SEC 201 Comment    Microsoft gère la sécurité de      ses offres de Cloud public                    Jean-Yves Grasset,    ...
Donnez votre avis !                         Depuis votre smartphone, sur :                          http://notes.mstechday...
Les services Cloud Microsoft          Software as a Service                 (SaaS)          Platform as a Service         ...
Le Cloud Microsoft en quelques chiffres
Le Cloud Microsoft en quelques dates                                                                                      ...
NIST, ENISA et CSA sur la sécurité duCloud
Chapitre 1TRUST CENTER OFFICE 365
TrustCenter Office 365                     http://www.microsoft.com/fr-fr/office365/trust-center.aspx                     ...
TRUSTCENTER OFFICE 365
Conformité Office 365Conformité/ CertificationsOffice 365                   •   ISO/IEC 27001:2005                        ...
Conformité Office 365 : ISO 27001• ISO 27001   – Norme internationale de système de gestion de la sécurité de     linforma...
Conformité Office 365 : EU Model Clauses• EU Model Clauses  – Traite de l’autorisation du transfert des données personnell...
Conformité Office 365
Chapitre 2MICROSOFT COMPLIANCEFRAMEWORK FOR ONLINESERVICES
Organisation de la conformité                                     INDUSTRY STANDARDS AND REGULATIONS                      ...
Diversité des défenses                 IDENTITE ET                               SECURITE DE                 GESTION DES  ...
Transparence
Chapitre 3DATACENTER MICROSOFT: LAPLOMBERIE
Evolutions des datacenters Microsoft      1989-2005                             2007                        2008          ...
Visite guidée des datacentersVIDEO                  http://www.globalfoundationservices.com/
Chapitre 4CLOUD SECURITY ALLIANCE / STAR
Cloud Security Alliance(CloudSecurityAlliance.org)
CSA-STAR
RFI Office 365                                       • Réponses aux exigences de la                                       ...
Chapitre 5SYNTHÈSE
Ce que nous vous avons parcouruensemble
Critères de choix d’un fournisseur de Cloud                                                        Connaître la valeur des...
• Merci de votre attention!Merci de votre attention !
Pour aller plus loin• Global Foundation Services  Web Site & Team Blogs  – www.globalfoundationservices.com• Windows Azure...
Prochain SlideShare
Chargement dans…5
×

Comment Microsoft gère la sécurité de ses offres de Cloud public

628 vues

Publié le

Vous vous posez des questions sur la sécurité des offres Cloud Microsoft ? Sur la localisation des data centers, sur le respect de la vie privée, sur la fiabilité et plus globalement sur les mesures de sécurité mises en œuvre ? Dans cette session, nous allons balayer les questions les plus fréquentes qui nous sont posées. Dans la première partie, nous ferons un tour d’horizon des ressources en ligne et nous mettrons en évidence les points les plus intéressants. Dans la seconde partie, nous vous expliquerons comment Microsoft gère et maintient la conformité, nous vous détaillerons les éléments de sécurité physique et logique des data centers Microsoft. Enfin, nous vous présenterons les critères de choix édictés par le Cloud Security Alliance.

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
628
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
32
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Intro code / dev
  • Notation
  • SSAE 16. En vigueur depuis le 15 juin 2011, SSAE 16 (Statement on Standards for Attestation Engagements Number 16) remplace SAS 70, en tant que norme relative à la prestation d’une vérification indépendante de la conformité aux contrôles d’une société de services. Les audits SSAE 16 et SAS 70 représentent des vérifications indépendantes de la conformité aux contrôles de sécurité et de leur efficacité.Les audits SAS 70 ou SSAE 16 de Microsoft sont réalisés par un tiers externe (par l’un des cabinets comptables du classement « Big Four ») et sont effectués à raison d’une fois par an.Type IUn rapport de contrôle interne SAS-70 de Type I garantit la bonne définition de tous les contrôles pertinents. La certification de Type I est la certification de base.Type IIUn rapport de contrôle interne SAS-70 de Type II garantit non seulement la bonne définition des contrôles mais également l’efficacité du fonctionnement de tous les contrôles. La certification de Type II est la plus haute certification selon le standard SAS-70.SOC 2 and SOC 3 provide much more stringent audit requirements than SSAE 16 with a stronger set of controls and requirements specifically designed around data center service organizationsService Organization Control (SOC) 2 reports are intended to provide assurance about controls related to 1) security, 2) availability, 3) processing integrity, 4) confidentiality or 5) privacy of a system and its information.https://www.datacenterknowledge.com/archives/2011/03/03/sas-70-ssae-16-soc-and-data-center-standards/EU Model Clauses. En plus de EU Safe Harbor, Office 365 est le premier service de cloud public à productivité professionnelle de premier plan à signer les normes contractuelles standard créés par l'Union Européenne (« EU Model Clauses / Clauses contractuelles européennes ») avec tous les clients. Les EU Model Clauses règlent le transfert international de données. Visitez la page ici pour obtenir une copie signée des EU Model Clauses de Microsoft.DPA : Accord de traitement des données. Microsoft propose un Accord de traitement des données (DPA) standard pour tous les clients. Cet accord traite de la confidentialité, de la sécurité et du traitement des données personnelles de clients. Notre Accord de traitement des données standard permet aux clients d'être en accord avec leurs réglementations régionales.
  • PODS : Portable On-DemandStorage
  • Comment Microsoft gère la sécurité de ses offres de Cloud public

    1. 1. SEC 201 Comment Microsoft gère la sécurité de ses offres de Cloud public Jean-Yves Grasset, Arnaud Jumelet, Direction Technique Microsoft FranceCloud
    2. 2. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
    3. 3. Les services Cloud Microsoft Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Global Foundation Services Data Centers Operations Global Network Security
    4. 4. Le Cloud Microsoft en quelques chiffres
    5. 5. Le Cloud Microsoft en quelques dates SSAE 16 FISMA Infrastructure ISO 27001 SAS-70 Security Development Lifecycle Trustworthy Computing Global Foundation Services 1er Data Center Services de type Cloud 1989 1994-95 1997 2002 2004 2006 2008 2011 2012 2013
    6. 6. NIST, ENISA et CSA sur la sécurité duCloud
    7. 7. Chapitre 1TRUST CENTER OFFICE 365
    8. 8. TrustCenter Office 365 http://www.microsoft.com/fr-fr/office365/trust-center.aspx http://trust.office365.com/ (version EN)
    9. 9. TRUSTCENTER OFFICE 365
    10. 10. Conformité Office 365Conformité/ CertificationsOffice 365 • ISO/IEC 27001:2005 • Clauses Contractuelles Types (EU Model Clauses) • Accord de traitement des données (DPA) • HIPAA • SSAE16-SOC1 Type IIDataCenter (Centre de • ISO/IEC 27001:2005,données) • SSAE16 SOC1 Type II/SAS 70 Type II SOC2 Type II SOC3 • FISMAMicrosoft Safe Harbor
    11. 11. Conformité Office 365 : ISO 27001• ISO 27001 – Norme internationale de système de gestion de la sécurité de linformation (2005) – Décrit les exigences pour la mise en place dun Système de Management de la Sécurité de lInformation (SMSI) – Annexe A : 133 mesures de sécurité de la norme ISO/CEI 27002• Certification par le British Standards Institution – Certification sur 3 ans, audit annuel• Importance du périmètre
    12. 12. Conformité Office 365 : EU Model Clauses• EU Model Clauses – Traite de l’autorisation du transfert des données personnelles en- dehors de l’Union Européenne – Atteste du respect de la conformité avec la directive européenne 95/46/EU sur la protection des données – les organismes de réglementation ont la possibilité de bloquer lutilisation dun service qui ne répond pas à potentiellement la directive européenne sur la protection des données
    13. 13. Conformité Office 365
    14. 14. Chapitre 2MICROSOFT COMPLIANCEFRAMEWORK FOR ONLINESERVICES
    15. 15. Organisation de la conformité INDUSTRY STANDARDS AND REGULATIONS • ISO/IEC 27001:2005 • Sarbanes-Oxley • EU Model Clauses • PCI-DSS • FISMA/NIST 800-53 • HIPAA, etc CONTROLS FRAMEWORK PREDICTABLE AUDIT SCHEDULE • Identify and integrate • Test effectiveness and assess risk • Regulatory requirements • Attain certifications and attestations • Customer requirements • Improve and optimize • Assess and remediate • Examine root cause of non-compliance • Eliminate or mitigate gaps in control design • Track until fully remediated CERTIFICATION AND ATTESTATIONS • ISO / IEC 27001:2005 certification • PCI DSS certification • SSAE 16/ISAE 3402 SOC 1, 2 and 3 • FISMA certification and accreditation • And more …
    16. 16. Diversité des défenses IDENTITE ET SECURITE DE GESTION DES APPLICATION L’HÔTE ACCES 24x7x365 Réponse à incident
    17. 17. Transparence
    18. 18. Chapitre 3DATACENTER MICROSOFT: LAPLOMBERIE
    19. 19. Evolutions des datacenters Microsoft 1989-2005 2007 2008 2011+ Generation 1 Generation 2 Generation 3 Generation 4 Colocation Densité Confinement Modularité Containers, PODS ITPACs & Colos Capacité Densité et Déploiement Scalabilitéet Durabilité Réduction des émissions carbone ~2 PUE 1.4 – 1.6 PUE 1.2-1.5 PUE Dimensionnement au plus juste Technologie utilisée depuis 20 Minimisation de l’impact en Economie Air & Eau 1.05 – 1.20 PUE ans ressource SLA différenciés Adaptation rapide au marché Refroidissement air extérieur
    20. 20. Visite guidée des datacentersVIDEO http://www.globalfoundationservices.com/
    21. 21. Chapitre 4CLOUD SECURITY ALLIANCE / STAR
    22. 22. Cloud Security Alliance(CloudSecurityAlliance.org)
    23. 23. CSA-STAR
    24. 24. RFI Office 365 • Réponses aux exigences de la matrice CCM (Cloud Control Matrix) de la Cloud Security Alliance • En version anglaise et française • Couverture des exigences ISO 27001 • Exigences matrice CCM http://www.microsoft.com/fr-fr/download/details.aspx?id=26647
    25. 25. Chapitre 5SYNTHÈSE
    26. 26. Ce que nous vous avons parcouruensemble
    27. 27. Critères de choix d’un fournisseur de Cloud Connaître la valeur des Exiger que le fournisseur ait Comprendre la répartition des données, des processus métiers obtenu des certifications et des rôles et des responsabilités ainsi que les obligations de rapports audits, par exemple, avec le fournisseur de service conformité que vous devez ISO/IEC 27001:2005. Cloud. respecter. Considérer l’agilité du Sassurer que les données et Exiger la transparence dans les fournisseur Cloud à sadapter les services peuvent être politiques de sécurité et les aux nouvelles rapatriés facilement. opérations. réglementations.
    28. 28. • Merci de votre attention!Merci de votre attention !
    29. 29. Pour aller plus loin• Global Foundation Services Web Site & Team Blogs – www.globalfoundationservices.com• Windows Azure – http://www.windowsazure.com• Office 365 – http://www.office365.com

    ×