Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vue d’ensemble de SOC 1 Type 2
Les contrôles système et d’organisation (SOC) pour les organisations de services sont des rapports de contrôle interne créés par l’American Institute of Certified Public Accountants ( AICPA). Ils sont conçus pour examiner les services fournis par un service organization afin que les utilisateurs finaux puissent évaluer et traiter les risques associés à un service externalisé.
Une attestation SOC 1 de type 2 est effectuée sous :
- SSAE n° 18, Normes d’attestation : clarification et recodification, qui comprend l’article 320 de l’AT-C, Rapport sur un examen des contrôles dans une organisation de services pertinent pour le contrôle interne des entités utilisateur sur les rapports financiers (AICPA, Normes professionnelles).
- Rapport SOC 1 sur l’examen des contrôles au sein d’une organisation de service pertinente pour le contrôle interne des entités utilisateur sur les rapports financiers (Guide AICPA).
En plus de l’AICPA Statement on Standards for Attestation Engagements 18 (SSAE 18), l’audit Microsoft 365 SOC 1 Type 2 est effectué conformément à l’International Standard on Assurance Engagements No. 3402 (ISAE 3402). L’attestation SOC 1 remplace SAS 70, et elle est appropriée pour la création de rapports sur les contrôles d’un service organization pertinents pour les contrôles internes des entités utilisateur sur les rapports financiers. Un rapport de Type 2 inclut l’avis de l’auditeur sur l’efficacité du contrôle pour atteindre les objectifs de contrôle associés pendant la période de surveillance spécifiée.
Plateformes et services cloud microsoft dans l’étendue
Le rapport d’attestation soc 1 de type 2 Azure montre microsoft services en ligne dans l’étendue :
- Azure (pour obtenir des informations détaillées, consultez Offres de conformité Microsoft Azure)
- Azure DevOps (voir Azure rapport d’attestation DevOps SOC 1 Type 2 distinct)
- Dynamics 365 (pour obtenir des informations détaillées, consultez Azure rapport d’attestation SOC 1 Type 2)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour point de terminaison
- Microsoft Defender pour l’identité
- Microsoft Intune
- Bureau géré Microsoft
- Microsoft Stream
- Spécialistes des menaces Microsoft
- Portail des nominations
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Conformité des mises à niveau
Les services en ligne Microsoft suivants sont dans l’étendue du rapport d’attestation Microsoft 365 SOC 1 Type 2.
Azure, Dynamics 365 et SOC 1
Pour plus d’informations sur la conformité à Azure, Dynamics 365 et d’autres services de conformité en ligne, consultez l’offre Azure SOC 1.
Microsoft 365 et SOC 1
Environnements Microsoft 365
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
Applicabilité de Microsoft 365 et services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnement Microsoft 365 :
| l’applicabilité | Les Services dans l’étendue |
|---|---|
| Commerciale | Bing Teams (y compris ObjectStore, Enterprise News – One Service et Semantic Fabric), Customer Lockbox, Education Services (notamment Insights, Microsoft LMS Gateway, OneDrive LTI, Progression/Devoirs de lecture, Synchronisation des données scolaires, Math Recognizer/Solver et Assistant de recherche), Exchange Online, Exchange Online Protection, service runtime de personnalisation IDEAs, Loki, rapports d’utilisation M365, Microsoft Defender for Cloud Apps (gouvernance des applications), Microsoft Defender pour Office 365 (y compris la chasse avancée, la simulation d’attaque et l’entraînement, et one cyber endpoint protection), Microsoft Forms, Planificateur Microsoft, Microsoft Priva, Microsoft Purview (y compris audit, conformité des communications, gestionnaire de conformité, gestion du cycle de vie des données, gestionnaire d’enregistrements, protection contre la perte de données, eDiscovery, Information Protection, plateforme de commentaires unifiée, gestion des risques internes, services de classification des données, correspondance exacte des données et inférence ML), Microsoft Sway, Microsoft Teams, Office Collaboration, Office pour le Web (anciennement appelé « Office Online »), Services OneNote, Application Web Outlook, Service de document PowerPoint Online, Chiffrement du service avec clé client, Service d’annotation de requête, Canal en temps réel, Assistance à distance, Search Content Service, SharePoint Online (y compris OneDrive, Sauvegarde Microsoft 365, Project Online, Rubriques Viva et Connexions Viva), Tasks Business Scenario Service, Viva Glint, Viva Goals, Viva Insights (notamment Personal Insights, Manager and Leader Insights, et Advance Insights), Viva Learning, Viva Pulse, Whiteboard et Windows 365 |
| GCC | Bing Teams (y compris ObjectStore), Customer Lockbox, Exchange Online, Exchange Online Protection, service runtime de personnalisation IDEAs, Loki, rapports d’utilisation M365, Microsoft Defender for Cloud Apps (gouvernance des applications), Microsoft Defender pour les Office 365 (y compris la chasse avancée, la simulation et la formation d’attaque et la protection d’un cyber-point de terminaison), Microsoft Forms, Planificateur Microsoft Microsoft Priva, Microsoft Purview (y compris audit, conformité des communications, gestionnaire de conformité, gestion du cycle de vie des données, Gestionnaire d’enregistrements, protection contre la perte de données, eDiscovery, Information Protection, plateforme de commentaires unifiée, gestion des risques internes, services de classification des données, correspondance exacte des données et inférence ML), Microsoft Teams, Office Collaboration, Office pour le web (anciennement appelé « Office Online »), OneNote Services, Outlook Web Application, service de document PowerPoint Online, chiffrement du service avec clé client, service d’annotation de requête, canal en temps réel, Assistance à distance, service de contenu de recherche, SharePoint Online (y compris OneDrive, Sauvegarde Microsoft 365, Project Online, Rubriques Viva et Connexions Viva), Service de scénarios métier De tâches, Insights Viva (y compris Les insights personnels), Tableau blanc et Windows 365 |
| GCC High | Bing Teams (y compris ObjectStore), Customer Lockbox, Exchange Online, Exchange Online Protection, Loki, rapports d’utilisation M365, Microsoft Defender for Cloud Apps (gouvernance des applications), Microsoft Defender pour Office 365 (y compris la chasse avancée, la simulation et la formation des attaques et la protection d’un cyber-point de terminaison), Microsoft Forms, Planificateur Microsoft, Microsoft Priva, Microsoft Purview (y compris audit, conformité des communications, gestionnaire de conformité, gestion du cycle de vie des données, gestionnaire d’enregistrements, protection contre la perte de données, eDiscovery, Information Protection, plateforme unifiée de commentaires, gestion des risques internes, services de classification des données, correspondance exacte des données et inférence ML), Microsoft Teams, Office Collaboration, Office pour le web (anciennement appelé « Office Online »), Services OneNote, Outlook Web Application, Service de document PowerPoint Online, Chiffrement du service avec clé client, Service d’annotation de requête, Canal en temps réel, SharePoint Online (y compris OneDrive, Sauvegarde Microsoft 365, Project Online, Rubriques Viva et Connexions Viva), Service de scénarios d’entreprise De tâches, Insights Viva (y compris Personal Insights), Tableau blanc et Windows 365 |
| DOD | Bing Teams (y compris ObjectStore), Customer Lockbox, Exchange Online, Exchange Online Protection, Loki, rapports d’utilisation M365, Microsoft Defender for Cloud Apps (gouvernance des applications), Microsoft Defender pour Office 365 (y compris la chasse avancée, la simulation et la formation des attaques et la protection d’un cyber-point de terminaison), Microsoft Forms, Planificateur Microsoft, Microsoft Priva, Microsoft Purview (y compris audit, conformité des communications, gestionnaire de conformité, gestion du cycle de vie des données, gestionnaire d’enregistrements, protection contre la perte de données, eDiscovery, Information Protection, plateforme unifiée de commentaires, gestion des risques internes, services de classification des données, correspondance exacte des données et inférence ML), Microsoft Teams, Office Collaboration, Office pour le web (anciennement appelé « Office Online »), Services OneNote, Outlook Web Application, Service de document PowerPoint Online, Chiffrement du service avec clé client, Service d’annotation de requête, Canal en temps réel, SharePoint Online (y compris OneDrive, Sauvegarde Microsoft 365, Project Online, Rubriques Viva et Connexions Viva), Service de scénarios d’entreprise De tâches, Insights Viva (y compris Personal Insights) et Tableau blanc |
Rapports d’audit Microsoft 365
- Les clients peuvent télécharger les rapports Microsoft 365 SOC 1 Type 2 pour les services centraux et les microservices via le portail d’approbation de services.
- Le portail d’approbation de services fournit également des lettres de pont et des rapports d’audit supplémentaires.
Pour télécharger les rapports d’attestation SOC 1 et SOC 2 et les lettres de pont, vous avez besoin d’un abonnement existant ou d’un compte d’essai gratuit dans Microsoft 365 ou Microsoft 365 U.S. Government.
Foire aux questions
À quelle fréquence les rapports SOC Microsoft 365 sont-ils émis ?
Microsoft commande chaque année un examen soc 1 type 2 complet et SOC 2 type 2 de Office 365. Les rapports de l’auditeur sur ces examens (également appelés audits) sont émis dès qu’ils sont prêts après cet audit. Le rapport SOC 3, basé sur l’examen SOC 2, est publié en même temps.
Étant donné que Microsoft ne contrôle pas l’étendue de l’enquête de l’examen ni le délai d’achèvement de l’audit, il n’existe aucun délai défini pour la publication de ces rapports. Les rapports sont généralement publiés quelques mois après la fin de la période à l’examen. Microsoft n’autorise aucun écart dans les périodes consécutives d’examen d’un examen à l’autre.
Microsoft commande également un examen SOC 1 Type 1 et SOC 2 Type 1 de Microsoft 365 pour les nouveaux services Microsoft émis depuis le dernier audit SOC Type 2. Les audits de type 1 ne regardent pas en arrière sur une période de performances.
En raison de la nature sophistiquée de Office 365, l’étendue du service est grande si elle est examinée dans son ensemble. Cette étendue importante peut entraîner des retards dans l’achèvement de l’examen. Microsoft organise tous les examens décrits précédemment en deux catégories : Core Services et Microservices. Microsoft émet un rapport limité à chaque examen.
Les audits soc de type 2 examinent une fenêtre d’exécution de 12 mois (également appelée période d’audit ou période de performance plus formelle) avec des examens effectués annuellement pour la période du 1er octobre au 30 septembre de l’année civile suivante. L’examen commence rapidement une fois la période de performance terminée.
Microsoft émet également des lettres de pont (également appelées lettres d’écart). Ces auto-attestations effectuées par Microsoft ne sont pas des rapports basés sur des examens effectués par l’auditeur. Microsoft émet des lettres de pont pendant la période actuelle de performances qui n’est pas encore terminée et n’est pas encore prête pour l’examen d’audit. Microsoft émet des lettres de pont à la fin de chaque trimestre pour attester des performances au cours de la période de trois mois précédente. En raison de la période de performance des audits soc de type 2, les lettres de pont sont généralement émises en décembre, mars, juin et septembre de la période d’exploitation actuelle.
Comment les clients peuvent-ils bénéficier de l’attestation Microsoft 365 SOC 1 Type 2 ?
Les clients peuvent utiliser l’attestation Microsoft 365 SOC 1 Type 2 lorsqu’ils poursuivent leurs propres exigences de conformité spécifiques au secteur financier, telles que Sarbanes-Oxley (SOX), Le Conseil d’examen des institutions financières fédérales (FFIEC), Gramm-Leach-Bliley Act (GLBA), etc.
Où puis-je obtenir la documentation d’audit soc Microsoft 365, y compris les lettres de pont de Microsoft ?
Pour obtenir des liens vers la documentation d’audit, consultez la section rapport d’audit du portail d’approbation de services. Pour vous connecter, vous devez disposer d’un abonnement ou d’un compte d’essai gratuit dans Microsoft 365 ou Microsoft 365 U.S. Government. Vous pouvez ensuite télécharger des certificats d’audit, des rapports d’évaluation et d’autres documents applicables pour vous aider à respecter vos propres exigences réglementaires.
Où puis-je voir les réponses de gestion aux exceptions notées ?
La plupart des examens comportent des observations sur un ou plusieurs contrôles spécifiques examinés. Il faut s’attendre à un certain nombre d’observations. Les réponses de la direction à toutes les exceptions se trouvent vers la fin du rapport d’attestation SOC. Recherchez « Réponse de gestion » dans le document.
Où puis-je voir les responsabilités des entités utilisateur ?
Les responsabilités de l’entité utilisateur sont vos responsabilités de contrôle nécessaires si le système dans son ensemble doit respecter les normes de contrôle SOC 2. Ces responsabilités se trouvent à la toute fin du rapport d’attestation SOC. Recherchez « Responsabilités de l’entité utilisateur » dans le document.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité du portail Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.
Ressources
- Rapports d’audit du portail d’approbation de services
- SSAE n° 18, Normes d’attestation : Clarification et recodification
- Rapport SOC 1 sur l’examen des contrôles au sein d’une organisation de service pertinente pour le contrôle interne des entités utilisateur sur les rapports financiers (Guide AICPA)(disponible à la vente).