Vue d'ensemble de la gestion des incidents et de la sécurité
Qu’est-ce qu’un incident de sécurité ?
Microsoft définit un incident de sécurité dans ses services en ligne comme une violation confirmée de la sécurité donnant lieu à une destruction fortuite ou illégale, à une perte, à une altération, à une divulgation ou à une consultation non autorisée de données client ou de données personnelles lors du traitement par Microsoft. Par exemple, l’accès non autorisé à l’infrastructure microsoft services en ligne et l’exfiltration des données client constituent un incident de sécurité, tandis que les événements de conformité qui n’affectent pas la confidentialité, l’intégrité ou la disponibilité des services ou des données client ne sont pas considérés comme des incidents de sécurité.
Comment Microsoft répond-il aux incidents de sécurité ?
Chaque fois qu’il y a un incident de sécurité, Microsoft s’efforce de répondre rapidement et efficacement pour protéger les services Microsoft et les données client. Microsoft utilise une stratégie de réponse aux incidents conçue pour examiner, contenir et supprimer les menaces de sécurité rapidement et efficacement.
Les services cloud Microsoft sont surveillés en permanence pour détecter des signes de compromission. En plus de la surveillance et des alertes de sécurité automatisées, tous les employés reçoivent une formation annuelle pour reconnaître et signaler les signes d’incidents de sécurité potentiels. Toute activité suspecte détectée par des employés, des clients ou des outils de surveillance de la sécurité est réaffectée aux équipes de réponse de sécurité spécifiques au service pour investigation. Toutes les équipes des opérations de service, y compris les équipes de réponse de sécurité spécifiques au service, maintiennent une rotation approfondie des appels pour garantir que les ressources sont disponibles pour la réponse aux incidents 24 heures sur 24, 7 j/7, 365 heures sur 24. Nos rotations d’appel permettent à Microsoft de monter une réponse efficace aux incidents à tout moment ou à toute échelle, y compris les événements étendus ou simultanés.
Lorsque des activités suspectes sont détectées et remontées, les équipes de réponse de sécurité spécifiques au service lancent un processus d’analyse, d’endiguement, d’éradication et de récupération. Ces équipes coordonnent l’analyse de l’incident potentiel pour déterminer son étendue, y compris tout impact sur les clients ou les données client. Sur la base de cette analyse, les équipes de réponse de sécurité spécifiques au service travaillent avec les équipes de service concernées pour développer un plan pour contenir la menace et réduire l’impact de l’incident, éradiquer la menace de l’environnement et récupérer complètement à un état sécurisé connu. Les équipes de service appropriées implémentent le plan avec le support des équipes de réponse de sécurité spécifiques au service pour s’assurer que la menace est correctement éliminée et que les services concernés font l’objet d’une récupération complète.
Une fois qu’un incident est résolu, les équipes de service implémentent toutes les leçons tirées de l’incident pour mieux prévenir, détecter et répondre à des incidents similaires à l’avenir. Sélectionnez les incidents de sécurité, en particulier ceux qui ont un impact sur le client ou qui entraînent une violation de données, subissent un incident complet après mortem. L’examen post-mortem est conçu pour identifier les insuffisances techniques, les procédures défaillantes, les erreurs manuelles et d’autres défaillances de processus susceptibles de contribuer à l’incident ou précédemment identifiées pendant le processus de réponse aux incidents. Les améliorations identifiées pendant la post-mortem sont implémentées avec la coordination des équipes de réponse de sécurité spécifiques au service pour aider à prévenir les incidents futurs et améliorer les fonctionnalités de détection et de réponse.
Comment et quand les clients sont-ils informés des incidents de sécurité ou de confidentialité ?
Chaque fois que Microsoft est informé d’une violation de la sécurité impliquant une perte, une divulgation ou une modification non autorisée des données client, Microsoft informe les clients concernés dans les 72 heures, comme indiqué dans l’Addendum sur la protection des données (DPA). La chronologie de la notification démarre lorsque l’incident de sécurité est officiellement déclaré. Dès la déclaration d’un incident de sécurité, le processus de notification se produit le plus rapidement possible, sans retard injustifié.
Les notifications incluent une description de la nature de la violation, un impact approximatif sur l’utilisateur et des étapes d’atténuation (le cas échéant). Si l’examen de Microsoft n’est pas terminé au moment de la notification initiale, la notification indique également les étapes et les calendriers suivants pour les communications ultérieures.
Si un client prend connaissance d’un incident susceptible d’avoir un impact sur Microsoft, y compris, mais sans s’y limiter, une violation de données, le client est responsable d’informer rapidement Microsoft de l’incident tel que défini dans le DPA.
Réglementations externes connexes & certifications
Les services en ligne de Microsoft sont régulièrement auditées pour vérifier la conformité aux réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés à la gestion des incidents.
Azure et Dynamics 365
| Audits externes | Section | Date du dernier rapport |
|---|---|---|
|
ISO 27001 Déclaration d’applicabilité Certificat |
A.16.1 : Gestion des incidents et améliorations de la sécurité des informations | 8 avril 2024 |
|
ISO 27017 Déclaration d’applicabilité Certificat |
A.16.1 : Gestion des incidents et améliorations de la sécurité des informations | 8 avril 2024 |
|
ISO 27018 Déclaration d’applicabilité Certificat |
A.9.1 : Notification d’une violation de données impliquant des informations d’identification personnelle | 8 avril 2024 |
| SOC 1 | IM-1 : Infrastructure de gestion des incidents IM-2 : Mécanismes de détection et alertes IM-3 : Exécution de la réponse aux incidents IM-4 : Post-morttems d’incident IM-6 : Test de réponse aux incidents OA-7 : Accès aux ingénieurs sur appel |
16 août 2024 |
|
SOC 2 SOC 3 |
CCM-9 : Procédures d’investigation CUEC : Signalement des incidents IM-1 : Infrastructure de gestion des incidents IM-2 : Mécanismes de détection et alertes IM-3 : Exécution de la réponse aux incidents IM-4 : Post-morttems d’incident IM-6 : Test de réponse aux incidents OA-7 : Accès aux ingénieurs sur appel SOC2-6 : Site web du support technique SOC2-9 : Tableaux de bord de service |
20 mai 2024 |
Microsoft 365
| Audits externes | Section | Date du dernier rapport |
|---|---|---|
| FedRAMP | IR-4 : Gestion des incidents IR-6 : Rapports d’incidents IR-8 : Plan de réponse aux incidents |
21 août 2024 |
|
ISO 27001/27017 Déclaration d’applicabilité Certification (27001) Certification (27017) |
A.16.1 : Gestion des incidents et améliorations de la sécurité des informations | Mars 2024 |
|
ISO 27018 Déclaration d’applicabilité Certificat |
A.10.1 : Notification d’une violation de données impliquant des informations d’identification personnelle | Mars 2024 |
| SOC 1 | CA-26 : Rapports sur les incidents de sécurité CA-47 : Réponse aux incidents |
1er août 2024 |
| SOC 2 | CA-12 : Contrats de niveau de service (SLA) CA-13 : Guides de réponse aux incidents CA-15 : notifications État des services CA-26 : Rapports sur les incidents de sécurité CA-29 : Ingénieurs de garde CA-47 : Réponse aux incidents |
23 janvier 2024 |
| SOC 3 | CUEC-08 : Signalement des incidents | 23 janvier 2024 |