Définir une stratégie de souveraineté
Cet article explique comment planifier votre stratégie de souveraineté lorsque vous utilisez des services cloud. De nombreuses régions géopolitiques ont des réglementations pour gérer des types de données spécifiques, tels que des données sensibles à la confidentialité et des données gouvernementales. Les réglementations appliquent généralement les exigences de souveraineté relatives à la résidence des données, le contrôle des données et parfois l’indépendance opérationnelle (appelée autarky).
Lorsque votre organisation doit respecter ces réglementations, vous devez définir une stratégie pour répondre aux exigences de souveraineté. Si votre organisation passe des services locaux aux services cloud, vous devez ajuster la stratégie de souveraineté en conséquence.
Moderniser votre stratégie de souveraineté
Pour votre centre de données local, vous êtes responsable de la plupart des aspects qui sont généralement associés à la souveraineté, notamment :
- Centres de données, où les données sont stockées et traitées.
- Accès aux centres de données et à l'infrastructure physique.
- Matériel et logiciel, y compris la chaîne d’approvisionnement matérielle et logicielle.
- Processus d’assurance qui valident le matériel et les logiciels.
- Infrastructure et processus qui garantissent la continuité d'activité en cas de sinistre ou d’événement géopolitique.
- Configurations et processus qui déterminent qui a accès aux données et systèmes.
- Outils et processus qui sécurisent les données et les systèmes contre les menaces extérieures et internes.
Lorsque vous adoptez des services cloud, la responsabilité de ces aspects passe à une responsabilité partagée. Votre équipe de conformité modifie la stratégie qu’elle utilise pour déterminer si les exigences de souveraineté sont remplies. L’équipe de conformité prend en compte les éléments suivants :
La conformité des services cloud. Comment les services du fournisseur de cloud répondent-ils aux exigences de souveraineté et de conformité ?
Conformité des systèmes et processus dont votre organisation est responsable. Quels outils sont disponibles pour vous aider à répondre aux exigences de souveraineté et de conformité, et comment utiliser ces outils ?
L’équipe de conformité peut avoir besoin de travailler avec un organisme de réglementation pour obtenir l’autorisation d’utiliser d’autres méthodes qui atteignent les mêmes objectifs. Dans certains cas, une réglementation peut avoir besoin d’être modifiée en ajoutant plus d’options ou en ajustant une directive pour utiliser une certaine solution pour obtenir un résultat prévu. La modification de la réglementation peut être un processus long. Toutefois, il peut être possible d’obtenir des exemptions si vous pouvez démontrer que vous avez atteint l’intention d’un règlement.
Par exemple, une réglementation peut limiter les organisations à l’utilisation de certains services cloud, car les exigences d’isolation ne peuvent être satisfaites qu’avec l’isolation matérielle qui n’est généralement pas disponible dans le cloud. Mais le résultat prévu peut également être obtenu avec l’isolation virtuelle. Dans le cadre de votre stratégie, vous devez déterminer comment travailler avec les organismes de réglementation et les auditeurs lorsque ces blocages potentiels se produisent.
Pour plus d’informations sur la façon de répondre à vos besoins de conformité et de souveraineté, consultez Microsoft Cloud for Sovereignty.
Conformité des services cloud
L’équipe de conformité utilise différentes sources et méthodes pour vérifier la conformité des services cloud, notamment :
Documentation des fournisseurs sur le fonctionnement de leurs services et leur utilisation, par exemple la documentation sur les produits et les plans de sécurité système du Federal Risk and Authorization Management Program (FedRAMP).
Certifications d’auditeur indépendantes qui certifierent la conformité aux infrastructures de conformité globales, régionales et industrielles. Pour plus d’informations, consultez Offres de conformité pour Microsoft 365 Azure et d’autres services Microsoft.
Rapports d’audit que des auditeurs indépendants créent pour donner un aperçu de la manière dont les services cloud répondent aux exigences des cadres de conformité mondiaux, régionaux et de l'industrie. Certains rapports d’audit sont disponibles sur le Portail d’approbation de services.
Audits effectués par ou au nom de l’équipe de conformité par le biais d’offres d’audit des fournisseurs, comme le Programme de sécurité du gouvernement (disponible pour sélectionner uniquement les clients).
Journaux de transparence qui fournissent des détails sur le moment où les ingénieurs Microsoft accèdent à vos ressources.
La combinaison de sources et de méthodes utilisée par votre équipe de conformité dépend du niveau d'insight dont vous avez besoin, de la confiance que vous accordez aux différentes options, ainsi que de vos ressources et de votre budget. La certification par un auditeur tiers évite à votre équipe d'effectuer un audit et coûte moins cher, mais elle exige une confiance dans l'auditeur et dans le processus d'audit.
Conformité de vos systèmes et processus
Les processus et systèmes de conformité de votre organisation peuvent tirer parti des fonctionnalités ajoutées des services cloud. Vous pouvez utiliser ces fonctionnalités pour :
Appliquer ou signaler des stratégies techniques. Par exemple, vous pouvez bloquer le déploiement de services ou de configurations ou signaler des violations qui ne répondent pas aux exigences techniques en matière de souveraineté et de conformité.
Utilisez des définitions de stratégies prédéfinies qui sont alignées sur des cadres de conformité spécifiques.
Audits de journal et de surveillance.
Utilisez les outils de sécurité. Pour plus d’informations, consultez Définir une stratégie de sécurité.
Effectuez des fonctionnalités techniques d’assurance et de supervision, telles que l’informatique confidentielle Azure.
Examinez attentivement ces fonctionnalités pour l’environnement de votre organisation et les charges de travail individuelles. Pour chaque fonctionnalité, tenez compte du nombre d’efforts nécessaires, de l’applicabilité et de la fonction. Par exemple, l'application de stratégies est une méthode relativement simple qui favorise la conformité, mais elle peut restreindre les services que vous pouvez utiliser et la manière dont vous pouvez les utiliser. En comparaison, l’assurance technique prend beaucoup d’efforts et est plus restrictive, car elle n’est disponible que pour quelques services. Elle nécessite également une grande quantité de connaissances.
Adopter la responsabilité partagée
Lorsque vous adoptez des services cloud, vous adoptez un modèle de responsabilité partagée. Déterminez les responsabilités qui passent au fournisseur de cloud et qui restent avec vous. Comprendre comment ces changements affectent les exigences de souveraineté pour les réglementations. Pour plus d’informations, consultez les ressources en conformité des services cloud. Pour obtenir une vue générale, tenez compte des ressources suivantes :
La sécurité de l'infrastructure Azure décrit comment Microsoft fournit une protection pour l’infrastructure physique.
L’intégrité et la sécurité de la plateforme Azure décrivent comment Microsoft fournit une protection contre les menaces à la plateforme et aux processus d’assurance technique.
La résidence des données dans Azure décrit les fonctionnalités de résidence des données. Pour les clients de l’Union européenne (UE), consultez Limite de données de l’UE Microsoft.
Le fournisseur de cloud assure partiellement la continuité d'activité via la résilience de la plateforme en garantissant la continuité des systèmes critiques qui exploitent le cloud. Les services qu’une charge de travail utilise fournissent des options de continuité que vous pouvez utiliser pour générer vos charges de travail. Vous pouvez également utiliser d’autres services, tels que Sauvegarde Azure ou Azure Site Recovery. Pour plus d’informations, consultez la documentation de fiabilité Azure.
Le fournisseur de cloud est responsable de la sécurisation de l’accès à la plateforme cloud à partir des menaces internes et externes. Les clients sont responsables de la configuration de leurs systèmes pour sécuriser leurs données via la gestion des identités et des accès, le chiffrement et d’autres mesures de sécurité. Pour plus d’informations, consultez Définir une stratégie de sécurité.
Utiliser des classifications pour différencier les données
Différents types de données et charges de travail peuvent avoir des exigences de souveraineté différentes, selon des facteurs tels que la confidentialité des données et si elles contiennent des données sensibles à la confidentialité. Il est important de comprendre quelles classifications de données s’appliquent à votre organisation et quelles données et systèmes sont soumis aux classifications. Certaines données et applications sont soumises à plusieurs réglementations, ce qui peut créer la nécessité d’exigences combinées. Par exemple, il peut y avoir une réglementation relative à la confidentialité des données et à la criticité d’un système. Les classifications résultantes peuvent être une confidentialité élevée et une faible criticité ou une confidentialité moyenne et une grande criticité.
Lorsque vous respectez les exigences de souveraineté, il peut affecter d’autres facteurs, tels que le coût, la résilience, la scalabilité, la sécurité et la richesse des services. Pour votre stratégie de souveraineté, il est important d’appliquer les contrôles appropriés à une classification des données. Une approche unique conduit à un environnement qui favorise les exigences de conformité les plus élevées, ce qui est probablement le plus coûteux et le moins avantageux.
Étapes suivantes
Cloud for Sovereignty fournit des insights sur les capacités souveraines de la plateforme Azure et décrit comment répondre aux exigences de souveraineté.
La sécurité et la souveraineté ne sont pas les mêmes, mais vous ne pouvez pas être souverain si vous n’êtes pas sûr. Vous devez donc définir une stratégie de sécurité qui s’intègre à votre stratégie de souveraineté.