Office
Se connecter

Le Gestionnaire de conformité vous aide à répondre aux exigences en matière de protection des données et de respect des réglementations dans le cadre de l’utilisation des services de cloud computing Microsoft.  

Le Gestionnaire de conformité n’est pas disponible Office 365 géré par 21Vianet, Office 365 Allemagne, Office 365 U.S. Government Community High (GCC High) ou Office 365 Department of Defense (Département de la défense des États-Unis).

Gestionnaire de conformité, outil d’analyse de risque basée sur les flux de travail accessible via le Portail d’approbation de services Microsoft, vous permet de suivre, d’attribuer et de vérifier les activités de conformité aux réglementations de votre organisation ayant trait aux services professionnels Microsoft et aux services de cloud computing Microsoft, tels que Microsoft Office 365, Microsoft Dynamics 365 et Microsoft Azure. Le Gestionnaire de conformité :

  • Combine les informations détaillées fournies par Microsoft aux auditeurs et régulateurs dans le cadre de divers audits tiers des services de cloud computing Microsoft en lien avec différentes normes (telles que ISO 27001, ISO 27018 et NIST), et les informations compilées en interne par Microsoft pour sa propre mise en conformité avec des réglementations (telles que la loi américaine HIPAA et le Règlement général sur la protection des données ou RGPD) avec votre propre analyse de la conformité de votre organisation à ces normes et réglementations.

  • Vous permet d’attribuer, de suivre et d’enregistrer les activités d’analyse et de conformité pour aider les équipes de votre organisation à atteindre les objectifs de cette dernière en matière de conformité.

  • Fournit un score de conformité pour vous aider à suivre votre progression et à hiérarchiser les contrôles d’audit qui contribuant à limiter l’exposition de votre organisation au risque.

  • Fournit un référentiel sécurisé que vous pouvez charger pour gérer les preuves et autres éléments attestant de vos activités de conformité.

  • Génère des rapports détaillés dans Microsoft Excel afin de documenter les activités de conformité menées par Microsoft et votre organisation, rapports qui peuvent être mis à la disposition des auditeurs, régulateurs et autres parties prenantes en matière de conformité.

Important : Le Gestionnaire de conformité est un tableau de bord qui résume votre avancement en termes de protection des données et de conformité, et formule des recommandations pour vous aider à vous améliorer dans ces domaines. Les actions client fournies dans le Gestionnaire de conformité sont de simples recommandations. Il appartient à chaque organisation d’évaluer l’efficacité de ces recommandations au sein de son environnement réglementaire avant de les mettre en œuvre. Les recommandations du Gestionnaire de conformité ne doivent pas être interprétées comme une garantie de conformité.

Contenu

Rubriques conceptuelles   

Utiliser la recherche

Prise en charge de la localisation

Analyses dans le Gestionnaire de conformité

Autorisations et contrôle d’accès en fonction du rôle

Compréhension du score de conformité

Méthodologie d’évaluation de la conformité

Regroupement des analyses

Fonctions d’administration   

Attribution de rôles du Gestionnaire de conformité à des utilisateurs

Paramètres de confidentialité de l’utilisateur

Utilisation du Gestionnaire de conformité   

Accès au Gestionnaire de conformité

Utilisation du tableau de bord du Gestionnaire de conformité

Affichage des points d’action

Ajout d’une analyse

Copie d’informations à partir d’analyses existantes

Affichage des analyses

Gestion du processus d’analyse

Gestion des éléments d’action

Exportation d’informations issues d’une analyse

Archivage d’une analyse

Journal des modifications des contrôles gérés par le client   

Journal des modifications

Rubriques conceptuelles

Le Gestionnaire de conformité est un outil d’analyse de risque basée sur les flux de travail conçu pour vous aider à gérer la conformité aux réglementations au sein du modèle de responsabilité partagée du cloud. Le Gestionnaire de conformité fournit un affichage sous forme de tableau de bord des normes et réglementations, ainsi que des analyses contenant des détails et résultats de tests sur l’implémentation des contrôles par Microsoft, ainsi que des conseils et un suivi de l’implémentation des contrôles par le client pour votre organisation. Le Gestionnaire de conformité fournit des définitions de contrôles d’analyse de certification, des conseils sur l’implémentation et le test des contrôles, des scores pondérés en fonction du risque pour les contrôles, une gestion des accès en fonction du rôle, et un flux de travail d’attribution d’action de contrôle en place pour suivre l’implémentation des contrôles, l’état de test et la gestion des preuves. Le Gestionnaire de conformité optimise la charge de travail liée à la conformité en permettant aux clients de regrouper logiquement des analyses et d’appliquer des tests de contrôle d’analyse à des contrôles identiques ou similaires, réduisant ainsi la duplication des efforts qui pourrait autrement être nécessaire pour satisfaire des exigences de contrôle identiques pour différentes certifications.

Portail d’approbation de services - Champ d’entrée Rechercher

Cliquez sur la loupe dans le coin supérieur droit de la page pour développer le champ d’entrée Rechercher, entrez les termes recherchés, puis appuyez sur Entrée.  La commande Rechercher s’affiche, avec le terme recherché dans le champ d’entrée du volet de recherche, et les résultats de la recherche en dessous.

Par défaut, la recherche renvoie les résultats des documents et vous pouvez utiliser les menus déroulants Filtrer par pour affiner la liste des documents qui s’affichent, ajouter ou supprimer des résultats de recherche.  Vous pouvez utiliser plusieurs attributs de filtre simultanément afin de limiter les documents renvoyés à certains services cloud, catégories de pratiques en matière de conformité ou de sécurité, régions ou secteurs.  Pour télécharger le document, cliquez sur le lien associé.

Portail d’approbation de services - Rechercher dans des documents avec filtre appliqué

Cliquez sur le lien Gestionnaire de conformité afin d’afficher les résultats de la recherche pour les contrôles d’analyse du Gestionnaire de conformité. Les résultats de la recherche affichent la date de création de l’analyse, le nom du regroupement d’analyses, le service cloud applicable, et indiquent si les contrôles sont gérés par Microsoft ou le client.

Portail d’approbation de services - Rechercher des contrôles du Gestionnaire de conformité

Remarque : Les rapports et documents du Portail d’approbation de services peuvent être téléchargés au minimum douze mois après leur publication ou jusqu’à la mise à disposition d’une nouvelle version du document.

Revenir au début

Le Portail d’approbation des services permet d’afficher le contenu d’une page dans différentes langues.  Pour modifier la langue de la page, cliquez sur l’icône de globe terrestre dans l’angle inférieur gauche de la page, puis sélectionnez la langue de votre choix. 

Portail d’approbation de services - Options de contenu localisé

Revenir au début

Le composant principal de Gestionnaire de conformité est appelé analyse. Une analyse est une évaluation d’un service Microsoft par rapport à une norme de certification ou à une réglementation en matière de protection des données (par exemple, ISO 27001:2013 et le RGPD). Les analyses vous aident à évaluer la posture de votre organisation en matière de protection des données et de conformité par rapport à une norme sectorielle donnée pour le service de cloud computing Microsoft sélectionné. Les analyses sont accomplies par l’implémentation des contrôles correspondant à la norme de certification évaluée.

La structure d’une analyse est basée sur la responsabilité partagée entre Microsoft et votre organisation en matière d’analyse des risques de sécurité et de conformité dans le cloud et la mise en œuvre de mesures de protection des données spécifiées par une norme de conformité, une norme de protection des données, une réglementation ou une loi.

Une analyse est constituée de plusieurs composants, à savoir :

Services dans l’étendue  Chaque analyse s’applique à un ensemble spécifique de services Microsoft répertoriés dans la section de services dans l’étendue.

Contrôles gérés par Microsoft    Pour chaque service cloud, Microsoft met en œuvre et gère un ensemble de contrôles en lien avec la conformité de Microsoft avec les différentes normes et réglementations. Ces contrôles sont organisés en familles de contrôles qui s’alignent avec la structure de la certification ou réglementation sur lesquelles l’analyse est alignée. Pour chaque contrôle géré par Microsoft, le Gestionnaire de conformité détaille la manière dont Microsoft l’a implémenté, ainsi que la façon dont cette implémentation a été testée et validée par un auditeur tiers indépendant, et le moment où cela a été fait.

Voici un exemple de trois contrôles gérés par Microsoft dans la famille de contrôles Sécurité d’une analyse d’Office 365 par rapport au RGPD.

Détails des contrôles gérés par Microsoft dans le Gestionnaire de conformité
  1. Spécifie les informations suivantes issues de la certification ou de la réglementation correspondant au contrôle géré par Microsoft.

    • ID du contrôle   Numéro de section ou d’article de la certification ou réglementation auquel le contrôle correspond.

    • Titre   Titre de la certification ou réglementation correspondantes.

    • ID d’article   Ce champ est inclus uniquement pour les analyses en lien avec le RGPD. Il indique le numéro de l’article du RGPD correspondant.

    • Description   Texte de la norme ou réglementation correspondant au contrôle géré par à Microsoft sélectionné.

  2. Le score de conformité du contrôle, qui indique le degré de risque (non-conformité ou échec du contrôle) associé à chaque contrôle géré par Microsoft. Voir Compréhension du score de conformité pour plus d’informations. Notez que les scores de conformité sont classés de 1 à 10 avec code de couleur. Le jaune indique les contrôles à faible risque, l’orange les contrôles à risque intermédiaire et le rouge les contrôles à risque élevé.

  3. Informations sur le statut de mise en œuvre d’un contrôle, la date de test d’un contrôle, la personne qui a réalisé le test et le résultat du test.

  4. Pour chaque contrôle, vous pouvez cliquer sur Autres pour afficher des informations supplémentaires, y compris des détails sur la mise en œuvre par Microsoft du contrôle et des détails sur la manière dont le contrôle a été testé et validé par un auditeur tiers indépendant.

Contrôles gérés par le client    Il s’agit de l’ensemble des contrôles gérés par votre organisation. Votre organisation est responsable de l’implémentation de ces contrôles dans le cadre de son processus de mise en conformité avec une norme ou une réglementation donnée. Les contrôles gérés par le client sont organisés en familles de contrôles pour la certification ou la réglementation correspondantes. Utilisez les contrôles gérés par le client pour implémenter les actions recommandées par Microsoft dans le cadre de vos activités de mise en conformité. Votre organisation peut utiliser les pratiques préconisées et les actions client recommandées dans chaque contrôle géré par le client afin de gérer le processus d’analyse et d’implémentation de ce contrôle.

Les contrôles gérés par le client disposent d’une fonctionnalité de gestion de flux de travail intégrée que vous pouvez utiliser pour gérer et suivre la progression de votre organisation en termes d’exécution de l’analyse. Par exemple, un responsable de la conformité de votre organisation peut attribuer un élément d’action à un administrateur informatique doté des autorisations requises pour effectuer les actions recommandées pour le contrôle. Une fois cette tâche terminée, l’administrateur informatique peut charger les preuves attestant des tâches de mise en œuvre (captures d’écran des paramètres de configuration ou de stratégie) et réaffecter l’élément d’action au responsable de la conformité pour lui permettre d’évaluer les preuves collectées, de tester la mise en œuvre du contrôle et de consigner la date de mise en œuvre ainsi que les résultats du test dans le Gestionnaire de conformité. Pour plus d’informations, voir la section Gestion du processus d’analyse de l’article.

Revenir au début

Par défaut, tous les membres de votre organisation disposant d’un compte Office 365 ou Azure AD peuvent accéder au Gestionnaire de conformité et exécuter toutes actions dans Gestionnaire de conformité. Pour modifier les autorisations par défaut en modèle de contrôle d’accès en fonction du rôle, au moins un utilisateur doit être ajouté à chaque rôle Gestionnaire de conformité (voir les instructions ci-après). Après ajout d’un utilisateur à un rôle, les autorisations d’exécuter les actions attribuées à celui-ci sont supprimées de l’ensemble par défaut des autorisations disponibles pour tous les utilisateurs, et seuls les utilisateurs auxquels ce rôle est attribué peuvent accéder au Gestionnaire de conformité et exécuter les actions qu’il autorise.

Une fois l’accès en fonction du rôle implémenté, tout utilisateur auquel aucun rôle défini du Gestionnaire de conformité n’est attribué a un Accès invité.

Remarque : Pour contrôler les utilisateurs qui peuvent accéder au Gestionnaire de conformité et y effectuer des actions, un utilisateur doit être ajouté à chaque rôle afin de modifier les autorisations par défaut. Par exemple, si vous ajoutez un utilisateur au rôle qui permet aux utilisateurs de gérer les analyses, seuls les utilisateurs dotés de ce rôle peuvent gérer les analyses. De même, si vous n’ajoutez pas d’utilisateur au rôle permettant aux utilisateurs de lire les données des analyses, tous les utilisateurs de votre organisation peuvent accéder au Gestionnaire de conformité et lire les données d’une analyse.

Le tableau suivant décrit chaque autorisation Gestionnaire de conformité et ce qu’elle permet à l’utilisateur. Le tableau indique également le rôle auquel chaque autorisation est attribuée.

Gestionnaire de conformité - Lecteur

Gestionnaire de conformité - Contributeur

Gestionnaire de conformité - Analyste

Gestionnaire de conformité - Administrateur

Administrateur du portail

Lire les données    Les utilisateurs peuvent lire les données, mais pas les modifier.

Coche

Coche

Coche

Coche

Coche

Modifier les données    Les utilisateurs peuvent modifier tous les champs, à l’exception des champs Date du test et Résultats du test.

Coche

Coche

Coche

Coche

Modifier les résultats du test    Les utilisateurs peuvent modifier les champs Date du test et Résultats du test.

Coche

Coche

Coche

Gérer les analyses    Les utilisateurs peuvent créer, archiver et supprimer des analyses.

Coche

Coche

Gérer les utilisateurs    Les utilisateurs peuvent ajouter d’autres utilisateurs de leur organisation aux rôles Lecteur, Contributeur, Analyste et Administrateur. Seuls les utilisateurs dotés du rôle Administrateur général au sein de votre organisation peuvent ajouter ou supprimer des utilisateurs dotés ayant trait au rôle Administrateur du portail.

Coche

Accès invité

Une fois l’accès au Gestionnaire de conformité configuré, tous les utilisateurs auxquels aucun rôle n’est attribué ont le rôle Accès invité par défaut (ce qui est également le cas de tout compte non approvisionné par l’organisation tel qu’un compte Microsoft personnel).  Les utilisateurs disposant d’un Accès invité ne peuvent pas accéder à toutes les fonctionnalités du Gestionnaire de conformité et ne peuvent pas voir les données d’analyse de la conformité de l’organisation. En revanche, ils peuvent utiliser le Gestionnaire de conformité pour afficher les rapports d’analyse de la conformité et les documents d’approbation de services de Microsoft.  Pour une illustration de ce qui est ou n’est pas accessible, voir les images ci-dessous où les fonctionnalités accessibles sont entourées de bleu et les fonctionnalités inaccessibles entourées de rouge.

Tableau de bord du Gestionnaire de conformité - Expérience d’accès invité

Gestionnaire de conformité - Graphique de l’accès invité

Revenir au début

Sur le tableau de bord, le Gestionnaire de conformité affiche un score total pour les analyses Office 365 dans l’angle supérieur droit de la vignette. Il s’agit du score de conformité total global de l’analyse, qui résulte de l’accumulation des points reçus pour chacune des analyses de contrôle marquées comme implémentées et testées dans le cadre de l’analyse. Lorsque vous ajoutez une analyse, vous constatez que le score de conformité est en cours, car les points correspondant aux contrôles gérés et implémentés par Microsoft et testés par des tiers indépendants ont été déjà appliqués.

tableau de bord du Gestionnaire de conformité - Score de conformité total

Les points restants proviennent de l’analyse réussie du contrôle du client ainsi que de l’implémentation et du test des contrôles gérés par le client, dont les valeurs contribuent au score de conformité global.  

Chaque analyse affiche un score de conformité basé sur le risque pour vous aider à évaluer le niveau de risque (en raison d’une non-conformité ou d’un échec de contrôle) associé à chacun des contrôles (gérés par Microsoft et par le client) d’une analyse.  Un nombre possible de points (classement de gravité) sur une échelle de 1 à 10 est attribué à chaque contrôle géré par le client. Plus le nombre de points attribués à un contrôle est important, plus le facteur de risque associé à celui-ci est élevé.

Par exemple, le contrôle d’analyse Gestion de l’accès des utilisateurs ci-dessous présente un classement de gravité du risque très élevé et affiche une valeur attribuée de 10.

Gestionnaire de conformité - Gravité élevée du contrôle d’analyse - Score 10

 En comparaison, le contrôle d’analyse Sauvegarde des informations ci-dessous présente un classement de gravité du risque inférieur et affiche une valeur attribuée de 3.

Gestionnaire de conformité - Gravité faible du contrôle d’analyse - Score 3

Le Gestionnaire de conformité attribue un classement de gravité par défaut à chaque contrôle. Le classement de gravité du risque est calculé sur la base des critères suivants :

  • Si un contrôle prévient la survenue d’incidents (avec risque élevé), détecte des incidents survenus ou corrige l’impact d’un incident (avec risque faible). En termes de degré de gravité, un contrôle qui prévient une menace et est obligatoire se voit attribuer le plus grand nombre de points ; les contrôles de détection ou de correction (qu’ils soient obligatoires ou discrétionnaires) se voient attribuer le plus petit nombre de points.

  • Si un contrôle (après avoir été mis en œuvre) est obligatoire et dès lors ne peut être contourné par les utilisateurs (par exemple, les utilisateurs qui doivent réinitialiser leur mot de passe et satisfaire aux exigences en termes de longueur de mot de passe) ou discrétionnaire et peut être contourné par les utilisateurs (par exemple, les règles métier qui impliquent que les utilisateurs verrouillent leur écran lorsqu’ils n’utilisent pas leur ordinateur).

  • Les contrôles portent sur les risques en termes de confidentialité, d’intégrité et de disponibilité des données, que ces risques proviennent de menaces internes ou externes, et que ces menaces soient malveillantes ou accidentelles. Par exemple, les contrôles susceptibles d’empêcher un utilisateur malveillant externe de violer ce réseau et d’accéder aux informations d’identification personnelle se voient attribuer plus de points que les contrôles susceptibles d’empêcher un employé de mal configurer accidentellement un paramètres de routeur réseau susceptible d’entraîner une indisponibilité du réseau.

  • Les risques sont associés à des éléments juridiques et externes, tels que des contrats, réglementations et engagements publics, pour chaque contrôle.

Les valeurs de score de conformité affichées pour le contrôle sont appliquées dans leur intégralité au score de conformité total sur la base de la réussite ou de l’échec. Soit le contrôle est implémenté et réussit le test d’analyse subséquent, soit il ne l’est pas. Il n’y a pas de crédit partiel pour une implémentation partielle.  Les points attribués sont ajoutés au score de conformité total uniquement quand le Statut d’implémentation du contrôle est défini sur Implémenté ou Autre implémentation, et quand le Résultat du Test est défini sur Réussi.  

L’essentiel est que le score de conformité peut vous aider à hiérarchiser les contrôles pour vous concentrer sur l’implémentation en indiquant quels contrôles sont associés à un risque potentiel plus élevé en cas d’échec.  En plus de la hiérarchisation basée sur les risques, il convient de noter que, quand des contrôles d’analyse portent sur d’autres contrôles (soit dans la même analyse, soit dans une autre faisant partie du même groupe d’analyses), l’accomplissement d’un seul contrôle peut entraîner une réduction significative de l’effort en fonction de la synchronisation des résultats des tests de contrôle.

Par exemple, dans l’image ci-dessous, nous voyons que l’analyse Office 365 - RGPD est actuellement accomplie à 46 %, avec 51 des 111 analyses de contrôle terminées pour un score de conformité total de 289 sur 600.

Gestionnaire de conformité - Résumé d’analyse

Au sein de l’analyse du contrôle RGPD, le contrôle 7.5.5 est lié à 5 autres contrôles (7.4.1, 7.4.3, 7.4.4,.7.4.8 et 7.4.9) chacun avec un score de gravité du risque modéré à élevé (de 6 ou 8).  En utilisant le filtre d’analyse, nous avons sélectionné tous ces contrôles afin de les rendre visibles dans la vue d’analyse, et nous pouvons constater ci-dessous qu’aucun d’entre eux n’a été analysé.    

Gestionnaire de conformité - Affichage d’analyse - Contrôles de filtre, aucun analysé Ces 6 contrôles étant liés, l’achèvement de l’un d’eux entraîne une synchronisation de ces résultats de test au niveau des contrôles connexes au sein de cette analyse (comme pour tous les contrôles connexes dans une analyse faisant partie du même groupe d’analyses). À la fin de l’implémentation et des tests du contrôle RGPD 7.5.5, la zone de détails du contrôle est actualisée pour montrer que les 6 contrôles ont été analysés, avec une augmentation correspondante du nombre de contrôles analysés à 57, soit 51 % des contrôles, et un accroissement de 40 points du score de conformité total.

Affichage d’analyse du Gestionnaire de conformité - Résultats de contrôle synchronisés

Cette boîte de dialogue de mise à jour de confirmation s’affiche si vous êtes sur le point de modifier le statut d’implémentation d’un contrôle connexe d’une manière qui aura un impact sur les autres contrôles connexes.

Analyse du Gestionnaire de conformité - Boîte de dialogue de confirmation de mise à jour de contrôles connexes

Remarque : Actuellement, seules les analyses des services de cloud computing Office 365 génèrent un score de conformité. Les analyses pour Azure et Dynamics affichent un état d’analyse.

Revenir au début

Le score de conformité, comme le score de sécurité Microsoft, est semblable aux autres systèmes d’évaluation basés sur le comportement. Votre organisation peut améliorer son score de conformité en accomplissant des activités en lien avec la protection, la confidentialité et la sécurité des données.

Remarque : Le score de conformité n’est pas une mesure absolue de la conformité de l’organisation par rapport à une norme ou réglementation particulière. Il exprime le degré d’adoption des contrôles permettant de réduire les risques auxquels sont exposés les données à caractère personnel et la confidentialité individuelle. Aucun service ne peut garantir la conformité d’une organisation avec une norme ou réglementation particulière, et le score de conformité ne doit en aucun cas être interprété comme une garantie.

Les analyses proposées par le Gestionnaire de conformité reposent sur le modèle de responsabilité partagée du cloud computing. Conformément au modèle de responsabilité partagée, Microsoft et chacun de ses clients sont conjointement responsables de la protection des données du client lorsque ces données sont stockées dans le cloud Microsoft.

Comme illustré dans l’analyse RGPD Office 365 ci-dessous, Microsoft et ses clients sont conjointement responsables de la mise en œuvre des différentes actions permettant de répondre aux exigences de la norme ou de la réglementation analysée. Pour rationaliser et comprendre les actions requises pour répondre aux exigences d’un large éventail de normes et réglementations, le Gestionnaire de conformité traite toutes les normes et réglementations comme s’il s’agissait de cadres de contrôle. Ainsi, les actions mises en œuvre par Microsoft et par les clients pour chaque analyse impliquent l’implémentation et la validation de différents contrôles.

Gestionnaire de conformité - Analyse RGPD

Le flux de travail élémentaire d’une action classique est le suivant :

  1. Le responsable de la conformité, des risques, de la confidentialité et/ou de la protection des données d’une organisation confie à un membre de celle-ci la responsabilité d’implémenter un contrôle. Cette personne peut être :

    1. le propriétaire d’une stratégie métier ;

    2. un responsable d’implémentation du service informatique ; ou

    3. une autre membre de l’organisation chargé d’accomplir la tâche en question.

  2. Cette personne accomplit les tâches nécessaires à l’implémentation du contrôle, charge les preuves de l’implémentation dans le Gestionnaire de conformité et marque les contrôles liés à l’action comme implémentés. Au terme de ces tâches, elle attribue l’action à un expert pour validation. Les experts peuvent être :

    1. des experts internes chargés de la validation des contrôles au sein de l’organisation ; ou

    2. des experts externes qui examinent, vérifient et certifient la conformité, comme les organisations indépendantes tierces qui contrôlent les services de cloud computing Microsoft.

  3. L’expert valide le contrôle, examine les preuves, marque le contrôle comme analysé et fournit les résultats de l’analyse (pour indiquer qu’elle est réussie, par exemple).

Une fois tous les contrôles associés à une analyse traités, l’analyse est considérée comme terminée.

Chaque analyse du Gestionnaire de conformité est accompagnée d’informations sur les actions entreprises par Microsoft pour répondre aux exigences des contrôles dont Microsoft est responsable. Ces informations indiquent comment Microsoft a implémenté chaque contrôle, et comment et quand l’implémentation de Microsoft a été analysée et vérifiée par un auditeur tiers. C’est la raison pour laquelle les contrôles gérés par Microsoft pour chaque analyse sont marqués comme analysés. Cet état est également reflété par le score de conformité de l’analyse.

Chaque analyse inclut un score de conformité total basé sur le modèle de responsabilité partagée. L’implémentation et les tests réalisés par Microsoft sur les contrôles relatifs à Office 365 représentent une partie de l’ensemble des points possibles associés à une analyse RGPD. Au fil de l’implémentation et des tests de chacune des actions par le client, le score de conformité de l’analyse augmente conformément à la valeur attribuée au contrôle.

Méthodologie d’évaluation basée sur les risques

Le Gestionnaire de conformité utilise une méthodologie d’évaluation basée sur les risques, avec une échelle allant de 1 à 10. Celle-ci attribue une valeur plus élevée aux contrôles présentant un risque élevé en cas d’échec ou de non conformité du contrôle. Le système d’évaluation utilisé par le score de conformité repose sur plusieurs facteurs clés, tels que :

  1. le caractère du contrôle ;

  2. le niveau de risque du contrôle en fonction des types de menaces ; et

  3. les facteurs externes liés au contrôle.

Gestionnaire de conformité - Méthodologie d’évaluation de la conformité

Caractère du contrôle

Le contrôle peut être obligatoire ou facultatif, et utilisé à des fins de prévention, de détection ou de correction.

Obligatoire ou facultatif

Les contrôles obligatoires ne peuvent pas être contournés, ni intentionnellement ni accidentellement. Par exemple, une stratégie de mot de passe gérée de façon centralisée et définissant les exigences en matière de longueur, de complexité et d’expiration des mots de passe est un contrôle obligatoire. Les utilisateurs doivent se conformer à ces exigences pour accéder au système.

Les contrôles facultatifs reposent sur les utilisateurs, et impliquent que ceux-ci comprennent la stratégie pour agir en conséquence. Par exemple, une stratégie exigeant que les utilisateurs verrouillent leur ordinateur lorsqu’ils quittent leur poste de travail est un contrôle facultatif car il repose sur l’utilisateur.

Contrôles de prévention, de détection ou de correction

Les contrôles préventifs préviennent des risques spécifiques. Par exemple, la protection des informations au repos à l’aide du chiffrement est un contrôle préventif contre les attaques, violations, etc. La répartition des tâches est également un contrôle préventif qui permet de gérer les conflits d’intérêts et de lutter contre la fraude.

Les contrôles de détection surveillent activement les systèmes afin d’identifier les irrégularités ou les comportements potentiellement dangereux. Ils peuvent également être utilisés pour détecter les intrusions ou déterminer si une violation a eu lieu. Les audits relatifs aux accès au système et aux actions d’administration privilégiées sont des contrôles de détection, de même que les audits de conformité réglementaire utilisés pour identifier les problèmes de processus.

Les contrôles correctifs ont pour but de minimiser les effets négatifs d’un incident lié à la sécurité, de mettre en œuvre des actions correctives pour réduire les effets immédiats et de remédier aux dommages, si possible. Une réponse à un incident de confidentialité est un contrôle correctif visant à limiter les dommages et à remettre les systèmes en état de fonctionnement après une violation.

En évaluant chaque contrôle à l’aide de ces facteurs, nous déterminons le caractère du contrôle et lui attribuons une valeur basée sur le risque qu’il représente.

Menace

Obligatoire

Facultatif

Prévention

Risque élevé

Risque modéré

Détection

Risque modéré

Risque faible

Correction

Risque modéré

Risque faible

Le terme « menace » désigne tout ce qui représente un risque, comme défini par le triangle CID (Confidentialité, Intégrité et Disponibilité), norme fondamentale et universelle qui s’applique à la sécurité des données : Confidentialité, Intégrité et Disponibilité :

  • Confidentialité signifie que les informations ne peuvent être lues et comprises que par les parties approuvées et autorisées.

  • Intégrité signifie que les informations n’ont pas été modifiées ou détruites par des tiers non autorisés.

  • Disponibilité signifie que les informations sont directement accessibles avec un niveau de qualité de service élevé.

Si l’une de ces caractéristiques n’est pas respectée, le système dans son ensemble est considéré comme compromis. Les menaces peuvent provenir de sources internes et externes, et être accidentelles ou malveillantes. Ces facteurs sont évalués dans une matrice qui attribue le niveau de menace Élevé, Modéré ou Faible à chaque combinaison de scénarios.

Interne

Externe

Menace malveillante

Menace accidentelle

Menace malveillante

Menace accidentelle

Confidentialité

(E, M ou F)

(E, M ou F)

(E, M ou F)

(E, M ou F)

Intégrité

(E, M ou F)

(E, M ou F)

(E, M ou F)

(E, M ou F)

Disponibilité

(E, M ou F)

(E, M ou F)

(E, M ou F)

(E, M ou F)

Facteurs externes

Contrats

Réglementations

Engagements publics

(E, M ou F)

(E, M ou F)

(E, M ou F)

Les facteurs externes tels que les réglementations, contrats et engagements publics en vigueur peuvent influencer les contrôles conçus pour protéger les données et éviter les violations de celles-ci, et une valeur de risque Élevé, Modéré ou Faible est attribuée à chacun de ces facteurs.

Le nombre estimé d’occurrences de ces valeurs de risque Élevé, Modéré ou Faible parmi les 15 scénarios de risque possibles représentés dans CID/Menace et Facteurs légaux/externes est combiné pour fournir une pondération des risques, qui considère la probabilité et le nombre d’occurrences des risques relatifs à une valeur donnée comme importants et en tient compte lors du calcul du classement de gravité du contrôle.

En fonction de son classement de gravité, le contrôle reçoit un score de conformité, représenté par une valeur comprise entre 1 (minimum) et 10 (maximum). Les catégories de risques sont les suivantes :

Niveau de risque

Valeur du contrôle

Faible

1-3

Modéré

6

Élevé

8

Grave

10

En donnant la priorité aux contrôles dont les scores de conformité sont les plus élevés, l’organisation se concentrera sur les éléments présentant les risques les plus élevés et recevra un feedback positif proportionnellement plus élevé sous forme de points supplémentaires ajoutés au score de conformité total de l’analyse pour chaque analyse de contrôle terminée.

Résumé

Le score de conformité est un composant majeur du Gestionnaire de conformité qui permet aux organisations de comprendre et de gérer leur conformité. Le score de conformité d’une analyse exprime sous forme de chiffre le degré de conformité de l’entreprise par rapport à une norme ou réglementation donnée. Plus le score est élevé (jusqu’au nombre maximal de points alloués pour l’analyse), plus la conformité de l’entreprise est satisfaisante. Pour hiérarchiser leurs actions, les organisations doivent impérativement maîtriser la méthodologie d’évaluation de la conformité, qui attribue aux contrôles d’analyse des valeurs de gravité des risques comprises entre 1 (risque faible) et 10 (risque élevé), et comprendre comment les contrôles d'analyse réalisés se répercutent sur le score de conformité total.

Revenir au début

Lorsque vous créez une analyse, vous êtes invité à créer un groupe auquel attribuer l’analyse ou à attribuer cette dernière à un groupe existant. Les groupes vous permettent d’organiser logiquement les analyses et de partager des informations courantes ainsi que des tâches de flux de travail entre les analyses dotées de contrôles gérés par le client similaires ou associés.

Par exemple, vous pouvez regrouper les analyses par équipes, services ou agences au sein de votre organisation, ou les regrouper par année. Voici quelques exemples de groupes et d’analyses que peuvent contenir ces groupes.

  • Analyses GDPR - 2018

    • Office 365 + GDPR

    • Azure + GDPR

    • Dynamics + GDPR

  • Azure Analyses - 2018

    • Azure + GDPR

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • Analyses de sécurité et de confidentialité des données

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

Conseil : Nous vous recommandons de déterminer une stratégie de regroupement pour votre organisation avant de commencer à ajouter de nouvelles analyses.

Les exigences relatives au regroupement des analyses sont les suivantes :

  • Les noms de groupe (également appelés ID de groupe) doivent être uniques au sein de votre organisation.

  • Les groupes peuvent contenir des analyses pour la même certification/réglementation, mais chaque groupe ne peut contenir qu’une seule analyse pour une paire service de cloud computing/certification spécifique. Par exemple, un groupe ne peut pas contenir deux analyses pour Office 365 et RGPD. De même, un groupe peut contenir plusieurs analyses pour le même service de cloud computing dans la mesure où la certification/réglementation correspondant à chacun est différente.

Une fois qu’une analyse a été ajoutée à un groupe d’analyses, il n’est plus possible de modifier celui-ci. Vous pouvez renommer le groupe d’analyses, ce qui a pour effet de modifier son nom pour toutes les analyses qui y sont associées. Vous pouvez créer une analyse et nouveau d’analyses, puis copier les informations d’une analyse existante, ce qui a pour effet de créer une copie de cette analyse dans un autre groupe d’analyses. L’archivage d’une analyse rompt la relation entre celle-ci et le groupe d’analyses. Aucune mise à jour supplémentaire d’autres analyses connexes n’est plus reflétée dans l’analyse archivée.

Comme expliqué précédemment, l’un des principaux avantages de l’utilisation de groupes est que, lorsque deux analyses du même groupe partagent le même contrôle géré par le client (de sorte que les actions du client sont les mêmes pour chaque contrôle), les détails d’implémentation, les informations de test et l’état du contrôle dans une analyse sont synchronisés avec le même contrôle dans toute autre analyse du groupe. Autrement dit, si deux analyses partagent le même contrôle et appartiennent au même groupe, vous devez gérer le processus d’analyse pour le contrôle uniquement dans une analyse. Les résultats de ce contrôle sont automatiquement synchronisés avec d’autres analyses. Par exemple, les normes ISO-27001 et ISO-27018 disposent toutes deux d’un contrôle lié aux stratégies de mot de passe. Si le paramètre État du test correspondant au contrôle est défini sur « Réussi » dans une analyse, le contrôle est mis à jour (et marqué comme « Réussi ») dans l’autre, pour autant que les deux analyses fassent partie du même groupe d’analyses.

À titre d’exemple, considérons ces deux contrôles d’analyse connexes ayant trait au chiffrement de données sur des réseaux publics, à savoir le contrôle 6.10.1.2 dans l’analyse Office 365 - RGPD et le contrôle SC-13 dans Office 365 - NIST 800- 53. Il s’agit de contrôles d’analyse connexes, dans deux analyses différentes faisant partie du groupe par défaut. Dans un premier temps, aucune analyse n’a porté sur le contrôle du client, comme le montre le tableau de bord du Gestionnaire de conformité présentant ces deux analyses.

Tableau de bord du Gestionnaire de conformité - Analyses groupées - Avant

En cliquant sur l’analyse Office 365 - RGPD et en utilisant des contrôles de filtre pour afficher le contrôle RGPD 6.10.1.2, nous constatons que le contrôle NIST 800-53 SC-13 est répertorié comme contrôle connexe.

Analyse du Gestionnaire de conformité - Contrôles partagés

 Nous montrons ici l’achèvement de l’implémentation et des tests du contrôle RGPD 6.10.1.2. 

Contrôle d’analyse du Gestionnaire de conformité RGPD 6.10.1.2 - Réussi

En accédant au contrôle connexe dans l’analyse groupée, nous constatons que le contrôle NIST 800-53 SC-13 a également été marqué comme terminé avec les mêmes date et heure, sans que cela nécessite d’effort supplémentaire d’implémentation ou de test.

Analyse du Gestionnaire de conformité - NIST 800-53 SC(13) terminé

De retour au tableau de bord, nous pouvons voir que chaque analyse a fait l’objet d’une analyse de contrôle, et que le score de conformité total pour chaque analyse a augmenté de 8 points (valeur du score de conformité de ce contrôle partagé).

Tableau de bord du Gestionnaire de conformité - Synchronisation de la progression des analyses groupées

Revenir au début

Fonctions d’administration

Certaines fonctions d’administration sont accessibles uniquement au compte administrateur de clients, et ne sont visibles qu’après connexion en tant qu’administrateur général.

Remarque : L’autorisation Accéder aux documents restreints de la liste déroulante permet aux administrateurs d’autoriser des utilisateurs à accéder aux documents restreints partagés par Microsoft sur le Portail d’approbation des services. La fonctionnalité Documents restreints sera bientôt disponible.

Chaque rôle du Gestionnaire de conformité dispose d’autorisations légèrement différentes. Vous pouvez afficher les autorisations attribuées à chaque rôle, voir les rôles des différents utilisateurs, et ajouter ou supprimer des utilisateurs auxquels ces rôles sont attribués via le Portail d’approbation de services en sélectionnant l’option de menu Admin, puis en choisissant Paramètres.

Menu d’administration STP - Paramètres sélectionnés

Pour ajouter ou supprimer des utilisateurs auxquels des rôles du Gestionnaire de conformité sont attribués.

  1. Accédez à https://servicetrust.microsoft.com.

  2. Connectez-vous avec votre compte d’administrateur général Azure Active Directory.

  3. Dans la barre de menus supérieure du Portail d’approbation de services, cliquez sur Admin, puis choisissez Paramètres.

  4. Dans la liste déroulante Sélectionner un rôle, cliquez sur le rôle que vous souhaitez gérer.

  5. Les utilisateurs ajoutés au rôle sont répertoriés dans la page Sélectionner un rôle.

  6. Pour ajouter des utilisateurs à ce rôle, cliquez sur Ajouter. Dans la boîte de dialogue Ajouter des utilisateurs, cliquez sur le champ Utilisateur. Vous pouvez faire défiler la liste des utilisateurs disponibles ou commencer à taper le nom d’un utilisateur pour filtrer la liste sur cette base. Cliquez sur le nom d’utilisateur de votre choix pour ajouter son compte à la liste Ajouter des utilisateurs afin de lui attribuer ce rôle. Si vous voulez ajouter plusieurs utilisateurs simultanément, tapez successivement leurs noms pour filtrer la liste et cliquez dessus pour les ajouter. Cliquez sur Enregistrer pour attribuer le rôle sélectionné à ces utilisateurs.

    Gestionnaire de conformité - Attribuer des rôles - Ajouter des utilisateurs

  7. Pour retirer des utilisateurs de la liste de ceux auxquels ce rôle est attribué, sélectionnez-les, puis cliquez sur Supprimer.

    Gestionnaire de conformité - Attribuer des rôles - Supprimer des utilisateurs

Revenir au début

Certaines réglementations exigent que les données contenues dans l’historique d’un utilisateur puissent être supprimées. Pour ce faire, le Gestionnaire de conformité fournit des fonctionnalités, les Paramètres de confidentialité de l’utilisateur, qui permettent aux administrateurs d’effectuer ce qui suit :

Administration du Gestionnaire de conformité - Paramètres de confidentialité de l’utilisateur

Rechercher un compte d’utilisateur

Pour rechercher un compte d’utilisateur :

  1. Entrez l’adresse e-mail de l’utilisateur en saisissant l’alias (informations situées à gauche du symbole @), puis choisissez le nom de domaine en cliquant sur la liste des suffixes de domaine à droite.  S’il s’agit d’un client comportant plusieurs domaines inscrits, vous pouvez revérifier le suffixe du nom de domaine de l’adresse e-mail pour vous assurer qu’il est correct.

  2. Une fois le nom d’utilisateur correctement entré, cliquez sur le bouton Rechercher.    

  3. Si le compte d’utilisateur est introuvable, le message d’erreur « Utilisateur introuvable » s’affiche sur la page.  Vérifiez l’adresse e-mail de l’utilisateur, apportez les corrections nécessaires, le cas échéant, puis cliquez sur Rechercher pour réessayer.

  4. Si le compte d’utilisateur est trouvé, le bouton Rechercher est remplacé par le bouton Effacer, ce qui indique que le compte d’utilisateur renvoyé est contextuellement lié aux autres fonctionnalités qui vont être affichées en-dessous, et que l’exécution de ces fonctionnalités s’appliquera à ce compte d’utilisateur.

  5. Pour effacer les résultats de la recherche et rechercher un autre utilisateur, cliquez sur le bouton Effacer.

Exporter le rapport d’historique des données du compte

Une fois le compte d’utilisateur identifié, vous pouvez générer un rapport sur les dépendances liées à ce compte.  Ces informations vous permettront de réattribuer des éléments d’action ouverts ou de garantir l’accès aux preuves précédemment chargées.  

Pour générer et exporter le rapport :   

  1. Cliquez sur Exporter pour générer et télécharger un rapport sur les éléments d’action de contrôle du Gestionnaire de conformité actuellement attribués au compte d’utilisateur renvoyé, ainsi que la liste des documents chargés par cet utilisateur.  En l’absence d’actions attribuées ou de documents chargés, un message d’erreur indique « Aucune données pour cet utilisateur ».

  2. Le rapport est téléchargé en arrière-plan de la fenêtre active du navigateur. En l’absence de fenêtre contextuelle de téléchargement, vous pouvez consulter l’historique de téléchargement de votre navigateur.

  3. Ouvrez le document pour consulter les données du rapport.

Remarque : Ce rapport ne conserve et ne présente pas les modifications d’état de l’historique d’attribution des éléments d’action.  Il s’agit d’un instantané des éléments d’action de contrôle attribués au moment où le rapport est exécuté (horodatage inscrit dans le rapport).  Par exemple, toute réattribution ultérieure d’éléments d’action produira des données instantanées différentes si un nouveau rapport est généré pour le même utilisateur. 

Réattribuer des éléments d’action

Cette fonctionnalité permet à une organisation de supprimer les dépendances actives ou en suspens sur le compte d’utilisateur en réattribuant la propriété de tous les éléments d’action (actifs et terminés) du compte d’utilisateur renvoyé à un nouvel utilisateur sélectionné en-dessous.  Cette action ne modifie pas l’historique de chargement des documents du compte d’utilisateur renvoyé. 

Pour réattribuer des éléments d’action à un autre utilisateur :   

  1. Cliquez sur la zone d’entrée pour rechercher et sélectionner l’autre utilisateur de l’organisation auquel les éléments d’action de l’utilisateur renvoyé doivent être attribués.

  2. Sélectionnez Remplacer pour réattribuer tous les éléments d’action de contrôle de l’utilisateur renvoyé à l’utilisateur nouvellement sélectionné.

  3. Une boîte de dialogue de confirmation affiche le message suivant : « Tous les éléments d’action de contrôle de l’utilisateur actuel seront réattribués à l’utilisateur sélectionné.  Cette action ne pourra pas être annulée.  Voulez-vous vraiment continuer ? »

  4. Pour continuer, cliquez sur OK. Sinon, cliquez sur Annuler.

Remarque : Tous les éléments d’action (actifs et terminés) seront attribués à l’utilisateur nouvellement sélectionné.  En revanche, cette action n’affecte pas l’historique de chargement des documents ; tous les documents chargés par l’utilisateur précédemment attribué afficheront toujours la date/heure et le nom de cet utilisateur.  

La modification de l’historique de chargement des documents pour supprimer l’utilisateur précédemment attribué devra être effectuée manuellement.  Dans ce cas, l’administrateur devra :

1)      Ouvrir le rapport d’exportation précédemment téléchargé

2)      Identifier l’élément d’action de contrôle souhaité et y accéder

3)      Cliquer sur Gérer les documents pour accéder au référentiel de preuves de ce contrôle

4)      Télécharger le document

5)      Supprimer le document du référentiel de preuves

6)      Recharger le document  Le document comportera alors une nouvelle date/heure de chargement et un nouveau nom d’utilisateur.  

Supprimer l’historique des données de l’utilisateur

Cette fonctionnalité définit les éléments d’action de contrôle sur « non attribués » pour tous les éléments d’action attribués à l’utilisateur renvoyé.  La valeur « téléchargé par » est également définie sur « utilisateur supprimé » pour tous les documents chargés par l’utilisateur renvoyé.

Pour supprimer l’élément d’action du compte d’utilisateur ainsi que l’historique de chargement des documents :   

  1. Cliquez sur le bouton Supprimer.

  2. Une boîte de dialogue de confirmation affiche le message suivant : « Toutes les attributions d’éléments d’action de contrôle ainsi que l’historique de chargement des documents de l’utilisateur sélectionné seront supprimés.  Cette action ne pourra pas être annulée.  Voulez-vous vraiment continuer ? »

  3. Pour continuer, cliquez sur OK. Sinon cliquez sur Annuler.

Revenir au début

Utilisation du Gestionnaire de conformité

Le Gestionnaire de conformité met à votre disposition des outils pour attribuer, suivre et enregistrer des activités d’analyse et de mise en conformité afin d’aider les équipes de votre organisation à collaborer pour atteindre les objectifs de celle-ci en matière de conformité.

Tableau de bord du Gestionnaire de conformité - Menu supérieur - Menu Admin mise à jour

Revenir au début

Le Gestionnaire de conformité est accessible via le Portail d’approbation de services. Toute personne disposant d’un compte Microsoft ou d’un compte professionnel Azure Active Directory peut accéder au Gestionnaire de conformité.

Gestionnaire de conformité - Accès au Gestionnaire de conformité à partir du menu STP

  1. Accédez à https://servicetrust.microsoft.com.

  2. Connectez-vous avec votre compte d’utilisateur Azure Active Directory (Azure AD).

  3. Dans le Portail d’approbation de services, cliquez sur Gestionnaire de conformité.

  4. Lorsque l’accord de non-divulgation s’affiche, lisez-le, puis cliquez sur Accepter pour continuer. Vous ne devez effectuer cette opération qu’une seule fois. Ensuite, le tableau de bord du Gestionnaire de conformité s’affiche.

  5. Pour vous aider à démarrer, nous avons ajouté les analyses par défaut suivantes :

    Analyses par défaut du Gestionnaire de conformité
  6. Cliquez sur Icône d’aide du Gestionnaire de conformité Aide pour suivre une brève visite guidée du Gestionnaire de conformité.

Revenir au début

Le Gestionnaire de conformité fournit une vue pratique de tous les points d’action d’analyse de contrôle qui vous sont attribués, ce qui vous permet d’agir rapidement et facilement sur ceux-ci. Vous pouvez afficher tous les points d’action ou sélectionner ceux qui correspondent à une certification spécifique en cliquant sur l’onglet associé à cette analyse.  Par exemple, dans l’image ci-dessous, l’onglet RGPD sélectionné présente les contrôles liés à l’analyse RGPD.

Gestionnaire de conformité - Liste de points d’action avec plusieurs onglets RGPD sélectionnés

Pour afficher vos points d’action

  1. Accédez au tableau de bord du Gestionnaire de conformité

  2. Cliquez sur le lien Points d’action. La page est actualisée pour afficher les points d’action qui vous sont attribués.

  3. Par défaut, tous les points d’action sont affichés. Si des points d’action sont associés à plusieurs certifications, les noms de celles-ci sont répertoriés dans des onglets affichés dans la partie supérieure du contrôle d’analyse. Pour afficher les points d’action d’une certification spécifique, cliquez sur l’onglet correspondant.

Revenir au début

Pour ajouter une analyse au Gestionnaire de conformité :

  1. Dans le tableau de bord du Gestionnaire de conformité, cliquez sur Icône Ajouter Ajouter une analyse.

  2. Dans la fenêtre Ajouter une analyse, vous pouvez créer un groupe auquel ajouter l’analyse ou l’ajouter à un groupe existant (le groupe intégré est appelé« Groupe initial »). En fonction de l’option choisie, entrez le nom du nouveau groupe ou sélectionnez un groupe existant dans la liste déroulante. Pour plus d’informations, voir Regroupement des analyses.

    Si vous créez un groupe, vous avez également la possibilité de copier les informations d’un groupe existant vers la nouvelle analyse. Ainsi, toutes les informations ajoutées dans les champs Détails d’implémentation, Plan du test et Réponse de gestion des contrôles gérés par le client des analyses figurant dans le groupe à partir duquel vous effectuez la copie sont copiées vers les mêmes contrôles gérés par le client (ou des contrôles connexes) dans la nouvelle analyse. Si vous ajoutez une nouvelle analyse à un groupe existant, les informations communes des analyses figurant dans ce groupe sont copiées vers la nouvelle analyse. Pour plus d’informations, voir Copie d’informations à partir d’analyses existantes.

  3. Cliquez sur Suivant, puis procédez comme suit :

    • Sélectionnez un service de cloud computing Microsoft à des fins d’analyse de la conformité dans la liste déroulante Sélectionner un produit.

    • Sélectionnez une certification pour analyser le service de cloud computing dans la liste déroulante Sélectionner une certification.

  4. Cliquez sur Ajouter au tableau de bord pour créer l’analyse. Celle-ci est ajoutée au tableau de bord du Gestionnaire de conformité sous la forme d’une nouvelle vignette à la fin de la liste des vignettes.

    La vignette d’analyse sur le tableau de bord du Gestionnaire de conformité affiche le groupe d’analyses, le nom de l’analyse (créé automatiquement en combinant le nom du service et la certification sélectionnée), les dates de création et de dernière modification de celle-ci, le score de conformité total (somme de toutes les valeurs de risque du contrôle attribué qui on été implémentées, testées et transmises), ainsi que des indicateurs de progression en bas qui montrent le nombre de contrôles qui ont été analysés.

  5. Cliquez sur le nom de l’analyse pour ouvrir celle-ci et en voir les détails.

  6. Cliquez sur le menu Actions pour voir les points d’action qui vous sont attribués, renommer le groupe d’analyses, exporter le rapport d’analyse ou archiver l’analyse.

Gestionnaire de conformité - Vignette d’analyse

Revenir au début

Comme indiqué précédemment, lorsque vous créez un groupe d’analyses, vous avez la possibilité de copier les informations des analyses d’un groupe existant vers la nouvelle analyse du nouveau groupe. Vous pouvez ainsi appliquer l’analyse et le processus de test effectués pour les mêmes contrôles gérés par le client à la nouvelle analyse. Par exemple, si vous disposez d’un groupe pour toutes les analyses associées au RGPD au sein de votre organisation, vous pouvez copier les informations communes d’une analyse existante lorsque vous ajoutez une nouvelle analyse au groupe.

Vous pouvez copier les informations suivantes du client vers une nouvelle analyse :

  • Utilisateurs de l’analyse. Un utilisateur d’analyse est un utilisateur auquel est attribué le contrôle.

  • État, Date du test et Résultats du test.

  • Détails de mise en œuvre et plan du test.

De même, les informations issues des contrôles gérés par le client partagés dans le même groupe d’analyses sont synchronisées. Les informations issues des contrôles gérés par le client associés dans la même analyse sont également synchronisées.

Revenir au début

  1. Recherchez le titre de l’analyse que vous voulez consulter, puis cliquez dessus pour ouvrir l’analyse et voir les contrôles gérés par Microsoft et le client associés à l’analyse, ainsi que la liste des services cloud concernés par celle-ci. Voici un exemple d’analyse pour Office 365 en lien avec le RGPD.

    Affichage d’analyse du Gestionnaire de conformité - Plein écran avec des légendes

    1. Cette section présente les informations de synthèse de l’analyse, à savoir le nom du groupe d’analyses, le produit, le nom de l’analyse, et le nombre de contrôles d’analyse.

    2. Cette section décrit les contrôles du filtre d’analyse. Pour une explication plus détaillée de l’utilisation des contrôles du filtre d’analyse, voir la section Gestion du processus d’analyse.

    3. Cette section présente les services individuels de cloud computing concernés par l’analyse.

    4. Cette section contient les contrôles gérés par Microsoft. Les contrôles associés sont organisés par famille de contrôles. Cliquez sur une famille de contrôles pour la développer et afficher les contrôles individuels.

    5. Cette section contient les contrôles gérés par le client, qui sont également organisés par famille de contrôles. Cliquez sur une famille de contrôles pour la développer et afficher les contrôles individuels.

    6. Affiche le nombre total de contrôles de la famille de contrôles ainsi que le nombre de contrôles analysés. Le suivi de la progression de votre organisation en matière d’analyse des contrôles gérés par le client constitue une fonctionnalité clé de Gestionnaire de conformité. Pour plus d’informations, voir Compréhension du score de conformité.

Revenir au début

Le créateur d’une analyse est dans un premier temps le seul utilisateur de l’analyse. Pour chaque contrôle géré par le client, vous pouvez attribuer un élément d’action à une membre de votre organisation pour permettre à ce membre de devenir utilisateur de l’analyse, d’effectuer les actions du client recommandées, de collecter et de charger des preuves. Lorsque vous attribuez un élément d’action, vous pouvez choisir d’envoyer un e-mail contenant les détails à une personne, notamment les actions du client recommandées ainsi que l’élément d’action prioritaire. La notification par e-mail comprend un lien vers le tableau de bord Éléments d’action, qui répertorie tous les éléments d’action attribués à cette personne.

Vous trouverez ci-dessous la liste des tâches que vous pouvez effectuer à l’aide des fonctionnalités de flux de travail de Gestionnaire de conformité.

Flux de travail d’analyse du Gestionnaire de conformité avec légendes
  1. Utiliser les options de filtre pour trouver des contrôles d’analyse spécifiques    Le Gestionnaire de conformité comprend des Options de filtre qui vous permettent d’utiliser des critères de sélection très précis pour l’affichage des contrôles d’analyse afin de vous aider à cibler avec précision des aspects spécifiques de vos efforts de mise en conformité.  

    L’icône d’entonnoir du côté droit de la page permet d’afficher ou de masquer les contrôles Options de filtre. Ces contrôles vous permettent de spécifier des critères de filtre de façon à ce que seul les contrôles d’analyse correspondant à ceux-ci s’affichent en dessous. Contrôles de filtre des analyses du Gestionnaire de conformité

    • Articles: permet de filtrer sur le nom de l’article pour obtenir les contrôles d’analyse associés à celui-ci. Par exemple, en tapant « Article (5) », vous obtenez une liste de sélection répertoriant les articles dont le nom inclut cette chaîne, à savoir l’Article (5)(1)(a), l’Article (5)(1)(b), l’Article (5)(1)(c), etc. En sélectionnant Article (5)(1)(c), vous obtenez les contrôles associés à cet article. Il s’agit d’un champ à sélections multiples qui utilise un opérateur OU avec plusieurs valeurs. Par exemple, si vous sélectionnez Article (5)(1)(a), puis ajoutez Article (5)(1)(c), le filtre retourne les contrôles associés à l’Article (5)(1)(a) ou à l’Article (5)(1)(c).

      Affichage d’analyse du Gestionnaire de conformité - Filtre sur le nom d’Article

    • Contrôles: retourne la liste des contrôles dont les noms correspondent au filtre. Ainsi, si vous tapez 7.3, vous obtenez une liste de sélection contenant des éléments tels que 7.3.1, 7.3.4, 7.3.5, etc. Il s’agit d’un champ à sélections multiples qui utilise un opérateur OU avec plusieurs valeurs. Par exemple, si vous sélectionnez 7.3.1, puis ajoutez 7.3.4, le filtre retourne les contrôles associés à 7.3.1 ou à 7.3.4.

      Mode d’analyse du Gestionnaire de conformité - Sélections multiples du contrôle de filtre

    • Utilisateurs attribués : retourne la liste des contrôles attribués à l’utilisateur sélectionné.

    • État : retourne la liste des contrôles dont l’état est sélectionné.

    • Résultat de test : retourne la liste des contrôles dont le résultat de test est sélectionné.

    Lorsque vous appliquez des conditions de filtre, l’affichage des contrôles applicables change en fonction de ces conditions.  Développez les sections de la famille de contrôles pour voir les détails de ceux-ci en dessous.  

    Affichage d’analyse du Gestionnaire de conformité - Filtrer les résultats d’article

  2. Si, après sélection des filtres souhaités, aucun résultat n’apparaît, cela signifie qu’aucun contrôle ne correspond aux conditions de filtre spécifiées. Par exemple, si vous sélectionnez un Utilisateur attribué particulier, puis un choisissez un nom de Contrôle ne correspondant pas au contrôle attribué à cet utilisateur, aucune analyse n’apparaît dans la page en dessous.

  3. Attribuer un élément d’action à un utilisateur     Vous pouvez attribuer un élément d’action à une personne pour lui permettre de mettre en œuvre les exigences d’une certification/réglementation ou de tester, vérifier et documenter les exigences en matière de mise en œuvre de votre organisation. Lorsque vous attribuez un élément d’action, vous pouvez choisir d’envoyer un e-mail contenant les détails à une personne, notamment les actions du client recommandées ainsi que l’élément d’action prioritaire. Vous pouvez également désattribuer ou réattribuer un élément d’action à une personne différente.

  4. Gérer les documents    Les contrôles gérés par le client permettent aussi de gérer les documents associés afin d’effectuer des tâches de mise en œuvre, ainsi que des tâches de test et de validation. Toute personne disposant des autorisations requises pour modifier les données dans le Gestionnaire de conformité peut charger des documents en cliquant sur Gérer les documents. Une fois le document chargé, cliquez sur Gérer les documents pour afficher et télécharger les fichiers.

  5. Fournir des détails de mise en œuvre et de test    Chaque contrôle géré par le client présente un champ modifiable dans lequel les utilisateurs peuvent ajouter des détails de mise en œuvre afin de documenter les mesures prises par votre organisation pour se conformer aux exigences de la certification/réglementation et valider la manière dont votre organisation s’y conforme.

  6. Définir l’état    Définissez l’état de chaque élément dans le cadre du processus d’analyse. Les différentes valeurs d’état sont les suivantes : Mis en œuvre, Autre mise en œuvre, Planifié et Non concerné.

  7. Entrer la date et le résultat du test    La personne à qui est attribué le rôle Analyste du Gestionnaire de conformité peut vérifier la bonne exécution du test, consulter les détails de l’implémentation, le plan de test, les résultats du test ainsi que toute preuve chargée, puis définir la Date de test et le Résultat de test. Les valeurs de résultat de test disponibles sont les suivantes : Réussi, Échec avec faible risque, Échec avec risque intermédiaire et Échec avec risque élevé.

Revenir au début

Les employés impliqués dans le processus d’analyse de votre organisation peuvent utiliser Gestionnaire de conformité pour examiner les contrôles gérés par le client de toutes les analyses pour lesquelles il existe des utilisateurs. Lorsqu’un utilisateur se connecte à Gestionnaire de conformité et ouvre le tableau de bord Éléments d’action, la liste des éléments d’action qui lui sont attribués s’affiche. Selon le rôle du Gestionnaire de conformité attribué à l’utilisateur, il peut fournir les détails de mise en œuvre et de test, mettre à jour l’état ou attribuer des éléments d’action.

Les contrôles de certification étant généralement implémentés par une personne et testés par une autre, un point d’action de contrôle peut être initialement attribué à une personne chargée de l’implémenter. Ensuite, une fois l’opération terminée, cette personne peut réattribuer le point d’action de contrôle à la personne chargée de tester le contrôle et de charger la preuve. Ce processus d’attribution/réattribution des actions de contrôle peut être conduit par tout utilisateur auquel est attribué un rôle du Gestionnaire de conformité doté d’autorisations suffisantes. Cela permet une gestion centralisée des attributions de contrôle ou un routage décentralisé des points d’action de contrôle, de la personne chargée d’implémenter à celle chargée de tester.

Pour attribuer un point d’action

  1. Sur le tableau de bord du Gestionnaire de conformité, localisez la vignette de l’analyse que vous souhaitez utiliser, puis cliquez sur le nom de l’analyse pour accéder à la page des détails de celle-ci.

  2. Vous pouvez cliquer sur le bouton Filtrer et utiliser les contrôles de filtre pour trouver le contrôle d’analyse que vous voulez attribuer, ou

  3. faire défiler vers le bas jusqu’à la section Contrôles gérés par le client, développer la famille de contrôles, puis faire défiler la liste des contrôles jusqu’à trouver le contrôle d’analyse à attribuer.

  4. Dans la colonne Utilisateur attribué, cliquez sur le bouton bleu Attribuer.

  5. Dans la boîte de dialogue Attribuer un point d’action, cliquez sur le champ Attribuer à pour afficher la liste des utilisateurs auxquels l’action peut être attribuée. Vous pouvez faire défiler la liste pour trouver l’utilisateur cible, ou commencer à taper dans le champ pour rechercher le nom d’utilisateur.

  6. Cliquez sur l’utilisateur pour lui affecter ce point d’action.

  7. Si vous voulez envoyer une notification par e-mail à l’utilisateur afin de l’avertir, vérifiez que la case à cocher Envoyer une notification par e-mail est activée.

  8. Tapez les notes éventuelles que vous souhaitez montrer à cet utilisateur, puis cliquez sur Attribuer.

  9. L’utilisateur reçoit une notification concernant l’attribution du point d’action et contenant les notes éventuelles que vous lui avez fournies.

Les notes associées au point d’action sont conservées dans la section Notes. Elles seront ainsi disponibles lors de la prochaine attribution du point d’action. Ces notes ne sont pas en lecture seule. Elles peuvent être modifiées, remplacées ou supprimées par la personne qui attribue le point d’action.

Revenir au début

Vous pouvez exporter une analyse vers un fichier Excel. Celui-ci peut ensuite être examiné par les parties prenantes en matière de conformité de votre organisation, et mis à la disposition d’auditeurs et de régulateurs. Ce rapport d’analyse est un instantané de l’analyse aux date et heure de création du rapport. Il contient les détails des contrôles gérés par Microsoft et par le client pour cette analyse, à savoir l’état d’implémentation du contrôle, la date de test du contrôle, les résultats du test et des liens vers les documents de preuve chargés. Il est recommandé d’exporter le rapport d’analyse avant d’archiver une analyse, car les analyses archivées ne conservent pas les liens vers les documents chargés.

Pour exporter un rapport d’analyse

  1. Dans le tableau de bord du Gestionnaire de conformité, cliquez sur le lien Actions sur la vignette de l’analyse que vous voulez exporter, puis sélectionnez Exporter vers Excel, ou

  2. Si vous affichez la page des détails de l’analyse, cliquez sur le bouton Exporter vers Excel dans l’angle supérieur droit de la page, au-dessus du score de conformité de l’analyse.

Le rapport d’analyse est téléchargé dans une session de votre navigateur. Si vous ne voyez pas de fenêtre contextuelle vous informant de cela, vous pouvez vérifier le contenu du dossier des téléchargements de votre navigateur.

Revenir au début

Lorsque vous avez terminé une analyse et n’en avez plus besoin en lien avec conformité, vous pouvez l’archiver. Une fois archivée, l’analyse est supprimée du tableau de bord des analyses.

Remarque : Quand une analyse est archivée, il n’est pas possible de la désarchiver ou de la restaurer dans un état de lecture/écriture en cours.  Veuillez noter que, les analyses archivées ne conservant pas les liens vers les documents de preuve chargés, il est fortement recommandé d’exporter l’analyse avant de l’archiver, car le rapport d’analyse exporté contient les liens vers les documents de preuve, ce qui vous permet de continuer d’y accéder.

Pour archiver une analyse

  1. Dans la vignette de tableau de bord de l’analyse de votre choix, cliquez sur le bouton Actions.

  2. Sélectionnez Archiver l’analyse.

  3. La boîte de dialogue Archiver des analyses s’affiche pour vous demander de confirmer que vous voulez archiver cette analyse.

  4. Pour poursuivre l’archivage, cliquez sur Archiver. Autrement, cliquez sur Annuler.

Pour afficher les analyses archivées

  1. Sur le tableau de bord du Gestionnaire de conformité, activez la case à cocher Afficher archivés.

  2. Les analyses archivées s’affichent dans une nouvelle section visible en dessous des autres analyses actives, sous une barre intitulée Analyses archivées.

  3. Cliquez sur le nom de l’analyse que vous souhaitez afficher.

  4. Lorsque vous affichez une analyse archivée, aucun des contrôles normalement modifiables (c’est-à-dire, Implémentation, Résultats des tests) n’est actif, et le bouton Documents gérés est absent.

Revenir au début

Journal des modifications des contrôles gérés par le client

Le Gestionnaire de conformité est conçu pour être régulièrement mis à jour afin de rester en phase avec les modifications apportées aux exigences réglementaires ainsi qu’à nos services cloud. Ces mises à jour incluent les modifications apportées aux contrôles gérés par le client. Un journal des modifications est fourni afin de vous aider à comprendre l’impact de ces changements, par exemple, les détails du contenu ajouté ou modifié et des indications relatives à l’incidence des modifications sur les analyses existantes. En règle générale, il existe deux types de modifications :

  • Une modification majeure est un changement important apporté à une action du client, telle que l’ajout ou la suppression d’un contrôle ou d’étapes numérotées spécifiques, ou à des conseils relatifs aux responsabilités, aux recommandations ou aux preuves. Pour les modifications majeures, nous vous recommandons de réévaluer votre implémentation et/ou analyse du contrôle concerné.

  • Une modification mineure est un changement insignifiant apporté à une action du client, telle que la correction d’une faute de frappe ou de problèmes de mise en forme, ou la mise à jour ou la modification de liens hypertexte. En règle générale, les modifications mineures ne nécessitent pas de réévaluation du contrôle. Toutefois, nous vous conseillons de réviser l’action du client mise à jour.

 

Journal des modifications des contrôles gérés par le client Office 365 pour juillet 2018

Contrôles attribués

Description de la modification et recommandation

ID contrôle

Évaluation

Type de modification

Description de la modification

Actions recommandées pour les clients

45 C.F.R. § 164.308(a)(7)(ii)(A)

Office 365 : HIPAA

Majeure

Contrôle HITECH ajouté à l’analyse HIPAA pour Office 365.

Passez en revue le contrôle ajouté et les actions du client recommandées.

45 C.F.R. § 164.312(a)(6)(ii)

Office 365 : HIPAA

Majeure

Contrôle HITECH ajouté à l’analyse HIPAA pour Office 365.

Passez en revue le contrôle ajouté et les actions du client recommandées.

45 C.F.R. § 164.312(c)(1)

Office 365 : HIPAA

Majeure

Contrôle HITECH ajouté à l’analyse HIPAA pour Office 365.

Passez en revue le contrôle ajouté et les actions du client recommandées.

45 C.F.R.  § 164.316(b)(2)(iii)

Office 365 : HIPAA

Majeure

Contrôle HITECH ajouté à l’analyse HIPAA pour Office 365.

Passez en revue le contrôle ajouté et les actions du client recommandées.

 

Journal des modifications des contrôles gérés par le client Office 365 pour avril 2018

Contrôles attribués

Description de la modification et recommandation

RGPD

HIPAA

ISO 27001

ISO 27018

NIST 800-53

NIST 800-171

Type de modification

Description de la modification

Actions recommandées pour les clients

6.13.2

C.16.1.1

Majeure

Précédemment numérotée 6.12.1.1.

Détails ajoutés aux recommandations.

Réévaluer le contrôle : consultez les conseils mis à jour dans les actions du client et suivez les étapes recommandées pour l’implémentation et l’analyse du contrôle.

3.1.6

Majeure

Étapes ajoutées aux conseils, qui incluent l’activation de l’audit et de la recherche dans les journaux d’audit.

Examinez les recommandations mises à jour dans les actions du client.

6.8.2

A.10.2

Majeure

Précédemment numérotée 6.7.2.9.

Conseils mis à jour avec des recommandations supplémentaires et des points d’action.

Réévaluer le contrôle : consultez les conseils mis à jour dans les actions du client et suivez les étapes recommandées pour l’implémentation et l’analyse du contrôle.

6.6.4

45 C.F.R. § 164.312(a)(2)(i)


45 C.F.R. § 164.312(d)

A.9.4.2

IA-2

3.5.1

Majeure

Précédemment numérotée 6.5.2.3.

Conseils mis à jour avec des recommandations supplémentaires et des points d’action.

Réévaluer le contrôle : consultez les conseils mis à jour dans les actions du client et suivez les étapes recommandées pour l’implémentation et l’analyse du contrôle.

6.13.1

45 C.F.R. § 164.308(a)(1)(i)

A.16.1

C.16.1

IR-4(a)

3.6.1

Majeure

Précédemment numérotée 6.12.1.

Conseils mis à jour avec des recommandations supplémentaires et des points d’action.

Réévaluer le contrôle : consultez les conseils mis à jour dans les actions du client et suivez les étapes recommandées pour l’implémentation et l’analyse du contrôle.

6.7

Majeure

Précédemment numérotée 6.6.1.1.

Conseils mis à jour avec des recommandations supplémentaires et des points d’action.

Réévaluer le contrôle : consultez les conseils mis à jour dans les actions du client et suivez les étapes recommandées pour l’implémentation et l’analyse du contrôle.

6.6.5

A.10.8

IA-3

3.5.2

Majeure

Précédemment numérotée 6.5.4.2.

Conseils mis à jour avec des recommandations supplémentaires et des points d’action.

Réévaluer le contrôle : consultez les conseils mis à jour dans les actions du client et suivez les étapes recommandées pour l’implémentation et l’analyse du contrôle.

6.15.1

Majeure

Précédemment numérotée 6.14.1.3.

Conseils mis à jour avec des recommandations supplémentaires et des points d’action.

Réévaluer le contrôle : consultez les conseils mis à jour dans les actions du client et suivez les étapes recommandées pour l’implémentation et l’analyse du contrôle.

AC-2(h)(2)

Mineure

Lien ajouté vers le panneau Activer l’audit.

Aucune action nécessaire.

AC-2(7)(b)

Mineure

Lien ajouté vers le panneau Activer l’audit.

Aucune action nécessaire.

AC-2(h)(1)

Mineure

Lien ajouté vers le panneau Activer l’audit.

Aucune action nécessaire.

45 C.F.R. § 164.308(a)(5)(ii)(C)

AC-2(g)

Mineure

Lien ajouté vers le panneau Activer l’audit.

Aucune action nécessaire.

AC-2(12)

Mineure

Lien ajouté vers le panneau Activer l’audit.

Aucune action nécessaire.

45 C.F.R. § 164.312(b)

A.12.4.3

AU-2(d)

Mineure

Lien ajouté vers le panneau Activer l’audit.

Aucune action nécessaire.

AC-2(4)

Mineure

Lien ajouté vers le panneau Activer l’audit.

Aucune action nécessaire.

3.1.7

Mineure

Lien ajouté vers le panneau Activer l’audit.

Aucune action nécessaire.

A.16.1.7

C.12.4.2, partie 2

Mineure

Lien ajouté vers le panneau Activer l’audit.

Aucune action nécessaire.

AC-2(h)(3)

Mineure

Lien ajouté vers le panneau Activer l’audit.

Aucune action nécessaire.

A.12.4.2

Mineure

Lien ajouté vers le panneau Activer l’audit.

Aucune action nécessaire.

A.7.2.8

Mineure

Liens ajoutés vers le panneau Recherche de contenu et le portail DSR.

Aucune action nécessaire.

45 C.F.R. § 164.308(a)(3)(ii)(C)

Mineure

Liens ajoutés vers le panneau Activer l’audit et les rubriques de support du rôle d’administrateur Office 365.

Aucune action nécessaire.

5.2.1

Mineure

Précédemment numérotée 5.2.2.

Responsabilités du client clarifiées dans les conseils.

Examinez les recommandations mises à jour dans les actions du client.

6.11.1

45 C.F.R. § 164.312(e)(2)(ii)

A.10.1.1
A.10.1.2
A.18.1.5

C.10.1.1

SC-13

3.13.11

Mineure

Précédemment numérotée 6.10.1.2.

Faute de frappe corrigée.

Aucune action nécessaire.

7.5.1

Mineure

Précédemment numérotée A.7.4.1.

Faute de frappe corrigée.

Aucune action nécessaire.

A.8.2.3

3.1.3

Mineure

Phrase inutile supprimée.

Aucune action nécessaire.

45 C.F.R. § 164.308(a)(4)(i)

A.6.1.2

AC-5(a)

3.1.2
3.1.4

Mineure

Conseils mis à jour avec des recommandations supplémentaires et des points d’action.

Examinez les recommandations mises à jour dans les actions du client.

45 C.F.R. § 164.308(a)(7)(ii)(E)

RA-2(a)

Mineure

Lien de la rubrique d’aide sur le service d’importation mis à jour afin d’utiliser FWlink.

Aucune action nécessaire.

 

Référence de modification de l’ID du contrôle d’analyse RGPD - Journal des modifications de février 2018

ID du contrôle précédent (version de novembre 2017)

Nouvel ID du contrôle (version GA de février 2018)

5.2.2

5.2.1

5.2.3

5.2.2

5.2.4

5.2.3

6.1.1.1

6.2

6.10.1.2

6.11.1

6.10.2.5

6.11.2

6.11.1.2

6.12

6.12.1

6.13.1

6.12.1.1

6.13.2

6.12.1.5

6.13.3

6.14.1.3

6.15.1

6.14.2.1

6.15.2

6.14.2.3

6.15.3

6.2.1.1

6.3

6.3.2.2

6.4

6.4.3.1

6.5.2

6.4.3.2

6.8.1

6.4.3.3

6.5.3

6.5.2

6.6.1

6.5.2.1

6.6.2

6.5.2.2

6.6.3

6.5.2.3

6.6.4

6.5.4.2

6.6.5

6.6.1.1

6.7

6.7.2.7

6.8.1

6.7.2.9

6.8.2

6.8.1.4

6.9.1

6.8.4.1

6.9.3

6.8.4.2

6.9.4

6.9.2.1

6.10.1

6.9.2.3

6.10.2

A.7.1.1

7.2.1

A.7.1.2

7.2.2

A.7.1.3

7.2.3

A.7.1.4

7.2.4

A.7.1.5

7.2.5

A.7.1.6

7.2.6

A.7.1.7

7.2.7

A.7.2.1

7.3.1

A.7.2.10

7.3.9

A.7.2.11

7.3.10

A.7.2.2

7.3.2

A.7.2.3

7.3.3

A.7.2.4

7.3.4

A.7.2.5

7.3.5

A.7.2.6

7.3.6

A.7.2.7

7.3.7

A.7.2.8

7.3.8

A.7.3.1

7.4.1

A.7.3.10

7.4.10

A.7.3.2

7.4.2

A.7.3.3

7.4.3

A.7.3.4

7.4.4

A.7.3.5

7.4.5

A.7.3.6

7.4.6

A.7.3.7

7.4.7

A.7.3.8

7.4.8

A.7.3.9

7.4.9

A.7.4.1

7.5.1

A.7.4.2

7.5.2

A.7.4.3

7.5.3

A.7.4.4

7.5.4

A.7.4.5

7.5.5

B.8.1.1

8.2.1

B.8.1.2

8.2.2

B.8.1.3

8.2.3

B.8.1.4

8.2.4

B.8.1.5

8.2.5

B.8.1.6

8.2.6

B.8.2.1

8.3.1

B.8.3.1

8.4.1

B.8.3.2

8.4.2

B.8.3.3

8.4.3

B.8.4.1

8.5.1

B.8.4.2

8.5.2

B.8.4.3

8.5.4

B.8.4.4

8.5.5

B.8.4.5

8.5.3

B.8.4.6

8.5.6

B.8.4.7

8.5.7

B.8.4.8

8.5.8

Revenir au début

Voir aussi

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×