Les environnements Microsoft 365 Government Community Cloud (GCC) fournissent un ensemble de services en ligne gérés qui sont conformes aux exigences de résidence des données pour les entrepreneurs du gouvernement américain et du ministère de la Défense (DoD) et d’autres entités qui traitent des données réglementées. Cela comprend les niveaux GCC, GCC High et DoD qui incluent les services isolés Microsoft 365 (anciennement Office 365) tels que Exchange et Outlook pour la messagerie, Teams, OneDrive et SharePoint pour la collaboration, et la suite Microsoft Office, notamment Word, Excel et PowerPoint.
Ce guide vise à aider les administrateurs informatiques et les fournisseurs de services gérés (MSP) à comprendre les différents environnements Microsoft 365 GCC afin qu’ils puissent être mieux préparés lors de la planification et de la mise en œuvre de l’infrastructure informatique pour les entités du secteur public américain et les entrepreneurs fédéraux.
Pourquoi choisir le bon environnement Microsoft 365 GCC ?
Les environnements Microsoft 365 Government Community Cloud (GCC) sont hébergés dans des centres de données situés sur le territoire américain et dont le personnel est composé de citoyens américains vérifiés. Ces environnements peuvent être physiquement et logiquement isolés des autres plateformes de cloud public de l’écosystème Microsoft 365, ce qui garantit la conformité avec les normes américaines de sécurité et de résidence des données telles que FedRAMP, ITAR, NIST 800-171, DFARS, et CJIS.
La conformité à ces cadres est une exigence pour de nombreuses entités du secteur public ou entrepreneurs fédéraux qui gèrent des informations non classifiées contrôlées (CUI – controlled unclassified information), des informations sur les contrats fédéraux (FCI – federal contract information) et d’autres données réglementées. Cette exigence s’applique à des organisations telles que :
- Entités fédérales, étatiques, locales ou tribales des États-Unis
- Les fournisseurs de solutions (y compris les MSP) desservant l’une ou l’autre de ces entités
- Clients qui traitent des données contrôlées par le gouvernement
Les environnements GCC, GCC High et DoD disponibles dans Microsoft 365 Government Community Cloud diffèrent dans leur infrastructure physique et leurs exigences de sécurité, ce qui conduit chacun à atteindre des normes de conformité différentes, et peut conduire à certaines différences de fonctionnalité et de compatibilité. Tous exigent la vérification de l’identité et de l’éligibilité afin de s’assurer que tous les tenants GCC remplissent les conditions requises pour l’une des catégories susmentionnées.
Comme pour toutes les questions juridiques et de conformité, vous devez consulter la source de réglementation faisant autorité, ainsi que des experts juridiques et spécialisés dans votre secteur d’activité, afin de vous assurer que vous comprenez parfaitement les exigences propres à votre organisation et que vous mettez correctement en œuvre les processus et les technologies nécessaires.
Aperçu des environnements GCC, GCC High et DoD
Avant de demander et de commencer à déployer les services Microsoft 365 GCC, votre infrastructure de licence, de conformité et d’identité doit être soigneusement planifiée, de même que toutes les tâches de migration. Il s’agit de s’assurer que toutes les exigences en matière de sécurité des données sont respectées, et que toutes les exigences en matière de conformité sont clairement identifiées et prises en compte.
| Environnement | Cas d’utilisation prévu | Respect des normes de conformité | Résidence des données | Modèle d’hébergement |
| CCG | Gouvernement local/de l’État, éducation et agences publiques des États-Unis | FedRAMP Modéré, CJIS, IRS 1075 | Uniquement pour les États-Unis | Infrastructure commerciale (basée aux États-Unis) |
| CCG Haut | Sous-traitants du ministère de la défense, personnes chargées du traitement des données CUI/ITAR | FedRAMP High, DFARS, NIST 800-171, ITAR | Uniquement pour les États-Unis | Isolation physique et logique (personnel américain uniquement) |
| DoD | Département de la défense des États-Unis | DoD IL5/IL6, NIPRNet/SIPRNet | Uniquement pour les États-Unis | Infrastructure appartenant au ministère de la défense |
Le choix d’un environnement GCC adapté à votre cas d’utilisation vous aidera à éviter les violations du traitement des données susceptibles d’entraîner une disqualification du contrat ou des conséquences juridiques. L’environnement du CCG auquel vous pouvez postuler dépend de votre éligibilité :
| Environnement | Éligibilité et licence |
| CCG | Disponible pour les entités du secteur public et leurs contractants |
| CCG Haut | Nécessite la validation de Microsoft par le biais d’un parrainage ou d’un contrat avec des programmes du ministère de la défense |
| DoD | L’accès est limité aux organisations du ministère de la défense |
Principales différences pour les équipes informatiques et les prestataires de services de gestion de contenu
Pour les équipes informatiques et les MSP, les différences entre les environnements GCC, GCC High et DoD ont des implications pratiques pour la planification et la mise en œuvre, avec des différences dans la disponibilité du personnel d’assistance, l’accès au cloud et la compatibilité des applications tierces.
| Fonction | CCG | CCG Haut | DoD |
| Personnel d’appui | Peut inclure le personnel d’assistance Microsoft au niveau mondial | Citoyens américains uniquement | Personnel du ministère de la défense des États-Unis uniquement |
| Accès au nuage | Azure commercial | Azure Government (souveraineté des États-Unis) | Azure Government pour le ministère de la défense |
| Compatibilité des applications | Vaste écosystème de tiers | Limitée. Uniquement les applications certifiées FedRAMP High | Extrêmement limité |
| Accès multi-tenant | Un large soutien pour les intégrations | Accès restreint à la fédération et à l’API | Forte restriction |
Pour les MSP, , la revente et la gestion des tenants dans CCG exigent un statut qualifié par le gouvernement, ainsi que le respect des exigences de sélection du personnel, y compris l’emploi de citoyens américains uniquement, et la vérification des antécédents.
CCG Considérations relatives au déploiement à grande échelle
Lorsque vous préparez le déploiement de Microsoft 365 GCC High, vous devez prendre en compte toute migration de données nécessaire : vous ne pouvez pas mettre à niveau un tenant Microsoft 365 commercial directement vers GCC High, les données doivent donc être migrées. Vous devez également vous assurer que vous êtes conscient des limites du fonctionnement de votre gestion d’identité, car Azure AD dans GCC High peut limiter certaines interactions SSO/fédération. Les intégrations d’applications tierces, les API et les webhooks peuvent également être affectés.
Interopérabilité entre Microsoft 365 GCC et AWS GovCloud
AWS GovCloud répond également aux exigences de souveraineté des données des États-Unis, en fournissant une solution secondaire conforme à un grand nombre des mêmes normes de conformité que les niveaux GCC de Microsoft 365. Les deux plateformes sont souvent utilisées en tandem : par exemple, lorsqu’un service offre des fonctionnalités que l’autre n’offre pas, ou comme destination de secours lorsqu’une parité de conformité est requise.
Lors de l’implémentation d’une architecture cross-cloud, la souveraineté et la conformité des données doivent être maintenues par l’utilisation du cryptage, la gestion des identités et la garantie que le trafic n’est pas acheminé par des régions commerciales qui ne répondent pas aux normes de sécurité.
Sauvegardes, sécurité et assistance : maintenir la conformité de l’ensemble de votre infrastructure informatique
La conformité totale exige que l’ensemble de vos opérations informatiques répondent aux normes légales, et pas seulement votre infrastructure en nuage. Les outils de sauvegarde et de journalisation, l’assistance à distance, les intégrations de sécurité et les autres outils tiers doivent également répondre aux mêmes normes de conformité que le niveau GCC que vous jugez approprié pour votre cas d’utilisation.
NinjaOne fournit une suite complète d’outils de gestion et de support informatique qui répondent à un nombre croissant de réglementations fédérales américaines, y compris FedRAMP. Cela comprend la sauvegarde SaaS qui peut sauvegarder vos tenants Microsoft 365 GCC, et des outils de surveillance et gestion à distance (RMM), de sécurité des terminaux et d’automatisation pour aider les équipes informatiques et les MSP à servir les entreprises du secteur public américain.
