securite

Office 365 / sécurité des données / Ce que dit vraiment le contrat de service

Citation Publié le Mis à jour le

Bonjour à tous !

J’entends (trop ?) souvent bon nombre de personnes qui font une confusion sur l’offre cloud de Microsoft qui se résume à peu près à cette équation :

Microsoft = Etat unis = Droit américain = Permissif sur la gestion des données

Ça donne à peu près ceci :

Trève de plaisanterie, plongeons nous plus en avant dans la Déclaration de Confidentialité des Services en ligne de Microsoft.

Le contrat de service Cloud de Microsoft se base sur 10 grands engagements en terme de sécurité des données, qui sont les suivants (source) :

  1. Nous restreignons l’accès physique à nos data center uniquement aux personnes autorisées et avons implémenté de nombreuses couches de sécurité physiques, tel que des capteurs biométriques, analyseurs de mouvement, accès surveillé 24/24, caméras de vidéo surveillances, et alarmes de violation de sécurité,
  2. Nous activons le cryptage des données sur place et transitant sur le réseau entre un data center et un utilisateur,
  3. Nous ne nous occupons pas ni n’utilisons vos données à des fins publicitaires,
  4. Nous utilisons les données clients uniquement pour fournir un service, de plus nous ne regardons jamais vos boites mails sans votre permission,
  5. Nous sauvegardons régulièrement vos données,
  6. Nous ne supprimerons jamais toutes les données de votre compte à la fin d’un contrat de service avant que vous ayez pris le temps de prendre en compte le niveau de portabilité de données que nous proposons.
  7. Nous stockons vos données dans votre région géographique
  8. Nous utilisons des mots de passe « fort » pour augmenter le niveau de sécurité de vos données
  9. Nous vous permettons d’activer ou désactiver les fonctionnalités impactant votre sécurité, pour correspondre le mieux à vos besoins,
  10. Nous nous engageons contractuellement sur les promesses faites ci dessus dans le paragraphe de gestion des données de notre contrat de gestion des licenses. Pour plus d’information, visitez cette page.

Justement, le « contrat d’engagement des services en ligne » précise tout les points vus ci dessus, je vous engage à le lire attentivement.

En complément de ceci, et pour aller plus loin :

Pour finir, ne pas oublier que pour chaque fournisseur de service cloud :

Le Client est seul responsable d’analyser chaque Politique de Sécurité des Informations et de déterminer de façon indépendante si elle satisfait à ses exigences.

 

 

Publicités

Idée reçue sur Office 365 : Mes données sont hébergées à Dublin

Citation Publié le Mis à jour le

Bonjour,

Beaucoup d’entre nous, par habitude, attachent de l’importance à la localisation physique des données de leur entreprise. Il est fréquent, lorsque l’on parle d’office 365, d’évoquer le fait que les données sont hébergées « dans le data center Microsoft de Dublin ». Parmi certains fantasmes autour de ceci, il a été dit qu’il existait des douves autour de ce Datacenter.

Etonnant non ? Ceci est probablement vrai ! Je vous conseille à ce propos la lecture de ce billet :

http://blog.lemondeinformatique.fr/fcoquio/lire-les-data-centers-chateaux-forts-du-monde-numerique-80.html

Pour des questions de sécurité, Microsoft reste très laconique sur la localisation précise de son Datacenter.

En regardant de plus près, la seule information dont nous disposons est ecrite au fin fond des conditions d’utilisations des services online : http://www.microsoft.com/online/legal/v2/?docid=25

« Le pays ou région du client, qui est saisie par l’administrateur durant la phase d’initialisation des services, détermine le premier lieu de stockage des données »

Il n’est donc pas certain que vos données restent tout le temps au même endroit. Allons un peu plus loin :

« Pour les clients résident dans l’Union Européenne, les données sont localisées dans les pays ou régions suivantes :
Dublin, Ireland

Amsterdam, Pays-Bas

Etats Unis »

L’intérêt d’une solution cloud n’est pas dans la localisation géographique des données, mais bien dans le niveau de sécurité que peut-vous fournir votre hébergeur cloud.

Alors, où partez-vous en vacances l’été prochain ? N’oubliez pas d’emporter votre drone…

Voici les localisations connues des plus importants Datacenter en Irlande, et au Pays Bas :


[UPDATE 03/12/2014 15:00] Suite à une discussion avec Patrick Guimonet, sur linkedin ici, il est également précisé dans ce document des conditions générales d’utilisation :

« Pour la plupart des clients situé en Europe, les Datacenters principaux pour tous les services Office 365 et Microsoft Dynamics CRM Online sont situés aux Pays bas et en Irlande. Cependant les clients Lync Online ayant provisionnés leurs services avant Octobre 2011 ont leur données situés dans un Datacenter situé aux Etats unis »