Questions courantes sur la conformité réglementaire

Le benchmark de sécurité du cloud Microsoft (MCSB) est l’ensemble canonique des recommandations de sécurité et des bonnes pratiques définies par Microsoft, alignées sur les frameworks de contrôle de conformité courants, notamment CIS Control Framework, NIST SP 800-53 et PCI-DSS. MCSB est un ensemble complet de principes de sécurité indépendants du cloud conçu pour recommander les directives techniques les plus à jour pour Azure, ainsi que d’autres clouds tels que AWS et GCP. Nous recommandons MCSB aux clients qui veulent maximiser leur posture de sécurité et aligner leur état de conformité sur les normes du secteur.

Le benchmark CIS est créé par une entité indépendante, le CIS (Center for Internet Security), et contient des recommandations sur une partie des principaux services Azure. Nous travaillons en collaboration avec le CIS pour garantir que leurs recommandations incluent les dernières améliorations d’Azure, mais il arrive qu’elles soient en retard et deviennent obsolètes. Néanmoins, certains clients aiment utiliser cette évaluation tierce objective du CIS comme première et principale base de référence de sécurité.

Depuis que nous avons publié le de benchmark de sécurité du cloud Microsoft, de nombreux clients ont choisi de l’utiliser en remplacement des benchmarks CIS.

Par défaut, le tableau de bord conformité réglementaire vous montre le benchmark de sécurité du cloud Microsoft. Le point de référence de sécurité du cloud Microsoft constitue les directives créées par Microsoft, qui contient les bonnes pratiques de sécurité et de conformité s’inscrivant dans les cadres de conformité courants. Apprenez-en davantage dans Introduction aux benchmarks de sécurité Microsoft Cloud.

Pour suivre votre conformité à d’autres normes, vous devez les ajouter explicitement à votre tableau de bord.

Pour obtenir la liste des normes réglementaires disponibles, consultez la section Quelles sont les normes de conformité réglementaire disponibles dans Defender pour le cloud.

AWS : lorsque les utilisateurs sont intégrés, les meilleures pratiques de sécurité de base AWS sont attribuées à chaque compte AWS. Il s’agit de l’ensemble des directives propres à AWS contenant les meilleures pratiques de sécurité et de conformité basées sur les infrastructures de conformité courantes.

Les utilisateurs qui ont un bundle Defender activé peuvent activer d’autres normes.

Pour ajouter des normes de conformité réglementaire sur les comptes AWS :

1. Accédez à Paramètres d’environnement.

2. Sélectionnez le compte approprié.

3. Sélectionnez Normes.

4. Sélectionnez Ajouter, puis Norme.

5. Choisissez une norme intégrée dans le menu déroulant.

6. Cliquez sur Enregistrer.

   

D’autres normes seront ajoutées au tableau de bord et incluses dans les informations fournies dans Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire.

Pour chaque norme de conformité présente dans le tableau de bord, il existe une liste de contrôles. Pour les contrôles applicables, vous pouvez voir les détails des évaluations ayant réussi ou échoué.

Certains contrôles sont grisés. Ces contrôles ne sont associés à aucune évaluation Defender pour le cloud. Certains peuvent être liés à une procédure ou à un processus, ce qui explique qu’ils ne peuvent pas être vérifiés par Defender pour le cloud. Certaines stratégies ou évaluations automatisées n’ont pas encore été implémentées, mais le seront dans l’avenir. Certains contrôles peuvent relever de la responsabilité de la plateforme, comme expliqué dans l’article Responsabilité partagée dans le cloud.

Pour personnaliser le tableau de bord de conformité réglementaire et vous concentrer uniquement sur les normes qui vous sont applicables, vous pouvez supprimer les normes réglementaires affichées qui ne concernent pas votre organisation. Pour supprimer une norme, suivez les instructions dans Supprimer une norme de votre tableau de bord.

Après avoir pris les mesures pour appliquer les recommandations, patientez 12 heures avant de voir les modifications apparaître dans vos données de conformité. Les évaluations sont exécutées toutes les 12 heures environ. L’effet sur vos données de conformité n’est donc visible qu’après leur exécution.

Pour accéder à toutes les données de conformité dans votre locataire, vous devez disposer au minimum d’un niveau d’autorisations Lecteur sur l’étendue applicable de votre locataire ou tous les abonnements appropriés.

L’ensemble minimal de rôles pour accéder au tableau de bord et gérer les normes est Contributeur de stratégie de ressource et Administrateur de sécurité.

Pour utiliser le tableau de bord de conformité réglementaire, Defender pour le Cloud doit être activé au niveau de l’abonnement. Si le tableau de bord ne se charge pas correctement, essayez les étapes suivantes :

1. Effacez le cache de votre navigateur.
2. Essayez un autre navigateur.
3. Essayez d’ouvrir le tableau de bord à partir d’un autre emplacement réseau.

Dans le tableau de bord principal, vous pouvez voir un rapport sur les contrôles ayant réussi ou échoué pour (1) les quatre premières normes ayant la conformité la plus faible dans le tableau de bord. Pour afficher l’état de tous les contrôles ayant réussi ou échoué, sélectionnez (2) Afficher les x (x représentant le nombre de normes que vous suivez). Un plan de contexte affiche l’état de conformité pour chacune des normes que vous suivez.

Quand vous sélectionnez Télécharger le rapport, sélectionnez la norme et le format (PDF ou CSV). Le rapport obtenu reflète l’ensemble actuel d’abonnements que vous avez sélectionnés dans le filtre du portail.

• Le rapport PDF affiche un résumé de l’état de la norme sélectionnée
• Le rapport CSV fournit des résultats détaillés par ressource, par rapport aux stratégies associées à chaque contrôle

Pour l’heure, il n’est pas possible de télécharger un rapport pour une stratégie personnalisée (seules les normes réglementaires fournies sont prises en charge).

Pour les recommandations MCSB qui sont incluses dans le score de sécurisation, vous pouvez créer des exemptions pour une ou plusieurs ressources directement dans le portail, comme expliqué dans Exempter des ressource et des recommandations de votre degré de sécurisation.

Pour les autres recommandations, vous pouvez créer une exemption directement dans la recommandation elle-même, en suivant les instructions fournies dans Structure d’exemption d’Azure Policy.

Si vous avez activé n’importe lequel des plans Microsoft Defender (exception faite de Defender pour serveurs Plan 1) sur n’importe laquelle de vos ressources Azure, vous pouvez accéder au tableau de bord de conformité réglementaire de Defender pour le cloud et à toutes ses données.