Votre messagerie est-elle aussi sécurisée que Microsoft Online Services ?


Une des questions fréquentes que nous rencontrons comme un possible point de blocage de la migration vers la plateforme Microsoft Online Services concerne la sécurité des données sur un Datacenter hébergé. Souvent, la sensation de sécurité d’un administrateur tient à deux choses : La proximité du serveur qu’ils gèrent et le fait qu’il « connait » les acteurs qui interviennent sur vos serveurs. Or, dès qu’on commence à travailler sur les protocoles et normes de sécurité que ces derniers appliquent sur votre environnement de messagerie, on se rend compte souvent que cette apparente sensation de protection et de confidentialité de vos données ne repose sur aucun mécanisme autre que son évaluation interne.

Que propose Microsoft Online Services dans ce domaine ?

Outre l’évaluation interne décrite ci-dessus, plusieurs audits de conformité tiers indépendants de Microsoft Online Services sont effectués afin d’offrir un plus haut niveau de confiance à nos clients. Dans certains cas, ces audits objectifs et indépendants permettent également de satisfaire les obligations légales, réglementaires ou de conformité des clients. Voici l’état des certifications des centres de données Microsoft qui hébergent une messagerie d’entreprise Exchange Online:

Certification SAS 70

SAS 70 est l’acronyme de « Statement on Auditing Standard Number 70 ». Cette certification a été élaborée et est mise à jour par l’AICPA (American Institute of Certified Public Accountants). Plus particulièrement, SAS 70 est un « Rapport sur le traitement des transactions par les organismes de services ». SAS 70 est un audit approfondi qui permet de démontrer la transparence de fonctionnement d’un prestataire de services à ses clients et partenaires. Les audits et rapports SAS 70 peuvent s’avérer coûteux et nécessiter du temps et un effort important, mais ils offrent un avantage concurrentiel indéniable aux prestataires de services qui les utilisent. La certification SAS 70 atteste qu’un fournisseur de services a été minutieusement contrôlé par un service vérificateur indépendant et qu’il dispose de contrôles et de garanties satisfaisants pour héberger et traiter les données appartenant à ses clients. L’utilisation de cette certification assure la transparence de l’entreprise et renforce la confiance de ses clients.

ISO 27001

Les entreprises peuvent avoir recours à la norme officielle ISO 27001 pour obtenir la certification de leur système de gestion de la sécurité de l’information par un organisme tiers. Elle requiert la mise en œuvre de contrôles de sécurité adaptés aux besoins d’une entreprise individuelle, voire d’une filiale ou d’un site. Elle n’impose pas de contrôles spécifiques liés à sécurité des informations. La norme ISO 27001 est une norme de gestion de sécurité des informations, largement adoptée et reconnue au niveau international. Il s’agit de la norme la plus utilisée dans le domaine de la sécurité des informations. Plusieurs organismes de certification ont été agréés par des organismes de normalisation nationaux, tels que BSI (British Standards Institution) et NIST (National Institute of Science and Technology) afin d’évaluer la mise en conformité avec la norme ISO 27001 et délivrer des certificats.

Programme SMP (Security Management Program) Verizon – Certification de fournisseur de services

Les clients qui envisagent d’utiliser un service en ligne veulent s’assurer que le prestataire a mis en œuvre les stratégies adéquates pour assurer la sécurité de leurs données. L’environnement Microsoft Online Services a été certifié par des normes d’audit indépendantes tierces, fournies et appliquées par le programme SMP (Security Management Program) – Certification de fournisseur de services de Verizon, anciennement Cybertrust. Il est impossible de garantir qu’un service est sécurisé à 100 pour cent en raison des menaces sans cesse changeantes, mais Microsoft adopte une approche agressive pour parer aux menaces, grâce à des audits trimestriels et des analyses mensuelles exécutés par le personnel de sécurité interne.

Et vous, comment protégez-vous les données de votre messagerie ?

A propos Arnaud Alcabez

With more than 20 years of experience in computing technologies and 18 years in the world of IT consulting (whose his own company during 9 years - MCT, MCSE, MSS), I have strong and major skills on IT technologies such Exchange, Virtualization, and BPOS/Office365, Cloud strategy and in particular, Microsoft ecosystem. The last 10 years were devoted to growth the MS identification and the business market (large and mid channels) for some French IT companies. Today, as Office365/Exchange Senior Architect at Capgemini, I share my knowledge with internal teams and Capgemini's customers. In parallel, I am acknowledged as a Most Valuable Professional (MVP) since 2003 by Microsoft Corp. I'm a writer for Exchange Magazine in France,the owner and president of the French Exchange Server community (2500 qualified members in September 2008), and one of the five managers on the Exchange Group LinkedIn community. I speak regularly as IT Expert (Level 300/400 sessions) for Microsoft France, for exemple, during the Microsoft Techdays.
Cet article, publié dans Stratégies, est tagué , , , , , . Ajoutez ce permalien à vos favoris.