Programme de gestion de risques de Microsoft 365
L’objectif du programme de gestion des risques Microsoft 365 est d’identifier, d’évaluer et de gérer les risques pour Microsoft 365. La priorité absolue de Microsoft est d’identifier et de traiter de manière proactive les risques susceptibles d’impacter notre infrastructure de service, ainsi que nos clients, leurs données et leur confiance. En outre, un programme robuste de gestion des risques est nécessaire pour respecter les obligations contractuelles et maintenir les accréditations publiques sur lesquelles nos clients s’appuient pour satisfaire à leurs propres exigences de conformité. Bien que le programme de gestion des risques Microsoft 365 fonctionne indépendamment, il s’aligne sur les stratégies, les priorités et les méthodologies du programme de gestion des risques d’entreprise (ERM) global. L’utilisation du programme ERM permet une comparaison cohérente entre les unités commerciales et les groupes d’ingénierie, ce qui contribue à une approche plus cohérente de la gestion des risques au sein de l’entreprise.
L’équipe microsoft 365 Trust est responsable de la gestion du programme De gestion des risques Microsoft 365 et de la réalisation des activités définies par le programme ERM. L’équipe De confiance se concentre sur l’intégration de l’infrastructure de gestion des risques à l’ingénierie, aux opérations de service et au processus de conformité Microsoft 365 existants pour rendre le programme de gestion des risques plus efficace et plus efficace.
L’équipe de confiance gère également Microsoft 365 Controls Framework, un ensemble de contrôles rationalisés qui, lorsqu’ils sont correctement implémentés avec la prise en charge des activités de conformité, permettent aux équipes d’ingénierie de se conformer aux principales réglementations et certifications. Ce cadre est continuellement mis à jour en fonction des commentaires et des conclusions dans le cadre du processus de gestion des risques.
Les activités de gestion des risques se répartissent en quatre phases : identification, évaluation, réponse et surveillance et création de rapports.
Identification
Le processus de gestion des risques commence par identifier tous les risques possibles pour toutes les zones de contrôle clés, les menaces internes et externes et les vulnérabilités dans l’environnement Microsoft 365. Les informations qui guident ce processus proviennent de plusieurs sources, notamment des entrevues, des analyses de vulnérabilité, des exercices de simulation d’attaque, des résultats d’audit et des activités de gestion des incidents.
L’équipe de confiance interroge les experts en la matière (PME) de plusieurs équipes de services sur les risques déjà identifiés et les risques potentiels qui peuvent être introduits à mesure que les services se développent. En outre, les PME aident à valider l’exactitude et l’exhaustivité des risques identifiés à partir des autres sources de surveillance continue.
La phase d’identification consiste également à examiner les journaux de décision, les exceptions de sécurité et de conformité actives, ainsi que le travail d’atténuation des évaluations des risques précédentes.
Évaluation
Chaque risque identifié est évalué à l’aide de trois mesures : impact, probabilité et insuffisance de contrôle.
- L’impact fait référence aux dommages qui se produiraient pour le service, l’entreprise ou Microsoft si ce risque devait être réalisé. L’impact sur Microsoft peut inclure des dommages à la réputation, la perte de clients ou des implications légales/de conformité.
- La probabilité définit la probabilité du risque potentiel en cours de réalisation et est calculée en analysant la probabilité et la fréquence avec lesquelles elle se produira.
- L’insuffisance de contrôle mesure l’efficacité des contrôles d’atténuation implémentés.
Ces métriques sont utilisées pour calculer un score de risque qui représente la gravité de chaque risque, en tenant compte des stratégies d’atténuation existantes. Les risques sont agrégés et présentés aux parties prenantes clés de chaque service pour vérifier la précision et l’exhaustivité de la posture de risque de Microsoft 365.
Réponse
À l’aide de la liste vérifiée des risques pour Microsoft 365, l’équipe de gestion de la confidentialité attribue des risques au service concerné pour la réponse aux risques. Les directives définies permettent de déterminer la stratégie de réponse aux risques appropriée en fonction du score de risque et de l’efficacité du contrôle. Les stratégies de réponse aux risques se répartissent en quatre catégories :
- Acceptable : zones d’exposition à faible risque avec un niveau de contrôle faible.
- Fonctionnement : zones d’exposition à faible risque où les contrôles sont réputées adéquats.
- Contrôle : zones d’exposition à risque élevé où les contrôles sont réputés adéquats et doivent être surveillés à des fins d’efficacité.
- Amélioration : domaines d’exposition à haut risque avec un faible niveau de contrôle qui sont les priorités principales en matière d’adressage.
L’équipe De confiance coordonne avec les équipes de service pour développer des plans pour traiter chaque risque. Le niveau de gravité détermine le niveau approprié d’examen et d’approbation pour chaque plan. Pour les risques qui nécessitent une action, les processus de bogues d’ingénierie existants sont utilisés pour le suivi, la gestion et la prise de décisions d’exception. L’utilisation d’un processus familier aux équipes d’ingénierie et d’exploitation rend la réponse aux risques plus efficace et efficace.
Analyse et rapports
Les risques identifiés dans le cadre de l’évaluation des risques sont surveillés et signalés aux parties prenantes attitrées.. Les stratégies de contrôle incluent la surveillance de la sécurité, les analyses de risque périodique, les tests de pénétration et l’analyse des vulnérabilités. Ces efforts de surveillance servent de sources de données pour la création de rapports sur des indicateurs de performance clés, la création de tableaux de bord et l’élaboration de rapports formels, qui informent tous les futurs décisions en matière de risque.
Plusieurs fois par an, l’équipe de confiance rencontre les propriétaires de risques de chaque service pour passer en revue les scores de risque, évaluer l’efficacité de leurs plans d’action et effectuer des mises à jour si nécessaire. En outre, les activités d’évaluation des risques de Microsoft 365 contribuent aux évaluations des risques d’entreprise du programme ERM, qui fournissent une vue d’ensemble générale de la posture de Risque de Microsoft à la haute direction de Microsoft et au programme ERM.