Partager via


Aperçu sur la sécurité des centres de données

Comment Microsoft héberge-t-il ses services en ligne ?

Microsoft fournit plus de 200 services cloud, y compris des services d’entreprise tels que Microsoft Azure, Microsoft 365 et Microsoft Dynamics 365, à des clients 24 h/24, 7 j/7, 365 j/24. Ces services sont hébergés dans l’infrastructure cloud de Microsoft composée de centres de données distribués à l’échelle mondiale, de nœuds de périphérie et de centres d’opérations de service. Ils sont pris en charge et connectés par l’un des plus grands réseaux mondiaux au monde, avec une empreinte fibreuse étendue.

Les centres de données alimentant notre offres cloud se concentrent sur la fiabilité de haut niveau, l’excellence opérationnelle, la rentabilité, le respect de l’environnement et une expérience en ligne fiable pour nos clients et partenaires internationaux. Microsoft teste régulièrement la sécurité de nos centres de données par le biais d’audits internes et tiers. Par conséquent, les organisations les plus réglementées du monde approuvent le cloud Microsoft qui est compatible avec les certifications émanant d’autres fournisseurs de services cloud.

Comment Microsoft protège-t-il ses centres de données contre les accès non autorisés ?

L’accès aux installations physiques du centre de données est étroitement contrôlé par les périmètres externes et internes avec une sécurité accrue à chaque niveau, y compris les clôtures de périmètre, les agents de sécurité, les racks de serveurs verrouillés, les systèmes d’alarme intégrés, la surveillance vidéo 24 heures par le centre des opérations et le contrôle d’accès multifacteur. Seul le personnel requis est autorisé à accéder aux centres de données Microsoft. L’accès logique à l’infrastructure Microsoft 365, y compris aux données client, est interdit dans les centres de données Microsoft.

Nos Centres des opérations de sécurité utilisent la surveillance vidéo et les systèmes de contrôle d’accès électronique intégrés pour surveiller les sites et installations des centres de données. Des caméras sont placées de façon stratégique pour assurer une couverture efficace du périmètre de l’installation, des entrées, des quais d’expédition, de la zone des serveurs, des couloirs intérieurs et d’autres points de sécurité sensibles. Dans le cadre de notre approche de sécurité multicouche, toute tentative d’entrée non autorisée détectée par les systèmes de sécurité intégrés génère des alertes auprès du personnel de sécurité dans le but de fournir une réponse et une mesure corrective immédiate.

Comment Microsoft protège-t-il ses centres de données contre les risques environnementaux ?

Microsoft utilise une variété de protections pour se protéger contre les menaces environnementales pour la disponibilité du centre de données. Les sites de centres de données sont stratégiquement sélectionnés pour minimiser les risques liés à divers facteurs, notamment les inondations, les tremblements de terre, les ouragans et d’autres catastrophes naturelles. Nos centres de données utilisent la climatisation pour surveiller et maintenir des espaces conditionnés optimisés pour le personnel, l’équipement et le matériel. Les systèmes de détection et d’extinction des incendies et les capteurs d’eau aident à détecter et à prévenir les incendies et les dommages causés par l’eau à l’équipement.

Les catastrophes sont imprévisibles, mais les centres de données et le personnel opérationnel de Microsoft se préparent aux urgences pour assurer une continuité de l’activité en cas d’événement inattendu. La résilience de l’architecture et des plans de continuité testés et mise à jour permettent d’atténuer les dommages potentiels et de promouvoir une récupération rapide des opérations de centres de données. Les plans de gestion de crise fournissent une transparence sur les rôles, les responsabilités et les activités d’atténuation avant, pendant et après une crise. Les rôles et contacts définis dans ces plans facilitent une escalade effective de la chaîne de commande pendant les situations de crise.

Comment Microsoft vérifie-t-il l’efficacité de la sécurité du centre de données ?

Nous savons que pour tirer pleinement parti des avantages du cloud, nos clients doivent être en mesure de faire confiance à leur fournisseur de services cloud. Notre infrastructure et notre suite de services cloud sont conçus entièrement pour répondre aux exigences rigoureuses de nos clients en matière de sécurité et de confidentialité. Nous aidons nos clients à se conformer aux exigences nationales, locales et sectorielles en matière de recueil et d’utilisation des données de personnes en proposant la série d'offres de conformité la plus complète parmi les prestataires de services sur le cloud.

Nos offres et notre infrastructure cloud satisfont aux exigences d’un large éventail de normes de conformité internationales et propres au secteur, telles que les normes ISO, la loi américaine HIPAA, le programme FedRAMP et SOC, ainsi que de normes spécifiques de pays, telles que le programme australien IRAP, le programme G-Cloud au Royaume-Uni et MTCS à Singapour. Des audits rigoureux, effectués par des tiers, vérifient notre adhésion aux contrôles stricts de sécurité que ces réglementations rendent obligatoires. Les rapports d’audit pour notre infrastructure de centre de données et nos offres cloud sont disponibles sur le portail d’approbation de service Microsoft.

Les services en ligne de Microsoft sont régulièrement audités pour vérifier leur conformité aux réglementations et certifications externes. Reportez-vous au tableau suivant pour la validation des contrôles liés à la sécurité du centre de données.

Audits externes Section Date du dernier rapport
ISO 27001 (Azure)

Déclaration d’applicabilité
Certificat
A.11 : Sécurité physique et environnementale 8 avril 2024
SOC 1 (Azure) PE-1 : Provisionnement de l’accès physique aux centres de données
PE-2 : Vérification de la sécurité du centre de données
PE-3 : Révision de l’accès utilisateur au centre de données
PE-4 : Mécanismes d’accès physique aux centres de données
PE-5 : Surveillance physique du centre de données
PE-6 : Maintenance de l’environnement critique du centre de données
PE-7 : Contrôles environnementaux du centre de données
PE-8 : Réponse aux incidents du centre de données
20 mai 2024
SOC 2 (Azure) PE-1 : Provisionnement de l’accès physique aux centres de données
PE-2 : Vérification de la sécurité du centre de données
PE-3 : Révision de l’accès utilisateur au centre de données
PE-4 : Mécanismes d’accès physique aux centres de données
PE-5 : Surveillance physique du centre de données
PE-6 : Maintenance de l’environnement critique du centre de données
PE-7 : Contrôles environnementaux du centre de données
PE-8 : Réponse aux incidents du centre de données
20 mai 2024

Ressources