Notification de violation dans Office 365 dans le cadre du RGPD

  • Article

En tant que responsable du traitement des données, Office 365 veillera à ce que nos clients soient en mesure de répondre aux exigences de notification de violation du RGPD en tant que contrôleurs de données. À cette fin, nous nous engageons à effectuer les actions suivantes :

  • Permettre aux clients la possibilité de spécifier un contact dédié à la protection des données personnelles qui sera informé en cas de violation de données. Les clients peuvent spécifier ce contact à l’aide des paramètres de rôle de lecteur de Confidentialité pour le Centre de messages.
  • Notifier les clients d’une violation de données personnelles dans les 72 heures qui suivent la violation. Les notifications seront publiées dans le Centre de messages qui est accessible via le Centre d’administration Microsoft 365. Accessoirement, les notifications d’e-mail sont envoyées aux contacts spécifiés indiquant d’un nouveau billet a été publié dans le Centre de messages.
  • La notification initiale inclut, au moins, une description de la nature de la violation, une approximation de l’impact sur l’utilisateur et des étapes d’atténuation (le cas échéant). Si notre enquête n’est pas terminée au moment de la notification initiale, nous indiquerons les étapes suivantes et les calendriers pour les communications ultérieures dans notre notification initiale

Microsoft reconnaît que les contrôleurs de données sont chargés d’effectuer des évaluations des risques et de déterminer si une violation nécessite une notification du DPA du client, et notre notification aux clients fournira les informations nécessaires pour effectuer cette évaluation. Microsoft informera donc les clients de toute violation de données personnelles, sauf dans les cas où il est confirmé que les données personnelles sont inintelligibles (par exemple, les données chiffrées où l’intégrité des clés est confirmée).

Investissements d’Office 365 dans la sécurité des données

En plus de nous engager à notifier les clients d’une violation dans les meilleurs délais, Office 365 investit massivement dans des systèmes, des processus et du personnel pour réduire le risque de violation de données personnelles et pour détecter rapidement et limiter les conséquences d’une violation dans le cas où elle se produirait.

Voici une description de certains de nos investissements dans cet espace :

  • Access Control Systems. Office 365 maintient une stratégie d'« accès permanent zéro », ce qui signifie que les ingénieurs n’ont pas accès au service, sauf s’il est explicitement accordé en réponse à un incident spécifique nécessitant une élévation d’accès. Chaque fois que l’accès est accordé, il est effectué selon le principe du privilège minimum : l’autorisation accordée pour une requête spécifique autorise uniquement un ensemble minimal d’actions requises pour traiter cette demande. Pour ce faire, Office 365 maintient une séparation stricte entre les « rôles d’élévation », chaque rôle autorisant uniquement certaines actions prédéfinies à effectuer. Le rôle « Accès aux données client » est distinct des autres rôles qui sont plus couramment utilisés pour administrer le service et est examiné de manière plus intensive avant l’approbation. Ensemble, ces investissements dans le contrôle d’accès réduisent considérablement la probabilité qu’un ingénieur de Office 365 accède de manière inappropriée aux données client.

  • Systèmes de surveillance de la sécurité et automatisation : Office 365 gère des systèmes de surveillance de la sécurité robustes et en temps réel. Entre autres problèmes, ces systèmes déclenchent des alertes en cas de tentatives d’accès illicite aux données client ou de tentatives de transfert illicite de données hors de notre service. En lien avec les points relatifs au contrôle d’accès mentionnés précédemment, nos systèmes de surveillance de la sécurité conservent des enregistrements détaillés des demandes d’élévation effectuées et des actions effectuées pour une demande d’élévation donnée. Office 365 gère également des investissements de résolution automatique qui agissent automatiquement pour atténuer les menaces en réponse aux problèmes que nous détectons, et des équipes dédiées pour répondre aux alertes qui ne peuvent pas être résolues automatiquement. Pour valider nos systèmes de surveillance de la sécurité, Office 365 effectue régulièrement des exercices d’équipe rouge dans lesquels une équipe de test d’intrusion interne simule le comportement d’un attaquant contre l’environnement actif. Ces exercices entraînent des améliorations régulières de nos fonctionnalités de surveillance et de réponse de la sécurité.

  • Personnel et processus : En plus de l’automatisation décrite précédemment, Office 365 gère les processus et les équipes responsables de l’éducation de l’organisation à l’ensemble des processus de gestion de la confidentialité et des incidents, et de l’exécution de ces processus lors d’une violation. Par exemple, une procédure opérationnelle standard (SOP) détaillée de violation de la vie privée est conservée et partagée avec les équipes de l’ensemble de l’organisation. Ce SOP décrit en détail les rôles et les responsabilités des équipes individuelles au sein des équipes Office 365 et centralisées de réponse aux incidents de sécurité. Ces responsabilités couvrent à la fois ce que les équipes doivent faire pour améliorer leur propre posture de sécurité (effectuer des révisions de sécurité, intégrer à des systèmes de surveillance de la sécurité centraux et d’autres meilleures pratiques) et ce que les équipes doivent faire en cas de violation réelle (escalade rapide vers la réponse aux incidents, maintenance et fourniture de sources de données spécifiques qui seront utilisées pour accélérer le processus de réponse). Les équipes sont également régulièrement formées à la classification des données, ainsi qu’aux procédures de gestion et de stockage correctes pour les données personnelles.

Le principal à retenir est que Office 365 investit fortement dans la réduction de la probabilité et des conséquences d’une violation de données personnelles impactant nos clients. Si une violation de données personnelles se produit, nous nous engageons à informer rapidement nos clients une fois cette violation confirmée.

À quoi vous devez vous attendre en cas de violation

La section ci-dessus décrit les investissements que Office 365 effectue pour réduire la probabilité de violation de données. Dans le cas peu probable d’une violation, les clients doivent s’attendre à une expérience prévisible en termes de réponses suivantes :

  • Cycle de vie cohérent de la réponse aux incidents dans Office 365. Comme décrit ci-dessus, Office 365 tient à jour des PDP de réponse aux incidents détaillés décrivant comment les équipes doivent se préparer à la violation et comment elles doivent fonctionner en cas de violation. Cela garantit que nos protections et processus s’appliquent tout au long du service.

  • Critères cohérents pour notifier les clients. Nos critères de notification se concentrent sur la confidentialité, l’intégrité et la disponibilité des données client. Office 365 informera directement les clients si la confidentialité ou l’intégrité des données client est affectée. Autrement dit, nous informerons les clients si leurs données sont accessibles sans autorisation appropriée, ou s’il y a destruction ou perte inappropriée de données. Office 365 signalera également les problèmes affectant la disponibilité des données, bien que cette action soit généralement effectuée via le tableau de bord d’intégrité du service (SHD).

  • Détails de notification cohérents. Lorsque Office 365 communique sur la violation de données, les clients peuvent s’attendre à ce que des détails spécifiques soient communiqués : au minimum, nous fournirons les détails suivants :

    • le minutage de la violation et de la découverte de la violation ;
    • le nombre approximatif d’utilisateurs affectés ;
    • le type de données utilisateur concernées ;
    • les mesures que l’entité de contrôle des données ou le responsable du traitement des données doit prendre pour atténuer les conséquences de cette violation.

Les clients doivent également noter que Office 365, en tant que processeur de données, ne détermine pas le risque de violation de données. Chaque fois que la violation de données personnelles est détectée, nous informerons nos clients et leur fournirons les détails dont ils ont besoin pour déterminer avec précision les risques pour les utilisateurs impactés et pour décider si d’autres rapports aux autorités réglementaires sont nécessaires. À cette fin, les contrôleurs de données sont censés déterminer les éléments suivants concernant l’incident :

  • la gravité de la violation (autrement dit, le niveau de risque) ;
  • si les utilisateurs finaux doivent en être informés ;
  • si l’autorité de régulation doit en être informée ;
  • les mesures spécifiques qui seront prises par l’entité de contrôle des données pour atténuer les conséquences de la violation.

Contacter Microsoft

Dans certains scénarios, un client peut prendre connaissance d’une violation et peut souhaiter en informer Microsoft. Le protocole actuel permet aux clients d’informer Support Microsoft, qui s’interfaceront ensuite avec les équipes d’ingénierie pour plus d’informations. Dans ce scénario, les équipes d’ingénierie Microsoft sont également engagées à fournir les informations dont les clients ont besoin, par le biais de leur contact de support, en temps voulu.

Ce que les clients doivent faire

Comme indiqué précédemment, Microsoft 365 s’engage à informer les clients dans les 72 heures suivant la déclaration de violation. L’administrateur client du client sera averti. En outre, Microsoft 365 recommande aux clients de désigner une ou plusieurs personnes comme lecteurs de confidentialité du Centre de messages, ce qui peut être fait dans le Centre d'administration Microsoft 365. En cas de violation de données personnelles, les ressources affectées au rôle Lecteur de confidentialité du Centre de messages pourront accéder au Centre de messages pour voir les notifications de confidentialité pertinentes et, en fonction de leurs préférences de centre de messages, peuvent recevoir un e-mail associé.

Pour plus d’informations, reportez-vous aux rubriques suivantes :