Faites décoller votre entreprise

Toutes les petites et moyennes entreprises ont des données confidentielles et une stratégie de confidentialité. Découvrez comment votre entreprise peut bénéficier des mesures de sécurité que Microsoft met à disposition dans ses Online Services.

Sécurité et confidentialitéMicrosoft Online Services

1. Sécurité et confidentialité: un processus exhaustif continu

Microsoft Online Services englobe tous les risques en termes de sécurité et de confidentialité, des utilisateurs du service au personnel et aux installations de Microsoft mettant à disposition les solutions Online Services. Les mesures de sécurité actuelles au sein de l’environnement Microsoft Online Services peuvent être plus rigoureuses que celles fournies par une entreprise sur son propre réseau.

Le programme Microsoft Risk Management fournit le cadre pour la sécurité et la confidentialité d’Online Services. Le programme se concentre sur l’amélioration de la sécurité et de la disponibilité d’Online Services dans la conformité aux normes du secteur de la fourniture de services. Il s’articule autour de quatre axes avec les exigences suivantes:

• Sécurité. L’environnement Microsoft doit comprendre des fonctionnalités conçues pour le sécuriser contre des attaques intentionnelles et non intentionnelles.

• Confidentialité. Les données et opérations des clients doivent être considérées comme spécifiques à chaque client et inaccessibles aux autres clients.

• Continuité. Les services Microsoft et les données des clients associées doivent être disponibles en perma-nence; des fonctionnalités étendues doivent permettre une restauration après d’importantes défaillances.

• Conformité. Les services Microsoft doivent fonctionner en conformité avec les stratégies de sécurité de Micro-soft et les normes applicables du secteur.

Les solutions Microsoft Online Services sont conçues pour fournir aux administrateurs ou représentants du client un accès aux données du client, y compris aux boîtes aux lettres et sites Web de l’utilisateur. Cette fonctionnalité permet aux clients de renforcer les stratégies de sécurité et de confidentialité de leur entreprise.

2. Microsoft Systems Management et contrôle d’accès

Le personnel de Microsoft gère et applique les stratégies de sécurité de façon centralisée à partir de serveurs dédiés au contrôle et à la surveillance de systèmes à l’échelle d’un réseau. Un modèle de gestion par délégation permet aux administrateurs de Microsoft d’avoir accès aux systèmes uniquement pour effectuer des tâches spécifiques, réduire le potentiel d’erreurs et permettre un accès aux systèmes et fonctions dans la limite de ce qui est strictement néces-saire. Les mesures de sécurité au niveau de l’infrastructure comprennent un modèle d’administration à trois niveaux qui isole les tâches administratives et contrôle l’accès aux systèmes en se basant sur le rôle de l’utilisateur et le niveau d’accès administratif auquel il est autorisé.

3. Enregistrement des événements et de l’activité

L’enregistrement des accès et de l’activité constitue une facette importante de la sécurité. Il fournit un moyen d’aide pour pister les éventuels problèmes de sécurité, aide à garantir la responsabilité de l’utilisateur et peut fournir des preuves en cas de violation de la sécurité. Le programme Online Services contrôle et enregistre les activités comme les ouvertures de session de compte, la gestion de compte, l’accès au service de répertoire, l’accès aux objets, la modi-fication de la stratégie, l’utilisation d’un privilège, le suivi de processus et les événements système.

Sur demande ou périodiquement, Microsoft fournira les enregistrements détaillant les accès administra-teur aux boîtes aux lettres des utilisateurs pour aider les clients à auditer et faire appliquer leurs règles de conduite pour leurs administrateurs du service. Ces enregistrements détailleront également l’accès par des partenaires de support et par le personnel de support Microsoft, sauf lorsqu’une procédure légale l’interdit.

Que pourrait réaliser en plus votre entreprise si vous pouviez travailler depuis n’importe où et à n’importe quelle heure?Dans le monde actuel des petites et moyennes entreprises, il est crucial d’être compétitif. Les solu-tions informatiques hors site sont un atout capital pour un succès durable. Davantage de flexibilité, de productivité et d’efficacité: faites l’expérience d’une nouvelle manière de travailler. Microsoft Online Services peut faire décoller votre entreprise ainsi que la sécurité et la confidentialité.

Grâce aux solutions Microsoft Online Services, votre entreprise réduit ses coûts, bénéficie de sauvegardes automatisées et d’une fiabilité maximale sans avoir à faire de concessions. Microsoft applique les normes les plus strictes et les technologies les plus récentes pour vous permettre de vous concentrer sur votre travail et ne pas avoir à vous préoccuper de la sécurité. les plus récentes : vous pouvez donc vous concentrer sur vos activités en toute sérénité.

Faites décoller votre entreprise

4. Certifications pour la conformité

Microsoft effectue des audits de conformité et des certi-fications de tiers indépendants et neutres de l’environne-ment Microsoft Onlines Services pour valider la conception des contrôles et l’efficacité opérationnelle. Les activités liées à la conformité de Microsoft s’appliquent au dévelop-pement du service et au déploiement physique d’infras-tructure et d’opérations. La certification de tiers permet aux clients non seulement d’avoir davantage confiance dans les solutions Online Services, mais peut également satisfaire à leurs obligations légales, réglementaires et en termes de conformité.

Microsoft développe des stratégies de conformité basées sur les normes et les certifications suivantes:

• Audits tierces parties• Centres de données certifiés SAS 70 et ISO 27001• Services certifiés SAS 70 et ISO 27001• Services d’infrastructure certifiés SAS 70 et

ISO 27001

5. Assistance client pour la conformité en termes de confidentialité

Les mesures de sécurité et de confidentialité commencent par le client. Microsoft Online Services comprend une documentation, des applications et des outils pour que les clients et administrateurs rejoignent plus facilement Microsoft pour assurer la sécurité et la confidentialité de leurs données.

Les clients sont responsables de la conformité à leurs propres stratégies, pratiques et règlements applicables en personnalisant de manière appropriée les fonctionnalités d’Online Services de telle sorte qu’elles correspondent parfaitement à leurs besoins spécifiques. Par exemple, les clients sont responsables de l’application des lois et des règlements relatifs à la confidentialité, ils sont chargés de notifier et d’obtenir l’accord, le cas échéant, des employés et autres utilisateurs sur la localisation et le traitement des données et de définir le niveau adapté de protection pour différentes catégories d’informations personnelles collectées par leur organisation.

Les informations personnelles conservées dans l’environ-nement Online Services ne seront collectées, traitées et transférées qu’avec l’accord du client ou sur injonction de la loi applicable. Microsoft utilise les informations person-nelles uniquement aux fins de fournir, de faire fonctionner et d’améliorer les produits et services Microsoft.

Microsoft Online Services est conçu pour être conforme aux normes Microsoft relatives à la confidentialité, en mettant l’accent sur la transparence permettant aux clients d’avoir le contrôle sur leurs données et de suivre les principes reconnus de confidentialité. L’objectif est de permettre aux clients de satisfaire leurs exigences en termes de confidentialité en fonction des exigences légales ainsi qu’à celles du secteur. Chacune des solutions Online Services est assortie d’une déclaration de confidentialité qui détaille la manière dont les données des clients seront traitées.

Microsoft Online Services aide la stratégie définie par chaque client à être conforme aux lois généralement applicables. Microsoft ne fournit toutefois pas de conseil juridique. Il est de la responsabilité du client de concevoir une stratégie de conformité, d’évaluer l’offre Online Services et de s’assurer que le service fournit les fonction-nalités adaptées à cette stratégie.

Les clients sont en mesure d’accéder à leurs données et de les contrôler, et de les exporter à la fin de l’abonnement ou de l’utilisation du service.

6. Pratiques spécifiques de confidentialité: marketing et publicité

Deux domaines du traitement des informations de Microsoft peuvent concerner les clients: le marketing et la publicité. Microsoft ne réalise des campagnes de marketing qu’en direction des clients enregistrés et ayant fait l’acqui-sition d’Online Services (ou un successeur désigné comme contact et représentant du client). Microsoft ne contactera pas les utilisateurs du client ni n’utilisera des informations personnelles collectées dans le cadre de la prestation à des fins de marketing ou de publicité sauf avec l’accord du client ou utilisateur selon le cas.

«Lorsque j’ai besoin d’avoir accès n’importe où et à tout moment à des e-mails et documents professionnels impor-tants, je veux être certaine que ces fichiers sont en lieu sûr et qu’aucune personne non autorisée ne peut y accéder.» Jessica, manager

Faites décoller votre entreprise

Apprenez-en davantage sur les solutions spécifiques fournies par Microsoft et découvrez comment vous pouvez Aider votre entreprise à décoller: www.microsoftbusiness.ch/decoller

7. Centres de données, processeur de données et contrôleur de données

Pour une entreprise dont le siège est en Europe et qui y effectue la plupart de ses opérations, Microsoft dispose actuellement de deux centres de données dans l’Union européenne pour le stockage principal et le stockage de sauvegarde des données de Microsoft Online Services. Ces centres de données sont situés à Dublin en Irlande et à Amsterdam aux Pays-Bas. Microsoft s’engage à conserver un hébergement principal et de basculement (héber-gement de récupération d’urgence) pour les sites et les données dans la région dans la mesure du possible.

Nous respecterons toujours les lois applicables relatives au traitement des données personnelles. Microsoft agit en tant que processeur de données de clients qui compren-nent tous contenus (y compris PII) générées par les clients au cours de leur utilisation de Microsoft Online Services. Les exemples comprennent des données personnelles dans des e-mails, des fichiers SharePoint Online, des données de répertoire et carnets d’adresses du client ainsi que des fichiers administratifs

Pour être autorisée à transférer les données de service potentielles aux Etats-Unis, Microsoft se base sur la certifi-cation Safe Harbor qui contient une certification au cadre Safe Harbor suisse.

Microsoft agit comme contrôleur2 de données d’inscrip-tion et de facturation. En tant que contrôleur de données, Microsoft se conforme aux lois relatives à la confidentialité pour le transfert de données hors de l’Union européenne. Microsoft respecte le cadre légal Safe Harbor tel qu’il est défini par le Département américain du commerce pour ce qui est de la collecte, l’utilisation, le transfert et la conser-vation de données venant de l’Union européenne, de l’Espace économique européen et de la Suisse. Avant d’en-gager des relations commerciales avec Microsoft Online Services, les entreprises de l’Union européenne peuvent vérifier que Microsoft est conforme aux principes du Safe Harbor sur le site Export.gov qui est géré par l’administra-tion du commerce international du Département américain du commerce.

8. Informations complémentaires

Vous trouverez des informations complémentaires sur la sécurité et la confidentialité concernant Microsoft Online Services dans le livre blanc Fonctionnalités de sécurité dans Microsoft Online Services

Des informations complémentaires sur la sécurité sont également disponibles ici:• Points clés de la déclaration de confidentialité

de Microsoft Online Services• Déclaration de confidentialité de Microsoft Online

Services

Pour continuer cette discussion, veuillez contacter le Chief Security Advisor de Microsoft par l’intermédiaire de votre contact Microsoft.

1 Processeur de données: personne physique ou morale assurant le traite-ment des données personnelles «au nom du contrôleur». Autrement dit, un processeur de données n’a aucune autorité indépendante pour décider comment et pourquoi les données doivent être traitées.

2 Contrôleur de données: personne physique ou morale qui, seule ou avec d’autres, «détermine les objectifs et les moyens» pour le traitement des données personnelles.

Pour plus d’informations sur la sécurité pour les petites et moyennes entreprises, veuillez contacter:

Le bureau suisse est compétent pour la Suisse et le Liechtenstein.

Page d’accueil de Microsoft SuisseMicrosoft SuisseRichtistrasse 38304 WallisellenSUISSE Service clientèle et support technique: +41 (0) 848 858 868 (allemand/français)*

Microsoft collabore avec l’EPA (European Privacy Association). L’EPA affirme qu’étant donné leur assujettissement à l’accord Safe Harbor et leur certification ISO 27001 et SAS 70, les Microsoft Online Services sont conformes avec les principes de la sécurité des données établies par la directive européenne sur le traitement des données personnelles.

La European Privacy Association (EPA) est un réseau européen d’experts en matière de confidentialité, de protection et de sécurité des données basé à Bruxelles et à Rome. L’EPA est la première organisation européenne à but non lucratif traitant du droit à la protection de la vie privée à l’ère numérique. C’est une porte pour les chercheurs européens sur la protection de la vie privée et pour les décideurs et un lieu de dialogue, de débat et de pédagogie. L’EPA est conçue pour faciliter des prises de décision effectives, préparer des prises de position et développer de nouvelles solutions et stratégies.

europeanprivacy

association