Le Gestionnaire de conformité vous aide à répondre aux exigences en matière de protection des données et de respect des réglementations dans le cadre de l’utilisation des services de cloud computing Microsoft.  

Le Gestionnaire de conformité n’est pas disponible Office 365 géré par 21Vianet, Office 365 Allemagne, Office 365 U.S. Government Community High (GCC High) ou Office 365 Department of Defense (Département de la défense des États-Unis).

Gestionnaire de conformité dans le Portail d’approbation de services Microsoft vous permet de suivre, d’attribuer et de vérifier les activités de conformité aux réglementations de votre organisation ayant trait aux services de cloud computing Microsoft, tel que Office 365 et Microsoft Azure. Gestionnaire de conformité :

  • Combine les informations détaillées fournies par Microsoft aux auditeurs et régulateurs dans le cadre d’audits tiers des services de cloud computing Microsoft par rapport à différentes normes (par exemple, ISO 27001, ISO 27018 et HIPAA) et les informations compilées en interne par Microsoft pour se conformer aux réglementations (comme le Règlement général sur la protection des données ou RGPD) avec la propre analyse de conformité de votre organisation par rapport à ces normes et réglementations.

  • Vous permet d’attribuer, de suivre et d’enregistrer les activités d’analyse et de conformité pour aider les équipes de votre organisation à atteindre les objectifs de cette dernière en matière de conformité.

  • Fournit un score de conformité pour vous aider à suivre votre progression et à hiérarchiser les contrôles d’audit qui contribuant à limiter l’exposition de votre organisation au risque.

  • Fournit un référentiel sécurisé que vous pouvez charger pour gérer les preuves et autres éléments attestant de vos activités de conformité.

  • Génère des rapports détaillés dans Microsoft Excel afin de documenter les activités de conformité menées par Microsoft et votre organisation, rapports qui peuvent être mis à la disposition des auditeurs, régulateurs et autres parties prenantes en matière de conformité.

Important : Le Gestionnaire de conformité correspond à un tableau de bord qui résume votre avancement en termes de protection des données et de conformité et formule des recommandations afin d’améliorer la protection des données et la conformité. Les actions du client fournies dans le Gestionnaire de conformité correspondent à recommandations. Il appartient à chaque organisation d’évaluer l’efficacité de ces recommandations au sein de leur environnement réglementaire avant de les mettre en œuvre. Les recommandations du Gestionnaire de conformité ne doivent pas être interprétées comme garantes de conformité.

Contenu

Analyses dans le Gestionnaire de conformité

Accès au Gestionnaire de conformité

Attribution d’autorisations d’accès au Gestionnaire de conformité

Ajout d’une analyse

Gestion du processus d’analyse

Compréhension du score de conformité

Gestion des éléments d’action

Exportation d’informations issues d’une analyse

Archivage d’une analyse

Analyses dans le Gestionnaire de conformité

Le composant principal de Gestionnaire de conformité est appelé analyse. Une analyse combine un service de cloud computing Microsoft (par exemple, Office 365, Azure ou Microsoft Dynamics) avec une norme de certification ou une réglementation de protection des données (par exemple, ISO 27001:2013 et RGPD). Les analyses vous permettent de mieux évaluer la posture de votre organisation en matière de protection des données et de conformité par rapport à la norme du secteur sélectionnée pour le service de cloud computing Microsoft sélectionné. Les analyses résultent de la mise en œuvre de contrôles correspondant à la norme de certification analysée.

La structure d’une analyse est basée sur la responsabilité partagée entre Microsoft et votre organisation en matière d’analyse des risques de sécurité et de conformité dans le cloud et la mise en œuvre de mesures de protection des données spécifiées par une norme de conformité, une norme de protection des données, une réglementation ou une loi.

  • Contrôles gérés par Microsoft   Pour chaque service de cloud computing, Microsoft met en œuvre et gère un ensemble de contrôles dans le cadre de la conformité de Microsoft avec les différentes normes et réglementations. Ces contrôles sont organisés en familles de contrôles qui s’alignent avec la structure de la certification ou de la réglementation avec laquelle l’analyse est alignée. Pour chaque contrôle géré par Microsoft, le Gestionnaire de conformité détaille la manière dont Microsoft a mis en œuvre le contrôle, ainsi que la manière et le moment où cette mise en œuvre a été testée et validée par un auditeur tiers indépendant.

    Voici un exemple de trois contrôles gérés par Microsoft dans la famille de contrôles Sécurité d’une analyse d’Office 365 par rapport au RGPD.

    Détails des contrôles gérés par Microsoft dans le Gestionnaire de conformité
    1. Spécifie les informations suivantes issues de la certification ou de la réglementation correspondant au contrôle géré par Microsoft.

      • ID du contrôle   Numéro de section ou d’article de la certification ou de la réglementation correspondant au contrôle. Actuellement, l’ID des contrôles associés au RGPD utilise un ID PIMS (issus de la méthodologie Personal Information Management Systems) plutôt que le numéro de l’article RGPD correspondant.

      • Titre   Titre de la certification ou de la réglementation correspondante.

      • ID d’article   Ce champ est uniquement inclus pour les contrôles des analyses RGPD. Il indique le numéro de l’article RGPD correspondant.

      • Description   Description détaillée de la section ou de l’article de la certification ou de la réglementation correspondant au contrôle géré par Microsoft sélectionné.

    2. Le score de conformité du contrôle, qui indique le degré de risque (non-conformité ou échec du contrôle) associé à chaque contrôle géré par Microsoft. Voir Compréhension du score de conformité pour plus d’informations. Notez que les scores de conformité sont classés de 1 à 10 avec code de couleur. Le jaune indique les contrôles à faible risque, l’orange les contrôles à risque intermédiaire et le rouge les contrôles à risque élevé.

    3. Informations sur le statut de mise en œuvre d’un contrôle, la date de test d’un contrôle, la personne qui a réalisé le test et le résultat du test.

    4. Pour chaque contrôle, vous pouvez cliquer sur Autres pour afficher des informations supplémentaires, y compris des détails sur la mise en œuvre par Microsoft du contrôle et des détails sur la manière dont le contrôle a été testé et validé par un auditeur tiers indépendant.

  • Contrôles gérés par le client   Ces différents contrôles correspondent aux contrôles gérés par votre organisation. Votre organisation est responsable de la mise en œuvre de ces contrôles dans le cadre de votre processus de conformité avec une norme ou une réglementation donnée. Les contrôles gérés par le client sont organisés en familles de contrôles pour la certification ou la réglementation correspondante. Utilisez les contrôles gérés par le client pour mettre en œuvre les recommandations formulées par Microsoft dans le cadre de vos activités de conformité. Votre organisation peut utiliser les conseils préconisés et les actions recommandées dans chaque contrôle géré par le client pour gérer le processus d’analyse et de mise en œuvre de ce contrôle.

    Les contrôles gérés par le client disposent d’une fonctionnalité de gestion de flux de travail intégrée que vous pouvez utiliser pour gérer et suivre la progression de votre organisation en termes d’exécution de l’analyse. Par exemple, un responsable de la conformité de votre organisation peut attribuer un élément d’action à un administrateur informatique doté des autorisations requises pour effectuer les actions recommandées pour le contrôle. Une fois cette tâche terminée, l’administrateur informatique peut charger les preuves attestant des tâches de mise en œuvre (captures d’écran des paramètres de configuration ou de stratégie) et réaffecter l’élément d’action au responsable de la conformité pour lui permettre d’évaluer les preuves collectées, de tester la mise en œuvre du contrôle et de consigner la date de mise en œuvre ainsi que les résultats du test dans le Gestionnaire de conformité. Pour plus d’informations, voir la section Gestion du processus d’analyse de l’article.

    Voici un exemple de deux contrôles gérés par Microsoft dans la famille de contrôles Droits des individus d’une analyse d’Office 365 par rapport au RGPD.

    Détails des contrôles gérés par le client dans le Gestionnaire de conformité
    1. Spécifie les informations suivantes issues de la certification ou de la réglementation correspondant au contrôle géré par le client.

      • ID du contrôle   Numéro de section ou d’article de la certification ou de la réglementation correspondant au contrôle géré par le client. Actuellement, l’ID des contrôles associés au RGPD utilise un ID PIMS (issus de la méthodologie Personal Information Management Systems) plutôt que le numéro de l’article RGPD correspondant.

      • Titre   Titre de la certification ou de la réglementation correspondante.

      • ID d’article   Ce champ est uniquement inclus pour les contrôles des analyses RGPD. Il indique le numéro de l’article RGPD correspondant.

      • Description   Description détaillée de la section ou de l’article de la certification ou de la réglementation correspondant au contrôle géré par Microsoft sélectionné.

    2. Le score de conformité du contrôle, qui indique le degré de risque (non-conformité ou échec du contrôle) associé à chaque contrôle géré par le client. Voir Compréhension du score de conformité pour plus d’informations. Notez que les scores de conformité sont classés de 1 à 10 avec code de couleur. Le jaune indique les contrôles à faible risque, l’orange les contrôles à risque intermédiaire et le rouge les contrôles à risque élevé.

    3. Liste de contrôles associés au client et numéro de section ou d’article de la certification ou de la réglementation. Cliquez sur un article/contrôle associé pour afficher plus d’informations sur le contrôle associé.

    4. Les contrôles peuvent être attribués à une personne afin de mettre en œuvre et/ou de tester la mise en œuvre du contrôle. Lorsque vous attribuez un contrôle à un utilisateur, vous pouvez envoyer une notification par e-mail incluant les actions du client recommandées. Un utilisateur peut accéder à une liste de tous les contrôles gérés par le client qui lui sont attribués dans le tableau de bord Éléments d’action dans Gestionnaire de conformité. Vous pouvez également cliquer sur Gérer les documents pour charger les documents liés à la mise en œuvre et au test du contrôle. Pour plus d’informations sur l’analyse des utilisateurs et la gestion des documents, voir Gestion du processus d’analyse.

    5. L’état et la date de mise en œuvre permettent de suivre la progression de votre mise en œuvre. Les valeurs d’état incluent Planifié, Mis en œuvre et Non concerné.

    6. Les champs Date du test et Résultats du test permettent aux analystes d’indiquer le résultats du test ainsi que la date à laquelle le contrôle a été testé.

    7. Pour chaque contrôle, vous pouvez cliquer sur Autres pour découvrir les actions du client recommandées pour la mise en œuvre du contrôle, ainsi que les champs modifiables qui vous permettent de fournir des détails sur la mise en œuvre, le plan du test ainsi qu’une réponse à la mise en œuvre et au plan du test.

Revenir au début

Accès au Gestionnaire de conformité

Le tableau de bord du Gestionnaire de conformité met à votre disposition les outils pour attribuer, suivre et enregistrer les activités d’analyse et de conformité afin d’aider les équipes de votre organisation à atteindre les objectifs de cette dernière en matière de conformité. Le Portail d’approbation de services vous permet d’accéder au Gestionnaire de conformité. Toutes les membres de votre organisation dotés d’un compte Microsoft peuvent accéder à Gestionnaire de conformité.

  1. Accédez à https://aka.ms/STP, ce qui revient à https://servicetrust.microsoft.com.

  2. Connectez-vous avec votre compte d’utilisateur Office 365 ou Azure Active Directory (Azure AD).

  3. Dans le Portail d’approbation de services, cliquez sur Gestionnaire de conformité.

    Cliquez sur Gestionnaire de conformité pour l’ouvrir
  4. Lorsque l’accord de non-divulgation s’affiche, lisez-le, puis cliquez sur Accepter pour continuer. Vous ne devez effectuer cette opération qu’une seule fois, après quoi le tableau de bord du Gestionnaire de conformité s’affiche. Pour vous aider à démarrer, nous avons ajouté les analyses par défaut suivantes :

    • Office 365 et RGPD (règlement général sur la protection des données)

    • Office 365 et ISO 27001:2013 (norme de sécurité de l’information)

    • Office 365 et ISO 27018:2014 (protection des informations d’identification personnelle ou PII)

    • Azure et ISO 27001:2013

    • Azure et ISO 27018:2014

    Analyses par défaut du Gestionnaire de conformité

    Vous pouvez également créer des analyses pour HIPAA, NIST 800-53 et NIST 800-171.

  5. Cliquez sur Icône d’aide du Gestionnaire de conformité Aide pour suivre une brève visite guidée de Gestionnaire de conformité.

  6. Cliquez sur le nom de l’analyse pour l’ouvrir et afficher les contrôles gérés par Microsoft et le client associés à l’analyse, ainsi qu’une liste des services de cloud computing concernés par cette analyse. Voici un exemple d’analyse pour Office 365 et RGPD.

    Composants d’une analyse dans le Gestionnaire de conformité
    1. Cette section présente les services individuels de cloud computing concernés par l’analyse.

    2. Cette section contient les contrôles gérés par Microsoft. Les contrôles associés sont organisés par famille de contrôles. Cliquez sur une famille de contrôles pour la développer et afficher les contrôles individuels.

    3. Cette section contient les contrôles gérés par le client, qui sont également organisés par famille de contrôles. Cliquez sur une famille de contrôles pour la développer et afficher les contrôles individuels.

    4. Affiche le nombre total de contrôles de la famille de contrôles ainsi que le nombre de contrôles analysés. Le suivi de la progression de votre organisation en matière d’analyse des contrôles gérés par le client constitue une fonctionnalité clé de Gestionnaire de conformité. Pour plus d’informations, voir Compréhension du score de conformité.

Revenir au début

Attribution d’autorisations d’accès au Gestionnaire de conformité

Par défaut, tous les membres de votre organisation dotés d’un compte Office 365 ou Azure AD peuvent accéder au Gestionnaire de conformité et effectuer des actions dans Gestionnaire de conformité. Pour modifier les autorisations par défaut, au moins un utilisateurs doit être ajouté à chaque rôle Gestionnaire de conformité (voir les instructions suivantes). Après ajout d’un utilisateur à un rôle, les autorisations par défaut sont supprimées et seuls les utilisateurs ajoutés à un rôle peuvent accéder au Gestionnaire de conformité et effectuer les actions autorisées par ce rôle.

Après qu’un administrateur client ait ajouté des utilisateurs à un rôle, si aucun rôle n’a été attribué à un utilisateur donné, celui-ci ne sera pas en mesure de se connecter au Gestionnaire de conformité ni d’afficher le tableau de bord et les détails des analyses. Cet utilisateur ne pourra pas modifier les données.

Remarque : Pour contrôler les utilisateurs qui peuvent accéder au Gestionnaire de conformité et y effectuer des actions, un utilisateur doit être ajouté à chaque rôle afin de modifier le comportement par défaut. Par exemple, si vous ajoutez un utilisateur au rôle qui permet aux utilisateurs de gérer les analyses, seuls les utilisateurs dotés de ce rôle peuvent gérer les analyses. De même, si vous n’ajoutez pas d’utilisateur au rôle permettant aux utilisateurs de lire les données des analyses, tous les utilisateurs de votre organisation peuvent accéder au Gestionnaire de conformité et lire les données des différentes analyses.

Le tableau suivant décrit chaque autorisation Gestionnaire de conformité et ce qu’elle permet à l’utilisateur. Le tableau indique également le rôle auquel chaque autorisation est attribuée.

Gestionnaire de conformité - Lecteur

Gestionnaire de conformité - Contributeur

Gestionnaire de conformité - Analyste

Gestionnaire de conformité - Administrateur

Administrateur du portail

Lire les données    Les utilisateurs peuvent lire les données, mais pas les modifier.

Coche

Coche

Coche

Coche

Coche

Modifier les données    Les utilisateurs peuvent modifier tous les champs, à l’exception des champs Date du test et Résultats du test.

Coche

Coche

Coche

Coche

Modifier les résultats du test    Les utilisateurs peuvent modifier les champs Date du test et Résultats du test.

Coche

Coche

Coche

Gérer les analyses    Les utilisateurs peuvent créer, archiver et supprimer des analyses.

Coche

Coche

Gérer les utilisateurs    Les utilisateurs peuvent ajouter d’autres utilisateurs de leur organisation aux rôles Lecteur, Contributeur, Analyste et Administrateur. Seuls les utilisateurs dotés du rôle Administrateur général au sein de votre organisation peuvent ajouter ou supprimer des utilisateurs dotés ayant trait au rôle Administrateur du portail.

Coche

Pour ajouter un utilisateur à un rôle Gestionnaire de conformité :

  1. Accédez à https://servicetrust.microsoft.com.

  2. Connectez-vous avec votre compte d’utilisateur Office 365 ou Azure Active Directory.

  3. Dans le Portail d’approbation de services, cliquez sur Paramètres.

  4. Dans la liste déroulante Sélectionner un rôle, cliquez sur le rôle auquel vous souhaitez ajouter des utilisateurs.

    Cliquez sur Sélectionner un rôle pour afficher la liste de rôles du Gestionnaire de conformité que vous pouvez ajouter à des utilisateurs
  5. Cliquez sur Icône Ajouter Ajouter, ajoutez un utilisateur au rôle, puis cliquez sur Enregistrer.

    Les utilisateurs ajoutés à chaque rôle sont répertoriés dans la page Sélectionner un rôle.  Sélectionnez un utilisateur, puis cliquez sur Supprimer pour le supprimer du rôle sélectionné.

Remarque : L’autorisation Accéder aux documents restreints de la liste déroulante permet aux administrateurs d’autoriser des utilisateurs à accéder aux documents restreints partagés par Microsoft sur le Portail d’approbation des services. La fonctionnalité Documents restreints sera bientôt disponible.

Revenir au début

Ajout d’une analyse

Pour ajouter une analyse au Gestionnaire de conformité :

  1. Dans le tableau de bord du Gestionnaire de conformité, cliquez sur Icône Ajouter Ajouter une analyse.

  2. Dans la fenêtre Ajouter une analyse, vous pouvez créer un groupe auquel ajouter l’analyse ou l’ajouter à un groupe existant (le groupe intégré est appelé« Groupe initial »). En fonction de l’option choisie, entrez le nom du nouveau groupe ou sélectionnez un groupe existant dans la liste déroulante. Pour plus d’informations, voir Regroupement des analyses.

    Si vous créez un groupe, vous avez également la possibilité de copier les informations d’un groupe existant vers la nouvelle analyse. Ainsi, les informations ajoutées dans les champs Détails de mise en œuvre, Plan du test et Réponse de gestion des contrôles gérés par le client des analyses du groupe à partir duquel vous effectuez la copie sont copiées vers les mêmes contrôles gérés par le client (ou associés) dans la nouvelle analyse. Si vous ajoutez une nouvelle analyse à un groupe existant, les informations courantes des analyses de ce groupe sont copiées vers la nouvelle analyse. Pour plus d’informations, voir Copie d’informations à partir d’analyse existantes.

  3. Cliquez sur Suivant, puis procédez comme suit :

    • Sélectionnez un service de cloud computing Microsoft à des fins d’analyse de la conformité dans la liste déroulante Sélectionner un produit.

    • Sélectionnez une certification pour analyser le service de cloud computing dans la liste déroulante Sélectionner une certification.

  4. Cliquez sur Ajouter au tableau de bord pour créer l’analyse.

    Lorsqu’une analyse s’affiche dans le tableau de bord Gestionnaire de conformité, celui-ci affiche la progression de l’analyse, ainsi que les détails sur sa date de création et sa dernière modification.  Il indique les utilisateurs de l’analyse, notamment le créateur de l’analyse ainsi que les autres utilisateurs auxquels ont été attribués des éléments d’action. 

  5. Cliquez sur le nom de l’analyse pour l’ouvrir et afficher les détails qui s’y rapportent.

Regroupement des analyses

Lorsque vous créez une analyse, vous êtes invité à créer un groupe auquel attribuer l’analyse ou à attribuer cette dernière à un groupe existant. Les groupes vous permettent d’organiser logiquement les analyses et de partager des informations courantes ainsi que des tâches de flux de travail entre les analyses dotées de contrôles gérés par le client similaires ou associés.

Par exemple, vous pouvez regrouper les analyses par équipes, services ou agences au sein de votre organisation, ou les regrouper par année. Voici quelques exemples de groupes et d’analyses que peuvent contenir ces groupes.

  • Analyses GDPR - 2018

    • Office 365 + GDPR

    • Azure + GDPR

    • Dynamics + GDPR

  • Azure Analyses - 2018

    • Azure + GDPR

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • Analyses de sécurité et de confidentialité des données

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

Conseil : Nous vous recommandons de déterminer une stratégie de regroupement pour votre organisation avant de commencer à ajouter de nouvelles analyses.

Les exigences relatives au regroupement des analyses sont les suivantes :

  • Les noms de groupe (également appelés ID de groupe) doivent être uniques au sein de votre organisation.

  • Les groupes peuvent contenir des analyses pour la même certification/réglementation, mais chaque groupe ne peut contenir qu’une seule analyse pour une paire service de cloud computing/certification spécifique. Par exemple, un groupe ne peut pas contenir deux analyses pour Office 365 et RGPD. De même, un groupe peut contenir plusieurs analyses pour le même service de cloud computing dans la mesure où la certification/réglementation correspondant à chacun est différente.

Comme expliqué précédemment, l’utilisation de groupes lorsque deux analyses du même groupe partagent le même contrôle géré par le client (et dès lors, les actions du client sont les mêmes pour chaque contrôle) présente l’avantage de synchroniser les détails de mise en œuvre, les informations de test et l’état du contrôle dans une analyse avec le même contrôle dans toute autre analyse du groupe. En d’autres termes, si des analyses partagent le même contrôle et que ces analyses appartiennent au même groupe, vous pouvez gérer le processus d’analyse du contrôle dans une même analyse. Les résultats sont automatiquement synchronisés avec d’autres analyses. Par exemple, les normes ISO-27001 et ISO-27018 disposent toutes deux d’un contrôle associé aux stratégies de mot de passe. Si le paramètre État du test correspondant au contrôle est défini sur « Réussi » dans une analyse, le contrôle est mis à jour (et marqué comme « Réussi ») dans l’autre analyse.

Notez que cette synchronisation n’intervient pas si l’analyse se trouve dans des groupes distincts.

Copie d’informations à partir d’analyses existantes

Comme indiqué précédemment, lorsque vous créez un groupe d’analyses, vous avez la possibilité de copier les informations des analyses d’un groupe existant vers la nouvelle analyse du nouveau groupe. Vous pouvez ainsi appliquer l’analyse et le processus de test effectués pour les mêmes contrôles gérés par le client à la nouvelle analyse. Par exemple, si vous disposez d’un groupe pour toutes les analyses RGPD associées au sein de votre organisation, vous pouvez copier les informations courantes d’une analyse existante lorsque vous ajoutez une nouvelle analyse au groupe.

Vous pouvez copier les informations suivantes du client vers une nouvelle analyse :

  • Utilisateurs de l’analyse. Un utilisateur d’analyse est un utilisateur auquel est attribué le contrôle.

  • État, Date du test et Résultats du test.

  • Détails de mise en œuvre et plan du test.

De même, les informations issues des contrôles gérés par le client partagés dans le même groupe d’analyses sont synchronisées. Les informations issues des contrôles gérés par le client associés dans la même analyse sont également synchronisées.

Revenir au début

Gestion du processus d’analyse

Le créateur d’une analyse est dans un premier temps le seul utilisateur de l’analyse. Pour chaque contrôle géré par le client, vous pouvez attribuer un élément d’action à une membre de votre organisation pour permettre à ce membre de devenir utilisateur de l’analyse, d’effectuer les actions du client recommandées, de collecter et de charger des preuves. Lorsque vous attribuez un élément d’action, vous pouvez choisir d’envoyer un e-mail contenant les détails à une personne, notamment les actions du client recommandées ainsi que l’élément d’action prioritaire. La notification par e-mail comprend un lien vers le tableau de bord Éléments d’action, qui répertorie tous les éléments d’action attribués à cette personne.

Vous trouverez ci-dessous la liste des tâches que vous pouvez effectuer à l’aide des fonctionnalités de flux de travail de Gestionnaire de conformité.

Fonctionnalités de gestion de flux de travail dans un contrôle géré par le client
  1. Attribuer un élément d’action à un utilisateur     Vous pouvez attribuer un élément d’action à une personne pour lui permettre de mettre en œuvre les exigences d’une certification/réglementation ou de tester, vérifier et documenter les exigences en matière de mise en œuvre de votre organisation. Lorsque vous attribuez un élément d’action, vous pouvez choisir d’envoyer un e-mail contenant les détails à une personne, notamment les actions du client recommandées ainsi que l’élément d’action prioritaire. Vous pouvez également désattribuer ou réattribuer un élément d’action à une personne différente.

  2. Gérer les documents    Les contrôles gérés par le client permettent aussi de gérer les documents associés afin d’effectuer des tâches de mise en œuvre, ainsi que des tâches de test et de validation. Toute personne disposant des autorisations requises pour modifier les données dans le Gestionnaire de conformité peut charger des documents en cliquant sur Gérer les documents. Une fois le document chargé, cliquez sur Gérer les documents pour afficher et télécharger les fichiers.

  3. Fournir des détails de mise en œuvre et de test    Chaque contrôle géré par le client présente un champ modifiable dans lequel les utilisateurs peuvent ajouter des détails de mise en œuvre afin de documenter les mesures prises par votre organisation pour se conformer aux exigences de la certification/réglementation et valider la manière dont votre organisation s’y conforme.

  4. Définir l’état    Définissez l’état de chaque élément dans le cadre du processus d’analyse. Les différentes valeurs d’état sont les suivantes : Mis en œuvre, Autre mise en œuvre, Planifié et Non concerné.

  5. Entrer la date du test et les résultats du test    La personne dotée du rôle Analyste du Gestionnaire de conformité peut vérifier la bonne exécution du test, revoir les détails de mise en œuvre, du plan du test, des résultats du test et toute autre preuve chargée, puis définir la Date du test et les Résultats du test. Les valeurs de résultat de test disponibles sont les suivantes : Réussi, Échec avec faible risque, Échec avec risque intermédiaire et Échec avec risque élevé.

Revenir au début

Compréhension du score de conformité

Chaque analyse affiche un score de conformité basé sur le risque pour vous aider à analyser le degré de risque (en raison d’une non-conformité ou d’un échec du contrôle) associé à chaque contrôle (y compris les contrôles gérés par Microsoft et les contrôles gérés par le client) d’une analyse. Le score de conformité global d’une analyse correspond à la somme de points possibles pour chaque contrôle de l’analyse. Le score de conformité se compose du nombre de points que vous recevez en mettant en œuvre les contrôles gérés par le client par rapport au nombre total de points possibles si tous les contrôles gérés d’une analyse sont mis en œuvre. Notez que tous les points possibles pour les contrôles gérés par Microsoft sont déjà appliqués au score de conformité, car ces contrôles ont été mis en œuvre et testés pour tous les services de cloud computing Microsoft.

Remarque : Actuellement, seules les analyses des services de cloud computing Office 365 présentent un score de conformité. Les analyses pour Azure et Dynamics affichent un état d’analyse.

Un nombre de points possibles est attribué à chaque contrôle géré par le client (appelé degré de gravité) ; plus de points sont attribués aux contrôles associés à un facteur de risque élevé si le contrôle échoue ; moins de points sont attribués aux contrôles à plus faible risque. Le Gestionnaire de conformité attribue un degré de gravité par défaut à chaque contrôle. Le classement des risques est calculé en fonction des critères suivants :

  • Si un contrôle prévient la survenue d’incidents (avec risque élevé), détecte des incidents survenus ou corrige l’impact d’un incident (avec risque faible). En termes de degré de gravité, un contrôle qui prévient une menace et est obligatoire se voit attribuer le plus grand nombre de points ; les contrôles de détection ou de correction (qu’ils soient obligatoires ou discrétionnaires) se voient attribuer le plus petit nombre de points.

  • Si un contrôle (après avoir été mis en œuvre) est obligatoire et dès lors ne peut être contourné par les utilisateurs (par exemple, les utilisateurs qui doivent réinitialiser leur mot de passe et satisfaire aux exigences en termes de longueur de mot de passe) ou discrétionnaire et peut être contourné par les utilisateurs (par exemple, les règles métier qui impliquent que les utilisateurs verrouillent leur écran lorsqu’ils n’utilisent pas leur ordinateur).

  • Contrôles associés à des risques en termes de confidentialité, d’intégrité et de disponibilité des données (appelés vecteurs de menace CIA), que ces risques proviennent de menaces internes ou externes, et que ces menaces soient malveillantes ou accidentelles. Par exemple, les contrôles susceptibles d’empêcher un utilisateur malveillant externe de violer ce réseau et d’accéder aux informations d’identification personnelle se voient attribuer plus de points que les contrôles susceptibles d’empêcher un employé de mal configurer un paramètres de routeur réseau susceptible d’entraîner une indisponibilité du réseau).

  • Risques liés aux éléments juridiques et externes, tels que les contrats, réglementations et engagements publics, pour chaque contrôle.

Plus important, le score de conformité peut vous aider à hiérarchiser les contrôles pour vous concentrer sur la mise en œuvre en indiquant les contrôles dotés d’un risque potentiel plus élevé en cas d’échec. Lorsque vous mettez en œuvre un contrôle et définissez État sur Mis en œuvre, le nombre total de points attribués à ce contrôle est appliqué à votre score de conformité.

Revenir au début

Gestion des éléments d’action

Les employés impliqués dans le processus d’analyse de votre organisation peuvent utiliser Gestionnaire de conformité pour examiner les contrôles gérés par le client de toutes les analyses pour lesquelles il existe des utilisateurs. Lorsqu’un utilisateur se connecte à Gestionnaire de conformité et ouvre le tableau de bord Éléments d’action, la liste des éléments d’action qui lui sont attribués s’affiche. Selon le rôle du Gestionnaire de conformité attribué à l’utilisateur, il peut fournir les détails de mise en œuvre et de test, mettre à jour l’état ou attribuer des éléments d’action.

Exportation d’informations issues d’une analyse

Vous pouvez exporter une analyse vers un fichier Excel. Celui-ci peut ensuite être examiné par les parties prenantes en matière de conformité de votre organisation et mis à la disposition d’auditeurs et de régulateurs.

Archivage d’une analyse

Lorsque vous avez terminé une analyse et n’en avez plus besoin à des fins de conformité, vous pouvez l’archiver. Une fois archivée, l’analyse est supprimée du tableau de bord des analyses. Si nécessaire, vous pouvez réactiver une analyse s’il vous faut la modifier.

Pour archiver une analyse, cliquez sur Actions > Archiver une analyse sur la vignette de l’analyse. Pour afficher les analyses archivées, activez la case à cocher Afficher les analyses archivées.

Revenir au début

Voir aussi

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×