
se à la m05
scription on R1.1. Fina
suivi et l'évalusurer que les ns doit être étabs par l'organisd'acceptation
ation, mises à vent être établts du ou des saussi bien pennt approbationu de sécurité. une capacité le processus
certifié commeuit doit être adcorrect dès la pevraient être étion.
suivi et l'évaluant d’assurer qrespectées do
ements informppement de tooit être supervit inclure des ee sécurité de alisé par une pée, des formatdéveloppeurs
vues de code. esoins de ce coe certification aI 17024 ou colégalement redans laquelle
ppement a cho
dures doivent s en œuvre pos non autorisés
r les demande
matrice d
ale)
uation normes de blie pour tous sation. Des
de la qualité jour et is,
systèmes ndant le n pour en Le de de test de
e étant dapté à première éliminées)
uation que les oit être établi
matiques ous les visé et contrôléexigences de
personne tions certifiéess de logiciels La ontrôle doit accréditée
omme une connue dans l'organisation
oisi d’être
t être établies our restreindres.
es d'informatio
de contr
Les modif(SE) soussont examleurs perfoleurs objeavant de p Les modifenvironneen produc La disposd’assistanISO 2700plus d’infoISO dispocertifiés.
é
s
n
Microsoft (cycle de dd'assurandéveloppeLe « Secuque les sehautemenGrâce à dexigencesd’attaqueDevelopmmenaces aspects ex Si des mephases deMicrosoft les servicel'éliminatiomenaces testant deConceptiohttp://www La disposd’assistan27001, noplus d’infoISO dispocertifiés.
e Toutes lespar le proc
on- Sécurité et
rôle Clou
Rép
ications appor-jacents au se
minées et testéormances, leuctifs de récupépasser en prod
ications sont tments de test
ction.
ition « Sécuritnce technique 1, notamment
ormations, il esnibles publiqu
applique le « Sdéveloppemence de sécuritéer et mettre enurity Developmervices de comnt sécurisés, y es contrôles c
s de conceptio», et « Modéli
ment Lifecycle potentielles loxposés du ser
enaces potentie Conception, peut minimisees ou en élimion des fonctiopotentielles da manière appr
on. Pour plus dw.microsoft.co
ition « Sécuritnce technique otamment à l'Aormations, il esnibles publiqu
s modificationscessus Gestio
t respect de la
ud (CCM
ponse Micros
rtées aux systein de la plateées au minimuur impact sur leération et leurduction.
testées dans dt et validées a
té en matière d» est abordée
t à l'Annexe Ast conseillé deuement pour le
Security Devent sécurisé), u
é des logicielsn œuvre les sement Lifecycle mmunication ey compris au ncomme « Etabon », « Analysisation des meaide Microsof
ors de l'exécutrvice qui sont
ielles sont ideDéveloppeme
er la probabilitinant des fonc
ons inutiles, Mians la phase drofondie les cod'information, om/security/sd
té en matière d» est abordée
Annexe A, Parst conseillé deuement pour le
s effectuées eon des change
a vie privée | P
M) du CS
soft
tèmes d'exploforme Window
um pour leur qes autres systrs fonctions de
différents vant leur dépl
de développee dans la norm, Paragraphe e consulter lesesquelles nou
elopment Lifecun processus , pour concevervices Windo» permet de s
et de collaboraiveau des fon
blissement dese de la surfacenaces », Secft à identifier letion d'un servicouverts aux a
ntifiées duranent, ou Implémé d'attaques e
ctions inutiles. icrosoft réduit de Vérificationontrôles de la se référer à : dl/
de développee dans la normragraphe 12.5e consulter lesesquelles nou
en production ements traité e
Page 40
SA
itation ws Azure qualité, tèmes, e sécurité
oiement
ment et me 12.5. Pour
s normes s sommes
cycle »
voir, ows Azure. s'assurer ation sont dations. s e
curity es ce, les
attaques.
t les mentation, en limitant Après ces
n en phase de
ment et me ISO . Pour
s normes s sommes
passent en RM-01.
WCo
ID
C
P
C
Windows ontrôles
D du contrôleCCM
RS-01
Continuité del’activité –
Programme degestion
RS-02
Continuité del’activité – Analyse d’Impact
Azure -s RS-01
e
e
e
Une politdéfinissaaprès sinà un nived'un événfaciliter la(qui peutcatastropdéfaillancdélibéréepréventifles exigecontractunormes dla continuparticipale faire coêtre publsur plusiecas d'inc
e
Il doit y apour détel'organisasuivants: • Identifi • Identifiprocessucommerc • Comprservices • Détermplanifiéesdu temps • Établir perturbat • Établir • Établir rétablissecritiques perturbat • Estimereprise
Réponse
Réponsà R1-02
De(CCM Vers
tique, un proceant la continuitnistre doivent êeau acceptablenement lié à laa récupérationt être le résultaphes naturelleces des équipes) grâce à unfs et de récupéences réglemeuelles, liées aude l'industrie. Cuité doit être cnts de l'organonnaître avanié, hébergé, seurs sites qui
cident.
avoir une métherminer l'impaation devant in: er les produitser toutes les d
us, les applicaciaux et les fourendre les mencritiques
miner les impas ou non et cos le délai maxim
tions des priorités des objectifs
ement des prodans leur déla
tion er les ressourc
standard pour
se à la m2
escription sion R1.1. Fin
essus et des pé d'activité et être mis en plae l'impact sur a réalisation dn des actifs infat, par exemps, d'accidents
pements ou d'ane combinaisoération, en conentaires, statutu métier, et coCe programmcommuniqué àisation avec lat adoption et d
stocké, enregisdoivent être a
hode définie etact de toute pentégrer les élé
s et services cdépendances,tions, les parturnisseurs de naces sur les
cts résultant domment celles
mal tolérable p
pour le rétablide temps de r
oduits et des sai maximal tol
ces nécessaire
r les demande
matrice d
nale)
procédures la reprise ace pour limitel’organisation
d’un risque, et formationnels le, de
s, de actions
on de contrôlesnformité avec taires, onformes aux
me de gestion dà tous les a nécessité dedoit égalemenstré et diffusé
accessibles en
t documentéeerturbation suréments
critiques , y compris lestenaires services tiersproduits et
de perturbatios-ci varient au
pour les
ssement reprise pour leservices lérable de
es pour la
es d'informatio
de contr
er
s
de
e nt
n
Un cadrel'activité MicrosofcommercBusinessContinuitcollaboreidentifierBCPO Sle cadre des élém• Gouver• Toléran• Analyse• Analysetechniqu• Stratég• Planific• Tests, e• Format La dispopoint de abordée A, Paragconseillépublique
e r
s
s
ns fil
e
Une anaà interva • L'identil'environ• Une évimpacts • Une strl'atténuale rétabli L'évaluatdépendajour au md'effectuconceptide tempsreprise. La dispopoint de abordée A, Paragconseillépublique
on- Sécurité et
rôle Clou
Ré
e méthodologide l'entreprise
ft et appliqué iciales, y comps) dont dépendty Program Ofe avec la direcr les processusTB guide les éGCAE et la fe
ments suivantsrnance, nce à l'impact,e d'impact sure des dépendaes),
gies, cation, et tion et sensibil
sition « Gestiovue aspects ddans la norm
graphe 14.1. Pé de consulter ment pour les
lyse d'impact alles approprié
fication des mnement métie
valuation des mpotentiels et leratégie approution des menassement des
tion de l'impacances et l'évalumoins une foiser l'analyse deons afin de sas de reprise (O
sition « Gestiovue aspects ddans la norm
graphe 14.1. Pé de consulter ment pour les
t respect de la
ud (CCM
éponse Micro
ique de gestioe (GCAE) a étndividuelleme
pris le STB (Sed Windows Azffice (BCPO) Sction de Windos critiques et ééquipes Windeuille de routes :
, r l'activité, ances (non te
lisation.
on de la continde la sécurité e ISO 27001,
Pour plus d’infoles normes IS
squelles nous
sur l'activité eés. Cette analy
menaces en raer et le processmenaces idenes dommagesuvée par la diraces importanprocessus mé
ct sur l'activitéuation des risq
s par an. Il incoe l'impact de latisfaire aux exOTR) et des o
on de la continde la sécurité e ISO 27001,
Pour plus d’infoles normes IS
squelles nous
a vie privée | P
M) du CS
osoft
on de la continté mis au poinent à des unitéerver and Toozure. Le BusinSTB qui a été ows Azure pouévaluer les risows Azure co GCA, qui se
echniques et
nuité de l’activde l’informationotamment à
ormations, il eSO disponiblessommes certi
est réalisée et yse comprend
apport avec sus Windows tifiées, y comp
s possibles. rection pour ntes identifiéesétier critiques
é, l'analyse desques se font/sombe aux clieeurs applicatioxigences des
objectifs de po
nuité de l’activde l’informationotamment à
ormations, il eSO disponiblessommes certi
Page 41
SA
nuité de nt pour és ols ness désigné ur
sques. Le oncernant compose
vité, d’un on » est à l'Annexe est s fiés.
examinée d :
Azure. pris les
s, et pour
s sont mis à nts ons et objectifs ints de
vité, d’un on » est à l'Annexe est s fiés.
WCo
l’
l’
l’E
Windows ontrôles
ID du contrôCCM
RS-03
Continuité ’activité – Pla
continuité dl’activité
RS-04
Continuité ’activité – Tes
la continuid’activité
RS-05
Continuité activité – Ris
Environnemen
Azure -s RS-03
ôle
de an de de
Un cde l’aêtre s'assl’acticompconcsécules ppoint • Obles d • Acutilis • Déest rappr • Leresp • Procontoréfér • Mé
de st de té
é
Les psoumd'impenvirconti
de sques ntaux
La pprovnatucompélectgéomexplovolcacivilsautred'origles c
Réponse
Réponsà R1-05
D(CCM Ve
cadre cohérenactivité et sonétabli, documsurer que tousvité sont cohépte des priorit
cernant les tesurité de l'informplans de contints suivants : bjectif et périmdépendances pccessible et coser étenus par uneresponsable drobation es lignes de coonsabilités déocédures de rournement marence éthode pour l'i
plans de contimis à test à intportants changronnementauxinuité de leur
rotection physoqués par desrelles ainsi qupris incendie, trique atmospmagnétique soosion, accidenanique, danges, coulées de bes formes de cgine humaine
contre-mesure
standard pour
se à la m5
Description ersion R1.1. F
t pour le plan plan de déveenté et adopté
s les plans de érents dans la és sur les exig
sts, la maintenmation. Les exnuité d'activité
mètre définis epertinentes omprise par ce
e personne noe leur examen
ommunication,éfinis reprise détailléanuelle et info
nvocation du
inuité d’activitétervalles planifgements orgax pour s’assurefficacité.
sique contre les causes et caue des attaqueinondation, déhérique, tempolaire, vent, sént nucléaire, aers biologiquesboue, activité catastrophes ndoit être prév
es appliquées.
r les demande
matrice d
Finale)
de continuité eloppement doé pour continuité de prise en gences nance et la xigences pour é incluent les
t alignés avec
eux qui vont le
ommée (s) quin, mise à jour
, les rôles et
ées, solution dormations de
plan
é doivent êtrefiés ou suite à
anisationnels orer de la
es dommagesatastrophes es délibérées, écharge
pête éisme, tsunamactivité s, troubles tectonique, etnaturelles ou
vue, conçue et
es d'informatio
de contr
oit
c
es
i et
de
Le BCPOun cadrel’industriecontinuitCe cadre• Affecta• Proces• Objectide repris• Plans d• Programles partiecontinuit• Un proc Les clienapplicatioredonda La dispopoint de abordée A, Paragconseillépublique
à ou
Les planavec les que les sévéneme La dispoconstantabordée A, Paragconseillépublique
y
mi,
t
t
Les contpour pro• Régula• Chauffa• Systèm• Systèm La dispoet Enviro27001, nplus d'infISO dispsommes
on- Sécurité et
rôle Clou
Ré
O (Business Ce qui est confoe et de Microsé d’activité à te comprend letion des resposus de notificafs de temps d
se de continuité amme de formaes impliquées é cessus de tes
nts sont responons sur plusience géograph
sition « Gestiovue aspects ddans la norm
graphe 14.1. Pé de consulter ment pour less de reprise smeilleures pra
solutions sont ent.
sition « Mise àe des plans ddans la norm
graphe 14.1.5.é de consulter ment pour lesrôles environntéger le centretion de tempéage, ventilatio
mes de détectiomes de gestion
sition « Proteconnementales notamment à l'formations, il e
ponibles publiq certifiés.
t respect de la
ud (CCM
éponse Micro
Continuity Progorme aux meillsoft qui concetous les nivea
es éléments suonsabilités poation, d’escala
de reprise et de
avec procéduration pour la pdans l’exécut
st, de maintena
nsables du déeurs sites pourhique.
on de la continde la sécurité e ISO 27001,
Pour plus d’infoles normes IS
squelles nous sont régulièremratiques de l'in
viables à l'occ
à l’essai, geste continuité de ISO 27001, . Pour plus d'inles normes IS
squelles nous nementaux one de donnéesérature on et climatisaton d'incendie n d'alimentatio
ction contre le » sont abordé'Annexe A, Paest conseillé dquement pour
a vie privée | P
M) du CS
osoft
gram Office) mleures pratiqurne le programux. uivants : ur chaque resade et de décles objectifs de
res documentépréparation detion du plan de
ance et de rév
éploiement de r bénéficier d'u
nuité de l’activde l’informationotamment à
ormations, il eSO disponiblessommes certi
ment validés endustrie pour scurrence d’un
tion et réévalue l’activité » enotamment à
nformations, ilSO disponiblessommes certi
nt été mis en œ, y compris :
tion (CVC) et d'extinction
on
es menaces exées dans la noaragraphe 9.1de consulter lelesquelles no
Page 42
SA
maintient es de
mme de
ssource clé aration e points
ées e toutes e
vision
leurs une
vité, d’un on » est à l'Annexe est s fiés.
en accord s'assurer
ation est à l'Annexe l est s fiés.
œuvre
n
xtérieures orme ISO .4. Pour
es normes ous
WCo
ld
Té
Windows ontrôles
ID du contrCCM
RS-06
Continuité l’activité –
Emplacemenmatériel
RS-07
Continuité ’activité – Pad’alimentatio
matériel
RS-08
Continuité l’activité –
Alimentatioélectrique
élécommunic
Azure - s RS-06
rôle
de –
nt du
Pouenvid'acsituéenvirenfune
de annes on du
Desredopouindisexemrése
de – on e / cations
Le mcâbldonêtre domredoseco
Réponse
Réponsà R1-08
D(CCM Ver
r réduire les rironnementale
ccès non autoré loin des endironnementauforcé par du mdistance raiso
s mécanismes ondances doivr protéger le msponibilités demple, pannes eau, etc.)
matériel de téllage et les relanées et les se protégés con
mmages et conondance, des ours et un rou
standard pour
se à la m8
escription rsion R1.1. Fi
isques liés aues, dangers etrisés, le matérroits sujets à x à forte proba
matériel redondonnable.
de sécurité etvent être mis ematériel contree services gén
d'électricité, p
écommunicatiais chargés deervices génératre l'intercepti
nçus avec de lsources d'énetage alternatif
r les demande
matrice d
inale)
ux menaces t opportunités riel doit être des risques abilité et dant situé à
t des en œuvre e les néraux (par perturbations
ions, le e séparer les aux doivent on et les la ergie de f.
es d'informatio
de contr
Le matérielenvironnemde vol ou liél’eau, la pointerférence Les disposiet environnprotection d27001, notaPour plus dnormes ISOsommes ceLes centresdédiés et dpeut comprgénérateurcentres de de carbura Le centre dopérations éléments s• Systèmesélectriques appareillagl'alimentatio• Le systèmqui contrôlel’espace auprise d'air eDes systèmprésents daDe plus, deendroits daréalisé sur protection d Les disposiet environnabordées dA, Paragrapconseillé depubliqueme
Les disposigénéraux »notammentplus d'inforISO disponcertifiés. Pour plus d
on- Sécurité et
rôle Clou
Rép
Windows Azuments qui ont éés à l’environnussière, les vies électriques
itions « Protecementales » e
du matériel » samment à l'And'informations,O disponibles ertifiés. s de données 'un support d’rendre des gés sont entretedonnées ont pnt dans des co
de données disliées aux instauivants :
s d'alimentatiocritiques : géne de commutaon et onduleur
me de chauffage et surveille lau sein des cenextérieur. mes de détectians tous les cees extincteurs ans le centre dle matériel dedes installation
itions « Protecementales » e
dans la norme phes 9.1.4 et e consulter lesent pour lesqu
itions « Sécur» sont abordéet à l'Annexe Amations, il estibles publique
d’informations,
t respect de la
ud (CCM
ponse Micros
ure est placé été conçus ponement, tels qibrations, les s
s.
ction contre leet « Choix de sont abordéesnnexe A, Para, il est conseilpubliquement
sont équipés ’alimentation é
énérateurs. Lesenus et testés pris des dispoonditions d’urg
spose d'un ceallations afin d
on, incluant tounérateurs, comation principalrs. ge, ventilationa température
ntres de donné
ion et d’extincentres de donportatifs sont
de données. Le protection enns.
ction contre leet « Services gISO 27001, n9.2.2. Pour pls normes ISO
uelles nous so
rité du câblagees dans la nor
A, Paragraphest conseillé de ement pour les
, voir RS-07.
a vie privée | P
M) du CS
soft
dans des our protéger deque le feu, la fuséismes et les
es menaces exl’emplacemens dans la normagraphes 9.1.4lé de consultet pour lesquell
d’onduleurs 2électrique d'urs onduleurs etrégulièrement
ositions pour lagence.
entre dédié pode surveiller le
us les composmmutateur de, module de g
et climatisatioe et l'humidité ées, la pressio
tion d'incendiennées.
disponibles à'entretien cou
nvironnementa
es menaces exgénéraux » so
notamment à lus d'informatio disponibles mmes certifiés
e » et « Servicrme ISO 2700s 9.2.3 et 9.2.2consulter les nsquelles nous
Page 43
SA
es risques umée,
s
xtérieures nt et me ISO 4 et 9.2.1. er les les nous
24x7 rgence, qui t les t. Les a livraison
ur les es
sants transfert,
gestion de
on (CVC), de
on et la
e sont
divers rant est ale et de
xtérieures ont 'Annexe ons, il est
s.
ces 1, 2. Pour normes sommes
WCo
ID
Ad
po
AdIn
d’
Windows ontrôle S
D du contrôleCCM
SA-01
Architecture de Sécurité –
Exigences our les accès
client
SA-02
Architecture de Sécurité- nformations identificationutilisateur
Azure -SA-01 à
s
Avant d'acactifs et syexigences réglementaclient doive
n
Implémentl'automatisd'identificapour les apl’infrastrucminima les • Vérificatréinitialisat • Si la réinune personle mot de ppar l'utilisa • Révocatutilisateurs • Suppresutilisateurs • Identifiancomptes ede groupe • Expiratiojours. • La longusept (7) ca • Mots de caractères • Historiquminimum d • Blocage maximum • Durée ded’un miniml'administra • Nouvelleterminal ap15 minutes • Maintienaccès priv
Réponse
Réponsà SA-02
Des(CCM Versi
ccorder aux cliystèmes d'infode sécurité, c
aires identifiéeent être adres
ter et faire ressation) le contration et de motpplications, lesture serveur es standards suion de l'identittion du mot denitialisation dunne autre quepasse doit êtreateur lors de lation de l’accèss en fin de conssion / désactivs inactifs au mnts utilisateur
et mots de pas. on du mot de p
ueur minimale aractères.
passe forts cos numériques eue de mots dede quatre (4). de l’identifiansix (6) tentative verrouillage
mum de 30 minateur active l'ie saisie du moprès une sesss. n des journauxilégiés.
standard pour
se à la m
scription on R1.1. Fina
ents l'accès armation, toute
contractuelles es pour autorisssées et corrig
pecter (grâce rôle des informt de passe de s bases de doet réseau, en ruivants : té de l'utilisatee passe. mot de passe
e l'utilisateur (ae immédiatema première utils en temps oppntrat. vation des com
moins tous les uniques et int
sse génériques
passe au moin
du mot de pa
ontenant à la fet alphabétiqu
e passe avec u
nt utilisateur apves. de l’identifian
nutes ou jusqudentifiant utilis
ot de passe posion inactive de
x d'activité utili
r les demande
matrice d
ale)
aux données, es les et ser l'accès au
gées.
à mations l’utilisateur
onnées et respectant a
eur avant
e est initiée paadministrateur
ment changé isation. portun pour le
mptes 90 jours. terdiction des s, partagés ou
ns tous les 90
asse d'au moin
fois des ues. une valeur
près un
nt utilisateur u'à ce que sateur. our réactiver leepuis plus de
isateur pour le
es d'informatio
de contr
Avant d'utenus de comprendcompris ude confidprésentatplateform Les dispotiers » et dans la nParagrapd'informadisponiblecertifiés.
ar r),
es
u
ns
e
es
Les politiqdomaine Directoryminimumdes motscommuniétablis. L'infrastruminimumorganisatdiscrétionsécurité. Les clientmots de pces motsdevinés. Les dispo« Gestionla norme Paragrapd’informadisponiblecertifiés.
on- Sécurité et
rôle Clou
Ré
utiliser les servlire et d'accepd des droits d'une politique dentialité de la tion technique
me Windows A
ositions « Iden« Politique deorme ISO 270
phes 6.2.2 et 1ations, il est coes publiqueme
ques relativesd'entreprise sde l’entrepris quant à la lon de passe. Lequés aux utilis
ucture et l'ens satisfaire auxtion interne pen, afin de com
ts sont responpasse à des pde passe afin
ositions « Enren du mot de paISO 27001, n
phes 11.2.1 et ations, il est coes publiqueme
t respect de la
ud (CCM
éponse Micro
vices Windowspter un contrat'utilisation desd'utilisation co plateforme W
e des fonctionsAzure.
ntification des e contrôle d'ac001, notamme11.1.1 respectonseillé de conent pour lesqu
s aux mots de sont régies pase Microsoft, qngueur, la com
es mots de passateurs via de
semble des sex exigences Meut aller au-de
mbler ses beso
nsables de la nparties non autn qu'ils ne puis
egistrement deasse utilisateu
notamment à l'11.2.3 respec
onseillé de conent pour lesqu
a vie privée | P
M) du CS
soft
s Azure, les clt de service, qs services en lorrecte), la DécWindows Azures de sécurité d
risques proveccès » sont abent à l'Annexe tivement. Pournsulter les noruelles nous so
passe des cor la politique A
qui fixe des eximplexité et l'exsse temporairees processus M
rvices doiventMSIT, mais uneelà de ce standins en matière
non-divulgatiotorisées et du ssent être faci
es utilisateursur » sont abord'Annexe A, ctivement. Pounsulter les noruelles nous so
Page 44
SA
lients sont qui ligne (y claration e et la de la
enant des bordées
A, r plus rmes ISO ommes
omptes de Active igences xpiration es sont MSIT
t au e dard, à sa e de
on des choix de
ilement
s » et dées dans
ur plus rmes ISO ommes
WCo
I
A
Sé
A
Windows ontrôles
ID du contrôlCCM
SA-03
Architecture dSécurité-
écurité/Intégrdes données
SA-04
Architecture dSécurité-
Sécurité desapplications
Azure - s SA-03
e
de
rité s
Des poliet des msécurité d'accès,des doninterfacefournissempêchou destrlégislativ
de
s s
Les appconformpar l'indapplicatrégleme
Réponse
Réponsà SA-04
De(CCM Ver
itiques et procmécanismes m (par exemple, et la préventnées échangé
es système, jueur tiers de seer la divulgati
ruction, en conves, réglemen
plications doivemément aux no
ustrie (par exeions web) et ê
entaires et mét
standard pour
se à la m4
escription rsion R1.1. Fi
cédures doivenmis en œuvre pe, le chiffremenion des fuites)ées entre une uridictions, ou ervices partagon inappropriénformité avec ntaires et contr
ent être conçuormes de sécuemple, OWASêtre conformestier applicable
r les demande
matrice d
nale)
nt être établiepour assurer lnt, les contrôle) et l'intégrité ou plusieurs avec un
gés, pour ée, l’altérationles exigencesractuelles.
ues urité acceptéeSP pour les s aux exigences.
es d'informatio
de contr
s a es
n s
Afin de entre orinterneset l'accèAzure pfourniss Les dispinformatdans la Paragrad'informdisponibcertifiés
s
es
« SecurdévelopDevelopsécuritémettre e« Securque les sont haufondatiodes exigd’attaqu« Securidentifieservice,aux atta Si des mphases Implémed'attaquinutiles.réduit ceVérificatcontrôled'informhttp://ww La dispotechniqunotammd'informdisponibcertifiés
on- Sécurité et
rôle Clou
Ré
minimiser les rganisations, les ou externes sès aux environar le personne
seurs est étroit
positions « Potions » et « Funorme ISO 27
aphes 10.8.1 emations, il est cbles publiquem.
rity Developmeppement sécurpment Lifecyclé des logiciels,en œuvre les srity Developmeservices de coutement sécurons. Grâce à dgences de conue », et « Modrity Developmer les menaces les aspects e
aques.
menaces potede Conceptioentation, Micro
ues en limitantAprès l'élimin
es menaces ption en testant
es de la phasemation, se référww.microsoft.c
osition « Mesuues » est abor
ment à l'Annexmations, il est cbles publiquem.
t respect de la
ud (CCM
éponse Micro
risques assoces échanges esont assurés
nnements de pel interne et letement contrô
olitiques et prouite d’informat7001, notammet 12.5.4 respeconseillé de coment pour lesq
ent Lifecycle »risé) : Microsole », un proce, pour concevoservices Windent Lifecycle »
communicationrisés, y compr
des contrôles cnception », « A
délisation des ent Lifecycle »s potentielles exposés du se
ntielles sont idon, Développeosoft peut mint ou en éliminanation des fonpotentielles dat de manière a
e de conceptiorer à : com/security/s
ure relative aurdée dans la n
xe A, Paragrapconseillé de coment pour lesq
a vie privée | P
M) du CS
osoft
ciés à l'échangentre des orgade manière prproduction de e personnel deôlé.
océdures d’échtions » sont ab
ment à l'Annexectivement. Poonsulter les noquelles nous s
» (cycle de oft applique le ssus d'assuraoir, développe
dows Azure. Le» permet de s'n et de collaboris au niveau dcomme « EtabAnalyse de la menaces », le» aide Microsolors de l'exécu
ervice qui sont
dentifiées durament, ou nimiser la probant des fonctioctions inutiles
ans la phase dapprofondie leon. Pour plus
sdl/
ux vulnérabiliténorme ISO 270phe 12.6.1. Poonsulter les noquelles nous s
Page 45
SA
ge d'actifs anisations rédéfinie Windows
es
hange des bordées xe A, our plus ormes ISO sommes
« Security ance de er et e 'assurer oration des blissement surface
e oft à ution d'un t ouverts
ant les
babilité ons , Microsoft e
es
és 001,
our plus ormes ISO sommes
WCo
I
A
A
E
pr
Windows ontrôles
ID du contrôlCCM
SA-05
Architecture dSécurité-
Intégrité desdonnées
SA-06
Architecture dSécurité -
nvironnemende
roduction/hoproduction
Azure - s SA-05
le
de
s
Les fonen entréréconciœuvre pbases dtraitemede donn
de
nts
rs-
Les envproductaccès od’inform
Réponse
Réponsà SA-06
D(CCM Ve
ctions de vérifée et sortie (c'liation et d’édipour les interfde données poent manuel ounées.
vironnements tion doivent êtou modificationmation.
standard pour
se à la m6
Description ersion R1.1. F
fication d’intég'est à dire, lesition) doivent êaces des applour éviter les eu systématique
de productiontre séparés pon non autorisé
r les demande
matrice d
Finale)
grité des donns contrôles de être mises en lications et deerreurs de e ou la corrupt
n et hors-our éviter tout é aux actifs
es d'informatio
de contr
nées
es
tion
Windos'assuapplicaattenddonnéavant Des codans l'risquestraiteml'enviroportenconde MicrosLifecyclogicieles serLifecyccommsécurisdes coconcep« ModDevelomenacaspectattaqu La dispest abol'Anneest conpubliquWindophysiq(dévelo(prépro Bien qpropreformalenviroles exiet les n La dispdévelodans laParagrconseipubliqu
on- Sécurité et
rôle Clou
R
ws Azure défirer que les enatifs sont cohéue de valeurses doivent êtrd'être entrées
ontrôles internenvironnemens d'erreurs de
ment existent donnement d’ext, par exemplensés, de somm
soft applique lecle », un procels, pour concervices Windowcle » permet dunication et desés, y comprisontrôles commption », « Anaélisation des mopment Lifecyces potentiellets exposés dues.
position « Bonordée dans la xe A, Paragranseillé de conuement pour lws Azure mai
que entre les eoppement), INoduction) et P
ue chaque enes standards disée existe ponnements. Cegences appronormes sur les
position « Sépoppement, d'esa norme ISO 2raphe 10.1.4. illé de consulteuement pour l
t respect de la
ud (CCM
Réponse Micr
init des normentrées de donnérentes et dans. Le cas échére assainies os dans un syst
nes de traitemnt Windows A
e traitement. Ldans les applicxécution. Cese, sur l'utilisatmes de contrô
e « Security Dessus d'assurevoir, dévelopws Azure. Le «de s'assurer qe collaboratios au niveau de
me « Etablissealyse de la surmenaces », le
ycle » aide Mices lors de l'exéu service qui s
n fonctionnema norme ISO 2aphe 12.2. Pounsulter les normlesquelles nouintient une sépenvironnemenNT (test d'intégPROD (produc
nvironnement de fonctionnemour l'échange des procéduresopriées concers services.
paration des éssai et d’explo27001, notamPour plus d'in
ter les normeslesquelles nou
a vie privée | P
M) du CS
rosoft
es acceptablesnées vers les ns la fourchetteant, les entréeu sinon renduème applicatif
ent sont impléAzure afin de lies contrôles incations, ainsi q contrôles inteion de sommeôle, etc.
Development rance de sécuper et mettre
« Security Devue les servicen sont hautemes fondations.ment des exig
rface d’attaquee « Security crosoft à identécution d'un seont ouverts au
ent des applic7001, notammur plus d’informmes ISO dispous sommes ceparation logiquts DEV gration), STAG
ction).
puisse avoir sment, une procd'actifs entre l se conformenrnant la confid
équipements doitation » est ament à l'Anne
nformations, il s ISO disponibus sommes ce
Page 46
SA
s pour systèmes e es de es sûres f.
émentés miter les nternes de que dans ernes es de
rité des en œuvre
velopment es de ment
Grâce à gences de e », et
ifier les ervice, les ux
cations » ment à mations, il onibles ertifiés. ue et
GE
ses cédure es nt à toutes dentialité
de abordée exe A, est
bles ertifiés.
I
A
A
po
A
S
WindowCSA Co
ID du contrôlCCM
SA-07
Architecture dSécurité -
AuthentificatioMulti-Facteuour Utilisateu
Distants
SA-08
Architecture dSécurité –
écurité Rése
ws Azureontrôles
le
de
on r
urs
L'authepour touQuellesutiliséeshaut nivconnexcréationd'utilisad'accès· L'authutilisée au sein feu, etc
de
au
Les envet configconnexceux codoivent planifiésjustificales servcomprisen œuvces prosécuriséréseau environdonnéeconform
Réponse
e - RépoSA-07 à
Desc(CCM Versio
ntification mulus les accès ds formes d'auths pour des opéveau de confiaion à des intern de clé, d'accteurs, de conf
s distant, etc. entification à dpour gérer lesde l'infrastruc
c. ?
vironnements gurés de façoions entre les
onsidérés comfaire l’objet d’
s, d’une documation métier povices, protocols la logique d’uvre des contrôtocoles considés. Des diagradoivent clairenements à ha
es qui peuventmité réglement
standard pour
onse à laà SA-08
cription on R1.1. Fina
lti-facteur est rdes utilisateurshentification sérations nécesance ? Il peut rfaces de gest
cès à plusieursfiguration de p
deux facteurs s composants cture, tels que
réseau doit êtn à limiter les réseaux de co
mme non fiable’examens à inmentation de l
our l'utilisation es et ports auutilisation ou dles compensadérés comme ammes d'archment identifier
aut risque et let avoir des imptaire.
r les demande
a matrice8
ale)
requise s distants.
sont ssitant un s'agir de tion, de s comptes pare-feu,
est-elle critiques les pare-
tre conçus
onfiance et es ; ils ntervalles la de tous
utorisés, y de la mise atoires pour
non hitecture r les
es flux de pacts sur la
es d'informatio
e de con
L'accès aux ele personnel • Des serveudes options d• Windows Azpour permettr(RSA, SecurIau réseau d’eAccess, confi La dispositionles connexionISO 27001, nplus d'informadisponibles pcertifiés.
Les réseaux sont conçus pdistincts. Ce serveurs bacvis des interfa La dispositiondans la normParagraphe 1consulter les lesquelles no
on- Sécurité et
ntrôle C
Répo
environnemenet les fourniss
rs Terminal Sede chiffrement zure nécessitere l'accès à deD), et les utilis
entreprise Miciguré sur une
n « Authentificns externes » notamment à l'ations, il est co
publiquement p
au sein des cepour comportecloisonnemenk-end et péripaces d’accès p
n « Cloisonneme ISO 27001, 11.4.5. Pour pnormes ISO d
ous sommes ce
t respect de la
loud (CC
onse Microso
nts de productseurs est étroi
ervices sont ct fort. e une authentes composantsateurs qui se
crosoft (puis à authentificatio
cation de l’utiliest abordée d'Annexe A, Paonseillé de copour lesquelle
entres de doner de multiplesnt permet de fophériques de spubliques.
ment des résenotamment à
plus d'informatdisponibles pu
certifiés.
a vie privée | P
CM) du
oft
ion Windows Atement contrô
configurés pou
ification à deuts de niveau rée connectent àAzure) utilise
on à deux fact
sateur Microsdans la normearagraphe 11.4onsulter les noes nous somm
nées Windows segments deournir la séparstockage critiq
eaux » est aboà l'Annexe A, ions, il est con
ubliquement po
Page 47
Azure par ôlé.
ur utiliser
ux facteurs éseau à distance nt Direct teurs.
oft pour e 4.2. Pour
ormes ISO mes
ws Azure e réseau ration des
ques vis-à-
ordée
nseillé de our
WCo
ID
A
S
Windows ontrôle S
D du contrôleCCM
SA-09
Architecture dSécurité-
Segmentation
Azure - SA-09
e (
de
n
Les envirséparés les condi • Exigen • Exigen • Conforréglemen • Séparaproductio • Préserdonnées
Réponse
Répons
Desc(CCM Version
ronnements répar des pare-fitions suivante
nces des métiences de sécurirmité aux exigntaires et contation des environ et hors-prorver la protecti sensibles
standard pour
se à la m
ription n R1.1. Finale
éseau et systèfeu afin d'assu
es sont respecers et des clieté ences législattractuelles ronnements dduction on et l'isoleme
r les demande
matrice d
e)
ème sont urer que ctées : nts
tives,
de
ent des
Lsdsvsudlocrs
Ld1ns
es d'informatio
de contr
Les réseaux asont conçus podistincts. Ce clserveurs back-vis des interfacservices fourniutilisateurs sonde données deorsque cela esconfiance. Desréseau sont intsegments de r
La disposition dans la norme10.6.2. Pour pnormes ISO disommes certifi
on- Sécurité et
rôle Clou
Répo
u sein des cenour comporterloisonnement -end et périphces d’accès puis sur Internet nt connectés àe Microsoft. Lest nécessaire s listes de contégrés afin deéseau.
« Sécurité desISO 27001, n
lus d'informatisponibles pubiés.
t respect de la
ud (CCM
onse Microso
ntres de donnr de multiples permet de fou
hériques de stoubliques. L'act provient des à Internet et sees réseaux soen fonction de
ntrôle d’accès e séparer le tra
s services résnotamment à lions, il est conbliquement po
a vie privée | P
M) du CS
ft
ées Windowssegments de urnir la séparaockage critiqu
ccès des clientlieux dans lese termine à un
ont séparés loges frontières d(ACL) et des
afic des différe
seau » est abo'Annexe A, Pa
nseillé de consur lesquelles
Page 48
SA
Azure réseau
ation des es vis-à-ts aux squels les n centre giquement de filtres
ents
ordée aragraphe sulter les nous
WCo
ID
Ar
S
Ar
Windows ontrôles
D du contrôleCCM
SA-10
rchitecture deSécurité-
Sécurité sansfil
SA-11
rchitecture deSécurité – Réseaux partagés
Azure -s SA-10
e (C
e
Des politiqétablies etpour protésans fil, y • Pare-feuconfigurésautorisé • Paramèchiffrementransmisspar défautde chiffremcommuna • Accès loaux équippersonnel • Capacitd’équipem(pirates) prapide du
e
L'accès auréseau paautorisé, cprocédureréseaux pdoivent avcontrôles séparer leorganisati
Réponse
Réponsà SA-11
DescriCCM Version
ques et procédt des mécaniséger les envirocompris les su de périmètres de façon à re
ètres de sécurint fort pour l'auion, en remplat du fournisseument, mots deauté SNMP, etogique et physements résea autorisé é à détecter la
ments réseau spour imposer lréseau.
ux systèmes aartagée doit êtconformémentes et normes dpartagés avec voir un plan docompensatoir
e trafic réseau ons.
standard pour
se à la m1
iption R1.1. Finale)
dures doivent smes mis en œonnements deuivantes : e implémentésestreindre le tr
ité activés aveuthentificationaçant les paraur (par exemp
e passe, chaîntc.). sique des utilis
au sans fil limit
a présence sans fil non aueur déconnex
avec une infrare limité au pet aux politiquede sécurité. Ledes entités ex
ocumenté détares utilisés pouentre les
r les demande
matrice d
)
être œuvre e réseau
s et rafic non
ec n et la amètres ple, clés nes de
sateurs té au
utorisés xion
Lahasu L'Az
Lada10noso
astructure ersonnel es, es xternes aillant les ur
Pré- Lré- LAz- Lré- Lcoaupr
DquAz
Le«no11cole
es d'informatio
de contr
a protection deabituelles de gurveillance. Le
accès depuis zure sur le site
a disposition «ans la norme I0.6. Pour plusormes ISO disommes certifié
lusieurs contrôéseaux : Les réseaux a
éseaux virtuelsLe réseau d'enzure La journalisati
éseau critiquesLes communicommunicationuthentifiées, erotocoles tels
e plus, ces cou'ils sont confozure.
es dispositionsGestion des a
orme ISO 2701.2 respectiveonsulter les nosquelles nous
on- Sécurité et
rôle Clou
Répon
es équipemengestion de la ses équipement
un réseau sane du client doi
« Gestion de laISO 27001, nod’information
sponibles publés.
ôles technique
au sein de Wins (VLAN) ntreprise est s
on et la surves cations critiques intra-Windowt leur intégritéque SSL
ontrôles sont éormes aux pol
s « Gestion deaccès des utili01, notammenment. Pour pl
ormes ISO diss sommes cert
t respect de la
ud (CCM
nse Microsof
nts sans fil faitsécurité réseats sans fil son
ns fil à l'enviroit être sécurisé
a sécurité desotamment à l'As, il est conseliquement pou
es sont en pla
ndows Azure s
séparé de l'en
eillance se font
es telles que lws Azure sont
é est contrôlée
évalués en intelitiques et nor
e la sécurité dsateurs » sonnt à l'Annexe us d’informati
sponibles publtifiés.
a vie privée | P
M) du CS
ft
t partie des prau et inclut l’as
nt chiffrés.
onnement Winé par le client
s réseaux » esAnnexe A, Paeillé de consultur lesquelles n
ace pour contrô
sont séparés v
vironnement W
t sur des équi
les appels à l'At chiffrées et
e au moyen de
erne afin de s'mes de Windo
es réseaux » t abordées daA, Paragrapheons, il est coniquement pou
Page 49
SA
atiques spect
ndows lui-même.
st abordée ragraphe ter les
nous
ôler les
via des
Windows
pements
API ou les
e
'assurer ows
et ans la es 10.6 et
nseillé de ur
WCo
I
A
Sy
A
Id
A
J
ASé
Windows ontrôles
D du contrôleCCM
SA-12
Architecture dSécurité –
ynchronisatioHorloge
SA-13
Architecture dSécurité-
Identificationdes matériels
SA-14
Architecture dSécurité –
Journalisationdes Audits / Détection
d’intrusion
SA-15
Architecture décurité – Cod
Mobile
Azure - s SA-12
e (C
de
on
Une souagréée pêtre utilissystème traitemensein de lsécurité le traçagchronolocertainesplateformrelais (Gde satellhorloge dla domiccas, la jutraitée coexplicitem
de
n s
Une idenmatérielsd'authentechnolol'emplacevalider l'iconnexiodes équi
de
n
Les journactivités les tentaautorisésévénemedoivent êles politiqLes journa minimavérificationiveau hréseau (détectionpar l'anaréponse logique dd'audit dautorisé.
de de
Le code installatioconfiguramobile aune politL’exécutautorisé
Réponse
Réponsà SA-15
DescrCCM Version
rce de temps par un organissée pour sync de tous les synt de l’informa'organisation oexplicitement
ge et la reconsogie des activits juridictions lémes orbitales dPS américainites Galileo) pde référence diliation des org
uridiction ou laomme un domment défini.
ntification autos doit être utili
ntification à la cogies permettaement peuvenintégrité d'authon basée sur lpements.
naux d’audit ed'accès des u
atives d'accès s, les exceptioents de sécuriêtre conservésques et règlemnaux d'audit da quotidiennemon de l’intégritôte) et de détIDS) mis en pn en temps opalyse des caus
aux incidentsdes utilisateuroit être restre.
mobile doit êton et son utilisation doit s'ass
autorisé fonctiotique de sécurion de tout codoit être emp
standard pour
se à la m5
iption n R1.1. Finale
de précision esme extérieur, hroniser les hystèmes de
ation concernéou du domaindéfini, afin de
stitution de la tés. Remarqueégales et certade stockage e et réseau eur
peuvent imposdifférente de cganisations ; d
a plateforme emaine de sécur
omatisée des sée comme mconnexion. De
ant la détectionnt être utiliséeshentification d'emplacement
enregistrant lesutilisateurs privautorisés et n
ons système eté de l’informas, en conformiments applicaboivent être exment et des outé des fichiersection d'intruslace pour faci
pportun, l’invesses initiales et . L'accès physs aux journauint au personn
tre autorisé avsation, et la surer que le conne conformérité clairementde mobile nonêchée.
r les demande
matrice d
e)
externe, doit
horloges
és, au e de
e faciliter
e : aines
et de ropéen
ser une celle de dans ce st rité
Afidéet se(palesproqunoda Lala 10noso
méthode es n de s pour
de la t connu
LaabPacoles
s vilégiés,
non et les ation ité avec bles.
xaminés utils de
s (au sion liter la stigation la sique et x nel
L'ajou LaISOpludis
vant son
code ément à t définie. n
PoDesu Lada10noso
es d'informatio
de contr
in d'augmenteétails précis da
dans la survervices utilisenar exemple PSs horloges de otocole de tem
ui héberge uneormalisation etans les environ
a disposition «norme ISO 27
0.10.6. Pour plormes ISO dispmmes certifié
a disposition «bordée dans laaragraphe 11.4nsulter les no
squelles nous
accès aux joururnaux sont re
a disposition «O 27001, notaus d'informatiosponibles pub
our les versionevelopment Lifivi dans SDLt
a disposition «ans la norme IS0.4.2. Pour pluormes ISO dispmmes certifié
on- Sécurité et
rôle Clou
Répon
er la sécurité dans les rapportillance des prot des normes ST, GMT, UTCserveur Windo
mps du réseaue source de te de référence
nnements Win
Synchronisat7001, notammus d'informatioponibles publis.
Identification a norme ISO 24.3. Pour plusrmes ISO dispsommes certi
rnaux est restrevus sur une b
Journaux d’auamment à l'Anons, il est consliquement pou
ns nécessitant fecycle » (SDLrack et sont va
Mesures contSO 27001, nos d'informatioponibles publis.
t respect de la
ud (CCM
nse Microsof
de Windows Arts de journalisrocessus et decohérentes d
C, etc.). Lorsqows Azure so
u (Network Timemps centrale , afin de main
ndows Azure.
tion des horlogment à l'Annexe
ons, il est conquement pour
des matériels27001, notamms d'informationponibles publiifiés.
reint et défini base régulière
udit » est abonnexe A, Paragseillé de consur lesquelles n
t un réexamenL), les versionalidées.
tre le code mootamment à l'Ans, il est consquement pour
a vie privée | P
M) du CS
ft
Azure et de fousation des évées dossiers, toe réglage de lue cela est pont synchronisé
me Protocol oudans un but dtenir une heur
ges » est abore A, Paragrap
nseillé de consr lesquelles no
s en réseaux »ment à l'Annexns, il est consequement pour
par la politique.
rdée dans la ngraphe 10.10.ulter les norm
nous sommes
n du « Securityns SDL font l'o
obile » est aboAnnexe A, Parseillé de consur lesquelles no
Page 50
SA
urnir des énements ous les 'horloge
ossible, ées via le u NTP), de re précise
rdée dans phe sulter les ous
» est xe A, eillé de r
e et les
norme .1. Pour es ISO certifiés.
y objet d'un
ordée ragraphe ulter les ous