Contrôle de sécurité : gouvernance et stratégie
La gouvernance et la stratégie fournissent des conseils pour garantir une stratégie de sécurité cohérente et une approche de gouvernance documentée pour guider et soutenir l’assurance sécurité, ce qui inclut l’établissement de rôles et de responsabilités pour les différentes fonctions de sécurité cloud, une stratégie technique unifiée ainsi que des stratégies et des standards connexes.
GS-1 : Aligner les rôles et les responsabilités de l’organisation
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Conseils généraux : Veillez à définir et à communiquer une stratégie claire pour les rôles et les responsabilités au sein de votre organisation de sécurité. Donnez la priorité à la fourniture d’une responsabilité claire pour les décisions de sécurité, informez tout le monde sur le modèle de responsabilité partagée et informez les équipes techniques sur la technologie pour sécuriser le cloud.
Implémentation et contexte supplémentaire :
- Meilleures pratiques pour la sécurité Azure 1 – Personnes : Former les équipes pour le parcours vers la sécurité dans le cloud
- Meilleures pratiques pour la sécurité Azure 2 – Personnes : Former les équipes pour les technologies de sécurité dans le cloud
- Meilleures pratiques pour la sécurité Azure 3 – Processus : Affecter les responsabilités pour les décisions de sécurité dans le cloud
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-2 : Définir et implémenter une stratégie de segmentation/séparation des tâches d’entreprise
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 3,12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Conseils généraux : Établissez une stratégie à l’échelle de l’entreprise pour segmenter l’accès aux ressources à l’aide d’une combinaison d’identité, de réseau, d’application, d’abonnement, de groupe d’administration et d’autres contrôles.
Trouvez le bon équilibre entre la nécessité de séparation sur le plan de la sécurité et la nécessité d'exécuter quotidiennement les systèmes qui doivent communiquer entre eux et accéder aux données.
Veillez à ce que la stratégie de segmentation soit implémentée de manière cohérente dans la charge de travail, y compris la sécurité du réseau, les modèles d’identité et d’accès, les modèles de permission d’application/d’accès aux applications, ainsi que les contrôles des processus humains.
Implémentation et contexte supplémentaire :
- Sécurité dans le Cloud Adoption Framework Microsoft pour Azure – Segmentation : Séparer pour protéger
- Sécurité dans le Cloud Adoption Framework Microsoft pour Azure – Architecture : Définir une stratégie de sécurité unique et unifiée
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-3 : Définir et implémenter une stratégie de protection des données
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Conseils généraux : Établissez une stratégie de protection des données à l’échelle de l’entreprise dans votre environnement cloud :
- Définissez et appliquez la norme de classification et de protection des données conformément à la norme de gestion des données d’entreprise et à la conformité réglementaire pour dicter les contrôles de sécurité requis pour chaque niveau de la classification des données.
- Configurez votre hiérarchie de gestion des ressources cloud en la faisant correspondre à la stratégie de segmentation de l’entreprise. La stratégie de segmentation de l’entreprise doit aussi être informée de l’emplacement des systèmes et données sensibles ou vitaux de l’entreprise.
- Définissez et appliquez les principes de confiance zéro applicables dans votre environnement cloud pour éviter d’implémenter une approbation basée sur l’emplacement réseau dans un périmètre. Utilisez plutôt les revendications d’approbation des appareils et des utilisateurs pour contrôler l’accès aux données et aux ressources.
- Suivez et réduisez l’empreinte des données sensibles (stockage, transmission et traitement) dans l’entreprise afin de réduire la surface d’attaque et le coût de protection des données. Envisagez des techniques telles que le hachage unidirectionnel, la troncation et la segmentation du texte en unités lexicales dans la charge de travail, dans la mesure du possible, afin d’éviter de stocker et de transmettre des données sensibles sous leur forme originale.
- Veillez à disposer d’une stratégie complète de contrôle du cycle de vie pour garantir la sécurité des données et des clés d’accès.
Implémentation et contexte supplémentaire :
- Microsoft point de référence de sécurité cloud - Protection des données
- Cloud Adoption Framework - Meilleures pratiques en matière de chiffrement et de sécurité des données Azure
- Notions de base de la sécurité Azure - Sécurité, chiffrement et stockage des données Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-4 : Définir et implémenter une stratégie de sécurité réseau
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Conseils généraux : Établissez une stratégie de sécurité réseau cloud dans le cadre de la stratégie de sécurité globale de votre organisation pour le contrôle d’accès. Cette stratégie doit inclure les recommandations, stratégies et normes documentées pour les éléments suivants :
- Un modèle centralisé/décentralisé de responsabilité de gestion et de sécurité du réseau pour déployer et gérer les ressources du réseau.
- Un modèle de segmentation de réseau virtuel correspondant à la stratégie de segmentation de l’entreprise.
- Une stratégie de périphérie, d’entrée et de sortie d’Internet.
- Une stratégie de cloud hybride et d’interconnexion locale.
- Une stratégie de surveillance et de journalisation du réseau.
- Artefacts de sécurité réseau à jour (tels que les diagrammes réseau, l’architecture réseau de référence).
Implémentation et contexte supplémentaire :
- Meilleures pratiques pour la sécurité Azure 11 – Architecture. Stratégie de sécurité unifiée unique
- Microsoft point de référence de sécurité cloud - Sécurité réseau
- Vue d’ensemble de la sécurité réseau d’Azure
- Stratégie d’architecture de réseau d’entreprise
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-5 : Définir et implémenter une stratégie de gestion des postures de sécurité
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Conseils généraux : Établissez une stratégie, une procédure et une norme pour vous assurer que la gestion de la configuration de la sécurité et la gestion des vulnérabilités sont en place dans votre mandat de sécurité cloud.
La gestion de la configuration de la sécurité dans le cloud doit inclure les domaines suivants :
- Définissez les bases de référence de configuration sécurisée pour différents types de ressources dans le cloud, tels que le portail/la console web, le plan de gestion et de contrôle, et les ressources s’exécutant dans les services IaaS, PaaS et SaaS.
- Assurez-vous que les bases de référence de sécurité traitent les risques dans différents domaines de contrôle, tels que la sécurité du réseau, la gestion des identités, l’accès privilégié, la protection des données, etc.
- Utilisez des outils pour mesurer, auditer et appliquer la configuration en permanence afin d’éviter que la configuration ne s’écarte de la base de référence.
- Développez une cadence pour rester à jour avec les fonctionnalités de sécurité, par exemple, vous abonner aux mises à jour du service.
- Utilisez un mécanisme de vérification de l’intégrité ou de la conformité de la sécurité (tel que le score de sécurité, le tableau de bord de conformité dans Microsoft Defender pour le cloud) pour examiner régulièrement la configuration de la sécurité et corriger les lacunes identifiées.
La gestion des vulnérabilités dans le cloud doit inclure les aspects de sécurité suivants :
- Évaluez et corrigez régulièrement les vulnérabilités dans tous les types de ressources cloud, tels que les services natifs cloud, les systèmes d’exploitation et les composants d’application.
- Utilisez une approche basée sur les risques pour hiérarchiser l’évaluation et la correction.
- Abonnez-vous aux avis de sécurité et aux blogs de CSPM pertinents pour recevoir les dernières mises à jour de sécurité.
- Assurez-vous que l’évaluation et la correction des vulnérabilités (telles que la planification, l’étendue et les techniques) répondent aux exigences de conformité de votre organisation.dule, étendue et techniques) répondent aux exigences de conformité régulières de votre organisation.
Implémentation et contexte supplémentaire :
- Microsoft benchmark de sécurité cloud - Gestion de la posture et des vulnérabilités
- Meilleures pratiques pour la sécurité Azure 9 – Processus : Définir la gestion de la posture de sécurité
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-6 : Définir et implémenter une stratégie d’identité et d’accès privilégié
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Conseils généraux : Établissez une approche d’identité cloud et d’accès privilégié dans le cadre de la stratégie globale de contrôle d’accès de sécurité de votre organisation. Cette stratégie doit inclure des conseils, une stratégie et des normes documentées pour les aspects suivants :
- Système d’identité et d’authentification centralisé (comme Azure AD) et son interconnectivité avec d’autres systèmes d’identité internes et externes
- Gouvernance des identités et des accès privilégiés (comme la demande, la révision et l’approbation des accès)
- Comptes privilégiés en situation d’urgence (compte de secours)
- Méthodes d’authentification forte (authentification sans mot de passe et authentification multifacteur) dans différents cas d’usage et conditions.
- Sécurisez l’accès par les opérations administratives via le portail/la console web, la ligne de commande et l’API.
Pour les cas d’exception, où un système d’entreprise n’est pas utilisé, assurez-vous que des contrôles de sécurité adéquats sont en place pour la gestion des identités, de l’authentification et des accès et sont régis. Ces exceptions doivent être approuvées et révisées régulièrement par l’équipe de l’entreprise. Ces exceptions correspondent généralement aux cas suivants :
- Utilisation d’un système d’identité et d’authentification non défini par l’entreprise, tel que des systèmes tiers basés sur le cloud (peut introduire des risques inconnus)
- Utilisateurs privilégiés authentifiés localement et/ou utilisant d’autres méthodes que les méthodes d’authentification forte
Implémentation et contexte supplémentaire :
- benchmark de sécurité cloud Microsoft - Gestion des identités
- benchmark de sécurité cloud Microsoft - Accès privilégié
- Meilleures pratiques pour la sécurité Azure 11 – Architecture. Stratégie de sécurité unifiée unique
- Vue d’ensemble de la sécurité et de la gestion des identités Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-7 : Définir et implémenter une stratégie de journalisation, de détection des menaces et de réponse aux incidents
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Conseils généraux : Établissez une stratégie de journalisation, de détection des menaces et de réponse aux incidents pour détecter et corriger rapidement les menaces et répondre aux exigences de conformité. L’équipe chargée des opérations de sécurité (SecOps/SOC) doit privilégier les alertes de haute qualité et les expériences transparentes afin de pouvoir se concentrer sur les menaces plutôt que sur l’intégration des journaux et les étapes manuelles. Cette stratégie doit inclure une stratégie, une procédure et des normes documentées pour les aspects suivants :
- Rôle et responsabilités de l’organisation d’opérations de sécurité (SecOps)
- Un plan de réponse aux incidents et un processus de gestion bien définis et régulièrement testés qui s’alignent sur le NIST SP 800-61 (Guide de gestion des incidents de sécurité informatique) ou d’autres infrastructures du secteur.
- Plan de communication et de notification avec vos clients, vos fournisseurs et les parties publiques pertinentes.
- Simulez les événements de sécurité attendus et inattendus au sein de votre environnement cloud pour comprendre l’efficacité de votre préparation. Itérer sur le résultat de votre simulation pour améliorer l’échelle de votre posture de réponse, réduire le temps d’évaluation et réduire davantage les risques.
- Préférence d’utilisation des fonctionnalités de détection et de réponse étendues (XDR), telles que les fonctionnalités Azure Defender, pour détecter les menaces dans différents domaines.
- Utilisation de la fonctionnalité native cloud (par exemple, en tant que Microsoft Defender pour le cloud) et de plateformes tierces pour la gestion des incidents, telles que la journalisation et la détection des menaces, l’investigation, la correction et l’éradication des attaques.
- Préparez les runbooks nécessaires, manuels et automatisés, pour garantir des réponses fiables et cohérentes.
- Définissez des scénarios clés (tels que la détection des menaces, la réponse aux incidents et la conformité) et configurez la capture et la rétention des journaux pour répondre aux exigences des scénarios.
- Visibilité centralisée et corrélation des informations sur les menaces, à l’aide de SIEM, de la fonctionnalité native de détection des menaces cloud et d’autres sources.
- Activités post-incident, telles que les enseignements tirés et la conservation des preuves.
Implémentation et contexte supplémentaire :
- benchmark de sécurité cloud Microsoft - Journalisation et détection des menaces
- benchmark de sécurité cloud Microsoft - Réponse aux incidents
- Meilleures pratiques pour la sécurité Azure 4 – Processus. Mise à jour des processus de réponse aux incidents pour le cloud
- Guide pour le cadre d’adoption d’Azure, la journalisation et la prise de décision pour les rapports
- Mise à l’échelle, gestion et surveillance d’entreprise Azure
- NIST SP 800-61 Guide de gestion des incidents de sécurité informatique
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-8 : Définir et implémenter une stratégie de sauvegarde et de récupération
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 11,1 | CP-1, CP-9, CP-10 | 3.4 |
Conseils généraux : Établissez une stratégie de sauvegarde et de récupération pour votre organisation. Cette stratégie doit inclure des conseils, une stratégie et des normes documentées pour les aspects suivants :
- Définitions de l’objectif de temps de récupération (RTO) et de l’objectif de point de récupération (RPO) conformément aux objectifs de résilience de votre entreprise et aux exigences de conformité réglementaire.
- Conception de la redondance (y compris la sauvegarde, la restauration et la réplication) dans vos applications et votre infrastructure, tant dans le cloud que localement. Envisagez une récupération régionale, par paires de régions ou interrégionale et un emplacement de stockage hors site dans le cadre de votre stratégie.
- Protection des sauvegardes contre les accès non autorisés et les altérations à l’aide de contrôles tels que le contrôle de l’accès aux données, le chiffrement et la sécurité du réseau.
- Utilisation de la sauvegarde et de la récupération pour atténuer les risques liés aux menaces émergentes, telles que les attaques par ransomware. Et également sécurisation des données de sauvegarde et de récupération elles-mêmes contre ces attaques.
- Surveillance des données et opérations de sauvegarde et de récupération à des fins d’audit et d’alerte.
Implémentation et contexte supplémentaire :
- Microsoft benchmark de sécurité cloud - Sauvegarde et récupération Azure Well-Architecture Framework - Sauvegarde et récupération d’urgence pour les applications Azure : /azure/architecture/framework/résilience/backup-and-recovery
- Azure Adoption Framework – Continuité d’activité et reprise d’activité
- Plan de sauvegarde et de restauration pour la protection contre les ransomware
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-9 : Définir et implémenter une stratégie de sécurité des points de terminaison
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Conseils généraux : Établissez une stratégie de sécurité des points de terminaison cloud qui comprend les aspects suivants : Déployez la fonctionnalité de détection et de réponse des points de terminaison et la fonctionnalité anti-programme malveillant dans votre point de terminaison et intégrez-les à la solution SIEM et à la détection des menaces et au processus des opérations de sécurité.
- Suivez les Microsoft Cloud Security Benchmark pour vous assurer que les paramètres de sécurité liés aux points de terminaison dans d’autres domaines respectifs (tels que la sécurité réseau, la gestion des vulnérabilités de la posture, les identités et l’accès privilégié, ainsi que la journalisation et les détections des menaces) sont également en place pour fournir une protection en profondeur de votre point de terminaison.
- Donnez la priorité à la sécurité des points de terminaison dans votre environnement de production, mais assurez-vous que les environnements hors production (tels que l’environnement de test et de génération utilisé dans le processus DevOps) sont également sécurisés et surveillés, car ces environnements peuvent également être utilisés pour introduire des programmes malveillants et des vulnérabilités dans l’environnement de production.
Implémentation et contexte supplémentaire :
- benchmark de sécurité cloud Microsoft - Sécurité des points de terminaison
- Bonnes pratiques pour la sécurité des points de terminaison sur Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-10 : Définir et implémenter une stratégie de sécurité DevOps
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Conseils généraux : Imposez les contrôles de sécurité dans le cadre de la norme d’ingénierie et d’exploitation DevOps de l’organisation. Définissez les objectifs de sécurité, les exigences de contrôle et les spécifications d’outils conformément aux normes de sécurité de l’entreprise et du cloud dans votre organisation.
Encouragez l’utilisation de DevOps comme modèle d’exploitation essentiel dans votre organisation pour ses avantages en matière d’identification et de correction rapides des vulnérabilités grâce à différents types d’automatisations (par exemple, l’approvisionnement d’infrastructure en tant que code et l’analyse automatisée SAST et DAST) tout au long du flux de travail CI/CD. Cette approche « shift left » augmente également la visibilité et la capacité à appliquer des contrôles de sécurité cohérents dans votre pipeline de déploiement, en déployant efficacement des garde-fous de sécurité dans l’environnement à l’avance pour éviter les surprises de dernière minute lors du déploiement d’une charge de travail en production.
Lorsque vous déplacez des contrôles de sécurité vers la gauche vers les phases de prédéploiement, implémentez des garde-fous de sécurité pour garantir le déploiement et l’application des contrôles tout au long de votre processus DevOps. Cette technologie peut inclure des modèles de déploiement de ressources (comme un modèle Azure ARM) pour définir des garde-fous dans l’IaC (infrastructure en tant que code), l’approvisionnement des ressources et l’audit pour restreindre les services ou configurations pouvant être provisionnés dans l’environnement.
Pour les contrôles de sécurité d’exécution de votre charge de travail, suivez le benchmark de sécurité cloud Microsoft pour concevoir et implémenter des contrôles efficaces, tels que l’identité et l’accès privilégié, la sécurité réseau, la sécurité des points de terminaison et la protection des données dans vos applications et services de charge de travail.
Implémentation et contexte supplémentaire :
- benchmark de sécurité cloud Microsoft - Sécurité DevOps
- DevOps sécurisé
- Cloud Adoption Framework - DevSecOps contrôleConseils généraux pourles parties prenantes de la sécurité des clients (En savoir plus)** :
- Toutes les parties prenantes
GS-11 : Définir et implémenter une stratégie de sécurité multicloud
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | N/A | N/A |
Conseils généraux : Assurez-vous qu’une stratégie multicloud est définie dans votre processus de gouvernance, de gestion des risques et d’exploitation du cloud et de la sécurité, qui doit inclure les aspects suivants :
- Adoption multicloud : Pour les organisations qui exploitent une infrastructure multicloud et informez votre organisation pour vous assurer que les équipes comprennent la différence entre les plateformes cloud et la pile technologique. Créez, déployez et/ou migrez des solutions portables. Permettre une facilité de déplacement entre les plateformes cloud avec un minimum de verrouillage du fournisseur tout en utilisant correctement les fonctionnalités cloud natives pour le résultat optimal de l’adoption du cloud.
- Opérations cloud et de sécurité : rationalisez les opérations de sécurité pour prendre en charge les solutions dans chaque cloud, par le biais d’un ensemble central de processus de gouvernance et de gestion qui partagent des processus opérationnels communs, quel que soit l’endroit où la solution est déployée et exploitée.
- Pile d’outils et de technologies : choisissez les outils appropriés qui prennent en charge l’environnement multicloud pour faciliter l’établissement de plateformes de gestion unifiées et centralisées qui peuvent inclure tous les domaines de sécurité abordés dans ce benchmark de sécurité.
Implémentation et contexte supplémentaire :