Notification de violation de Microsoft Azure, Dynamics 365 et Power Platform dans le cadre du RGPD

Microsoft prend au sérieux les obligations imposées par le Règlement général sur la protection des données (RGPD). Microsoft prend des mesures de sécurité étendues dans son services en ligne pour se protéger contre les violations de données. Ces mesures incluent des contrôles de sécurité physiques et logiques, ainsi que des processus de sécurité automatisés, des stratégies complètes de sécurité et de confidentialité des informations, ainsi que des formations sur la sécurité et la confidentialité pour tout le personnel.

La sécurité est intégrée à Microsoft Azure, Dynamics 365 et Power Platofrm à partir de zéro, en commençant par le cycle de vie du développement de la sécurité, un processus de développement obligatoire qui intègre des méthodologies de confidentialité par conception et de confidentialité par défaut. Le principe directeur de la stratégie de sécurité de Microsoft est de « supposer une violation », qui est une extension de la stratégie de défense en profondeur. En remettant constamment en question les fonctionnalités de sécurité de Microsoft Azure, Dynamics 365 et Power Platofrm, Microsoft peut rester en avance sur les menaces émergentes. Pour plus d’informations sur la sécurité Azure, consultez ces ressources.

Microsoft dispose d’un service de réponse aux incidents mondial dédié, 24h/24 et 7 j/7, qui travaille à atténuer les effets des attaques contre Microsoft Azure, Dynamics 365 et Power Platform. Attesté par plusieurs audits de sécurité et de conformité (par exemple, ISO/IEC 27018), Microsoft utilise des opérations et des processus rigoureux dans ses centres de données pour empêcher les accès non autorisés, y compris la surveillance vidéo 24h/24, 7 j/7, le personnel de sécurité formé, les cartes à puce et les contrôles biométriques.

Détection de violations potentielles

En raison de la nature du cloud computing moderne, toutes les violations de données qui se produisent dans un environnement cloud client n’impliquent pas les services Microsoft Azure, Dynamics 365 ou Power Platform. Microsoft utilise un modèle de responsabilité partagée pour les services Microsoft Azure, Dynamics 365 et Power Platform pour définir les responsabilités de sécurité et opérationnelles. Les responsabilités partagées sont importantes lorsque vous discutez de la sécurité d’un service Cloud, car le fournisseur de services Cloud et le client sont responsables de certaines parties de la sécurité du Cloud.

Microsoft ne surveille pas et ne répond pas aux incidents de sécurité dans le domaine de responsabilité du client. Une compromission de sécurité client uniquement n’est pas traitée comme un incident de sécurité Microsoft et nécessite que le locataire du client gère l’effort de réponse. La réponse aux incidents client peut impliquer une collaboration avec le support client Microsoft Azure, Dynamics 365 support client et/ou le support client Power Platform, en fonction de contrats de service appropriés. Microsoft propose également divers services (par exemple, Microsoft Defender pour le cloud) que les clients peuvent utiliser pour développer et gérer la réponse aux incidents de sécurité.

Microsoft répond à une violation de données potentielle selon le processus de réponse aux incidents de sécurité, qui est un sous-ensemble du plan de gestion des incidents Microsoft. La réponse aux incidents de sécurité Azure de Microsoft est implémentée à l’aide d’un processus en cinq étapes : Détecter, Évaluer, Diagnostiquer, Stabiliser et Fermer. L’équipe de réponse aux incidents de sécurité peut alterner entre les étapes de diagnostique et de stabilisation au fur et à mesure de la progression de l’examen. Voici une vue d’ensemble du processus de réponse aux incidents de sécurité :

Phase Description
1 : Détecter Première indication d’un incident potentiel.
2 : Évaluer Un membre de l’équipe de réponse aux incidents sur appel évalue l’impact et la gravité de l’événement. Sur la base de preuves, l’évaluation peut ou non entraîner une escalade supplémentaire vers l’équipe de réponse de sécurité.
3 : Diagnostiquer Des spécialistes d’intervention en matière de sécurité effectuent une enquête technique ou scientifique, et identifient des stratégies de limitation, d’atténuation et de contournement. Si l’équipe de sécurité pense que les données client ont pu être exposées à un individu non autorisé ou ayant commis des actes illicites, l’exécution du processus de notification des incidents du client débute en parallèle.
4 : Stabiliser et récupérer L’équipe de réponse aux incidents crée un plan de récupération pour atténuer le problème. Les mesures d’endiguement des crises telles que la mise en quarantaine des systèmes impactés peuvent se produire immédiatement et parallèlement au diagnostic. Des atténuations à plus long terme peuvent être planifiées, qui se produisent une fois le risque immédiat dépassé.
5 : Fermeture et post-mortem L’équipe de réponse aux incidents de sécurité crée un post-mortem décrivant les détails de l’incident, avec l’intention de réviser les stratégies, procédures et processus afin d’éviter que l’événement se reproduise.

Les processus de détection utilisés par Microsoft Azure, Dynamics 365 et Power Platform sont conçus pour détecter les événements qui risquent la confidentialité, l’intégrité et la disponibilité des services Azure, Dynamics 365 et Power Platform. Plusieurs événements peuvent déclencher un examen :

  • Alertes système automatisées via des infrastructures de surveillance interne et d’alertes. Ces alertes peuvent survenir en tant qu’alarmes basées sur la signature (par exemple, les programmes malveillants, la détection de l’intrusion) ou via des algorithmes conçus pour profiler l’activité prévue et signaler des anomalies.
  • Les rapports de première partie des services Microsoft exécutés sur Microsoft Azure et Azure Government.
  • Les vulnérabilités de sécurité sont signalées au Centre de réponse aux problèmes de sécurité Microsoft (MSRC) via Signaler un problème. MSRC fonctionne avec des partenaires et des chercheurs en sécurité dans le monde entier afin d’éviter les incidents de sécurité et améliorer la sécurité des produits Microsoft.
  • Rapports clients via des portails, notamment le portail de support client Microsoft Azure, Dynamics 365 support client, le support client Power Platform, le portail Microsoft Azure et le portail de gestion Azure Government, qui décrivent les activités suspectes attribuées à l’infrastructure Azure (par opposition aux activités qui se produisent dans le cadre de la responsabilité du client).
  • Sécurité activité d’Équipe Rouge et Équipe Bleue. Cette stratégie fait appel à une équipe rouge hautement qualifiée d’experts en sécurité Microsoft pour découvrir et attaquer les faiblesses potentielles de Microsoft Azure. L’équipe de sécurité couleur bleue doit détecter et se défendre contre l’activité de l’équipe rouge. Les actions des équipes rouge et bleue sont utilisées pour vérifier que le travail de réponse de sécurité Azure gère efficacement les incidents de sécurité. Les activités de l’équipe rouge et de l’équipe bleue de sécurité sont gérées dans le cadre de règles d’engagement pour garantir la protection des données client et des données personnelles.
  • Escalades par les opérateurs des services Microsoft Azure, Dynamics 365 et Power Platform. Les employés de Microsoft sont formés pour identifier et transmettre les éventuels problèmes de sécurité.

Réponse aux violations de données Microsoft Azure, Dynamics 365 et Power Platform

Microsoft affecte l’enquête à des niveaux de priorité et de gravité appropriés en déterminant l’impact fonctionnel, la récupérabilité et l’impact sur les informations de l’incident. La priorité et la gravité peuvent changer au cours des enquêtes, sur la base de nouveaux résultats et conclusions. Les événements de sécurité impliquant des risques imminents ou confirmés pour les données client sont traités comme présentant un niveau de gravité élevé et 24 heures sur 24 pour résoudre le problème.

L’équipe de réponse aux incidents de sécurité travaille avec les ingénieurs de service Microsoft et les experts en la matière applicables pour classifier l’événement en fonction des données factuelles à partir de la preuve. Un événement de sécurité peut être classifié comme suit :

  • Faux positif : événement qui répond aux critères de détection, mais qui fait partie d’une pratique commerciale normale et qui peut nécessiter un filtrage. Les équipes de service identifient la cause racine des faux positifs et les traitent de manière systématique pour les affiner en fonction des besoins.
  • Événement de sécurité: occurrence observable dans un système, un service et/ou un réseau pour une tentative d’attaque, le contournement des contrôles de sécurité ou un problème identifié où les faits indiquent que les données client ou les données personnelles peuvent avoir été perdues, détruites, modifiées, divulguées ou consultées sans autorisation.
  • Incident de sécurité/Incident de sécurité/Incident CRSPI (Customer Reportable Security/Privacy Incident): violation confirmée (par exemple, déclarée) de la sécurité entraînant la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès aux données client ou à données personnelles lors du traitement par Microsoft.
  • Événement de confidentialité : événement de sécurité qui affecte les données client ou les données personnelles ou le traitement des données qui entraînent des conséquences involontaires pour la confidentialité, y compris la non-conformité aux politiques, normes et contrôles de confidentialité de Microsoft.
  • Incident de confidentialité/Incident de sécurité/confidentialité pouvant être déclaré par le client (CRSPI) : Incident de sécurité qui affecte les données client ou les données personnelles, les données ou le traitement des données qui entraînent des conséquences inattendues pour la confidentialité, y compris la non-conformité aux politiques, normes et contrôles de confidentialité de Microsoft.

Pour qu’un CRSPI soit déclaré, Microsoft doit déterminer que l’accès non autorisé aux données client a ou a très probablement eu lieu et/ou qu’une notification juridique ou contractuelle doit être envoyée. Un incident est généralement déclaré comme CRSPI à la fin de l’étape de diagnostic d’un incident de sécurité. Toutefois, la déclaration peut arriver à tout moment une fois toutes les informations pertinentes disponibles.

Microsoft vérifie que les risques liés aux clients et à l’entreprise sont bien contenus et que des mesures correctives sont implémentées. Si nécessaire, des mesures d’atténuation d’urgence sont prises pour résoudre les risques de sécurité immédiats associés à l’événement.

Microsoft effectue aussi un post-mortem interne pour les violations de données. Dans le cadre de cet exercice, la suffisance des procédures de réponse et d’exploitation est évaluée, et toutes les mises à jour qui peuvent être nécessaires à la procédure opérationnelle standard de réponse aux incidents de sécurité (SOP) ou aux processus connexes sont identifiées et implémentées. Les post-mortems internes pour les violations de données sont des enregistrements hautement confidentiels qui ne sont pas accessibles aux clients. Les post-mortems peuvent toutefois être synthétisés et inclus dans d’autres notifications d’événement au client. Ces rapports sont fournis aux auditeurs externes pour révision dans le cadre des cycles d’audit de routine Microsoft Azure, Dynamics 365 et Power Platform.

Notification du client

Microsoft informe les clients et les autorités de réglementation affectés des violations de données, le cas échéant. Microsoft s’appuie sur un compartimentage interne important dans le fonctionnement de Microsoft Azure, Dynamics 365 et Power Platform. L'avantage de cette conception est que la plupart des incidents peuvent être liés à des clients spécifiques. L’objectif est de donner aux clients concernés un avis précis, exploitable et opportun, lorsque leurs données ont été violées.

Suite à un CRSPI déclaré, le processus de notification intervient dans les meilleurs délais, sachant que les risques de sécurité évoluent rapidement. Les avis du client sont remis sans délai injustifié et, dans tous les cas, dans un délai maximal de 72 heures à compter du moment où nous avons déclaré une violation , sauf dans certaines circonstances limitées, voici quelques exemples :

  • Microsoft estime que l’envoi d’une notification augmente le risque pour d’autres clients. Par exemple, le fait de notifier un adversaire peut faire basculer un adversaire et entraîner une incapacité à y remédier.
  • Le chronologie de 72 heures peut laisser certains détails de l’incident indisponibles. Ces détails sont fournis aux clients et aux autorités réglementaires au fur et à mesure que l’enquête progresse.

Microsoft fournit aux clients affectés des informations détaillées leur permettant d’effectuer des enquêtes internes et de répondre aux engagements des utilisateurs finaux, sans retarder le processus de notification de façon excessive. La notification d’une violation de données pour Azure est envoyée au panneau de notifications d’intégrité du service Microsoft Azure d’un client sous la forme d’un avis de sécurité. Si cela est justifié, un ou plusieurs des rôles suivants peuvent être avertis par e-mail d’un incident de sécurité ou de confidentialité conjointement avec ou au lieu d’une notification d’intégrité du service :

L’équipe Microsoft Azure ou Azure Government peut également choisir d’informer d’autres membres du personnel Microsoft, tels que les membres de l’équipe du service client (CSS) de Microsoft et les responsables de compte (AM) du client ou le gestionnaire de compte de réussite client (CSAM). Ces personnes ont souvent des relations étroites avec le client et peuvent favoriser une correction plus rapide.

La notification d’une violation de données pour Microsoft Dynamics 365 et Power Platform sera envoyée au Centre d'administration Microsoft 365 sous « Centre de messages » et « tableau de bord État des services ». Pour plus d’informations, consultez Stratégies et communications pour Power Platform et les services Dynamics 365.

Fonctionnalités de sécurité intégrées microsoft Dynamics 365 et Power Platform

Microsoft Dynamics 365 et Power Platform tirent parti de l’infrastructure de service cloud et des fonctionnalités de sécurité intégrées pour assurer la sécurité des données à l’aide de mesures et de mécanismes de sécurité pour protéger les données. En outre, Dynamics 365 et Power Platform fournissent un accès efficace aux données et une collaboration avec l’intégrité et la confidentialité des données dans les domaines suivants : identité sécurisée, protection des données, sécurité basée sur les rôles et gestion des menaces.

Les offres Microsoft Dynamics 365 et Power Platform suivent les mêmes mesures techniques et organisationnelles qu’une ou plusieurs équipes de service Microsoft Azure prennent pour sécuriser les processus de violation de données. Par conséquent, toutes les informations documentées dans le document de notification « Microsoft Azure Data Breach » ici s’appliquent également à Microsoft Dynamics 365 et Power Platform.

En savoir plus

Centre de gestion de la confidentialité Microsoft