Support Microsoft, services professionnels et notification des violations dans le cadre du RGPD

Le Support Microsoft et les services professionnels prennent au sérieux les obligations imposées par le Règlement général sur la protection des données (RGPD).

Les services professionnels Microsoft comprennent un groupe diversifié d’architectes techniques, d’ingénieurs, de consultants et de professionnels du support technique dédiés à la réalisation de la mission de Microsoft qui consiste à donner aux clients les moyens d’en faire plus et d’en faire plus. Notre équipe de services professionnels comprend plus de 21 000 consultants, conseillers numériques, premier support, ingénieurs et professionnels de la vente travaillant dans 191 pays, prenant en charge 46 langues différentes, gérant plusieurs millions d’engagements par mois et s’engageant dans des interactions avec les clients et les partenaires via des outils locaux, téléphoniques, web, communautaires et automatisés. Le organization apporte une vaste expertise dans l’ensemble du portefeuille Microsoft, en tirant parti d’un vaste réseau de partenaires, de communautés techniques, d’outils, de diagnostics et de canaux qui nous connectent avec nos clients d’entreprise.

L’équipe globale de réponse aux incidents de protection des données des services professionnels Microsoft a pour objectif (a) d’utiliser des opérations et des processus rigoureux pour empêcher les incidents de protection des données de se produire, (b) de les gérer de manière professionnelle et efficace lorsqu’ils se produisent, et (c) d’apprendre de ces incidents de protection des données par le biais d’améliorations régulières post-mortem et du programme. Les processus et les résultats de l’équipe de réponse aux incidents de protection des données des services professionnels de Microsoft sont examinés et attestés par plusieurs audits de sécurité et de conformité (par exemple, ISO/IEC 27001).

Présentation de la réponse aux incidents de protection des données

Microsoft Professional Services s’engage à protéger ses clients et prend des mesures considérables pour empêcher les incidents de protection des données de se produire afin de maintenir la confiance des clients. Un incident de protection des données dans les services professionnels organization est une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès à des données personnelles, ou des données de support ou de conseil, pendant le traitement par Microsoft. Pour les clients commerciaux qui ont acheté le support Premier, le support unifié ou les services de conseil Microsoft, vous devez vous référer à votre langage de réponse aux incidents de protection des données dans l’addendum sur la protection des données des services professionnels situé à l’adresse https://aka.ms/professionalservicesdpa/.

Étendue et limites du processus de réponse aux incidents de protection des données

Le processus de notification de violation de données personnelles démarre lorsque nous déclarons qu’une [violation de données personnelles] s’est produite.

Pour être déclaré, l’équipe de réponse aux incidents de protection des données Microsoft doit déterminer qu’un incident de protection des données tel que défini précédemment s’est produit. La déclaration se produit dès que toutes les informations pertinentes sont disponibles pour déterminer qu’un incident de protection des données s’est produit.

En raison de la nature des services professionnels, certains événements qui semblent être des incidents de protection des données Microsoft ne sont pas dus aux actions du client ou aux systèmes du client. Microsoft ne surveille pas et ne répond pas aux incidents de protection des données dans le domaine de responsabilité du client. Toutefois, lorsque Microsoft aura connaissance d’un incident de protection des données piloté par le client, nous classifierons cet incident comme un incident de protection des données piloté par le client, que l’équipe de réponse aux incidents de protection des données appelle un « événement », informera le client de notre observation et, si demandé, l’aidera dans son effort de réponse, dans la mesure requise par son interaction avec Microsoft. Parmi les exemples d’incidents de protection des données pilotés par le client, citons l’envoi par inadvertance des mots de passe du client et d’autres données sensibles à Microsoft, les demandes de suppression de données et le fait d’être victime d’une fraude.

Certaines actions sont totalement en dehors du champ d’application de ce processus, notamment les questions d’ordre général sur nos stratégies ou nos normes de protection des données, les demandes sur les droits de la personne concernée par le traitement des données, les demandes de retrait, les listes de vœux de produits ou les rapports de bogues non associés à la protection des données, les incidents de protection des données n’impliquant pas les données du client et les fraudes à l’encontre de Microsoft.

Types d’incidents de protection des données

L’équipe de réponse aux incidents de protection des données a identifié un ensemble de scénarios qui peuvent se produire dans les services professionnels. Tout en adhérant au framework de réponse aux incidents de protection des données de base, des procédures ont été développées et personnalisées pour accélérer le processus de réponse. Par instance, un e-mail mal acheminé peut nécessiter peu d’examen. En revanche, l’identification du personnel malveillant peut nécessiter une enquête judiciaire complète en raison de la nature subreptice des activités d’un délinquant. Cet ensemble de scénarios peut fournir des informations sur le processus de réponse aux incidents de protection des données pour les services professionnels.

Processus de réponse aux incidents de protection des données

Lorsque les Services professionnels Microsoft identifient un incident de protection des données, un processus de triage se produit : (a) évalue l’événement, (b) détermine s’il est inclus dans le cadre de ce processus, (c) détermine s’il était malveillant, (d) effectue une enquête préliminaire et attribue un niveau de gravité, et (e) des alertes et se coordonne avec les parties prenantes appropriées au sein de Microsoft. L’équipe commence également à enregistrer les détails à des fins de suivi et l’exercice post-mortem.

Détection

Microsoft Professional Services surveille en permanence les incidents de protection des données émergents dans tous les magasins de données contenant des données personnelles, à la fois en ligne et hors connexion. Nous utilisons différentes méthodes pour détecter les incidents de protection des données, notamment les alertes automatisées, les rapports clients, les rapports de tiers externes, l’observation des anomalies et les indications d’activités malveillantes ou de pirates.

Les processus de détection utilisés par les services professionnels Microsoft sont conçus pour détecter les incidents de protection des données et déclencher des investigations. Par exemple :

  • Les violations de sécurité sont signalées au système de création de rapports général de Microsoft à des fins de référence ou sont signalées directement à l’équipe de réponse aux incidents de protection de données des services professionnels.
  • Les clients envoient des rapports décrivant les activités douteuses via le portail de Support client.
  • Le personnel des services professionnels soumet des escalades. Les employés de Microsoft sont formés pour identifier et transmettre les éventuels problèmes de sécurité.
  • Pour les outils et les systèmes utilisés dans le processus de fourniture de services professionnels, les équipes d’exploitation utilisent des alertes système automatisées via des infrastructures de supervision et d’alerte internes. Ces alertes peuvent se présenter par le biais d’alarmes basées sur des signatures telles que des logiciels anti-programme malveillant, la détection d’intrusion ou via des algorithmes conçus pour profiler l’activité attendue et alerter en cas d’anomalies.

Exercices de réponse aux incidents de protection des données, tests du plan de réponse aux incidents de protection des données

En plus de la formation continue, les Services professionnels exécutent chaque année des exercices en partenariat avec les services internes appropriés pour communiquer les procédures, rôles et responsabilités d’escalade des incidents de protection des données à tous les membres de l’équipe de stabilisation. Cette formation prépare les principales parties prenantes aux incidents réels de protection des données, qu’il s’agisse de sécurité, physique ou de confidentialité par nature. Cette formation comprend des exercices avec des représentants de l’équipe de réponse aux incidents de protection des données, de l’équipe de sécurité, des équipes juridiques et de l’équipe de communication.

Suite aux exercices, nous documentons les résultats et les méthodes de résolution que nous avons décidé d’utiliser.

Formation à la réponse aux incidents de protection des données

Un composant clé de la réponse aux incidents de protection des données est la formation du personnel pour identifier et signaler les incidents de protection des données. Le personnel du organization des services professionnels doit suivre une formation qui couvre les principes fondamentaux de la confidentialité, les réglementations RGPD et les meilleures pratiques sur la façon d’identifier et de signaler les incidents de protection des données.

Une formation en ligne régulière est disponible, et l’achèvement est obligatoire pour tout le personnel. Le programme de formation utilise des tests, des enquêtes continues, de la sensibilisation et du suivi conçus pour s’assurer que la formation est comprise et conservée.

Processus

Lorsque microsoft Professional Services organization identifie un incident de protection des données, il suit un plan de réponse standard documenté, en commençant par la détermination que les critères d’incident de protection des données sont remplis. Lorsqu’un incident de protection des données se produit, il est généralement déclaré immédiatement après le triage, mais, en fonction de la complexité, la déclaration peut se produire à tout moment lorsqu’un niveau d’informations nécessaires est disponible, y compris après l’étape d’investigation. En revanche, l’équipe a le pouvoir discrétionnaire de déclarer un incident de protection des données uniquement sur la base de soupçons raisonnables d’occurrence. L’équipe peut également alterner entre les différentes étapes au fur et à mesure que l’enquête progresse.

En fonction du niveau de gravité, Microsoft peut également effectuer un post-mortem interne pour les incidents de protection des données. Dans le cadre de cet exercice, la suffisance des procédures de réponse et d’exploitation est évaluée, et toutes les mises à jour qui peuvent être nécessaires à la procédure opérationnelle standard de réponse aux incidents de protection des données ou aux processus connexes sont identifiées et implémentées. Les post-mortems internes pour les violations de données sont des enregistrements hautement confidentiels qui ne sont pas accessibles aux clients. Toutefois, les post-mortem peuvent être résumés et inclus dans les notifications d’événements client. Dans le cadre d’un cycle de vérification de routine, les processus post-mortem sont examinés par des auditeurs externes pour s’assurer que le suivi se produit.

Notification

Lorsque les Services professionnels Microsoft déclarent un incident de protection des données dans le cadre du RGPD, la notification de nos clients dans un délai de 72 heures est notre priorité.

Après la déclaration d’un incident de protection des données, le processus de notification se déroule aussi rapidement que possible tout en tenant compte des risques de sécurité liés à un déplacement rapide. Pour s’assurer que la notification peut être correctement remise, il incombe au client de s’assurer que les informations de contact administratives sur chaque compte, abonnement et portail services en ligne applicable sont correctes. Bien que l’objectif soit de fournir aux clients concernés un préavis précis, exploitable et en temps voulu, pour atteindre l’engagement de notification de 72 heures, la notification initiale peut ne pas inclure de détails complets, car tous les détails peuvent ne pas être disponibles pendant les premières étapes d’un incident de protection des données. En outre, Microsoft peut être amené à refuser certains détails en raison des circonstances de l’incident de protection des données. Par instance, il peut être nécessaire de ne pas fournir de détails si le fait de fournir une notification augmente le risque pour d’autres clients ou interfère avec la capacité de Microsoft ou des forces de l’ordre à intercepter un acteur malveillant.

En sa qualité de processeur de données, Microsoft reconnaît que les clients sont chargés de déterminer si la notification est appropriée et, le cas échéant, de notifier l’autorité de protection des données (DPA) compétente et les personnes concernées par les données du client de toute violation de données personnelles. Les services professionnels Microsoft s’aideront à fournir aux clients les informations nécessaires pour procéder à la notification dans ces circonstances.

Lors de la notification aux clients d’une violation de données personnelles, Microsoft inclut les informations suivantes, si elles sont applicables et connues :

  • Nature de la violation
  • Mesures d’atténuation prises ou proposées par Microsoft
  • Application, service ou produit concerné
  • Durée de l’exposition des données personnelles, si connue
  • Volume d’enregistrements de données concerné/exposé, si connu
  • Détails sur le responsable du traitement/fournisseur, si associé à la violation

En savoir plus

En savoir plus sur les Services professionnels Microsoft (https://aka.ms/pstrust).