Attester de vos applications
Microsoft Defender for Cloud Apps vous permet d’attester votre application, afin de vous assurer que les détails de conformité et de sécurité que nous utilisons pour évaluer votre application dans notre catalogue d’applications cloud sont à jour.
Que votre application soit déjà répertoriée dans le catalogue d’applications cloud ou qu’elle soit nouvelle, envoyez un questionnaire d’auto-attestation. Pour plus d’informations sur le processus d’auto-attestation, contactez casfeedback@microsoft.com.
Suivez les attributs de service décrits ci-dessous pour réussir l’envoi du questionnaire :
| Field | Catégorie d’informations | Type | Valeurs acceptées | Description |
|---|---|---|---|---|
| Nom de l'application | Généralités | String | Texte libre | Nom de votre application tel qu’il doit apparaître dans le catalogue d’applications cloud. |
| Description | Généralités | String | Texte libre | Brève explication de ce que votre application permet aux utilisateurs de faire ou d’accomplir. |
| Catégorie | Généralités | String | Fermer la liste - fournie dans le questionnaire | Classification de l’application en fonction du champ auquel elle se rapporte. |
| Headquarters | Généralités | Code du pays | Fermer la liste - fournie dans le questionnaire | Pays/région du siège social du fournisseur. |
| Centre de données | Généralités | Tableau de codes de pays* | Fermer la liste - fournie dans le questionnaire (sélection multiple) | Le pays/la région dans lequel réside votre centre de données (peut être plusieurs emplacements) |
| Société d’hébergement | Généralités | String | Texte libre | Nom de la société qui fournit l’hébergement du serveur pour l’application. |
| Fondé | Généralités | Entier | AAAA (au plus tard en 2019) | Année de création du fournisseur. |
| Possession | Généralités | String | Privé, public | Indique si le fournisseur est une société publique ou privée |
| Domaine de l’application | Généralités | Tableau d’URL* | Texte libre | Liste des domaines spécifiques utilisés pour interagir avec le service. Par exemple, « teams.microsoft.com » pour Microsoft Teams et non le domaine générique « microsoft.com ». |
| Conditions d’utilisation du service | Généralités | URL | Texte libre | Cette application fournit-elle un ensemble de réglementations que les utilisateurs doivent accepter de suivre pour pouvoir utiliser l’application ? |
| Déclaration de confidentialité | Généralités | URL | Texte libre | Lien vers un document juridiquement contraignant sur la façon dont ce fournisseur gère les informations sur les clients, les clients ou les employés collectées dans le cadre de l’application. |
| URL d’ouverture de session | Généralités | Tableau d’URL* | Texte libre | URL par le biais de laquelle les utilisateurs se connectent à l’application. |
| Fournisseur | Généralités | String | Texte libre | Nom du fournisseur qui fournit cette application. |
| Types de données | Généralités | String | Fermer la liste - fournie dans le questionnaire | Quels types de données peuvent être chargés par l’utilisateur dans l’application ? |
| Page d’accueil | Généralités | URL | Texte libre | URL de la page d’accueil du fournisseur. |
| Plan de récupération d'urgence. | Généralités | Boolean | True, False | Cette application dispose-t-elle d’un plan de récupération d’urgence qui inclut une stratégie de sauvegarde et de restauration ? |
| Dernière violation | Sécurité | Date | MMM-jj-AAAA | Incident le plus récent dans lequel des données sensibles, protégées ou confidentielles appartenant à l’application ont été consultées, volées ou utilisées par un individu non autorisé à le faire. |
| Méthode de chiffrement des données au repos | Sécurité | String | Fermer la liste - fournie dans le questionnaire | Type de chiffrement des données au repos effectuée sur l’application. |
| Authentification multifacteur | Sécurité | Boolean | True, False | Cette application prend-elle en charge les solutions d’authentification multifacteur ? |
| Restriction d’adresse IP | Sécurité | Boolean | True, False | Cette application prend-elle en charge la restriction d’adresses IP spécifiques par l’application ? |
| Piste d’audit utilisateur | Sécurité | Boolean | True, False | Cette application prend-elle en charge la disponibilité de la piste d’audit par compte d’utilisateur ? |
| Administration piste d’audit | Sécurité | Boolean | True, False | Cette application prend-elle en charge la disponibilité d’une piste d’audit administrateur dans l’application ? |
| Piste d’audit des données | Sécurité | Boolean | True, False | Cette application prend-elle en charge la disponibilité d’une piste d’audit des données dans l’application ? |
| L’utilisateur peut charger des données | Sécurité | Boolean | True, False | Cette application prend-elle en charge les données chargées par l’utilisateur ? |
| Classification des données | Sécurité | Boolean | True, False | Cette application active-t-elle l’option de classification des données chargées sur l’application ? |
| Mémoriser le mot de passe | Sécurité | Boolean | True, False | Cette application active-t-elle l’option de mémorisation et d’enregistrement des mots de passe utilisateur dans l’application ? |
| Prise en charge des rôles d’utilisateur | Sécurité | Boolean | True, False | Cette application prend-elle en charge la distribution des utilisateurs par rôles et niveaux d’autorisation ? |
| Partage de fichiers | Sécurité | Boolean | True, False | Cette application inclut-elle des fonctionnalités qui autorisent le partage de fichiers entre les utilisateurs ? |
| Prend en charge SAML | Sécurité | Boolean | True, False | Cette application prend-elle en charge la norme SAML pour l’échange de données d’authentification et d’autorisation ? |
| Protégé contre DROWN | Sécurité | Boolean | True, False | Les serveurs d’applications sont-ils protégés contre les attaques DROWN ? |
| Tests d’intrusion | Sécurité | Boolean | True, False | Cette application effectue-t-elle des tests d’intrusion pour détecter et évaluer les vulnérabilités réseau ? |
| Nécessite l’authentification de l’utilisateur | Sécurité | Boolean | True, False | Cette application nécessite-t-elle une authentification et interdit-elle l’utilisation anonyme ? |
| Stratégie de mot de passe : limite de longueur du mot de passe | Sécurité | Boolean | True, False | Cette application applique-t-elle une limite de longueur lors de la création du mot de passe ? |
| Stratégie de mot de passe : combinaison de caractères | Sécurité | Boolean | True, False | Cette application applique-t-elle une combinaison de caractères lors de la création du mot de passe ? |
| Stratégie de mot de passe : Modifier la période du mot de passe | Sécurité | Boolean | True, False | Cette application impose-t-elle aux utilisateurs de réinitialiser régulièrement leur mot de passe ? |
| Stratégie de mot de passe : historique et réutilisation des mots de passe | Sécurité | Boolean | True, False | Cette application interdit-elle la réutilisation des anciens mots de passe ? |
| Stratégie de mot de passe : utilisation des informations personnelles | Sécurité | Boolean | True, False | Cette application interdit-elle l’utilisation d’informations personnelles dans les mots de passe ? |
| Stratégie de mot de passe | Sécurité | Boolean | True, False | Cette application applique-t-elle une stratégie de mot de passe conforme aux bonnes pratiques ? |
| FINRA | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à la FINRA, un ensemble de normes pour les organisations à but non lucratif autorisées par le Congrès qui régit et applique l’amélioration des protections des investisseurs et de l’intégrité du marché ? |
| FISMA | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à la loi américaine FISMA qui définit un cadre complet pour protéger les informations, les opérations et les ressources gouvernementales au sein des agences fédérales contre les menaces ? |
| PCGR | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme aux PCGR, un ensemble de règles et de normes comptables couramment suivies pour l’information financière ? |
| HIPAA | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à hipaa, la législation américaine qui définit les normes de protection de la confidentialité et de la sécurité des informations de santé identifiables individuellement ? |
| ISAE 3402 | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à la norme ISAE 3402, qui garantit qu’un service organization dispose de contrôles appropriés ? |
| ISO 27001 | Conformité | Boolean | True, False | Cette application est-elle certifiée ISO 27001, un certificat donné aux entreprises qui respectent les directives et principes généraux reconnus à l’échelle internationale pour lancer, implémenter, maintenir et améliorer la gestion de la sécurité des informations dans un organization ? |
| ITAR | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à la réglementation ITAR qui contrôle l’exportation et l’importation des articles et services liés à la défense figurant sur la liste des munitions américaines ? |
| SOC 1 | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à SOC 1, qui rend compte des contrôles d’un service organization qui sont pertinents pour le contrôle interne des entités utilisateur sur les rapports financiers ? |
| SOC 2 | Conformité | Boolean | True, False | Cette application est-elle conforme à SOC 2, qui rend compte du traitement non financier en fonction d’un ou plusieurs des critères du service de confiance en matière de sécurité, de confidentialité, de disponibilité, de confidentialité et d’intégrité du traitement ? |
| SOC 3 | Conformité | Boolean | True, False | Cette application est-elle conforme à SOC 3, qui établit des rapports basés sur les critères du service de confiance, qui peuvent être distribués librement et ne contiennent que l’affirmation de la direction qu’ils ont satisfait aux exigences des critères choisis ? |
| SOX | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à la législation américaine SOX visant à protéger les actionnaires et le grand public contre les erreurs comptables et les fraudes, ainsi qu’à améliorer l’exactitude des informations d’entreprise ? |
| SP 800-53 | Conformité | Boolean | True, False | Cette application est-elle conforme aux contrôles de sécurité SP80053 et recommandés pour les systèmes d’information et les organisations fédéraux ? |
| SSAE 16 | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à la norme SSAE 16 pour l’audit des contrôles de conformité internes et des processus de création de rapports d’un service organization ? |
| Version PCI DSS | Conformité | String | 1, 2, 3, 3.1, 3.2, N/A | Version du protocole PCI-DSS pris en charge par cette application. |
| ISO 27018 | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à la norme ISO 27018, qui établit des contrôles et des directives couramment acceptés pour le traitement et la protection des informations d’identification personnelle (PII) dans un environnement de cloud computing public ? |
| GLBA | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à la Loi Gramm-Leach-Bliley (GLBA), qui oblige les institutions financières à établir des normes pour protéger la sécurité et la confidentialité des renseignements personnels des clients ? |
| Niveau FedRAMP | Conformité | String | Élevé, modéré, faible, Li-SaaS | Niveau de la solution conforme FedRAMP fournie par cette application. |
| Niveau CSA STAR | Conformité | String | Auto-évaluation, Certification, Attestation, Évaluation C-STAR, Surveillance continue | Niveau du programme CSA STAR auquel l’application est certifiée |
| Bouclier de protection des données | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme au cadre du bouclier de protection des données UE-États-Unis, qui impose aux entreprises américaines des obligations plus strictes en matière de protection des données personnelles des Européens ? |
| ISO 27017 | Conformité | Boolean | True, False | Cette application est-elle conforme à la norme ISO 27017, qui établit des contrôles et des directives couramment acceptés pour le traitement et la protection des informations utilisateur dans un environnement de cloud computing public ? |
| COBIT | Conformité | Boolean | True, False | Cette application est-elle conforme à COBIT, qui définit les meilleures pratiques pour la gouvernance et le contrôle des systèmes d’information et des technologies, et aligne-t-elle l’informatique sur les principes de l’entreprise ? |
| COPPA | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à coppa, qui définit les exigences sur les opérateurs de site web et de services en ligne qui fournissent du contenu aux enfants de moins de 13 ans ? |
| FERPA | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à LA FERPA, une loi fédérale qui protège la confidentialité des dossiers scolaires des étudiants ? |
| GAPP | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme aux règles GAPP, un ensemble de règles couramment suivies qui traitent des risques de confidentialité dans un organization ? |
| HITRUST CSF | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à HITRUST CSF, un ensemble de contrôles qui harmonisent les exigences des réglementations et normes de sécurité de l’information ? |
| Commandements du forum de Jéricho | Conformité | Boolean | True, False | Cette application suit-elle les commandements du forum Jericho, un ensemble de principes si à observer lors de l’architecture des systèmes pour un fonctionnement sécurisé dans des environnements dé-périmètreisés ? |
| ISO 27002 | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme à la norme ISO 27002, qui établit des directives communes pour les normes de sécurité des informations organisationnelles et les pratiques de gestion de la sécurité des informations ? |
| FFIEC | Conformité | Boolean | True, False, N/A | Cette application est-elle conforme aux recommandations du Conseil d’examen des institutions financières fédérales sur les contrôles de gestion des risques nécessaires pour authentifier les services dans un environnement bancaire par Internet ? |
| Propriété des données | Informations juridiques | Boolean | True, False | Cette application conserve-t-elle entièrement la propriété de l’utilisateur des données chargées ? |
| DMCA | Informations juridiques | Boolean | True, False | Cette application est-elle conforme à la Digital Millennium Copyright Act (DMCA), qui criminalise toute tentative d’accès illégal au matériel protégé par le droit d’auteur ? |
| Stratégie de rétention des données | Informations juridiques | Boolean | True, False | Quelle est la stratégie de l’application pour la conservation des données utilisateur après l’arrêt du compte ? |
| Déclaration de préparation au RGPD | Informations juridiques | URL | Texte libre | Un lien vers votre site web, le cas échéant, expliquant comment ce fournisseur prévoit de gérer la conformité au RGPD. |
| RGPD - Droit à l’effacement | Informations juridiques | Boolean | True, False, N/A | Cette application arrête-t-elle le traitement et supprime-t-elle les données personnelles d’un individu sur demande ? |
| RGPD - Signaler les violations de données | Informations juridiques | Boolean | True, False, N/A | Cette application signale-t-elle les violations de données aux autorités de surveillance et aux personnes concernées par la violation, dans les 72 heures suivant la détection des violations ? |
| RGPD - Analyse d’impact | Informations juridiques | Boolean | True, False, N/A | Cette application effectue-t-elle des évaluations d’impact sur la protection des données pour identifier les risques pour les individus ? |
| RGPD - Sécuriser le contrôle des données transfrontalières | Informations juridiques | Boolean | True, False, N/A | Cette application transfère-t-elle des données en toute sécurité au-delà des frontières ? |
| RGPD - Délégué à la protection des données | Informations juridiques | Boolean | True, False, N/A | Cette application nomme-t-elle un responsable de la protection des données pour superviser la stratégie de sécurité des données et la conformité au RGPD ? |
| RGPD - Droit d’opposition | Informations juridiques | Boolean | True, False, N/A | Cette application permet-elle aux individus de s’opposer au traitement de leurs données personnelles dans certaines circonstances ? |
| RGPD - Droit d’accès | Informations juridiques | Boolean | True, False, N/A | Cette application permet-elle aux individus de savoir, sur demande, quelles données personnelles une entreprise utilise et comment elles sont utilisées ? |
| RGPD - Droit à la portabilité des données | Informations juridiques | Boolean | True, False, N/A | Cette application offre-t-elle aux individus la possibilité d’obtenir et de réutiliser leurs données personnelles à leurs propres fins dans différents services sur demande ? |
| RGPD - Droit d’être informé | Informations juridiques | Boolean | True, False, N/A | Cette application informe-t-elle les individus des mesures de protection appropriées qu’elle prend quand des données personnelles sont transférées vers un pays/une région non membre de l’UE ou vers un organization international ? |
| RGPD - Droit à la restriction du traitement | Informations juridiques | Boolean | True, False, N/A | Cette application permet-elle aux individus de bloquer ou de supprimer le traitement des données personnelles ? |
| RGPD - Droits liés à la prise de décision automatisée | Informations juridiques | Boolean | True, False, N/A | Cette application offre-t-elle aux individus la possibilité de choisir de ne pas faire l’objet d’une décision basée uniquement sur un traitement automatisé ? Cela inclut le profilage, qui peut avoir des conséquences juridiques. |
| RGPD : base légale pour le traitement | Informations juridiques | Boolean | True, False, N/A | Cette application traite-t-elle les données personnelles conformément au consentement, au contrat, à l’obligation légale, aux intérêts vitaux, aux intérêts légitimes, à la catégorie spéciale, aux données et aux données d’infraction pénale ? |
| RGPD - Droit à la rectification | Informations juridiques | Boolean | True, False, N/A | Cette application permet-elle aux individus de rectifier leurs données personnelles ? Le responsable du traitement doit répondre à toutes les demandes de ses personnes concernées dans un délai d’un mois. |
* Les champs de type Array doivent être séparés par un point-virgule (;).
Étapes suivantes
Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, ouvrez un ticket de support.