Détails de l’initiative intégrée SOC (System and Organization Controls) 2 (Azure Government) Regulatory Compliance
L’article suivant explique comment la définition de l’initiative intégrée Azure Policy Regulatory Compliance correspond aux domaines et aux contrôles de conformité de System and Organization Controls (SOC) 2 (Azure Government). Pour plus d’informations sur cette norme de conformité, consultez les centres des opérations de sécurité (SOC) 2. Pour comprendre la Propriété, consultez le type de stratégie et la responsabilité partagée dans le cloud.
Les mappages suivants sont des contrôles soc (System and Organization Controls) 2. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition de l’initiative intégrée de conformité réglementaire SOC 2 Type 2.
Important
Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.
Critères supplémentaires pour la disponibilité
Gestion de la capacité
ID : SOC 2 Type 2 A1.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer la planification des capacités | CMA_C1252 - Effectuer la planification des capacités | Manuel, désactivé | 1.1.0 |
Protections environnementales, logiciels, processus de sauvegarde des données et infrastructure de récupération
ID : SOC 2 Type 2 A1.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
Utiliser un éclairage d’urgence automatique | CMA_0209 - Utiliser un éclairage d’urgence automatique | Manuel, désactivé | 1.1.0 |
Établir un site de traitement alternatif | CMA_0262 - Établir un site de traitement alternatif | Manuel, désactivé | 1.1.0 |
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
Implémenter une méthodologie de test de pénétration | CMA_0306 – Implémenter une méthodologie de test de pénétration | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Installer un système d’alarme | CMA_0338 - Installer un système d’alarme | Manuel, désactivé | 1.1.0 |
Récupérer et reconstruire des ressources après toute interruption | CMA_C1295 - Récupérer et reconstruire des ressources après toute interruption | Manuel, désactivé | 1.1.1 |
Exécuter des attaques de simulation | CMA_0486 – Exécuter des attaques de simulation | Manuel, désactivé | 1.1.0 |
Stocker séparément les informations de sauvegarde | CMA_C1293 - Stocker séparément les informations de sauvegarde | Manuel, désactivé | 1.1.0 |
Transférer les informations de sauvegarde vers un autre site de stockage | CMA_C1294 - Transférer les informations de sauvegarde vers un autre site de stockage | Manuel, désactivé | 1.1.0 |
Test du plan de récupération
ID : SOC 2 Type 2 A1.3 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Lancer des actions correctives du test du plan d’urgence | CMA_C1263 - Lancer des actions correctives du test du plan d’urgence | Manuel, désactivé | 1.1.0 |
Passer en revue les résultats des tests du plan d’urgence | CMA_C1262 - Passer en revue les résultats des tests du plan d’urgence | Manuel, désactivé | 1.1.0 |
Tester le plan de continuité d’activité et de reprise d’activité | CMA_0509 - Tester le plan de continuité d’activité et de reprise d’activité | Manuel, désactivé | 1.1.0 |
Critères supplémentaires de confidentialité
Protection des informations confidentielles
ID : SOC 2 Type 2 C1.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Suppression des informations confidentielles
ID : SOC 2 Type 2 C1.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Environnement de contrôle
Principe 1 de COSO
ID : SOC 2 Type 2 CC1.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
Développer une stratégie de code de conduite de l’organisation | CMA_0159 - Développer une stratégie de code de conduite de l’organisation | Manuel, désactivé | 1.1.0 |
Documenter l’acceptation des exigences de confidentialité par le personnel | CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel | Manuel, désactivé | 1.1.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Interdire les pratiques déloyales | CMA_0396 - Interdire les pratiques déloyales | Manuel, désactivé | 1.1.0 |
Passer en revue et signer les règles de comportement révisées | CMA_0465 - Passer en revue et signer les règles de comportement révisées | Manuel, désactivé | 1.1.0 |
Mettre à jour les règles de comportement et les contrats d’accès | CMA_0521 - Mettre à jour les règles de comportement et les contrats d’accès | Manuel, désactivé | 1.1.0 |
Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans | CMA_0522 - Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans | Manuel, désactivé | 1.1.0 |
Principe 2 de COSO
ID : SOC 2 Type 2 CC1.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Nommer un responsable senior de la sécurité des informations | CMA_C1733 - Nommer un responsable senior de la sécurité des informations | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Principe 3 de COSO
ID : SOC 2 Type 2 CC1.3 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Nommer un responsable senior de la sécurité des informations | CMA_C1733 - Nommer un responsable senior de la sécurité des informations | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Principe 4 de COSO
ID : SOC 2 Type 2 CC1.4 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir une formation périodique sur la sécurité basée sur les rôles | CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles | Manuel, désactivé | 1.1.0 |
Fournir une formation périodique sur la sensibilisation à la sécurité | CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité | Manuel, désactivé | 1.1.0 |
Fournir des exercices pratiques basés sur des rôles | CMA_C1096 – Fournir des exercices pratiques basés sur des rôles | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la sécurité avant de fournir l’accès | CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la sécurité pour les nouveaux utilisateurs | CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs | Manuel, désactivé | 1.1.0 |
Principe COSO 5
ID : SOC 2 Type 2 CC1.5 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Implémenter un processus formel de sanctions | CMA_0317 - Implémenter un processus formel de sanctions | Manuel, désactivé | 1.1.0 |
Notifier le personnel en cas de sanctions | CMA_0380 - Notifier le personnel en cas de sanctions | Manuel, désactivé | 1.1.0 |
Communication et informations
Principe 13 de COSO
ID : SOC 2 Type 2 CC2.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Principe 14 de COSO
ID : SOC 2 Type 2 CC2.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Développer des stratégies et des procédures d’utilisation acceptables | CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables | Manuel, désactivé | 1.1.0 |
La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.0.0 |
Appliquer des règles de comportement et des contrats d’accès | CMA_0248 - Appliquer des règles de comportement et des contrats d’accès | Manuel, désactivé | 1.1.0 |
Fournir une formation périodique sur la sécurité basée sur les rôles | CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles | Manuel, désactivé | 1.1.0 |
Fournir une formation périodique sur la sensibilisation à la sécurité | CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la sécurité avant de fournir l’accès | CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la sécurité pour les nouveaux utilisateurs | CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs | Manuel, désactivé | 1.1.0 |
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Principe 15 de COSO
ID : SOC 2 Type 2 CC2.3 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir les tâches des processeurs | CMA_0127 - Définir les tâches des processeurs | Manuel, désactivé | 1.1.0 |
Fournir les résultats de l’évaluation de la sécurité | CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Développer et établir un plan de sécurité des systèmes | CMA_0151 - Développer et établir un plan de sécurité des systèmes | Manuel, désactivé | 1.1.0 |
La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.0.0 |
Établir les exigences de sécurité pour la fabrication d’appareils connectés | CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour le personnel de tiers | CMA_C1529 - Établir les exigences de sécurité pour le personnel de tiers | Manuel, désactivé | 1.1.0 |
Implémenter des méthodes de remise de déclaration de confidentialité | CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information | Manuel, désactivé | 1.1.0 |
Produire un rapport d’évaluation de la sécurité | CMA_C1146 - Produire un rapport d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Fournir une déclaration de confidentialité | CMA_0414 - Fournir une déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel | CMA_C1530 - Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Restreindre les communications | CMA_0449 - Restreindre les communications | Manuel, désactivé | 1.1.0 |
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Évaluation des risques
Principe 6 de COSO
ID : SOC 2 Type 2 CC3.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Catégoriser les informations | CMA_0052 - Catégoriser les informations | Manuel, désactivé | 1.1.0 |
Déterminer les besoins en matière de protection des informations | CMA_C1750 - Déterminer les besoins en matière de protection des informations | Manuel, désactivé | 1.1.0 |
Développer des schémas de classification métier | CMA_0155 - Développer des schémas de classification métier | Manuel, désactivé | 1.1.0 |
Développer un SSP qui répond aux critères | CMA_C1492 - Développer un SSP qui répond aux critères | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Principe COSO 7
ID : SOC 2 Type 2 CC3.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Catégoriser les informations | CMA_0052 - Catégoriser les informations | Manuel, désactivé | 1.1.0 |
Déterminer les besoins en matière de protection des informations | CMA_C1750 - Déterminer les besoins en matière de protection des informations | Manuel, désactivé | 1.1.0 |
Développer des schémas de classification métier | CMA_0155 - Développer des schémas de classification métier | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
Principe COSO 8
ID : SOC 2 Type 2 CC3.3 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Principe 9 de COSO
ID : SOC 2 Type 2 CC3.4 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les risques dans les relations avec les tiers | CMA_0014 - Évaluer les risques dans les relations avec les tiers | Manuel, désactivé | 1.1.0 |
Définir les exigences pour la fourniture de biens et de services | CMA_0126 - Définir les exigences pour la fourniture de biens et de services | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Activités d’analyse
Principe 16 de COSO
ID : SOC 2 Type 2 CC4.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les contrôles de sécurité | CMA_C1145 - Évaluer les contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Développer un plan d’évaluation de la sécurité | CMA_C1144 - Développer un plan d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité | CMA_C1149 - Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité | Manuel, désactivé | 1.1.0 |
Principe 17 de COSO
ID : SOC 2 Type 2 CC4.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Fournir les résultats de l’évaluation de la sécurité | CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Produire un rapport d’évaluation de la sécurité | CMA_C1146 - Produire un rapport d’évaluation de la sécurité | Manuel, désactivé | 1.1.0 |
Activités de contrôle
Principe 10 de COSO
ID : SOC 2 Type 2 CC5.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Principe 11 de COSO
ID : SOC 2 Type 2 CC5.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Concevoir un modèle de contrôle d’accès | CMA_0129 – Concevoir un modèle de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Utiliser l’accès aux privilèges minimum | CMA_0212 – Utiliser l’accès aux privilèges minimum | Manuel, désactivé | 1.1.0 |
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Principe 12 de COSO
ID : SOC 2 Type 2 CC5.3 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer la liste verte des détections | CMA_0068 - Configurer la liste verte des détections | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Activer les capteurs pour la solution de sécurité de point de terminaison | CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison | Manuel, désactivé | 1.1.0 |
Faire l’objet d’une révision de sécurité indépendante | CMA_0515 - Faire l’objet d’une révision de sécurité indépendante | Manuel, désactivé | 1.1.0 |
Contrôles d’accès logiques et physiques
Architectures, infrastructure et logiciels de sécurité d’accès logique
ID : SOC 2 Type 2 CC6.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
L’authentification auprès des machines Linux doit exiger des clés SSH | Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Désactivé | 2.4.0 |
Autoriser l’accès aux fonctions et informations de sécurité | CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité | Manuel, désactivé | 1.1.0 |
Autoriser et gérer l’accès | CMA_0023 – Autoriser et gérer l’accès | Manuel, désactivé | 1.1.0 |
Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | L’utilisation de clés gérées par le client pour chiffrer les données au repos offre un meilleur contrôle sur le cycle de vie des clés, notamment la rotation et la gestion. Cela est particulièrement pertinent pour les organisations ayant des exigences de conformité associées. Cela n’est pas évalué par défaut et doit être appliqué uniquement en cas d’exigences de stratégie restrictives ou de conformité. Si cette option n’est pas activée, les données sont chiffrées à l’aide de clés gérées par la plateforme. Pour implémenter cela, mettez à jour le paramètre « Effet » dans la stratégie de sécurité pour l’étendue applicable. | Audit, Refuser, Désactivé | 2.2.0 |
Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client | Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk. | Audit, Refuser, Désactivé | 1.1.0 |
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. | Audit, Refuser, Désactivé | 1.1.2 |
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Créer un inventaire des données | CMA_0096 - Créer un inventaire des données | Manuel, désactivé | 1.1.0 |
Définir un processus de gestion des clés physiques | CMA_0115 – Définir un processus de gestion des clés physiques | Manuel, désactivé | 1.1.0 |
Définir l’utilisation du chiffrement | CMA_0120 – Définir l’utilisation du chiffrement | Manuel, désactivé | 1.1.0 |
Définir les exigences organisationnelles pour la gestion des clés de chiffrement | CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement | Manuel, désactivé | 1.1.0 |
Concevoir un modèle de contrôle d’accès | CMA_0129 – Concevoir un modèle de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Déterminer les exigences d’assertion | CMA_0136 – Déterminer les exigences d’assertion | Manuel, désactivé | 1.1.0 |
Formation sur la mobilité des documents | CMA_0191 – Formation sur la mobilité des documents | Manuel, désactivé | 1.1.0 |
Documentation des instructions d’accès à distance | CMA_0196 – Documentation des instructions d’accès à distance | Manuel, désactivé | 1.1.0 |
Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
Utiliser l’accès aux privilèges minimum | CMA_0212 – Utiliser l’accès aux privilèges minimum | Manuel, désactivé | 1.1.0 |
Appliquer l’accès logique | CMA_0245 – Appliquer l’accès logique | Manuel, désactivé | 1.1.0 |
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires | Manuel, désactivé | 1.1.0 |
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
Établir une procédure de gestion des fuites de données | CMA_0255 – Établir une procédure de gestion des fuites de données | Manuel, désactivé | 1.1.0 |
Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser d’autres sites de travail | CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail | Manuel, désactivé | 1.1.0 |
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées | Manuel, désactivé | 1.1.0 |
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
Émettre des certificats de clé publique | CMA_0347 – Émettre des certificats de clé publique | Manuel, désactivé | 1.1.0 |
La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
La suppression réversible doit être activée sur les coffres de clés | La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. | Audit, Refuser, Désactivé | 3.0.0 |
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
Conserver les enregistrements de traitement des données personnelles | CMA_0353 - Conserver les enregistrements de traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Gérer les clés de chiffrement symétriques | CMA_0367 – Gérer les clés de chiffrement symétriques | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | Manuel, désactivé | 1.1.0 |
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Protéger des informations spéciales | CMA_0409 – Protéger des informations spéciales | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux clés privées | CMA_0445 – Restreindre l’accès aux clés privées | Manuel, désactivé | 1.1.0 |
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles | Manuel, désactivé | 1.1.0 |
La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric | Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement | Audit, Refuser, Désactivé | 1.1.0 |
Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.0 |
Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.1 |
Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK | Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé | 1.0.3 |
les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 3.0.1 |
Approvisionnement et suppression de l’accès
ID : SOC 2 Type 2 CC6.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Affecter des gestionnaires de comptes | CMA_0015 - Affecter des gestionnaires de comptes | Manuel, désactivé | 1.1.0 |
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Documenter les privilèges d’accès | CMA_0186 - Documenter les privilèges d’accès | Manuel, désactivé | 1.1.0 |
Établir des conditions pour l’appartenance à un rôle | CMA_0269 - Établir des conditions pour l’appartenance à un rôle | Manuel, désactivé | 1.1.0 |
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Exiger une approbation pour la création de compte | CMA_0431 – Exiger une approbation pour la création de compte | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Réviser les comptes d’utilisateur | CMA_0480 – Passer en revue les comptes d’utilisateurs | Manuel, désactivé | 1.1.0 |
Accès basé sur un rôle et privilège minimum
ID : SOC 2 Type 2 CC6.3 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
Auditer les fonctions privilégiées | CMA_0019 – Auditer les fonctions privilégiées | Manuel, désactivé | 1.1.0 |
Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
Auditer l’état du compte d’utilisateur | CMA_0020 – Auditer l’état du compte d’utilisateur | Manuel, désactivé | 1.1.0 |
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
Concevoir un modèle de contrôle d’accès | CMA_0129 – Concevoir un modèle de contrôle d’accès | Manuel, désactivé | 1.1.0 |
Utiliser l’accès aux privilèges minimum | CMA_0212 – Utiliser l’accès aux privilèges minimum | Manuel, désactivé | 1.1.0 |
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
Surveiller l’attribution de rôle privilégié | CMA_0378 – Surveiller l’attribution de rôle privilégié | Manuel, désactivé | 1.1.0 |
Restreindre l’accès aux comptes privilégiés | CMA_0446 – Restreindre l’accès aux comptes privilégiés | Manuel, désactivé | 1.1.0 |
Examiner les journaux d’approvisionnement de compte | CMA_0460 – Examiner les journaux d’approvisionnement de compte | Manuel, désactivé | 1.1.0 |
Réviser les comptes d’utilisateur | CMA_0480 – Passer en revue les comptes d’utilisateurs | Manuel, désactivé | 1.1.0 |
Passer en revue les privilèges utilisateur | CMA_C1039 – Vérifier les privilèges utilisateur | Manuel, désactivé | 1.1.0 |
Révoquer les rôles privilégiés selon les besoins | CMA_0483 – Révoquer les rôles privilégiés selon les besoins | Manuel, désactivé | 1.1.0 |
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.4 |
Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Utiliser Privileged Identity Management | CMA_0533 – Utiliser la gestion des identités privilégiées | Manuel, désactivé | 1.1.0 |
Accès physique restreint
ID : SOC 2 Type 2 CC6.4 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Protections logiques et physiques des biens matériels
ID : SOC 2 Type 2 CC6.5 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Mesures de sécurité contre les menaces extérieures aux limites du système
ID : SOC 2 Type 2 CC6.6 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
Adopter des mécanismes d’authentification biométrique | CMA_0005 – Adopter des mécanismes d’authentification biométrique | Manuel, désactivé | 1.1.0 |
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
L’authentification auprès des machines Linux doit exiger des clés SSH | Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Désactivé | 2.4.0 |
Autoriser l’accès à distance | CMA_0024 – Autoriser l’accès à distance | Manuel, désactivé | 1.1.0 |
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Formation sur la mobilité des documents | CMA_0191 – Formation sur la mobilité des documents | Manuel, désactivé | 1.1.0 |
Documentation des instructions d’accès à distance | CMA_0196 – Documentation des instructions d’accès à distance | Manuel, désactivé | 1.1.0 |
Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
Identifier et authentifier les périphériques réseau | CMA_0296 – Identifier et authentifier les périphériques réseau | Manuel, désactivé | 1.1.0 |
Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser d’autres sites de travail | CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail | Manuel, désactivé | 1.1.0 |
Implémenter la protection des limites des systèmes | CMA_0328 - Implémenter la protection des limites des systèmes | Manuel, désactivé | 1.1.0 |
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système | Manuel, désactivé | 1.1.0 |
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Fournir une formation sur la confidentialité | CMA_0415 – Fournir une formation sur la confidentialité | Manuel, désactivé | 1.1.0 |
La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 3.0.1 |
Réserver uniquement la diffusion des informations aux utilisateurs autorisés
ID : SOC 2 Type 2 CC6.7 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
Configurer des stations de travail pour rechercher des certificats numériques | CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques | Manuel, désactivé | 1.1.0 |
Flux d’informations de contrôle | CMA_0079 – Flux d’informations de contrôle | Manuel, désactivé | 1.1.0 |
Définir les exigences pour les appareils mobiles | CMA_0122 - Définir les exigences pour les appareils mobiles | Manuel, désactivé | 1.1.0 |
Utiliser un mécanisme de nettoyage des médias | CMA_0208 - Utiliser un mécanisme de nettoyage des médias | Manuel, désactivé | 1.1.0 |
Utiliser des mécanismes de contrôle de flux d’informations chiffrées | CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées | Manuel, désactivé | 1.1.0 |
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
Établir des normes de configuration de pare-feu et de routeur | CMA_0272 – Établir des normes de configuration de pare-feu et de routeur | Manuel, désactivé | 1.1.0 |
Établir une segmentation réseau pour l’environnement de données du titulaire de carte | CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte | Manuel, désactivé | 1.1.0 |
Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
Identifier et gérer les échanges d’informations en aval | CMA_0298 – Identifier et gérer les échanges d’informations en aval | Manuel, désactivé | 1.1.0 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
Gérer le transport des ressources | CMA_0370 - Gérer le transport des ressources | Manuel, désactivé | 1.1.0 |
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
Protéger les données en transit à l’aide du chiffrement | CMA_0403 – Protéger les données en transit à l’aide du chiffrement | Manuel, désactivé | 1.1.0 |
Protéger les mots de passe avec le chiffrement | CMA_0408 – Protéger les mots de passe avec le chiffrement | Manuel, désactivé | 1.1.0 |
La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 3.0.1 |
Prévenir ou détecter les logiciels non autorisés ou malveillants
ID : SOC 2 Type 2 CC6.8 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients. | Audit, Désactivé | 3.1.0-deprecated |
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
Les applications App Service doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
Faire l’audit des machines virtuelles n’utilisant aucun disque managé | Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé | audit | 1.0.0 |
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters | L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. | Audit, Désactivé | 1.0.2 |
Bloque les processus non approuvés et non signés qui s’exécutent par USB | CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB | Manuel, désactivé | 1.1.0 |
Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 2.0.0 |
Les applications de fonctions doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.2 |
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées | Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 10.2.0 |
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte | Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés | Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 10.2.0 |
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule | Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés | Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés | Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés | Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés | Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 10.1.0 |
Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API | Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur | N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN | Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut | Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 1.5.0 |
Gérer les passerelles | CMA_0363 – Gérer les passerelles | Manuel, désactivé | 1.1.0 |
Seules les extensions de machine virtuelle approuvées doivent être installées | Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées. | Audit, Refuser, Désactivé | 1.0.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Examiner le rapport hebdomadaire sur les détections de programmes malveillants | CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants | Manuel, désactivé | 1.1.0 |
Passer en revue l’état de la protection contre les menaces chaque semaine | CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine | Manuel, désactivé | 1.1.0 |
Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés | Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
Mettre à jour les définitions de l’antivirus | CMA_0517 – Mettre à jour les définitions de l’antivirus | Manuel, désactivé | 1.1.0 |
Vérifier l’intégrité des logiciels, des microprogrammes et des informations | CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations | Manuel, désactivé | 1.1.0 |
Visualiser et configurer les données de diagnostic système | CMA_0544 - Visualiser et configurer les données de diagnostic système | Manuel, désactivé | 1.1.0 |
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 1.0.0 |
Opérations du système
Détection et analyse des nouvelles vulnérabilités
ID : SOC 2 Type 2 CC7.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Configurer des actions pour les appareils non conformes | CMA_0062 – Configurer des actions pour les appareils non conformes | Manuel, désactivé | 1.1.0 |
Développer et tenir à jour les configurations de base | CMA_0153 – Développer et tenir à jour les configurations de base | Manuel, désactivé | 1.1.0 |
Activer la détection des périphériques réseau | CMA_0220 - Activer la détection des périphériques réseau | Manuel, désactivé | 1.1.0 |
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
Établir un panneau de configuration | CMA_0254 – Établir un panneau de configuration | Manuel, désactivé | 1.1.0 |
Établir et documenter un plan de gestion de la configuration | CMA_0264 – Établir et documenter un plan de gestion de la configuration | Manuel, désactivé | 1.1.0 |
Implémenter un outil de gestion de la configuration automatisée | CMA_0311 – Implémenter un outil de gestion de la configuration automatisée | Manuel, désactivé | 1.1.0 |
Effectuer des analyses de vulnérabilité | CMA_0393 – Effectuer des analyses de vulnérabilité | Manuel, désactivé | 1.1.0 |
Corriger les défauts du système d’information | CMA_0427 – Corriger les défauts du système d’information | Manuel, désactivé | 1.1.0 |
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation | Manuel, désactivé | 1.1.0 |
Vérifier l’intégrité des logiciels, des microprogrammes et des informations | CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations | Manuel, désactivé | 1.1.0 |
Visualiser et configurer les données de diagnostic système | CMA_0544 - Visualiser et configurer les données de diagnostic système | Manuel, désactivé | 1.1.0 |
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
Surveiller les composants du système pour détecter tout comportement anormal
ID : SOC 2 Type 2 CC7.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 4.0.1-preview |
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques | Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques | Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 3.0.0 |
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques | Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
Détecter les services réseau qui n’ont pas été autorisés ou approuvés | CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés | Manuel, désactivé | 1.1.0 |
Régir et surveiller les activités de traitement d’audit | CMA_0289 – Régir et surveiller les activités de traitement d’audit | Manuel, désactivé | 1.1.0 |
Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 1.1.1 |
Détection des incidents de sécurité
ID : SOC 2 Type 2 CC7.3 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Réponse aux incidents de sécurité
ID : SOC 2 Type 2 CC7.4 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les événements de sécurité des informations | CMA_0013 - Évaluer les événements de sécurité des informations | Manuel, désactivé | 1.1.0 |
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Développer des protections de sécurité | CMA_0161 - Développer des protections de sécurité | Manuel, désactivé | 1.1.0 |
La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.0.0 |
Activer la protection du réseau | CMA_0238 - Activer la protection réseau | Manuel, désactivé | 1.1.0 |
Éradiquer les informations contaminées | CMA_0253 - Éradiquer les informations contaminées | Manuel, désactivé | 1.1.0 |
Exécuter des actions en réponse à des fuites d’informations | CMA_0281 - Exécuter des actions en réponse à des fuites d’informations | Manuel, désactivé | 1.1.0 |
Identifier les classes d’incidents et d’actions prises | CMA_C1365 - Identifier les classes d’incidents et d’actions effectuées | Manuel, désactivé | 1.1.0 |
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Inclure la reconfiguration dynamique des ressources déployées par le client | CMA_C1364 – Inclure la reconfiguration dynamique des ressources déployées par le client | Manuel, désactivé | 1.1.0 |
Gérer le plan de réponse aux incidents | CMA_0352 - Gérer le plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Visualiser et examiner les utilisateurs restreints | CMA_0545 - Visualiser et examiner les utilisateurs restreints | Manuel, désactivé | 1.1.0 |
Récupération après des cas d’incidents de sécurité identifiés
ID : SOC 2 Type 2 CC7.5 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les événements de sécurité des informations | CMA_0013 - Évaluer les événements de sécurité des informations | Manuel, désactivé | 1.1.0 |
Effectuer des tests de réponse aux incidents | CMA_0060 – Mener des tests de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Coordonner les plans d’urgence avec les plans associés | CMA_0086 - Coordonner les plans d’urgence avec les plans associés | Manuel, désactivé | 1.1.0 |
Coordonner avec des organisations externes pour atteindre une perspective inter-organisations | CMA_C1368 – Coordonner avec des organisations externes pour atteindre la perspective inter-organisations | Manuel, désactivé | 1.1.0 |
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Développer des protections de sécurité | CMA_0161 - Développer des protections de sécurité | Manuel, désactivé | 1.1.0 |
La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.0.0 |
Activer la protection du réseau | CMA_0238 - Activer la protection réseau | Manuel, désactivé | 1.1.0 |
Éradiquer les informations contaminées | CMA_0253 - Éradiquer les informations contaminées | Manuel, désactivé | 1.1.0 |
Établir un programme de sécurité des informations | CMA_0263 - Établir un programme de sécurité des informations | Manuel, désactivé | 1.1.0 |
Exécuter des actions en réponse à des fuites d’informations | CMA_0281 - Exécuter des actions en réponse à des fuites d’informations | Manuel, désactivé | 1.1.0 |
Implémenter une gestion des incidents | CMA_0318 - Implémenter une gestion des incidents | Manuel, désactivé | 1.1.0 |
Gérer le plan de réponse aux incidents | CMA_0352 - Gérer le plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
Effectuer une analyse des tendances sur les menaces | CMA_0389 – Effectuer une analyse des tendances sur les menaces | Manuel, désactivé | 1.1.0 |
Exécuter des attaques de simulation | CMA_0486 – Exécuter des attaques de simulation | Manuel, désactivé | 1.1.0 |
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Visualiser et examiner les utilisateurs restreints | CMA_0545 - Visualiser et examiner les utilisateurs restreints | Manuel, désactivé | 1.1.0 |
Gestion des changements
Modifications apportées à l’infrastructure, aux données et aux logiciels
ID : SOC 2 Type 2 CC8.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
[Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients. | Audit, Désactivé | 3.1.0-deprecated |
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
Les applications App Service doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
Faire l’audit des machines virtuelles n’utilisant aucun disque managé | Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé | audit | 1.0.0 |
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters | L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. | Audit, Désactivé | 1.0.2 |
Effectuer une analyse d’impact sur la sécurité | CMA_0057 - Effectuer une analyse d’impact sur la sécurité | Manuel, désactivé | 1.1.0 |
Configurer des actions pour les appareils non conformes | CMA_0062 – Configurer des actions pour les appareils non conformes | Manuel, désactivé | 1.1.0 |
Développer et gérer un standard de gestion des vulnérabilités | CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités | Manuel, désactivé | 1.1.0 |
Développer et tenir à jour les configurations de base | CMA_0153 – Développer et tenir à jour les configurations de base | Manuel, désactivé | 1.1.0 |
Appliquer les paramètres de configuration de sécurité | CMA_0249 – Appliquer les paramètres de configuration de sécurité | Manuel, désactivé | 1.1.0 |
Établir un panneau de configuration | CMA_0254 – Établir un panneau de configuration | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Établir et documenter un plan de gestion de la configuration | CMA_0264 – Établir et documenter un plan de gestion de la configuration | Manuel, désactivé | 1.1.0 |
Établir et documenter les processus de contrôle des modifications | CMA_0265 – Établir et documenter les processus de contrôle des modifications | Manuel, désactivé | 1.1.0 |
Établir des exigences de gestion de configuration pour les développeurs | CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs | Manuel, désactivé | 1.1.0 |
Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 2.0.0 |
Les applications de fonctions doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.2 |
Implémenter un outil de gestion de la configuration automatisée | CMA_0311 – Implémenter un outil de gestion de la configuration automatisée | Manuel, désactivé | 1.1.0 |
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées | Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 10.2.0 |
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte | Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés | Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 10.2.0 |
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule | Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés | Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés | Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés | Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés | Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 10.1.0 |
Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API | Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur | N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN | Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut | Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 1.5.0 |
Seules les extensions de machine virtuelle approuvées doivent être installées | Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées. | Audit, Refuser, Désactivé | 1.0.0 |
Effectuer une évaluation de l’impact sur la confidentialité | CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Effectuer un audit pour le contrôle des modifications de configuration | CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration | Manuel, désactivé | 1.1.0 |
Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés | Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 1.0.0 |
Atténuation des risques
Activités d’atténuation des risques
ID : SOC 2 Type 2 CC9.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Déterminer les besoins en matière de protection des informations | CMA_C1750 - Déterminer les besoins en matière de protection des informations | Manuel, désactivé | 1.1.0 |
Établir une stratégie de gestion des risques | CMA_0258 - Établir une stratégie de gestion des risques | Manuel, désactivé | 1.1.0 |
Effectuer une évaluation des risques | CMA_0388 - Effectuer une évaluation des risques | Manuel, désactivé | 1.1.0 |
Gestion des risques pour les fournisseurs et les partenaires commerciaux
ID : SOC 2 Type 2 CC9.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Évaluer les risques dans les relations avec les tiers | CMA_0014 - Évaluer les risques dans les relations avec les tiers | Manuel, désactivé | 1.1.0 |
Définir les exigences pour la fourniture de biens et de services | CMA_0126 - Définir les exigences pour la fourniture de biens et de services | Manuel, désactivé | 1.1.0 |
Définir les tâches des processeurs | CMA_0127 - Définir les tâches des processeurs | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement | Manuel, désactivé | 1.1.0 |
Établir les exigences de sécurité pour le personnel de tiers | CMA_C1529 - Établir les exigences de sécurité pour le personnel de tiers | Manuel, désactivé | 1.1.0 |
Surveiller la conformité des fournisseurs tiers | CMA_C1533 - Surveiller la conformité des fournisseurs tiers | Manuel, désactivé | 1.1.0 |
Enregistrer les divulgations d’informations personnelles à des tiers | CMA_0422 - Enregistrer les divulgations d’informations personnelles à des tiers | Manuel, désactivé | 1.1.0 |
Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel | CMA_C1530 - Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel | Manuel, désactivé | 1.1.0 |
Former le personnel sur le partage d’informations personnelles et ses conséquences | CMA_C1871 - Former le personnel sur le partage d’informations personnelles et ses conséquences | Manuel, désactivé | 1.1.0 |
Critères supplémentaires de confidentialité
Avis de confidentialité
ID: SOC 2 Type 2 P1.1 Propriété: Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter et distribuer une stratégie de confidentialité | CMA_0188 - Documenter et distribuer une stratégie de confidentialité | Manuel, désactivé | 1.1.0 |
Vérifier que les informations du programme de confidentialité sont disponibles publiquement | CMA_C1867 - Vérifier que les informations du programme de confidentialité sont disponibles publiquement | Manuel, désactivé | 1.1.0 |
Implémenter des méthodes de remise de déclaration de confidentialité | CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Fournir une déclaration de confidentialité | CMA_0414 - Fournir une déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Fournir un avis de confidentialité au public et aux individus | CMA_C1861 - Fournir un avis de confidentialité au public et aux individus | Manuel, désactivé | 1.1.0 |
Consentement au respect de la confidentialité
ID : SOC 2 Type 2 P2.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter l’acceptation des exigences de confidentialité par le personnel | CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel | Manuel, désactivé | 1.1.0 |
Implémenter des méthodes de remise de déclaration de confidentialité | CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Obtenir le consentement avant la collecte ou le traitement des données personnelles | CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Fournir une déclaration de confidentialité | CMA_0414 - Fournir une déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Regroupement systématique d’informations personnelles
ID : SOC 2 Type 2 P3.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Identifier l’autorité légale compétente en matière de collecte d’informations d’identification personnelle | CMA_C1800 – Déterminer l’autorité juridique pour collecter les informations d’identification personnelle | Manuel, désactivé | 1.1.0 |
Documenter le processus pour garantir l’intégrité des informations d’identification personnelle | CMA_C1827 - Documenter le processus pour garantir l’intégrité des informations d’identification personnelle | Manuel, désactivé | 1.1.0 |
Évaluer et examiner régulièrement les conservations d’informations personnelles | CMA_C1832 - Évaluer et examiner régulièrement les conservations d’informations d’identification personnelle | Manuel, désactivé | 1.1.0 |
Obtenir le consentement avant la collecte ou le traitement des données personnelles | CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Consentement explicite en matière d’informations personnelles
ID : SOC 2 Type 2 P3.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Collecter des informations d’identification personnelle directement auprès de l’individu | CMA_C1822 – Collecter les informations d’identification personnelle directement auprès de l’individu | Manuel, désactivé | 1.1.0 |
Obtenir le consentement avant la collecte ou le traitement des données personnelles | CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Traitement des informations personnelles
ID : SOC 2 Type 2 P4.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter la base légale pour le traitement des informations personnelles | CMA_0206 - Documenter la base légale pour le traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Implémenter des méthodes de remise de déclaration de confidentialité | CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Obtenir le consentement avant la collecte ou le traitement des données personnelles | CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles | Manuel, désactivé | 1.1.0 |
Fournir une déclaration de confidentialité | CMA_0414 - Fournir une déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Restreindre les communications | CMA_0449 - Restreindre les communications | Manuel, désactivé | 1.1.0 |
Rétention des informations personnelles
ID : SOC 2 Type 2 P4.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Respecter les périodes de rétention définies | CMA_0004 – Respecter les périodes de rétention définies | Manuel, désactivé | 1.1.0 |
Documenter le processus pour garantir l’intégrité des informations d’identification personnelle | CMA_C1827 - Documenter le processus pour garantir l’intégrité des informations d’identification personnelle | Manuel, désactivé | 1.1.0 |
Suppression des informations personnelles
ID : SOC 2 Type 2 P4.3 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer une révision avant destruction | CMA_0391 - Effectuer une révision avant destruction | Manuel, désactivé | 1.1.0 |
Vérifier que les données personnelles sont supprimées à la fin du traitement | CMA_0540 - Vérifier que les informations personnelles sont supprimées à la fin du traitement | Manuel, désactivé | 1.1.0 |
Accès aux informations personnelles
ID : SOC 2 Type 2 P5.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter des méthodes pour les demandes des consommateurs | CMA_0319 - Implémenter des méthodes pour les demandes des consommateurs | Manuel, désactivé | 1.1.0 |
Publier les règles et les réglementations pour accéder aux dossiers de la Loi sur la confidentialité | CMA_C1847 - Publier les règles et les réglementations pour accéder aux dossiers de la Loi sur la confidentialité | Manuel, désactivé | 1.1.0 |
Vérification des informations personnelles
ID : SOC 2 Type 2 P5.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Répondre aux requêtes de rectification | CMA_0442 – Répondre aux requêtes de rectification | Manuel, désactivé | 1.1.0 |
Divulgation d’informations personnelles à des tiers
ID : SOC 2 Type 2 P6.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir les tâches des processeurs | CMA_0127 - Définir les tâches des processeurs | Manuel, désactivé | 1.1.0 |
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Établir des exigences de confidentialité pour les sous-traitants et les fournisseurs de services | CMA_C1810 - Établir des exigences de confidentialité pour les sous-traitants et les fournisseurs de services | Manuel, désactivé | 1.1.0 |
Enregistrer les divulgations d’informations personnelles à des tiers | CMA_0422 - Enregistrer les divulgations d’informations personnelles à des tiers | Manuel, désactivé | 1.1.0 |
Former le personnel sur le partage d’informations personnelles et ses conséquences | CMA_C1871 - Former le personnel sur le partage d’informations personnelles et ses conséquences | Manuel, désactivé | 1.1.0 |
Divulgation autorisée d’un ensemble d’informations personnelles
ID : SOC 2 Type 2 P6.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Conserver une comptabilité précise des divulgations d’informations | CMA_C1818 - Conserver une comptabilité précise des divulgations d’informations | Manuel, désactivé | 1.1.0 |
Divulgation non autorisée d’un ensemble d’informations personnelles
ID : SOC 2 Type 2 P6.3 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Conserver une comptabilité précise des divulgations d’informations | CMA_C1818 - Conserver une comptabilité précise des divulgations d’informations | Manuel, désactivé | 1.1.0 |
Contrats avec des tiers
ID : SOC 2 Type 2 P6.4 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Définir les tâches des processeurs | CMA_0127 - Définir les tâches des processeurs | Manuel, désactivé | 1.1.0 |
Notification de divulgation non autorisée d’informations à un tiers
ID : SOC 2 Type 2 P6.5 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Déterminer les obligations des contrats fournisseur | CMA_0140 - Déterminer les obligations des contrats fournisseur | Manuel, désactivé | 1.1.0 |
Documenter les critères d’acceptation des contrats d’acquisition | CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données personnelles dans les contrats d’acquisition | CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des informations de sécurité dans les contrats d’acquisition | CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences pour l’utilisation des données partagées dans les contrats | CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats | Manuel, désactivé | 1.1.0 |
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter l’environnement du système d’information dans les contrats d’acquisition | CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition | Manuel, désactivé | 1.1.0 |
Documenter la protection des données des détenteurs de carte dans les contrats de tiers | CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers | Manuel, désactivé | 1.1.0 |
Sécurité des informations et protection des données personnelles | CMA_0332 - Sécurité des informations et protection des données personnelles | Manuel, désactivé | 1.1.0 |
Notification d’incident de confidentialité
ID : SOC 2 Type 2 P6.6 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Mettez sur pied un plan de réponse en cas d'incident | CMA_0145 – Développer un plan de réponse aux incidents | Manuel, désactivé | 1.1.0 |
Sécurité des informations et protection des données personnelles | CMA_0332 - Sécurité des informations et protection des données personnelles | Manuel, désactivé | 1.1.0 |
Registre des divulgations d’informations personnelles
ID : SOC 2 Type 2 P6.7 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter des méthodes de remise de déclaration de confidentialité | CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Conserver une comptabilité précise des divulgations d’informations | CMA_C1818 - Conserver une comptabilité précise des divulgations d’informations | Manuel, désactivé | 1.1.0 |
Rendre la comptabilité des divulgations disponible sur demande | CMA_C1820 - Rendre la comptabilité des divulgations disponible sur demande | Manuel, désactivé | 1.1.0 |
Fournir une déclaration de confidentialité | CMA_0414 - Fournir une déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Restreindre les communications | CMA_0449 - Restreindre les communications | Manuel, désactivé | 1.1.0 |
Qualité des informations personnelles
ID : SOC 2 Type 2 P7.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Confirmer la qualité et l’intégrité des informations d’identification personnelle | CMA_C1821 - Confirmer la qualité et l’intégrité des informations d’identification personnelle | Manuel, désactivé | 1.1.0 |
Émettre des recommandations relatives à la garantie de la qualité et de l’intégrité des données | CMA_C1824 - Émettre des recommandations relatives à la garantie de la qualité et de l’intégrité des données | Manuel, désactivé | 1.1.0 |
Vérifier les informations d’identification personnelle inexactes ou obsolètes | CMA_C1823 – Vérifier les informations d’identification personnelle inexactes ou obsolètes | Manuel, désactivé | 1.1.0 |
Gestion des plaintes relatives à la confidentialité et gestion de la conformité
ID : SOC 2 Type 2 P8.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Documenter et implémenter des procédures de plaintes relatives à la protection de la vie privée | CMA_0189 - Documenter et implémenter des procédures de plaintes relatives à la protection de la vie privée | Manuel, désactivé | 1.1.0 |
Évaluer et examiner régulièrement les conservations d’informations personnelles | CMA_C1832 - Évaluer et examiner régulièrement les conservations d’informations d’identification personnelle | Manuel, désactivé | 1.1.0 |
Sécurité des informations et protection des données personnelles | CMA_0332 - Sécurité des informations et protection des données personnelles | Manuel, désactivé | 1.1.0 |
Répondre aux plaintes, aux préoccupations ou aux questions en temps opportun | CMA_C1853 – Répondre aux plaintes, aux préoccupations ou aux questions en temps opportun | Manuel, désactivé | 1.1.0 |
Former le personnel sur le partage d’informations personnelles et ses conséquences | CMA_C1871 - Former le personnel sur le partage d’informations personnelles et ses conséquences | Manuel, désactivé | 1.1.0 |
Critères supplémentaires pour le traitement de l’intégrité
Définitions du traitement de données
ID : SOC 2 Type 2 PI1.1 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Implémenter des méthodes de remise de déclaration de confidentialité | CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Fournir une déclaration de confidentialité | CMA_0414 - Fournir une déclaration de confidentialité | Manuel, désactivé | 1.1.0 |
Restreindre les communications | CMA_0449 - Restreindre les communications | Manuel, désactivé | 1.1.0 |
Entrées système sur l’exhaustivité et la précision
ID : SOC 2 Type 2 PI1.2 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Effectuer la validation des entrées d’informations | CMA_C1723 - Effectuer la validation des entrées d’informations | Manuel, désactivé | 1.1.0 |
Traitement du système
ID : SOC 2 Type 2 PI1.3 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Générer des messages d’erreur | CMA_C1724 - Générer des messages d’erreur | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Effectuer la validation des entrées d’informations | CMA_C1723 - Effectuer la validation des entrées d’informations | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
La sortie du système est complète, précise et ponctuelle
ID : SOC 2 Type 2 PI1.4 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Stocker les données d’entrée et de sortie de manière complète, précise et ponctuelle
ID : SOC 2 Type 2 PI1.5 Propriété : Partagé
Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
---|---|---|---|
La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
Contrôler l’accès physique | CMA_0081 – Contrôler l’accès physique | Manuel, désactivé | 1.1.0 |
Établir des stratégies et des procédures de sauvegarde | CMA_0268 - Établir des stratégies et des procédures de sauvegarde | Manuel, désactivé | 1.1.0 |
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
Implémenter des contrôles pour sécuriser tous les supports | CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports | Manuel, désactivé | 1.1.0 |
Gérer l’entrée, la sortie, le traitement et le stockage des données | CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données | Manuel, désactivé | 1.1.0 |
Examiner l’activité et l’analytique de l’étiquette | CMA_0474 – Examiner l’activité et l’analytique de l’étiquette | Manuel, désactivé | 1.1.0 |
Stocker séparément les informations de sauvegarde | CMA_C1293 - Stocker séparément les informations de sauvegarde | Manuel, désactivé | 1.1.0 |
Étapes suivantes
Autres articles sur Azure Policy :
- Présentation de la Conformité réglementaire.
- Voir la structure de la définition d’initiative.
- Passez en revue d’autres exemples de la page Exemples Azure Policy.
- Consultez la page Compréhension des effets de Policy.
- Découvrez comment corriger des ressources non conformes.