Microsoft est une société technologique multinationale américaine qui collabore avec plus de 58 000 fournisseurs différents pour répondre aux besoins de ses clients. Bon nombre de ces entreprises tierces traitent des données confidentielles et personnelles pour le compte de la société.

Étant donné que la confidentialité et la sécurité des données sont essentielles pour que les entreprises modernes gagnent la confiance des clients et se conforment à diverses lois et réglementations, Microsoft a établi ses propres normes pour les fournisseurs qui traitent des données confidentielles et/ou personnelles appelées Supplier Security and Privacy Assurance (SSPA). Tous les fournisseurs qui font partie de la chaîne d'approvisionnement d'informations de Microsoft doivent se conformer aux exigences de la SSPA pour faire des affaires avec Microsoft ou l’une de ses filiales.

Ci-dessous, nous vous proposons un aperçu de Microsoft SSPA et de la manière dont Secureframe peut aider les fournisseurs à se conformer à la SSPA et à des cadres de conformité connexes tels que ISO 27001 et PCI DSS pour améliorer leur posture en matière de sécurité et de conformité.

Qu'est-ce que Microsoft SSPA ?

Microsoft SSPA désigne le programme Supplier Security and Privacy Assurance (SSPA). Ce programme établit des exigences en matière de confidentialité et de sécurité pour les fournisseurs de Microsoft travaillant avec les données personnelles et/ou les données confidentielles de Microsoft. Ces exigences sont connues sous le nom de Microsoft Supplier Data Protection Requirements (DPR).

Les fournisseurs doivent mettre en œuvre les contrôles de sécurité et de confidentialité applicables du DPR avant de commencer à travailler avec Microsoft. Tous les fournisseurs inscrits doivent ensuite attester eux-mêmes de leur conformité au DPR chaque année.

À qui s'applique Microsoft SSPA ?

Microsoft SSPA s'applique à tous les fournisseurs dans le monde entier qui traitent des données confidentielles et/ou des données personnelles de Microsoft en vertu des termes de leur contrat avec Microsoft.

Qu'est-ce que les données confidentielles de Microsoft ?

Les données confidentielles de Microsoft sont toutes les informations susceptibles de causer une perte de réputation ou financière importante pour Microsoft si leur confidentialité ou leur intégrité est compromise. Cela peut inclure :

• Informations concernant ou liées aux produits matériels et logiciels de Microsoft
• Données financières d'entreprise de Microsoft non annoncées, soumises aux règles de la SEC
• Informations concernant ou liées aux applications internes de gestion
• Documents marketing préliminaires
• Clés de licence de produit
• Documentation technique liée aux produits et services Microsoft

Qu'est-ce que les données personnelles de Microsoft ?

Les données personnelles de Microsoft sont toutes les données personnelles (c'est-à-dire les informations relatives à une personne concernée) qui sont traitées par ou pour le compte de Microsoft. Ce type de données se décline en cinq catégories principales :

• Données sensibles comme les données liées aux enfants et les données génétiques, biométriques ou de santé
• Données capturées et générées comme l'adresse IP et la vérification des antécédents des employés
• Données de compte comme le numéro de carte de crédit et la date d'expiration
• Données clients en ligne comme les données de facturation ou d'autres données de compte et les inscriptions aux enquêtes/événements/formations
• Informations de santé protégées

Exigences de protection des données des fournisseurs Microsoft (DPR)

Il y a un total de 50 exigences de protection des données. Elles sont organisées en 10 sections ou catégories suivantes :

• Gestion
• Notification
• Choix et consentement
• Collecte
• Rétention
• Sujets des données
• Sous-traitants
• Qualité
• Surveillance et application
• Sécurité

Les fournisseurs doivent soumettre des preuves de conformité pour chaque exigence qui leur est applicable. Par exemple, certains fournisseurs Microsoft sont tenus d'appliquer des sanctions appropriées contre les employés qui ne respectent pas les politiques de confidentialité et de sécurité du fournisseur. Afin de prouver la conformité à cette exigence, les fournisseurs doivent fournir une documentation des politiques de confidentialité et de sécurité qui décrivent les sanctions en cas de non-conformité.

Les exigences du DPR qui s'appliquent dépendent des catégories de traitement des données pour lesquelles le fournisseur a été approuvé dans le cadre de son inscription au SSPA. Nous en discuterons plus en détail lorsque nous examinerons de plus près le processus de conformité SSPA ci-dessous.

Processus de conformité Microsoft SSPA

Vous trouverez ci-dessous une explication étape par étape du processus de conformité Microsoft SSPA.

Étape 1 : Adhérez au programme SSPA.

En tant que fournisseur Microsoft qui traite des données confidentielles Microsoft et/ou des données personnelles, vous pouvez adhérer au programme SSPA lors du processus d'intégration.

Étape 2 : Configurez le profil de traitement des données SSPA.

Ensuite, vous devez configurer un profil de traitement des données et sélectionner les catégories de traitement de données pour lesquelles vous souhaitez être approuvé afin de fournir vos biens et/ou services à Microsoft. Ces catégories sont :

• Périmètre du traitement des données : Traitez-vous uniquement les données confidentielles Microsoft ou les données confidentielles Microsoft et les données personnelles ?
• Lieu de traitement des données : Allez-vous traiter les données au sein de l'environnement réseau Microsoft où le personnel utilise des identifiants d'accès @microsoft.com ou au sein de l'environnement d'un client Microsoft ?
• Rôle de traitement des données : Allez-vous agir en tant que responsable du traitement des données ou en tant que sous-traitant ? Ou avez-vous obtenu une pré-approbation des équipes internes de confidentialité de Microsoft en tant que sous-traitant ?
• Traitement des cartes de paiement : Traitez-vous les données pour prendre en charge le traitement des cartes de crédit ou d'autres cartes de paiement pour le compte de Microsoft ?
• Logiciel en tant que service : Allez-vous agir en tant que fournisseur SaaS ?
• Utilisation de sous-traitants : Utiliserez-vous des sous-traitants ?

Votre profil de traitement des données détermine si vous devez respecter la totalité des exigences du DPR ou un sous-ensemble d'exigences.

Lors de la configuration de votre profil, vous devez également sélectionner les options de profil suivantes si elles s'appliquent.

• Hébergement de sites Web : Allez-vous héberger des sites Web pour le compte de Microsoft ?
• Santé : Allez-vous traiter des informations de santé protégées ?

Ces sélections peuvent avoir un impact sur la façon dont vous attestez de votre conformité au DPR.

Étape 3 : Mettez en œuvre les contrôles de sécurité et de confidentialité.

Les exigences du DPR sont définies en fonction des catégories de traitement des données ci-dessus. Vous devez remplir toutes les exigences applicables afin d'être approuvé pour les catégories de traitement des données que vous avez sélectionnées.

Donc, une fois que vous avez configuré leur profil, vous devez mettre en œuvre les contrôles de sécurité et de confidentialité nécessaires et documenter les preuves de ces contrôles.

L'utilisation d'une plateforme d'automatisation de la conformité peut considérablement simplifier cette étape, vous faisant économiser du temps et des ressources précieux. Secureframe, par exemple, présente les exigences DPR qui s'appliquent à vous et les contrôles que vous devez mettre en œuvre pour répondre à ces exigences. Secureframe exécute également des tests automatisés pour détecter les contrôles qui respectent les exigences du cadre ainsi que les non-conformités nécessitant des mesures correctives pour se conformer au DPR. Il dispose également d'un modèle de politique de protection des données de Microsoft qui peut vous aider à répondre aux exigences en matière de politiques et de procédures du DPR et à économiser du temps et des ressources précieux.

Étape 4 : Compléter une auto-attestation de conformité au DPR annuellement.

Ensuite, vous devez compléter une auto-attestation de conformité au DPR au moins une fois par an. Cela doit être fait dans les 90 jours suivant la réception de la demande.

Cette auto-attestation doit être complétée par la personne ou le groupe désigné responsable de garantir la conformité au DPR, ou le Représentant Autorisé. Cela implique les étapes suivantes :

• Déterminer quelles exigences s'appliquent. Les exigences du DPR sont émises en fonction du profil de traitement des données du fournisseur. Il est attendu qu'un petit nombre des exigences émises puissent ne pas s'appliquer aux biens ou services que le fournisseur offre à Microsoft. Donc, la première étape du processus d'auto-attestation consiste à identifier celles qui s'appliquent et celles qui ne s'appliquent pas.
• Publier une réponse à chaque exigence applicable. Les fournisseurs sont censés répondre à toutes les exigences DPR applicables en se basant sur des informations suffisantes provenant d'experts en la matière.
• Marquer toute exigence comme « ne s'applique pas ». Si certaines exigences émises ne s'appliquent pas aux biens ou services que le fournisseur offre à Microsoft, elles peuvent être marquées comme « ne s'applique pas ». Un commentaire détaillé doit être inclus pour que les examinateurs SSPA puissent valider.
• Marquer toute exigence comme « conflit juridique local » ou « conflit contractuel ». Si certaines exigences émises entrent en conflit avec une disposition de leur contrat ou toute exigence légale ou statutaire, elles peuvent être marquées en conséquence. Un commentaire détaillé expliquant le conflit et des références à l'appui doivent être fournis pour permettre aux examinateurs SSPA de valider.
• Signer et soumettre. Le Représentant Autorisé doit signer et soumettre l'attestation dans le portail de conformité des fournisseurs Microsoft.

Étape 5 : Soumettre une assurance indépendante de conformité si applicable.

Certains profils et approbations de traitement des données déclenchent une exigence d'assurance supplémentaire. Les fournisseurs suivants doivent soumettre une auto-attestation de conformité et une vérification indépendante de conformité :

• Les fournisseurs qui traitent des données confidentielles de Microsoft classées comme hautement confidentielles hors de l'environnement réseau Microsoft
• Les fournisseurs désignés comme Processeurs de Données qui traitent des données confidentielles et personnelles de Microsoft classées comme hautement confidentielles hors de l'environnement réseau Microsoft
• Les fournisseurs désignés comme sous-traitants par Microsoft
• Les fournisseurs de SaaS et d'hébergement web agissant pour le compte de Microsoft
• Les fournisseurs utilisant des sous-traitants qui traiteront des données confidentielles et/ou des données personnelles de Microsoft
• Les fournisseurs traitant des informations de santé protégées

En général, l'exigence d'assurance indépendante est satisfaite en faisant valider la conformité au DPR par un évaluateur indépendant et en préparant une lettre de consultation pour fournir des garanties de conformité à Microsoft. Cette lettre doit être sans réserve - c'est-à-dire que tous les problèmes de non-conformité doivent être résolus et corrigés avant que la lettre ne soit soumise au portail de conformité des fournisseurs Microsoft pour examen par l'équipe SSPA.

Cependant, certains profils et approbations de traitement des données offrent plusieurs options d'assurance indépendante. Par exemple, les fournisseurs qui traitent des données confidentielles de Microsoft classées comme hautement confidentielles hors de l'environnement réseau Microsoft peuvent soit compléter une évaluation indépendante par rapport au DPR, soit soumettre une certification ISO 27001 valide. De plus, les fournisseurs de SaaS et d'hébergement web agissant pour le compte de Microsoft et les fournisseurs utilisant des sous-traitants peuvent soumettre une certification ISO 27001 et ISO 27701 et les fournisseurs traitant des informations de santé protégées peuvent soumettre un rapport HITRUST comme alternatives à une évaluation indépendante.

Étape 6 : Soumettre les certifications PCI DSS et/ou ISO 27001 si applicable.

Si vous gérez des informations de carte de paiement pour le compte de Microsoft, vous devez soumettre une certification PCI DSS en plus de toute autre exigence de garantie qui s'applique à votre profil de traitement des données.

Si vous êtes un fournisseur de SaaS, votre Microsoft Cloud Services Agreement peut exiger que vous fournissiez une certification ISO 27001 en plus de toute autre exigence d'assurance qui s'applique à votre profil de traitement des données. Cette certification doit s'appliquer au(x) service(s) logiciel(s) mentionné(s) dans votre contrat.

Étape 7 : Révision SSPA

Les auto-déclarations de conformité sont examinées par l'équipe SSPA pour toute sélection de « ne s'applique pas », « conflit légal local » ou « conflit contractuel ». L'équipe SSPA examine également les lettres de confirmation de conformité par des évaluateurs indépendants, la certification PCI DSS et la certification ISO 27001, si le profil de traitement des données du fournisseur déclenche ces exigences de garantie.

Étape 8 : Le statut SSPA est Vert

Une fois que vous avez rempli les exigences émises et la révision SSPA, votre statut SSPA deviendra Vert (conforme). Cela signifie que les acheteurs de Microsoft peuvent désormais collaborer avec vous dans les catégories de traitement des données pour lesquelles vous avez été approuvé.

Étape 9 : Complétez vos tâches de conformité annuellement

Pour maintenir votre statut Vert, vous devez renouveler les tâches de conformité annuellement pour une conformité continue avec SSPA.

Liste de contrôle de conformité pour les fournisseurs Microsoft

Pour vous aider à évaluer la conformité de votre entreprise avec le DPR de Microsoft, téléchargez la liste de contrôle de conformité ci-dessous.

Comment Secureframe aide les fournisseurs Microsoft à atteindre la conformité

Que vous soyez déjà fournisseur pour Microsoft ou que vous espériez le devenir à l'avenir, Secureframe peut vous aider à automatiser la conformité avec le SSPA de Microsoft et d'autres cadres qui s'appliquent à vos activités de traitement des données, y compris ISO 27001, ISO 27701 et PCI DSS. Notre plateforme de conformité alimentée par l'IA réduit le temps que vous passez sur les tâches de conformité grâce à la collecte automatique de preuves, la surveillance en temps réel et la gestion des risques, afin que vous puissiez gagner du temps et réduire les risques tout en développant votre entreprise.

Nous avons plus de 200 intégrations pour vous permettre de synchroniser de manière transparente vos outils Microsoft existants, y compris Microsoft Azure, Office 365, Azure DevOps, Microsoft Intune et Azure Active Directory. Une fois que vous avez connecté vos outils Microsoft à la plateforme Secureframe, celle-ci collectera automatiquement des preuves de conformité via nos tests d'intégration intégrés pour les outils Microsoft. Chaque test d'intégration est associé aux contrôles et aux exigences du cadre de conformité.

Notre surveillance continue en temps réel évalue votre posture de conformité en recueillant automatiquement des preuves et en détectant les non-conformités et les mauvaises configurations sur Microsoft Azure, Azure DevOps, Microsoft Intune, Azure Defender, et plus encore. Lorsque des mauvaises configurations sont détectées, vous pouvez utiliser Comply AI pour la remédiation pour les corriger rapidement en utilisant l’infrastructure sous forme de code (IaC) pour Azure Resource Manager (ARM), l'Interface de Ligne de Commande (CLI), ou Terraform. Copiez, collez et déployez sans faille les correctifs de code dans votre environnement Azure pour corriger le contrôle défaillant et améliorer votre posture de conformité.

Nous permettons également aux clients d'identifier, d'évaluer et de gérer les risques de plusieurs façons. Par exemple, vous pouvez automatiquement effectuer des revues d'accès utilisateur et gérer le personnel en synchronisant vos outils Microsoft comme Office 365 et Azure Active Directory avec la plateforme Secureframe. Vous pouvez également assurer un accès minimum, identifier et retirer le personnel parti ayant des accès, et intégrer automatiquement le personnel pour les aider à démarrer leurs tâches de conformité, y compris les formations, la revue et l'acceptation des politiques, et les vérifications des antécédents.

Enfin, il est tout aussi important que vous gériez les risques de vos fournisseurs et prestataires tiers, tout comme Microsoft le fait pour ses fournisseurs via SSPA. Notre outil de gestion des risques des fournisseurs vous permet de gérer et surveiller vos relations avec vos fournisseurs et le risque associé. Assurez-vous que vos fournisseurs et prestataires tiers satisfont à vos exigences de sécurité et de conformité grâce à des questionnaires fournisseurs, des revues récurrentes, et plus encore.