Détails de l’initiative intégrée Conformité réglementaire ISO 27001:2013

L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire Azure Policy est mappée aux domaines de conformité et aux contrôles dans ISO 27001:2013. Pour plus d’informations sur cette norme de conformité, consultez ISO 27001:2013. Pour comprendre la Propriété, consultez le type de stratégie et la responsabilité partagée dans le cloud.

Les correspondances suivantes concernent les contrôles ISO 27001:2013. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition d’initiative intégrée Conformité réglementaire ISO 27001:2013.

Important

Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.

Chiffrement

Stratégie sur l’utilisation des contrôles de chiffrement

ID : Propriété ISO 27001:2013 A.10.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Les applications App Service doivent être accessibles uniquement via HTTPS	L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau.	Audit, Désactivé, Refus	4.0.0
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible	AuditIfNotExists, Désactivé	2.0.0
Les variables de compte Automation doivent être chiffrées	Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles	Audit, Refuser, Désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows	Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Documenter et distribuer une stratégie de confidentialité	CMA_0188 - Documenter et distribuer une stratégie de confidentialité	Manuel, désactivé	1.1.0
Les applications Function App ne doivent être accessibles que via HTTPS	L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau.	Audit, Désactivé, Refus	5.0.0
Implémenter des méthodes de remise de déclaration de confidentialité	CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité	Manuel, désactivé	1.1.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées	Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session).	Audit, Refuser, Désactivé	1.0.0
Fournir une déclaration de confidentialité	CMA_0414 - Fournir une déclaration de confidentialité	Manuel, désactivé	1.1.0
Restreindre les communications	CMA_0449 - Restreindre les communications	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	Manuel, désactivé	1.1.0
La sécurisation du transfert vers des comptes de stockage doit être activée	Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session)	Audit, Refuser, Désactivé	2.0.0
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric	Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement	Audit, Refuser, Désactivé	1.1.0
Transparent Data Encryption sur les bases de données SQL doit être activé	Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises	AuditIfNotExists, Désactivé	2.0.0

Gestion de clés

ID : Propriété ISO 27001:2013 A.10.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Définir les exigences organisationnelles pour la gestion des clés de chiffrement	CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement	Manuel, désactivé	1.1.0
Déterminer les exigences d’assertion	CMA_0136 – Déterminer les exigences d’assertion	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Établir une stratégie de mot de passe	CMA_0256 - Établir une stratégie de mot de passe	Manuel, désactivé	1.1.0
Identifier les actions autorisées sans authentification	CMA_0295 - Identifier les actions autorisées sans authentification	Manuel, désactivé	1.1.0
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation	CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation	Manuel, désactivé	1.1.0
Implémenter des paramètres pour les vérificateurs de secrets mémorisés	CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés	Manuel, désactivé	1.1.0
Émettre des certificats de clé publique	CMA_0347 – Émettre des certificats de clé publique	Manuel, désactivé	1.1.0
Gérer les clés de chiffrement symétriques	CMA_0367 – Gérer les clés de chiffrement symétriques	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Restreindre l’accès aux clés privées	CMA_0445 – Restreindre l’accès aux clés privées	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	Manuel, désactivé	1.1.0
Mettre fin aux informations d’identification de compte contrôlées par le client	CMA_C1022 - Mettre fin aux informations d’identification de compte contrôlées par le client	Manuel, désactivé	1.1.0

Sécurité physique et environnementale

Périmètre de sécurité physique

ID : Propriété ISO 27001:2013 A.11.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Établir et tenir à jour un inventaire des ressources	CMA_0266 - Établir et tenir à jour un inventaire des ressources	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0
Installer un système d’alarme	CMA_0338 - Installer un système d’alarme	Manuel, désactivé	1.1.0
Gérer un système de caméras de surveillance sécurisé	CMA_0354 - Gérer un système de caméras de surveillance sécurisé	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0

Contrôles d’entrée physique

ID : Propriété ISO 27001:2013 A.11.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Désigner du personnel pour surveiller les activités de maintenance non autorisées	CMA_C1422 - Désigner du personnel pour surveiller les activités de maintenance non autorisées	Manuel, désactivé	1.1.0
Établir et tenir à jour un inventaire des ressources	CMA_0266 - Établir et tenir à jour un inventaire des ressources	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0
Tenir à jour la liste du personnel de maintenance à distance autorisé	CMA_C1420 - Tenir à jour la liste du personnel de maintenance à distance autorisé	Manuel, désactivé	1.1.0
Gérer le personnel de maintenance	CMA_C1421 - Gérer le personnel de maintenance	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0

Sécurisation des bureaux, des salles et des installations

ID : Propriété ISO 27001:2013 A.11.1.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Établir et tenir à jour un inventaire des ressources	CMA_0266 - Établir et tenir à jour un inventaire des ressources	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0

Protection contre les menaces externes et environnementales

ID : Propriété ISO 27001:2013 A.11.1.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Créer des sites de stockage alternatifs et principaux distincts	CMA_C1269 - Créer des sites de stockage alternatifs et principaux distincts	Manuel, désactivé	1.1.0
Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal	CMA_C1268 - Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal	Manuel, désactivé	1.1.0
Vérifier que le système d’informations échoue dans un état connu	CMA_C1662 - Vérifier que le système d’informations échoue dans un état connu	Manuel, désactivé	1.1.0
Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde	CMA_C1267 - Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde	Manuel, désactivé	1.1.0
Établir un site de traitement alternatif	CMA_0262 - Établir un site de traitement alternatif	Manuel, désactivé	1.1.0
Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif	CMA_C1271 - Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0
Installer un système d’alarme	CMA_0338 - Installer un système d’alarme	Manuel, désactivé	1.1.0
Planifier la continuité des fonctions métier essentielles	CMA_C1255 - Planifier la continuité des fonctions métier essentielles	Manuel, désactivé	1.1.0

Travailler dans des zones sécurisées

ID : Propriété ISO 27001:2013 A.11.1.5 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0

Zones de livraison et de chargement

ID : Propriété ISO 27001:2013 A.11.1.6 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Définir les exigences pour la gestion des ressources	CMA_0125 - Définir les exigences pour la gestion des ressources	Manuel, désactivé	1.1.0
Installer un système d’alarme	CMA_0338 - Installer un système d’alarme	Manuel, désactivé	1.1.0
Gérer un système de caméras de surveillance sécurisé	CMA_0354 - Gérer un système de caméras de surveillance sécurisé	Manuel, désactivé	1.1.0
Gérer le transport des ressources	CMA_0370 - Gérer le transport des ressources	Manuel, désactivé	1.1.0

Placement et protection des équipements

ID : Propriété ISO 27001:2013 A.11.2.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0

Utilitaires de prise en charge

ID : Propriété ISO 27001:2013 A.11.2.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Utiliser un éclairage d’urgence automatique	CMA_0209 - Utiliser un éclairage d’urgence automatique	Manuel, désactivé	1.1.0
Établir les exigences pour les fournisseurs de services Internet	CMA_0278 - Établir les exigences pour les fournisseurs de services Internet	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0

Sécurité du câblage

ID : Propriété ISO 27001:2013 A.11.2.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0

Maintenance des équipements

ID : Propriété ISO 27001:2013 A.11.2.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Automatiser les activités de maintenance à distance	CMA_C1402 - Automatiser les activités de maintenance à distance	Manuel, désactivé	1.1.0
Contrôler les activités de maintenance et de réparation	CMA_0080 - Contrôler les activités de maintenance et de réparation	Manuel, désactivé	1.1.0
Documenter l’acceptation des exigences de confidentialité par le personnel	CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel	Manuel, désactivé	1.1.0
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Gérer les activités de maintenance et de diagnostic non locales	CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales	Manuel, désactivé	1.1.0
Produire des enregistrements complets des activités de maintenance à distance	CMA_C1403 - Produire des enregistrements complets des activités de maintenance à distance	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
Assurer la maintenance en temps opportun	CMA_C1425 - Assurer la maintenance en temps opportun	Manuel, désactivé	1.1.0

Suppression des ressources

ID : Propriété ISO 27001:2013 A.11.2.5 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Contrôler les activités de maintenance et de réparation	CMA_0080 - Contrôler les activités de maintenance et de réparation	Manuel, désactivé	1.1.0
Définir les exigences pour la gestion des ressources	CMA_0125 - Définir les exigences pour la gestion des ressources	Manuel, désactivé	1.1.0
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Gérer les activités de maintenance et de diagnostic non locales	CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales	Manuel, désactivé	1.1.0
Gérer le transport des ressources	CMA_0370 - Gérer le transport des ressources	Manuel, désactivé	1.1.0

Sécurité des équipements et des ressources hors site local

ID : Propriété ISO 27001:2013 A.11.2.6 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Définir les exigences pour les appareils mobiles	CMA_0122 - Définir les exigences pour les appareils mobiles	Manuel, désactivé	1.1.0
S’assurer que les protections de sécurité ne sont pas nécessaires quand les personnes reviennent	CMA_C1183 - S’assurer que les protections de sécurité ne sont pas nécessaires quand les personnes reviennent	Manuel, désactivé	1.1.0
Établir les conditions générales d’accès aux ressources	CMA_C1076 - Établir les conditions générales d’accès aux ressources	Manuel, désactivé	1.1.0
Établir les conditions générales pour le traitement des ressources	CMA_C1077 - Établir les conditions générales pour le traitement des ressources	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0
Gérer le transport des ressources	CMA_0370 - Gérer le transport des ressources	Manuel, désactivé	1.1.0
Empêcher les systèmes d’information d’être associés à des personnes	CMA_C1182 - Empêcher les systèmes d’information d’être associés à des personnes	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Vérifier les contrôles de sécurité pour les systèmes d’information externes	CMA_0541 - Vérifier les contrôles de sécurité pour les systèmes d’information externes	Manuel, désactivé	1.1.0

Élimination ou réutilisation sécurisée des équipements

ID : Propriété ISO 27001:2013 A.11.2.7 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Effectuer une révision avant destruction	CMA_0391 - Effectuer une révision avant destruction	Manuel, désactivé	1.1.0
Vérifier que les données personnelles sont supprimées à la fin du traitement	CMA_0540 - Vérifier que les informations personnelles sont supprimées à la fin du traitement	Manuel, désactivé	1.1.0

Équipement d’utilisateur sans surveillance

ID : Propriété ISO 27001:2013 A.11.2.8 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
Terminer automatiquement la session utilisateur	CMA_C1054 – Terminer automatiquement la session utilisateur	Manuel, désactivé	1.1.0

Stratégie d’effacement du bureau et de l’écran

ID : Propriété ISO 27001:2013 A.11.2.9 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0

Sécurité des opérations

Procédures d’exploitation documentées

ID : Propriété ISO 27001:2013 A.12.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’audit et de responsabilité	CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Distribuer la documentation du système d’information	CMA_C1584 - Distribuer la documentation du système d’information	Manuel, désactivé	1.1.0
Documenter les actions définies par le client	CMA_C1582 - Documenter les actions définies par le client	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0
Obtenir la documentation sur l’administration	CMA_C1580 - Obtenir la documentation sur l’administration	Manuel, désactivé	1.1.0
Obtenir la documentation sur la fonction de sécurité utilisateur	CMA_C1581 - Obtenir la documentation sur la fonction de sécurité utilisateur	Manuel, désactivé	1.1.0
Protéger la documentation de l’administrateur et de l’utilisateur	CMA_C1583 - Protéger la documentation de l’administrateur et de l’utilisateur	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures de contrôle d’accès	CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de planification	CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0

Gestion des changements

ID : Propriété ISO 27001:2013 A.12.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Résoudre les vulnérabilités de codage	CMA_0003 - Résoudre les vulnérabilités de codage	Manuel, désactivé	1.1.0
Automatiser la demande d’approbation pour les modifications proposées	CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées	Manuel, désactivé	1.1.0
Automatiser l’implémentation des notifications de modification approuvées	CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées	Manuel, désactivé	1.1.0
Automatiser le processus de documentation des modifications implémentées	CMA_C1195 - Automatiser le processus de documentation des modifications implémentées	Manuel, désactivé	1.1.0
Automatiser le processus de mise en évidence des propositions de modification non révisées	CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées	Manuel, désactivé	1.1.0
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées	CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées	Manuel, désactivé	1.1.0
Automatiser les modifications documentées proposées	CMA_C1191 - Automatiser les modifications documentées proposées	Manuel, désactivé	1.1.0
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Développer et documenter les exigences de sécurité des applications	CMA_0148 - Développer et documenter les exigences de sécurité des applications	Manuel, désactivé	1.1.0
Développer et gérer un standard de gestion des vulnérabilités	CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Appliquer les paramètres de configuration de sécurité	CMA_0249 – Appliquer les paramètres de configuration de sécurité	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir un programme de développement de logiciels sécurisés	CMA_0259 - Établir un programme de développement de logiciels sécurisés	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0
Installer un système d’alarme	CMA_0338 - Installer un système d’alarme	Manuel, désactivé	1.1.0
Gérer les activités de maintenance et de diagnostic non locales	CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel	CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées	CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils gèrent l’intégrité des modifications	CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications	Manuel, désactivé	1.1.0

Gestion des capacités

ID : Propriété ISO 27001:2013 A.12.1.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Effectuer la planification des capacités	CMA_C1252 - Effectuer la planification des capacités	Manuel, désactivé	1.1.0
Régir et surveiller les activités de traitement d’audit	CMA_0289 – Régir et surveiller les activités de traitement d’audit	Manuel, désactivé	1.1.0

Séparation des environnements de développement, de test et d’exploitation

ID : Propriété ISO 27001:2013 A.12.1.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Vérifier qu’il n’existe aucun authentificateur statique non chiffré	CMA_C1340 - Vérifier qu’il n’existe aucun authentificateur statique non chiffré	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Implémenter des contrôles pour protéger les informations d’identification personnelle	CMA_C1839 - Implémenter des contrôles pour protéger les informations d’identification personnelle	Manuel, désactivé	1.1.0
Incorporer des pratiques de sécurité et de confidentialité des données dans le traitement des recherches	CMA_0331 - Incorporer des pratiques de sécurité et de confidentialité des données dans le traitement des recherches	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0

Contrôles contre les programmes malveillants

ID : Propriété ISO 27001:2013 A.12.2.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Contrôler les activités de maintenance et de réparation	CMA_0080 - Contrôler les activités de maintenance et de réparation	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Gérer les activités de maintenance et de diagnostic non locales	CMA_0364 - Gérer les activités de maintenance et de diagnostic non locales	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Fournir une formation périodique sur la sensibilisation à la sécurité	CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité pour les nouveaux utilisateurs	CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs	Manuel, désactivé	1.1.0
Fournir une formation de sensibilisation à la sécurité mise à jour	CMA_C1090 - Fournir une formation de sensibilisation à la sécurité mise à jour	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0

Sauvegarde des informations

ID : Propriété ISO 27001:2013 A.12.3.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Effectuer une sauvegarde de la documentation du système d’information	CMA_C1289 - Effectuer une sauvegarde de la documentation du système d’information	Manuel, désactivé	1.1.0
Créer des sites de stockage alternatifs et principaux distincts	CMA_C1269 - Créer des sites de stockage alternatifs et principaux distincts	Manuel, désactivé	1.1.0
Vérifier que le système d’informations échoue dans un état connu	CMA_C1662 - Vérifier que le système d’informations échoue dans un état connu	Manuel, désactivé	1.1.0
Établir un site de traitement alternatif	CMA_0262 - Établir un site de traitement alternatif	Manuel, désactivé	1.1.0
Établir des stratégies et des procédures de sauvegarde	CMA_0268 - Établir des stratégies et des procédures de sauvegarde	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Implémenter une récupération basée sur les transactions	CMA_C1296 - Implémenter une récupération basée sur les transactions	Manuel, désactivé	1.1.0
Effectuer une révision avant destruction	CMA_0391 - Effectuer une révision avant destruction	Manuel, désactivé	1.1.0
Planifier la continuité des fonctions métier essentielles	CMA_C1255 - Planifier la continuité des fonctions métier essentielles	Manuel, désactivé	1.1.0
Stocker séparément les informations de sauvegarde	CMA_C1293 - Stocker séparément les informations de sauvegarde	Manuel, désactivé	1.1.0
Transférer les informations de sauvegarde vers un autre site de stockage	CMA_C1294 - Transférer les informations de sauvegarde vers un autre site de stockage	Manuel, désactivé	1.1.0
Vérifier que les données personnelles sont supprimées à la fin du traitement	CMA_0540 - Vérifier que les informations personnelles sont supprimées à la fin du traitement	Manuel, désactivé	1.1.0

Journalisation des événements

ID : Propriété ISO 27001:2013 A.12.4.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées	Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée.	AuditIfNotExists, Désactivé	2.0.1-preview
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Alerter le personnel d’un débordement d’informations	CMA_0007 – Alerter le personnel d’un débordement d’informations	Manuel, désactivé	1.1.0
Auditez le paramètre de diagnostic pour les types de ressources sélectionnés	Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic.	AuditIfNotExists	2.0.1
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
L’audit sur SQL Server doit être activé	L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit.	AuditIfNotExists, Désactivé	2.0.0
Autoriser, surveiller et contrôler la VoIP	CMA_0025 - Autoriser, surveiller et contrôler la VoIP	Manuel, désactivé	1.1.0
Automatiser la gestion des comptes	CMA_0026 – Automatiser la gestion des comptes	Manuel, désactivé	1.1.0
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes	CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes	Manuel, désactivé	1.1.0
Effectuer une analyse de texte intégral des commandes privilégiées journalisées	CMA_0056 - Effectuer une analyse de texte intégral des commandes privilégiées journalisées	Manuel, désactivé	1.1.0
Configurer les fonctionnalités d’audit d’Azure	CMA_C1108 - Configurer les fonctionnalités d’audit d’Azure	Manuel, désactivé	1.1.1
Mettre en corrélation les enregistrements d’audit	CMA_0087 - Mettre en corrélation les enregistrements d’audit	Manuel, désactivé	1.1.0
Dependency Agent doit être activé pour les images de machine virtuelle listées	Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support.	AuditIfNotExists, Désactivé	2.0.0
Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées	Signale les groupes de machines virtuelles identiques comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support.	AuditIfNotExists, Désactivé	2.0.0
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Découvrir tous les indicateurs de compromission	CMA_C1702 - Découvrir tous les indicateurs de compromission	Manuel, désactivé	1.1.0
Documenter la base légale pour le traitement des informations personnelles	CMA_0206 - Documenter la base légale pour le traitement des données personnelles	Manuel, désactivé	1.1.0
Appliquer et auditer les restrictions d’accès	CMA_C1203 - Appliquer et auditer les restrictions d’accès	Manuel, désactivé	1.1.0
Établir des exigences pour la révision et la création de rapports d’audit	CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit	Manuel, désactivé	1.1.0
Implémenter des méthodes pour les demandes des consommateurs	CMA_0319 - Implémenter des méthodes pour les demandes des consommateurs	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Intégrer la révision d’audit, l’analyse et la création de rapports	CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports	Manuel, désactivé	1.1.0
Intégrer la sécurité des applications cloud à un SIEM	CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM	Manuel, désactivé	1.1.0
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées	Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée.	AuditIfNotExists, Désactivé	2.0.1
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Gérer les comptes système et d’administration	CMA_0368 – Gérer les comptes système et d’administration	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Surveiller l’activité des comptes	CMA_0377 - Surveiller l’activité des comptes	Manuel, désactivé	1.1.0
Surveiller l’attribution de rôle privilégié	CMA_0378 – Surveiller l’attribution de rôle privilégié	Manuel, désactivé	1.1.0
Avertir lorsque le compte n’est pas nécessaire	CMA_0383 – Avertir lorsque le compte n’est pas nécessaire	Manuel, désactivé	1.1.0
Obtenir un avis juridique pour la supervision des activités du système	CMA_C1688 - Obtenir un avis juridique pour la supervision des activités du système	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Fournir des informations de supervision selon les besoins	CMA_C1689 - Fournir des informations de supervision selon les besoins	Manuel, désactivé	1.1.0
Publier les procédures d’accès dans des réseaux SORN	CMA_C1848 - Publier les procédures d’accès dans des réseaux SORN	Manuel, désactivé	1.1.0
Publier les règles et les réglementations pour accéder aux dossiers de la Loi sur la confidentialité	CMA_C1847 - Publier les règles et les réglementations pour accéder aux dossiers de la Loi sur la confidentialité	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Conserver les stratégies et procédures de sécurité	CMA_0454 – Conserver les stratégies et procédures de sécurité	Manuel, désactivé	1.1.0
Conserver les données utilisateur terminées	CMA_0455 – Conserver les données utilisateur terminées	Manuel, désactivé	1.1.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Passer en revue les affectations d’administrateurs toutes les semaines	CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les événements définis dans AU-02	CMA_C1106 - Passer en revue et mettre à jour les événements définis dans AU-02	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0
Passer en revue les modifications non autorisées	CMA_C1204 - Passer en revue les modifications non autorisées	Manuel, désactivé	1.1.0
Passer en revue la vue d’ensemble du rapport des identités cloud	CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud	Manuel, désactivé	1.1.0
Passer en revue les événements accès contrôlé aux dossiers	CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers	Manuel, désactivé	1.1.0
Examiner l’activité des fichiers et des dossiers	CMA_0473 - Examiner l’activité des fichiers et des dossiers	Manuel, désactivé	1.1.0
Passer en revue les modifications apportées aux groupes de rôles chaque semaine	CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine	Manuel, désactivé	1.1.0
Révoquer les rôles privilégiés selon les besoins	CMA_0483 – Révoquer les rôles privilégiés selon les besoins	Manuel, désactivé	1.1.0
Router le trafic via des points d’accès réseau gérés	CMA_0484 - Router le trafic via des points d’accès réseau gérés	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0
Utiliser Privileged Identity Management	CMA_0533 – Utiliser la gestion des identités privilégiées	Manuel, désactivé	1.1.0

Protection des informations des journaux

ID : Propriété ISO 27001:2013 A.12.4.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Définir les tâches des processeurs	CMA_0127 - Définir les tâches des processeurs	Manuel, désactivé	1.1.0
Activer l’autorisation double ou conjointe	CMA_0226 – Activer l’autorisation double ou conjointe	Manuel, désactivé	1.1.0
Effectuer une révision avant destruction	CMA_0391 - Effectuer une révision avant destruction	Manuel, désactivé	1.1.0
Protéger les informations d’audit	CMA_0401 – Protéger les informations d’audit	Manuel, désactivé	1.1.0
Enregistrer les divulgations d’informations personnelles à des tiers	CMA_0422 - Enregistrer les divulgations d’informations personnelles à des tiers	Manuel, désactivé	1.1.0
Former le personnel sur le partage d’informations personnelles et ses conséquences	CMA_C1871 - Former le personnel sur le partage d’informations personnelles et ses conséquences	Manuel, désactivé	1.1.0
Vérifier que les données personnelles sont supprimées à la fin du traitement	CMA_0540 - Vérifier que les informations personnelles sont supprimées à la fin du traitement	Manuel, désactivé	1.1.0

Journaux des administrateurs et opérateurs

ID : Propriété ISO 27001:2013 A.12.4.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées	Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée.	AuditIfNotExists, Désactivé	2.0.1-preview
Auditez le paramètre de diagnostic pour les types de ressources sélectionnés	Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic.	AuditIfNotExists	2.0.1
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
L’audit sur SQL Server doit être activé	L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit.	AuditIfNotExists, Désactivé	2.0.0
Autoriser, surveiller et contrôler la VoIP	CMA_0025 - Autoriser, surveiller et contrôler la VoIP	Manuel, désactivé	1.1.0
Automatiser la gestion des comptes	CMA_0026 – Automatiser la gestion des comptes	Manuel, désactivé	1.1.0
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes	CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes	Manuel, désactivé	1.1.0
Effectuer une analyse de texte intégral des commandes privilégiées journalisées	CMA_0056 - Effectuer une analyse de texte intégral des commandes privilégiées journalisées	Manuel, désactivé	1.1.0
Dependency Agent doit être activé pour les images de machine virtuelle listées	Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support.	AuditIfNotExists, Désactivé	2.0.0
Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées	Signale les groupes de machines virtuelles identiques comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support.	AuditIfNotExists, Désactivé	2.0.0
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Activer l’autorisation double ou conjointe	CMA_0226 – Activer l’autorisation double ou conjointe	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées	Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée.	AuditIfNotExists, Désactivé	2.0.1
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Gérer les comptes système et d’administration	CMA_0368 – Gérer les comptes système et d’administration	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Surveiller l’activité des comptes	CMA_0377 - Surveiller l’activité des comptes	Manuel, désactivé	1.1.0
Surveiller l’attribution de rôle privilégié	CMA_0378 – Surveiller l’attribution de rôle privilégié	Manuel, désactivé	1.1.0
Avertir lorsque le compte n’est pas nécessaire	CMA_0383 – Avertir lorsque le compte n’est pas nécessaire	Manuel, désactivé	1.1.0
Obtenir un avis juridique pour la supervision des activités du système	CMA_C1688 - Obtenir un avis juridique pour la supervision des activités du système	Manuel, désactivé	1.1.0
Protéger les informations d’audit	CMA_0401 – Protéger les informations d’audit	Manuel, désactivé	1.1.0
Fournir des informations de supervision selon les besoins	CMA_C1689 - Fournir des informations de supervision selon les besoins	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0
Révoquer les rôles privilégiés selon les besoins	CMA_0483 – Révoquer les rôles privilégiés selon les besoins	Manuel, désactivé	1.1.0
Router le trafic via des points d’accès réseau gérés	CMA_0484 - Router le trafic via des points d’accès réseau gérés	Manuel, désactivé	1.1.0
Utiliser Privileged Identity Management	CMA_0533 – Utiliser la gestion des identités privilégiées	Manuel, désactivé	1.1.0

Synchronisation des horloges

ID : Propriété ISO 27001:2013 A.12.4.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
[Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées	Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée.	AuditIfNotExists, Désactivé	2.0.1-preview
Auditez le paramètre de diagnostic pour les types de ressources sélectionnés	Auditez le paramètre de diagnostic pour les types de ressources sélectionnés. Assurez-vous que vous sélectionnez uniquement des types de ressources qui prennent en charge les paramètres de diagnostic.	AuditIfNotExists	2.0.1
L’audit sur SQL Server doit être activé	L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit.	AuditIfNotExists, Désactivé	2.0.0
Compiler les enregistrements d’audit dans l’audit à l’échelle du système	CMA_C1140 - Compiler les enregistrements d’audit dans l’audit à l’échelle du système	Manuel, désactivé	1.1.0
Dependency Agent doit être activé pour les images de machine virtuelle listées	Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support.	AuditIfNotExists, Désactivé	2.0.0
Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées	Signale les groupes de machines virtuelles identiques comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support.	AuditIfNotExists, Désactivé	2.0.0
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées	Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée.	AuditIfNotExists, Désactivé	2.0.1
Utiliser des horloges système pour les enregistrements d’audit	CMA_0535 - Utiliser des horloges système pour les enregistrements d’audit	Manuel, désactivé	1.1.0

Installation de logiciels sur les systèmes d’exploitation

ID : Propriété ISO 27001:2013 A.12.5.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Automatiser la demande d’approbation pour les modifications proposées	CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées	Manuel, désactivé	1.1.0
Automatiser l’implémentation des notifications de modification approuvées	CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées	Manuel, désactivé	1.1.0
Automatiser le processus de documentation des modifications implémentées	CMA_C1195 - Automatiser le processus de documentation des modifications implémentées	Manuel, désactivé	1.1.0
Automatiser le processus de mise en évidence des propositions de modification non révisées	CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées	Manuel, désactivé	1.1.0
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées	CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées	Manuel, désactivé	1.1.0
Automatiser les modifications documentées proposées	CMA_C1191 - Automatiser les modifications documentées proposées	Manuel, désactivé	1.1.0
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Développer et gérer un standard de gestion des vulnérabilités	CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités	Manuel, désactivé	1.1.0
Appliquer les paramètres de configuration de sécurité	CMA_0249 – Appliquer les paramètres de configuration de sécurité	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Gouverner la conformité des fournisseurs de services cloud	CMA_0290 - Gouverner la conformité des fournisseurs de services cloud	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Visualiser et configurer les données de diagnostic système	CMA_0544 - Visualiser et configurer les données de diagnostic système	Manuel, désactivé	1.1.0

Gestion des vulnérabilités techniques

ID : Propriété ISO 27001:2013 A.12.6.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles	Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous.	AuditIfNotExists, Désactivé	3.0.0
Effectuer une évaluation des risques	CMA_C1543 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques et distribuer ses résultats	CMA_C1544 - Effectuer une évaluation des risques et distribuer ses résultats	Manuel, désactivé	1.1.0
Effectuer l’évaluation des risques et documenter ses résultats	CMA_C1542 - Effectuer l’évaluation des risques et documenter ses résultats	Manuel, désactivé	1.1.0
Incorporer la correction des défauts dans la gestion de configuration	CMA_C1671 - Incorporer la correction des défauts dans la gestion de configuration	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité	CMA_C1149 - Sélectionner des tests supplémentaires pour les évaluations des contrôles de sécurité	Manuel, désactivé	1.1.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus	Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données.	AuditIfNotExists, Désactivé	4.1.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées	Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation	AuditIfNotExists, Désactivé	3.1.0

Restrictions liées à l’installation de logiciels

ID : Propriété ISO 27001:2013 A.12.6.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Automatiser la demande d’approbation pour les modifications proposées	CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées	Manuel, désactivé	1.1.0
Automatiser l’implémentation des notifications de modification approuvées	CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées	Manuel, désactivé	1.1.0
Automatiser le processus de documentation des modifications implémentées	CMA_C1195 - Automatiser le processus de documentation des modifications implémentées	Manuel, désactivé	1.1.0
Automatiser le processus de mise en évidence des propositions de modification non révisées	CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées	Manuel, désactivé	1.1.0
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées	CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées	Manuel, désactivé	1.1.0
Automatiser les modifications documentées proposées	CMA_C1191 - Automatiser les modifications documentées proposées	Manuel, désactivé	1.1.0
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Développer et gérer un standard de gestion des vulnérabilités	CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités	Manuel, désactivé	1.1.0
Appliquer les paramètres de configuration de sécurité	CMA_0249 – Appliquer les paramètres de configuration de sécurité	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Gouverner la conformité des fournisseurs de services cloud	CMA_0290 - Gouverner la conformité des fournisseurs de services cloud	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Visualiser et configurer les données de diagnostic système	CMA_0544 - Visualiser et configurer les données de diagnostic système	Manuel, désactivé	1.1.0

Contrôles d’audit des systèmes d’information

ID : Propriété ISO 27001:2013 A.12.7.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Utiliser une équipe indépendante pour les tests d’intrusion	CMA_C1171 - Utiliser une équipe indépendante pour les tests d’intrusion	Manuel, désactivé	1.1.0

Sécurité des communications

Contrôles de réseau

ID : Propriété ISO 27001:2013 A.13.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle	Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources.	AuditIfNotExists, Désactivé	3.0.0
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Documenter et implémenter les instructions d’accès sans fil	CMA_0190 - Documenter et implémenter les instructions d’accès sans fil	Manuel, désactivé	1.1.0
Formation sur la mobilité des documents	CMA_0191 – Formation sur la mobilité des documents	Manuel, désactivé	1.1.0
Documentation des instructions d’accès à distance	CMA_0196 – Documentation des instructions d’accès à distance	Manuel, désactivé	1.1.0
Utiliser la protection des limites pour isoler les systèmes d’information	CMA_C1639 - Utiliser la protection des limites pour isoler les systèmes d’information	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Établir les conditions générales d’accès aux ressources	CMA_C1076 - Établir les conditions générales d’accès aux ressources	Manuel, désactivé	1.1.0
Établir les conditions générales pour le traitement des ressources	CMA_C1077 - Établir les conditions générales pour le traitement des ressources	Manuel, désactivé	1.1.0
Identifier et authentifier les périphériques réseau	CMA_0296 – Identifier et authentifier les périphériques réseau	Manuel, désactivé	1.1.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Implémenter un service d’adresse/nom à tolérance de panne	CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0
Implémenter une interface managée pour chaque service externe	CMA_C1626 - Implémenter une interface managée pour chaque service externe	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	Manuel, désactivé	1.1.0
Empêcher le tunneling fractionné pour les appareils distants	CMA_C1632 - Empêcher le tunneling fractionné pour les appareils distants	Manuel, désactivé	1.1.0
Produire, contrôler et distribuer des clés de chiffrement asymétriques	CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Protéger l’accès sans fil	CMA_0411 - Protéger l’accès sans fil	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
Fournir des services sécurisés de résolution de noms et d’adresses	CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses	Manuel, désactivé	1.1.0
Réauthentifier ou mettre fin à une session utilisateur	CMA_0421 - Réauthentifier ou mettre fin à une session utilisateur	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0
Sécuriser l’interface pour les systèmes externes	CMA_0491 - Sécuriser l’interface pour les systèmes externes	Manuel, désactivé	1.1.0
Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information	CMA_0493 - Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information	Manuel, désactivé	1.1.0
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Utiliser des machines dédiées pour les tâches d’administration	CMA_0527 - Utiliser des machines dédiées pour les tâches d’administration	Manuel, désactivé	1.1.0
Vérifier les contrôles de sécurité pour les systèmes d’information externes	CMA_0541 - Vérifier les contrôles de sécurité pour les systèmes d’information externes	Manuel, désactivé	1.1.0

Sécurité des services réseau

ID : Propriété ISO 27001:2013 A.13.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Définir et documenter la supervision du secteur public	CMA_C1587 - Définir et documenter la supervision du secteur public	Manuel, désactivé	1.1.0
Établir les exigences de signature électronique et de certificat	CMA_0271 - Établir les exigences de signature électronique et de certificat	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Empêcher le tunneling fractionné pour les appareils distants	CMA_C1632 - Empêcher le tunneling fractionné pour les appareils distants	Manuel, désactivé	1.1.0
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	Manuel, désactivé	1.1.0
Exiger des contrats de sécurité des interconnexion	CMA_C1151 - Exiger des contrats de sécurité des interconnexions	Manuel, désactivé	1.1.0
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	Manuel, désactivé	1.1.0
Router le trafic via des points d’accès réseau gérés	CMA_0484 - Router le trafic via des points d’accès réseau gérés	Manuel, désactivé	1.1.0
Sécuriser l’interface pour les systèmes externes	CMA_0491 - Sécuriser l’interface pour les systèmes externes	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0
Mettre à jour les contrats de sécurité des interconnexions	CMA_0519 - Mettre à jour les contrats de sécurité des interconnexions	Manuel, désactivé	1.1.0

Séparation des réseaux

ID : Propriété ISO 27001:2013 A.13.1.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Utiliser la protection des limites pour isoler les systèmes d’information	CMA_C1639 - Utiliser la protection des limites pour isoler les systèmes d’information	Manuel, désactivé	1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Implémenter un service d’adresse/nom à tolérance de panne	CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne	Manuel, désactivé	1.1.0
Implémenter une interface managée pour chaque service externe	CMA_C1626 - Implémenter une interface managée pour chaque service externe	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité	CMA_C1029 - Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité	Manuel, désactivé	1.1.0
Empêcher le tunneling fractionné pour les appareils distants	CMA_C1632 - Empêcher le tunneling fractionné pour les appareils distants	Manuel, désactivé	1.1.0
Fournir des services sécurisés de résolution de noms et d’adresses	CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses	Manuel, désactivé	1.1.0
Sécuriser l’interface pour les systèmes externes	CMA_0491 - Sécuriser l’interface pour les systèmes externes	Manuel, désactivé	1.1.0
Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information	CMA_0493 - Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information	Manuel, désactivé	1.1.0
Utiliser des machines dédiées pour les tâches d’administration	CMA_0527 - Utiliser des machines dédiées pour les tâches d’administration	Manuel, désactivé	1.1.0

Stratégies et procédures de transfert d’informations

ID : Propriété ISO 27001:2013 A.13.2.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Définir les exigences pour les appareils mobiles	CMA_0122 - Définir les exigences pour les appareils mobiles	Manuel, désactivé	1.1.0
Documenter et implémenter les instructions d’accès sans fil	CMA_0190 - Documenter et implémenter les instructions d’accès sans fil	Manuel, désactivé	1.1.0
Formation sur la mobilité des documents	CMA_0191 – Formation sur la mobilité des documents	Manuel, désactivé	1.1.0
Documentation des instructions d’accès à distance	CMA_0196 – Documentation des instructions d’accès à distance	Manuel, désactivé	1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Établir les conditions générales d’accès aux ressources	CMA_C1076 - Établir les conditions générales d’accès aux ressources	Manuel, désactivé	1.1.0
Établir les conditions générales pour le traitement des ressources	CMA_C1077 - Établir les conditions générales pour le traitement des ressources	Manuel, désactivé	1.1.0
Notifier explicitement l’utilisation d’appareils informatiques collaboratifs	CMA_C1649 - Notifier explicitement l’utilisation d’appareils informatiques collaboratifs	Manuel, désactivé	1.1.1
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Implémenter un service d’adresse/nom à tolérance de panne	CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0
Implémenter une interface managée pour chaque service externe	CMA_C1626 - Implémenter une interface managée pour chaque service externe	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité	CMA_C1029 - Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité	Manuel, désactivé	1.1.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées	Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session).	Audit, Refuser, Désactivé	1.0.0
Produire, contrôler et distribuer des clés de chiffrement asymétriques	CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques	Manuel, désactivé	1.1.0
Interdire l’activation à distance d’appareils informatiques collaboratifs	CMA_C1648 - Interdire l’activation à distance d’appareils informatiques collaboratifs	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Protéger l’accès sans fil	CMA_0411 - Protéger l’accès sans fil	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
Fournir des services sécurisés de résolution de noms et d’adresses	CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses	Manuel, désactivé	1.1.0
Exiger des contrats de sécurité des interconnexion	CMA_C1151 - Exiger des contrats de sécurité des interconnexions	Manuel, désactivé	1.1.0
Sécuriser l’interface pour les systèmes externes	CMA_0491 - Sécuriser l’interface pour les systèmes externes	Manuel, désactivé	1.1.0
La sécurisation du transfert vers des comptes de stockage doit être activée	Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session)	Audit, Refuser, Désactivé	2.0.0
Mettre à jour les contrats de sécurité des interconnexions	CMA_0519 - Mettre à jour les contrats de sécurité des interconnexions	Manuel, désactivé	1.1.0
Vérifier les contrôles de sécurité pour les systèmes d’information externes	CMA_0541 - Vérifier les contrôles de sécurité pour les systèmes d’information externes	Manuel, désactivé	1.1.0

Accords sur le transfert d’informations

ID : Propriété ISO 27001:2013 A.13.2.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Définir et documenter la supervision du secteur public	CMA_C1587 - Définir et documenter la supervision du secteur public	Manuel, désactivé	1.1.0
Documenter l’acceptation des exigences de confidentialité par le personnel	CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel	Manuel, désactivé	1.1.0
Identifier les fournisseurs de services externes	CMA_C1591 - Identifier les fournisseurs de services externes	Manuel, désactivé	1.1.0
Implémenter des méthodes de remise de déclaration de confidentialité	CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité	Manuel, désactivé	1.1.0
Obtenir le consentement avant la collecte ou le traitement des données personnelles	CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles	Manuel, désactivé	1.1.0
Fournir une déclaration de confidentialité	CMA_0414 - Fournir une déclaration de confidentialité	Manuel, désactivé	1.1.0
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	Manuel, désactivé	1.1.0
Exiger des contrats de sécurité des interconnexion	CMA_C1151 - Exiger des contrats de sécurité des interconnexions	Manuel, désactivé	1.1.0
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0
Mettre à jour les contrats de sécurité des interconnexions	CMA_0519 - Mettre à jour les contrats de sécurité des interconnexions	Manuel, désactivé	1.1.0

Messagerie électronique

ID : Propriété ISO 27001:2013 A.13.2.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Implémenter un service d’adresse/nom à tolérance de panne	CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne	Manuel, désactivé	1.1.0
Produire, contrôler et distribuer des clés de chiffrement asymétriques	CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Fournir des services sécurisés de résolution de noms et d’adresses	CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses	Manuel, désactivé	1.1.0

Accords de confidentialité ou de non-divulgation

ID : Propriété ISO 27001:2013 A.13.2.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures d’utilisation acceptables	CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables	Manuel, désactivé	1.1.0
Développer une stratégie de code de conduite de l’organisation	CMA_0159 - Développer une stratégie de code de conduite de l’organisation	Manuel, désactivé	1.1.0
Développer des protections de sécurité	CMA_0161 - Développer des protections de sécurité	Manuel, désactivé	1.1.0
Documenter les contrats d’accès de l’organisation	CMA_0192 - Documenter les contrats d’accès de l’organisation	Manuel, désactivé	1.1.0
Documenter l’acceptation des exigences de confidentialité par le personnel	CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel	Manuel, désactivé	1.1.0
Appliquer des règles de comportement et des contrats d’accès	CMA_0248 - Appliquer des règles de comportement et des contrats d’accès	Manuel, désactivé	1.1.0
Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu	CMA_C1528 - Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu	Manuel, désactivé	1.1.0
Interdire les pratiques déloyales	CMA_0396 - Interdire les pratiques déloyales	Manuel, désactivé	1.1.0
Exiger des utilisateurs qu’ils signent un contrat d’accès	CMA_0440 - Exiger des utilisateurs qu’ils signent un contrat d’accès	Manuel, désactivé	1.1.0
Passer en revue et signer les règles de comportement révisées	CMA_0465 - Passer en revue et signer les règles de comportement révisées	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour les contrats d’accès de l’organisation	CMA_0520 - Mettre à jour les contrats d’accès de l’organisation	Manuel, désactivé	1.1.0
Mettre à jour les règles de comportement et les contrats d’accès	CMA_0521 - Mettre à jour les règles de comportement et les contrats d’accès	Manuel, désactivé	1.1.0
Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans	CMA_0522 - Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans	Manuel, désactivé	1.1.0

Acquisition, développement et maintenance des systèmes

Analyse et spécification des exigences en matière de sécurité des informations

ID : Propriété ISO 27001:2013 A.14.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Définir les rôles et les responsabilités de sécurité des informations	CMA_C1565 - Définir les rôles et les responsabilités de sécurité des informations	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Développer un concept d’opérations (CONOPS)	CMA_0141 - Développer un concept d’opérations (CONOPS)	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Développer un SSP qui répond aux critères	CMA_C1492 - Développer un SSP qui répond aux critères	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Identifier les fournisseurs de services externes	CMA_C1591 - Identifier les fournisseurs de services externes	Manuel, désactivé	1.1.0
Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité	CMA_C1566 - Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité	Manuel, désactivé	1.1.1
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0
Intégrer le processus de gestion des risques au SDLC	CMA_C1567 - Intégrer le processus de gestion des risques au SDLC	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour l’architecture de sécurité des informations	CMA_C1504 - Passer en revue et mettre à jour l’architecture de sécurité des informations	Manuel, désactivé	1.1.0
Passer en revue le processus, les standards et les outils de développement	CMA_C1610 - Passer en revue le processus, les standards et les outils de développement	Manuel, désactivé	1.1.0

Sécurisation des services d’application sur des réseaux publics

ID : Propriété ISO 27001:2013 A.14.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Formation sur la mobilité des documents	CMA_0191 – Formation sur la mobilité des documents	Manuel, désactivé	1.1.0
Documentation des instructions d’accès à distance	CMA_0196 – Documentation des instructions d’accès à distance	Manuel, désactivé	1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Appliquer l’unicité de l’utilisateur	CMA_0250 – Appliquer l’unicité de l’utilisateur	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Identifier et authentifier les périphériques réseau	CMA_0296 – Identifier et authentifier les périphériques réseau	Manuel, désactivé	1.1.0
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation	CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation	Manuel, désactivé	1.1.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Implémenter un service d’adresse/nom à tolérance de panne	CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0
Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité	CMA_C1029 - Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	Manuel, désactivé	1.1.0
Produire, contrôler et distribuer des clés de chiffrement asymétriques	CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
Fournir des services sécurisés de résolution de noms et d’adresses	CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	Manuel, désactivé	1.1.0

Protection des transactions des services d’application

ID : Propriété ISO 27001:2013 A.14.1.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Utiliser la protection des limites pour isoler les systèmes d’information	CMA_C1639 - Utiliser la protection des limites pour isoler les systèmes d’information	Manuel, désactivé	1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Appliquer l’unicité de l’utilisateur	CMA_0250 – Appliquer l’unicité de l’utilisateur	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation	CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation	Manuel, désactivé	1.1.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Implémenter un service d’adresse/nom à tolérance de panne	CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité	CMA_C1029 - Contrôle des flux d’informations en utilisant des filtres de stratégie de sécurité	Manuel, désactivé	1.1.0
Empêcher le tunneling fractionné pour les appareils distants	CMA_C1632 - Empêcher le tunneling fractionné pour les appareils distants	Manuel, désactivé	1.1.0
Produire, contrôler et distribuer des clés de chiffrement asymétriques	CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Fournir des services sécurisés de résolution de noms et d’adresses	CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0
Sécuriser l’interface pour les systèmes externes	CMA_0491 - Sécuriser l’interface pour les systèmes externes	Manuel, désactivé	1.1.0
Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information	CMA_0493 - Séparer les fonctionnalités de gestion des utilisateurs et des systèmes d’information	Manuel, désactivé	1.1.0
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	Manuel, désactivé	1.1.0
Utiliser des machines dédiées pour les tâches d’administration	CMA_0527 - Utiliser des machines dédiées pour les tâches d’administration	Manuel, désactivé	1.1.0

Stratégie de développement sécurisé

ID : Propriété ISO 27001:2013 A.14.2.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Définir les rôles et les responsabilités de sécurité des informations	CMA_C1565 - Définir les rôles et les responsabilités de sécurité des informations	Manuel, désactivé	1.1.0
Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité	CMA_C1566 - Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité	Manuel, désactivé	1.1.1
Intégrer le processus de gestion des risques au SDLC	CMA_C1567 - Intégrer le processus de gestion des risques au SDLC	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils créent une architecture de sécurité	CMA_C1612 - Exiger des développeurs qu’ils créent une architecture de sécurité	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils décrivent des fonctionnalités de sécurité précises	CMA_C1613 - Exiger des développeurs qu’ils décrivent des fonctionnalités de sécurité précises	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils fournissent une approche unifiée de protection de la sécurité	CMA_C1614 - Exiger des développeurs qu’ils fournissent une approche unifiée de protection de la sécurité	Manuel, désactivé	1.1.0
Passer en revue le processus, les standards et les outils de développement	CMA_C1610 - Passer en revue le processus, les standards et les outils de développement	Manuel, désactivé	1.1.0

Procédures de contrôle de modification des systèmes

ID : Propriété ISO 27001:2013 A.14.2.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Résoudre les vulnérabilités de codage	CMA_0003 - Résoudre les vulnérabilités de codage	Manuel, désactivé	1.1.0
Automatiser la demande d’approbation pour les modifications proposées	CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées	Manuel, désactivé	1.1.0
Automatiser l’implémentation des notifications de modification approuvées	CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées	Manuel, désactivé	1.1.0
Automatiser le processus de documentation des modifications implémentées	CMA_C1195 - Automatiser le processus de documentation des modifications implémentées	Manuel, désactivé	1.1.0
Automatiser le processus de mise en évidence des propositions de modification non révisées	CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées	Manuel, désactivé	1.1.0
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées	CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées	Manuel, désactivé	1.1.0
Automatiser les modifications documentées proposées	CMA_C1191 - Automatiser les modifications documentées proposées	Manuel, désactivé	1.1.0
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Développer et documenter les exigences de sécurité des applications	CMA_0148 - Développer et documenter les exigences de sécurité des applications	Manuel, désactivé	1.1.0
Développer et gérer un standard de gestion des vulnérabilités	CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Appliquer les paramètres de configuration de sécurité	CMA_0249 – Appliquer les paramètres de configuration de sécurité	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir un programme de développement de logiciels sécurisés	CMA_0259 - Établir un programme de développement de logiciels sécurisés	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Incorporer la correction des défauts dans la gestion de configuration	CMA_C1671 - Incorporer la correction des défauts dans la gestion de configuration	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel	CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées	CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils gèrent l’intégrité des modifications	CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications	Manuel, désactivé	1.1.0

Révision technique des applications suite à la modification de la plateforme d’exploitation

ID : Propriété ISO 27001:2013 A.14.2.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Automatiser la demande d’approbation pour les modifications proposées	CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées	Manuel, désactivé	1.1.0
Automatiser l’implémentation des notifications de modification approuvées	CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées	Manuel, désactivé	1.1.0
Automatiser le processus de documentation des modifications implémentées	CMA_C1195 - Automatiser le processus de documentation des modifications implémentées	Manuel, désactivé	1.1.0
Automatiser le processus de mise en évidence des propositions de modification non révisées	CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées	Manuel, désactivé	1.1.0
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées	CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées	Manuel, désactivé	1.1.0
Automatiser les modifications documentées proposées	CMA_C1191 - Automatiser les modifications documentées proposées	Manuel, désactivé	1.1.0
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Développer et gérer un standard de gestion des vulnérabilités	CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités	Manuel, désactivé	1.1.0
Appliquer les paramètres de configuration de sécurité	CMA_0249 – Appliquer les paramètres de configuration de sécurité	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Incorporer la correction des défauts dans la gestion de configuration	CMA_C1671 - Incorporer la correction des défauts dans la gestion de configuration	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0

Restrictions de l’apport de modifications aux packages logiciels

ID : ISO 27001:2013 A.14.2.4 Propriété : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Résoudre les vulnérabilités de codage	CMA_0003 - Résoudre les vulnérabilités de codage	Manuel, désactivé	1.1.0
Automatiser la demande d’approbation pour les modifications proposées	CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées	Manuel, désactivé	1.1.0
Automatiser l’implémentation des notifications de modification approuvées	CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées	Manuel, désactivé	1.1.0
Automatiser le processus de documentation des modifications implémentées	CMA_C1195 - Automatiser le processus de documentation des modifications implémentées	Manuel, désactivé	1.1.0
Automatiser le processus de mise en évidence des propositions de modification non révisées	CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées	Manuel, désactivé	1.1.0
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées	CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées	Manuel, désactivé	1.1.0
Automatiser les modifications documentées proposées	CMA_C1191 - Automatiser les modifications documentées proposées	Manuel, désactivé	1.1.0
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Développer et documenter les exigences de sécurité des applications	CMA_0148 - Développer et documenter les exigences de sécurité des applications	Manuel, désactivé	1.1.0
Développer et gérer un standard de gestion des vulnérabilités	CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Appliquer les paramètres de configuration de sécurité	CMA_0249 – Appliquer les paramètres de configuration de sécurité	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir un programme de développement de logiciels sécurisés	CMA_0259 - Établir un programme de développement de logiciels sécurisés	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel	CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées	CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils gèrent l’intégrité des modifications	CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications	Manuel, désactivé	1.1.0

Principes d’ingénierie système sécurisés

ID : Propriété ISO 27001:2013 A.14.2.5 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Effectuer la validation des entrées d’informations	CMA_C1723 - Effectuer la validation des entrées d’informations	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils créent une architecture de sécurité	CMA_C1612 - Exiger des développeurs qu’ils créent une architecture de sécurité	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils décrivent des fonctionnalités de sécurité précises	CMA_C1613 - Exiger des développeurs qu’ils décrivent des fonctionnalités de sécurité précises	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils fournissent une approche unifiée de protection de la sécurité	CMA_C1614 - Exiger des développeurs qu’ils fournissent une approche unifiée de protection de la sécurité	Manuel, désactivé	1.1.0
Passer en revue le processus, les standards et les outils de développement	CMA_C1610 - Passer en revue le processus, les standards et les outils de développement	Manuel, désactivé	1.1.0

Environnement de développement sécurisé

ID : Propriété ISO 27001:2013 A.14.2.6 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Définir les rôles et les responsabilités de sécurité des informations	CMA_C1565 - Définir les rôles et les responsabilités de sécurité des informations	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité	CMA_C1566 - Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité	Manuel, désactivé	1.1.1
Intégrer le processus de gestion des risques au SDLC	CMA_C1567 - Intégrer le processus de gestion des risques au SDLC	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0

Développement externalisé

ID : Propriété ISO 27001:2013 A.14.2.7 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Résoudre les vulnérabilités de codage	CMA_0003 - Résoudre les vulnérabilités de codage	Manuel, désactivé	1.1.0
Évaluer les risques dans les relations avec les tiers	CMA_0014 - Évaluer les risques dans les relations avec les tiers	Manuel, désactivé	1.1.0
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Définir les exigences pour la fourniture de biens et de services	CMA_0126 - Définir les exigences pour la fourniture de biens et de services	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Développer et documenter les exigences de sécurité des applications	CMA_0148 - Développer et documenter les exigences de sécurité des applications	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0
Établir un programme de développement de logiciels sécurisés	CMA_0259 - Établir un programme de développement de logiciels sécurisés	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement	CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel	CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées	CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils gèrent l’intégrité des modifications	CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité	CMA_C1602 - Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0

Tests de sécurité des systèmes

ID : Propriété ISO 27001:2013 A.14.2.8 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Fournir les résultats de l’évaluation de la sécurité	CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité	Manuel, désactivé	1.1.0
Développer un plan d’évaluation de la sécurité	CMA_C1144 - Développer un plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0
Vérifier qu’il n’existe aucun authentificateur statique non chiffré	CMA_C1340 - Vérifier qu’il n’existe aucun authentificateur statique non chiffré	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Produire un rapport d’évaluation de la sécurité	CMA_C1146 - Produire un rapport d’évaluation de la sécurité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité	CMA_C1602 - Exiger des développeurs qu’ils produisent une preuve de l’exécution du plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0

Test d’acceptation des systèmes

ID : Propriété ISO 27001:2013 A.14.2.9 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Affecter un responsable des autorisations	CMA_C1158 - Affecter un responsable des autorisations	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0
Vérifier que les ressources sont autorisées	CMA_C1159 - Vérifier que les ressources sont autorisées	Manuel, désactivé	1.1.0
Vérifier qu’il n’existe aucun authentificateur statique non chiffré	CMA_C1340 - Vérifier qu’il n’existe aucun authentificateur statique non chiffré	Manuel, désactivé	1.1.0

Protection des données de test

ID : Propriété ISO 27001:2013 A.14.3.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Vérifier qu’il n’existe aucun authentificateur statique non chiffré	CMA_C1340 - Vérifier qu’il n’existe aucun authentificateur statique non chiffré	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Effectuer une révision avant destruction	CMA_0391 - Effectuer une révision avant destruction	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Vérifier que les données personnelles sont supprimées à la fin du traitement	CMA_0540 - Vérifier que les informations personnelles sont supprimées à la fin du traitement	Manuel, désactivé	1.1.0

Relations avec les fournisseurs

Stratégie de sécurité des informations pour les relations avec les fournisseurs

ID : Propriété ISO 27001:2013 A.15.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les risques dans les relations avec les tiers	CMA_0014 - Évaluer les risques dans les relations avec les tiers	Manuel, désactivé	1.1.0
Définir les exigences pour la fourniture de biens et de services	CMA_0126 - Définir les exigences pour la fourniture de biens et de services	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement	CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	Manuel, désactivé	1.1.0

Clauses relatives à la sécurité dans les contrats avec les fournisseurs

ID : Propriété ISO 27001:2013 A.15.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les risques dans les relations avec les tiers	CMA_0014 - Évaluer les risques dans les relations avec les tiers	Manuel, désactivé	1.1.0
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes	CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes	Manuel, désactivé	1.1.0
Définir les exigences pour la fourniture de biens et de services	CMA_0126 - Définir les exigences pour la fourniture de biens et de services	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’utilisation acceptables	CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables	Manuel, désactivé	1.1.0
Développer une stratégie de code de conduite de l’organisation	CMA_0159 - Développer une stratégie de code de conduite de l’organisation	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’acceptation des exigences de confidentialité par le personnel	CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0
Appliquer des règles de comportement et des contrats d’accès	CMA_0248 - Appliquer des règles de comportement et des contrats d’accès	Manuel, désactivé	1.1.0
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement	CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement	Manuel, désactivé	1.1.0
Identifier les fournisseurs de services externes	CMA_C1591 - Identifier les fournisseurs de services externes	Manuel, désactivé	1.1.0
Interdire les pratiques déloyales	CMA_0396 - Interdire les pratiques déloyales	Manuel, désactivé	1.1.0
Passer en revue et signer les règles de comportement révisées	CMA_0465 - Passer en revue et signer les règles de comportement révisées	Manuel, désactivé	1.1.0
Mettre à jour les règles de comportement et les contrats d’accès	CMA_0521 - Mettre à jour les règles de comportement et les contrats d’accès	Manuel, désactivé	1.1.0
Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans	CMA_0522 - Mettre à jour les règles de comportement et les contrats d’accès tous les 3 ans	Manuel, désactivé	1.1.0

Chaîne logistique des technologies de l’information et de la communication

ID : Propriété ISO 27001:2013 A.15.1.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les risques dans les relations avec les tiers	CMA_0014 - Évaluer les risques dans les relations avec les tiers	Manuel, désactivé	1.1.0
Définir les exigences pour la fourniture de biens et de services	CMA_0126 - Définir les exigences pour la fourniture de biens et de services	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement	CMA_0275 - Établir des stratégies pour la gestion des risques liés à la chaîne d’approvisionnement	Manuel, désactivé	1.1.0

Surveillance et évaluation des services de fournisseurs

ID : Propriété ISO 27001:2013 A.15.2.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Définir et documenter la supervision du secteur public	CMA_C1587 - Définir et documenter la supervision du secteur public	Manuel, désactivé	1.1.0
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	Manuel, désactivé	1.1.0
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0

Gestion des modifications apportées aux services des fournisseurs

ID : Propriété ISO 27001:2013 A.15.2.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Définir et documenter la supervision du secteur public	CMA_C1587 - Définir et documenter la supervision du secteur public	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	Manuel, désactivé	1.1.0
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0

Gestion des incidents de sécurité informatique

Responsabilités et procédures

ID : Propriété ISO 27001:2013 A.16.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les événements de sécurité des informations	CMA_0013 - Évaluer les événements de sécurité des informations	Manuel, désactivé	1.1.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Implémenter une gestion des incidents	CMA_0318 - Implémenter une gestion des incidents	Manuel, désactivé	1.1.0
Conserver les enregistrements de divulgation de données	CMA_0351 - Conserver les enregistrements de divulgation de données	Manuel, désactivé	1.1.0
Gérer le plan de réponse aux incidents	CMA_0352 - Gérer le plan de réponse aux incidents	Manuel, désactivé	1.1.0
Protéger le plan de réponse aux incidents	CMA_0405 - Protéger le plan de réponse aux incidents	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0

Signalement d’événements de sécurité des informations

ID : Propriété ISO 27001:2013 A.16.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Mettre en corrélation les enregistrements d’audit	CMA_0087 - Mettre en corrélation les enregistrements d’audit	Manuel, désactivé	1.1.0
Documenter les opérations de sécurité	CMA_0202 – Documenter les opérations de sécurité	Manuel, désactivé	1.1.0
Établir des exigences pour la révision et la création de rapports d’audit	CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit	Manuel, désactivé	1.1.0
Implémenter une gestion des incidents	CMA_0318 - Implémenter une gestion des incidents	Manuel, désactivé	1.1.0
Intégrer la révision d’audit, l’analyse et la création de rapports	CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports	Manuel, désactivé	1.1.0
Intégrer la sécurité des applications cloud à un SIEM	CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM	Manuel, désactivé	1.1.0
Signaler le comportement atypique de comptes d’utilisateur	CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur	Manuel, désactivé	1.1.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Passer en revue les affectations d’administrateurs toutes les semaines	CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0
Passer en revue la vue d’ensemble du rapport des identités cloud	CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud	Manuel, désactivé	1.1.0
Passer en revue les événements accès contrôlé aux dossiers	CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers	Manuel, désactivé	1.1.0
Examiner l’activité des fichiers et des dossiers	CMA_0473 - Examiner l’activité des fichiers et des dossiers	Manuel, désactivé	1.1.0
Passer en revue les modifications apportées aux groupes de rôles chaque semaine	CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine	Manuel, désactivé	1.1.0

Signalement de faiblesses de la sécurité des informations

ID : Propriété ISO 27001:2013 A.16.1.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Documenter les opérations de sécurité	CMA_0202 – Documenter les opérations de sécurité	Manuel, désactivé	1.1.0
Incorporer la correction des défauts dans la gestion de configuration	CMA_C1671 - Incorporer la correction des défauts dans la gestion de configuration	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Signaler le comportement atypique de comptes d’utilisateur	CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur	Manuel, désactivé	1.1.0

Évaluation des événements de sécurité des informations et décision

ID : Propriété ISO 27001:2013 A.16.1.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les événements de sécurité des informations	CMA_0013 - Évaluer les événements de sécurité des informations	Manuel, désactivé	1.1.0
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Mettre en corrélation les enregistrements d’audit	CMA_0087 - Mettre en corrélation les enregistrements d’audit	Manuel, désactivé	1.1.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Développer des protections de sécurité	CMA_0161 - Développer des protections de sécurité	Manuel, désactivé	1.1.0
Activer la protection du réseau	CMA_0238 - Activer la protection réseau	Manuel, désactivé	1.1.0
Éradiquer les informations contaminées	CMA_0253 - Éradiquer les informations contaminées	Manuel, désactivé	1.1.0
Établir des exigences pour la révision et la création de rapports d’audit	CMA_0277 - Établir des exigences pour la révision et la création de rapports d’audit	Manuel, désactivé	1.1.0
Exécuter des actions en réponse à des fuites d’informations	CMA_0281 - Exécuter des actions en réponse à des fuites d’informations	Manuel, désactivé	1.1.0
Implémenter une gestion des incidents	CMA_0318 - Implémenter une gestion des incidents	Manuel, désactivé	1.1.0
Intégrer la révision d’audit, l’analyse et la création de rapports	CMA_0339 - Intégrer la révision d’audit, l’analyse et la création de rapports	Manuel, désactivé	1.1.0
Intégrer la sécurité des applications cloud à un SIEM	CMA_0340 - Intégrer la sécurité des applications cloud à un SIEM	Manuel, désactivé	1.1.0
Gérer le plan de réponse aux incidents	CMA_0352 - Gérer le plan de réponse aux incidents	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Signaler le comportement atypique de comptes d’utilisateur	CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur	Manuel, désactivé	1.1.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Passer en revue les affectations d’administrateurs toutes les semaines	CMA_0461 - Passer en revue les affectations d’administrateurs toutes les semaines	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0
Passer en revue la vue d’ensemble du rapport des identités cloud	CMA_0468 - Passer en revue la vue d’ensemble du rapport des identités cloud	Manuel, désactivé	1.1.0
Passer en revue les événements accès contrôlé aux dossiers	CMA_0471 - Passer en revue les événements d’accès contrôlé aux dossiers	Manuel, désactivé	1.1.0
Examiner l’activité des fichiers et des dossiers	CMA_0473 - Examiner l’activité des fichiers et des dossiers	Manuel, désactivé	1.1.0
Passer en revue les modifications apportées aux groupes de rôles chaque semaine	CMA_0476 - Passer en revue les modifications apportées aux groupes de rôles chaque semaine	Manuel, désactivé	1.1.0
Visualiser et examiner les utilisateurs restreints	CMA_0545 - Visualiser et examiner les utilisateurs restreints	Manuel, désactivé	1.1.0

Réponse aux incidents de sécurité des informations

ID : Propriété ISO 27001:2013 A.16.1.5 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les événements de sécurité des informations	CMA_0013 - Évaluer les événements de sécurité des informations	Manuel, désactivé	1.1.0
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Développer des protections de sécurité	CMA_0161 - Développer des protections de sécurité	Manuel, désactivé	1.1.0
Activer la protection du réseau	CMA_0238 - Activer la protection réseau	Manuel, désactivé	1.1.0
Éradiquer les informations contaminées	CMA_0253 - Éradiquer les informations contaminées	Manuel, désactivé	1.1.0
Exécuter des actions en réponse à des fuites d’informations	CMA_0281 - Exécuter des actions en réponse à des fuites d’informations	Manuel, désactivé	1.1.0
Implémenter une gestion des incidents	CMA_0318 - Implémenter une gestion des incidents	Manuel, désactivé	1.1.0
Gérer le plan de réponse aux incidents	CMA_0352 - Gérer le plan de réponse aux incidents	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Signaler le comportement atypique de comptes d’utilisateur	CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur	Manuel, désactivé	1.1.0
Visualiser et examiner les utilisateurs restreints	CMA_0545 - Visualiser et examiner les utilisateurs restreints	Manuel, désactivé	1.1.0

Enseignements à tirer des incidents de sécurité des informations

ID : Propriété ISO 27001:2013 A.16.1.6 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les événements de sécurité des informations	CMA_0013 - Évaluer les événements de sécurité des informations	Manuel, désactivé	1.1.0
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Développer des protections de sécurité	CMA_0161 - Développer des protections de sécurité	Manuel, désactivé	1.1.0
Découvrir tous les indicateurs de compromission	CMA_C1702 - Découvrir tous les indicateurs de compromission	Manuel, désactivé	1.1.0
Activer la protection du réseau	CMA_0238 - Activer la protection réseau	Manuel, désactivé	1.1.0
Éradiquer les informations contaminées	CMA_0253 - Éradiquer les informations contaminées	Manuel, désactivé	1.1.0
Exécuter des actions en réponse à des fuites d’informations	CMA_0281 - Exécuter des actions en réponse à des fuites d’informations	Manuel, désactivé	1.1.0
Implémenter une gestion des incidents	CMA_0318 - Implémenter une gestion des incidents	Manuel, désactivé	1.1.0
Gérer le plan de réponse aux incidents	CMA_0352 - Gérer le plan de réponse aux incidents	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Signaler le comportement atypique de comptes d’utilisateur	CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur	Manuel, désactivé	1.1.0
Visualiser et examiner les utilisateurs restreints	CMA_0545 - Visualiser et examiner les utilisateurs restreints	Manuel, désactivé	1.1.0

Collecte de preuves

ID : Propriété ISO 27001:2013 A.16.1.7 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes	CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes	Manuel, désactivé	1.1.0
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Implémenter une gestion des incidents	CMA_0318 - Implémenter une gestion des incidents	Manuel, désactivé	1.1.0
Signaler le comportement atypique de comptes d’utilisateur	CMA_C1025 - Signaler le comportement atypique de comptes d’utilisateur	Manuel, désactivé	1.1.0
Conserver les stratégies et procédures de sécurité	CMA_0454 – Conserver les stratégies et procédures de sécurité	Manuel, désactivé	1.1.0
Conserver les données utilisateur terminées	CMA_0455 – Conserver les données utilisateur terminées	Manuel, désactivé	1.1.0

Aspects de la sécurité des informations de la gestion de la continuité des activités

Planification de la continuité de la sécurité des informations

ID : Propriété ISO 27001:2013 A.17.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Communiquer les modifications apportées au plan d’urgence	CMA_C1249 - Communiquer les modifications apportées au plan d’urgence	Manuel, désactivé	1.1.0
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Développer et documenter un plan de continuité d’activité et de reprise d’activité	CMA_0146 - Développer et documenter un plan de continuité d’activité et de reprise d’activité	Manuel, désactivé	1.1.0
Développer un plan d’urgence	CMA_C1244 - Développer un plan d’urgence	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de planification d’urgence	CMA_0156 - Développer des stratégies et des procédures de planification d’urgence	Manuel, désactivé	1.1.0
Distribuer des stratégies et des procédures	CMA_0185 - Distribuer des stratégies et des procédures	Manuel, désactivé	1.1.0
Planifier la reprise des fonctions métier essentielles	CMA_C1253 - Planifier la reprise des fonctions métier essentielles	Manuel, désactivé	1.1.0
Reprendre toutes les fonctions des missions et des métiers	CMA_C1254 - Reprendre toutes les fonctions des missions et des métiers	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	Manuel, désactivé	1.1.0
Passer en revue le plan d’urgence	CMA_C1247 - Passer en revue le plan d’urgence	Manuel, désactivé	1.1.0
Mettre à jour le plan d’urgence	CMA_C1248 - Mettre à jour le plan d’urgence	Manuel, désactivé	1.1.0

Implémentation de la continuité de la sécurité des informations

ID : Propriété ISO 27001:2013 A.17.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Communiquer les modifications apportées au plan d’urgence	CMA_C1249 - Communiquer les modifications apportées au plan d’urgence	Manuel, désactivé	1.1.0
Effectuer une sauvegarde de la documentation du système d’information	CMA_C1289 - Effectuer une sauvegarde de la documentation du système d’information	Manuel, désactivé	1.1.0
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Créer des sites de stockage alternatifs et principaux distincts	CMA_C1269 - Créer des sites de stockage alternatifs et principaux distincts	Manuel, désactivé	1.1.0
Développer un plan d’urgence	CMA_C1244 - Développer un plan d’urgence	Manuel, désactivé	1.1.0
Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal	CMA_C1268 - Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal	Manuel, désactivé	1.1.0
Vérifier que le système d’informations échoue dans un état connu	CMA_C1662 - Vérifier que le système d’informations échoue dans un état connu	Manuel, désactivé	1.1.0
Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde	CMA_C1267 - Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde	Manuel, désactivé	1.1.0
Établir un site de traitement alternatif	CMA_0262 - Établir un site de traitement alternatif	Manuel, désactivé	1.1.0
Établir des stratégies et des procédures de sauvegarde	CMA_0268 - Établir des stratégies et des procédures de sauvegarde	Manuel, désactivé	1.1.0
Établir les exigences pour les fournisseurs de services Internet	CMA_0278 - Établir les exigences pour les fournisseurs de services Internet	Manuel, désactivé	1.1.0
Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif	CMA_C1271 - Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Implémenter une récupération basée sur les transactions	CMA_C1296 - Implémenter une récupération basée sur les transactions	Manuel, désactivé	1.1.0
Planifier la continuité des fonctions métier essentielles	CMA_C1255 - Planifier la continuité des fonctions métier essentielles	Manuel, désactivé	1.1.0
Planifier la reprise des fonctions métier essentielles	CMA_C1253 - Planifier la reprise des fonctions métier essentielles	Manuel, désactivé	1.1.0
Récupérer et reconstruire des ressources après toute interruption	CMA_C1295 - Récupérer et reconstruire des ressources après toute interruption	Manuel, désactivé	1.1.1
Reprendre toutes les fonctions des missions et des métiers	CMA_C1254 - Reprendre toutes les fonctions des missions et des métiers	Manuel, désactivé	1.1.0

Vérifier, passer en revue et évaluer la continuité de la sécurité des informations

ID : Propriété ISO 27001:2013 A.17.1.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Lancer des actions correctives du test du plan d’urgence	CMA_C1263 - Lancer des actions correctives du test du plan d’urgence	Manuel, désactivé	1.1.0
Passer en revue les résultats des tests du plan d’urgence	CMA_C1262 - Passer en revue les résultats des tests du plan d’urgence	Manuel, désactivé	1.1.0
Tester le plan de continuité d’activité et de reprise d’activité	CMA_0509 - Tester le plan de continuité d’activité et de reprise d’activité	Manuel, désactivé	1.1.0

Disponibilité des installations de traitement des informations

ID : Propriété ISO 27001:2013 A.17.2.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Communiquer les modifications apportées au plan d’urgence	CMA_C1249 - Communiquer les modifications apportées au plan d’urgence	Manuel, désactivé	1.1.0
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Créer des sites de stockage alternatifs et principaux distincts	CMA_C1269 - Créer des sites de stockage alternatifs et principaux distincts	Manuel, désactivé	1.1.0
Développer et documenter un plan de continuité d’activité et de reprise d’activité	CMA_0146 - Développer et documenter un plan de continuité d’activité et de reprise d’activité	Manuel, désactivé	1.1.0
Développer un plan d’urgence	CMA_C1244 - Développer un plan d’urgence	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de planification d’urgence	CMA_0156 - Développer des stratégies et des procédures de planification d’urgence	Manuel, désactivé	1.1.0
Distribuer des stratégies et des procédures	CMA_0185 - Distribuer des stratégies et des procédures	Manuel, désactivé	1.1.0
Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal	CMA_C1268 - Vérifier que les protections du site de stockage alternatif sont équivalentes à celles du site principal	Manuel, désactivé	1.1.0
Vérifier que le système d’informations échoue dans un état connu	CMA_C1662 - Vérifier que le système d’informations échoue dans un état connu	Manuel, désactivé	1.1.0
Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde	CMA_C1267 - Établir un site de stockage alternatif pour stocker et récupérer les informations de sauvegarde	Manuel, désactivé	1.1.0
Établir un site de traitement alternatif	CMA_0262 - Établir un site de traitement alternatif	Manuel, désactivé	1.1.0
Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif	CMA_C1271 - Identifier et résoudre les problèmes potentiels sur le site de stockage alternatif	Manuel, désactivé	1.1.0
Planifier la continuité des fonctions métier essentielles	CMA_C1255 - Planifier la continuité des fonctions métier essentielles	Manuel, désactivé	1.1.0
Planifier la reprise des fonctions métier essentielles	CMA_C1253 - Planifier la reprise des fonctions métier essentielles	Manuel, désactivé	1.1.0
Reprendre toutes les fonctions des missions et des métiers	CMA_C1254 - Reprendre toutes les fonctions des missions et des métiers	Manuel, désactivé	1.1.0
Passer en revue le plan d’urgence	CMA_C1247 - Passer en revue le plan d’urgence	Manuel, désactivé	1.1.0
Mettre à jour le plan d’urgence	CMA_C1248 - Mettre à jour le plan d’urgence	Manuel, désactivé	1.1.0

Conformité

Législation et exigences contractuelles applicables à l’identification

ID : Propriété ISO 27001:2013 A.18.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’audit et de responsabilité	CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0
Protéger le plan du programme de sécurité des informations	CMA_C1732 - Protéger le plan du programme de sécurité des informations	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures de contrôle d’accès	CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de planification	CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Droits de propriété intellectuelle

ID : Propriété ISO 27001:2013 A.18.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Exiger la conformité avec les droits de propriété intellectuelle	CMA_0432 - Exiger la conformité avec les droits de propriété intellectuelle	Manuel, désactivé	1.1.0
Suivre l’utilisation des licences logicielles	CMA_C1235 - Suivre l’utilisation des licences logicielles	Manuel, désactivé	1.1.0

Protection des enregistrements

ID : Propriété ISO 27001:2013 A.18.1.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Effectuer une sauvegarde de la documentation du système d’information	CMA_C1289 - Effectuer une sauvegarde de la documentation du système d’information	Manuel, désactivé	1.1.0
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Activer l’autorisation double ou conjointe	CMA_0226 – Activer l’autorisation double ou conjointe	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Vérifier que le système d’informations échoue dans un état connu	CMA_C1662 - Vérifier que le système d’informations échoue dans un état connu	Manuel, désactivé	1.1.0
Établir des stratégies et des procédures de sauvegarde	CMA_0268 - Établir des stratégies et des procédures de sauvegarde	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Implémenter une récupération basée sur les transactions	CMA_C1296 - Implémenter une récupération basée sur les transactions	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0
Protéger les informations d’audit	CMA_0401 – Protéger les informations d’audit	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0

Confidentialité et protection des informations d’identification personnelle

ID : Propriété ISO 27001:2013 A.18.1.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Gérer les activités de conformité	CMA_0358 - Gérer les activités de conformité	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0

Réglementation des contrôles de chiffrement

ID : Propriété ISO 27001:2013 A.18.1.5 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
S’authentifier auprès du module de chiffrement	CMA_0021 – S’authentifier auprès du module de chiffrement	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0

Évaluation indépendante de la sécurité des informations

ID : Propriété ISO 27001:2013 A.18.2.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Utiliser une équipe indépendante pour les tests d’intrusion	CMA_C1171 - Utiliser une équipe indépendante pour les tests d’intrusion	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0

Conformité aux stratégies et normes de sécurité

ID : Propriété ISO 27001:2013 A.18.2.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes	CMA_0053 - Vérifier la conformité de la confidentialité et de la sécurité avant d’établir des connexions internes	Manuel, désactivé	1.1.0
Configurer la liste verte des détections	CMA_0068 - Configurer la liste verte des détections	Manuel, désactivé	1.1.0
Fournir les résultats de l’évaluation de la sécurité	CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’audit et de responsabilité	CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Développer un plan d’évaluation de la sécurité	CMA_C1144 - Développer un plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0
Produire un rapport d’évaluation de la sécurité	CMA_C1146 - Produire un rapport d’évaluation de la sécurité	Manuel, désactivé	1.1.0
Protéger le plan du programme de sécurité des informations	CMA_C1732 - Protéger le plan du programme de sécurité des informations	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures de contrôle d’accès	CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de planification	CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Évaluation de la conformité technique

ID : Propriété ISO 27001:2013 A.18.2.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Fournir les résultats de l’évaluation de la sécurité	CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité	Manuel, désactivé	1.1.0
Développer un plan d’évaluation de la sécurité	CMA_C1144 - Développer un plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0
Utiliser une équipe indépendante pour les tests d’intrusion	CMA_C1171 - Utiliser une équipe indépendante pour les tests d’intrusion	Manuel, désactivé	1.1.0
Produire un rapport d’évaluation de la sécurité	CMA_C1146 - Produire un rapport d’évaluation de la sécurité	Manuel, désactivé	1.1.0

Stratégies de sécurité des informations

Stratégies pour la sécurité des informations

ID : Propriété ISO 27001:2013 A.5.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’audit et de responsabilité	CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Établir des exigences de confidentialité pour les sous-traitants et les fournisseurs de services	CMA_C1810 - Établir des exigences de confidentialité pour les sous-traitants et les fournisseurs de services	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0
Gérer les activités de conformité	CMA_0358 - Gérer les activités de conformité	Manuel, désactivé	1.1.0
Protéger le plan du programme de sécurité des informations	CMA_C1732 - Protéger le plan du programme de sécurité des informations	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures de contrôle d’accès	CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de planification	CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Évaluation des stratégies de sécurité des informations

ID : Propriété ISO 27001:2013 A.5.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’audit et de responsabilité	CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0
Protéger le plan du programme de sécurité des informations	CMA_C1732 - Protéger le plan du programme de sécurité des informations	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures de contrôle d’accès	CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de planification	CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Organisation de la sécurité des informations

Rôles et responsabilités pour la sécurité des informations

ID : Propriété ISO 27001:2013 A.6.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Nommer un responsable senior de la sécurité des informations	CMA_C1733 - Nommer un responsable senior de la sécurité des informations	Manuel, désactivé	1.1.0
Communiquer les modifications apportées au plan d’urgence	CMA_C1249 - Communiquer les modifications apportées au plan d’urgence	Manuel, désactivé	1.1.0
Coordonner les plans d’urgence avec les plans associés	CMA_0086 - Coordonner les plans d’urgence avec les plans associés	Manuel, désactivé	1.1.0
Créer une protection du plan de configuration	CMA_C1233 - Créer une protection du plan de configuration	Manuel, désactivé	1.1.0
Définir et documenter la supervision du secteur public	CMA_C1587 - Définir et documenter la supervision du secteur public	Manuel, désactivé	1.1.0
Définir les rôles et les responsabilités de sécurité des informations	CMA_C1565 - Définir les rôles et les responsabilités de sécurité des informations	Manuel, désactivé	1.1.0
Désigner des personnes pour qu’elles exercent des rôles et des responsabilités spécifiques	CMA_C1747 - Désigner des personnes pour qu’elles exercent des rôles et des responsabilités spécifiques	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Développer et documenter un plan de continuité d’activité et de reprise d’activité	CMA_0146 - Développer et documenter un plan de continuité d’activité et de reprise d’activité	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Développer et tenir à jour les configurations de base	CMA_0153 – Développer et tenir à jour les configurations de base	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’audit et de responsabilité	CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité	Manuel, désactivé	1.1.0
Développer un plan d’identification des éléments de configuration	CMA_C1231 - Développer un plan d’identification des éléments de configuration	Manuel, désactivé	1.1.0
Développer un plan de gestion des configurations	CMA_C1232 - Développer un plan de gestion des configurations	Manuel, désactivé	1.1.0
Développer un plan d’urgence	CMA_C1244 - Développer un plan d’urgence	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de planification d’urgence	CMA_0156 - Développer des stratégies et des procédures de planification d’urgence	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Distribuer des stratégies et des procédures	CMA_0185 - Distribuer des stratégies et des procédures	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter et implémenter des procédures de plaintes relatives à la protection de la vie privée	CMA_0189 - Documenter et implémenter des procédures de plaintes relatives à la protection de la vie privée	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0
Documenter les exigences de sécurité pour le personnel de tiers	CMA_C1531 - Documenter les exigences de sécurité pour le personnel de tiers	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Vérifier que les informations du programme de confidentialité sont disponibles publiquement	CMA_C1867 - Vérifier que les informations du programme de confidentialité sont disponibles publiquement	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Établir et documenter un plan de gestion de la configuration	CMA_0264 – Établir et documenter un plan de gestion de la configuration	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour le personnel de tiers	CMA_C1529 - Établir les exigences de sécurité pour le personnel de tiers	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité	CMA_C1566 - Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité	Manuel, désactivé	1.1.1
Implémenter un outil de gestion de la configuration automatisée	CMA_0311 – Implémenter un outil de gestion de la configuration automatisée	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0
Intégrer le processus de gestion des risques au SDLC	CMA_C1567 - Intégrer le processus de gestion des risques au SDLC	Manuel, désactivé	1.1.0
Gérer l’état de la sécurité des systèmes d’information	CMA_C1746 - Gérer l’état de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0
Surveiller la conformité des fournisseurs tiers	CMA_C1533 - Surveiller la conformité des fournisseurs tiers	Manuel, désactivé	1.1.0
Planifier la reprise des fonctions métier essentielles	CMA_C1253 - Planifier la reprise des fonctions métier essentielles	Manuel, désactivé	1.1.0
Protéger le plan du programme de sécurité des informations	CMA_C1732 - Protéger le plan du programme de sécurité des informations	Manuel, désactivé	1.1.0
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	Manuel, désactivé	1.1.0
Exiger une notification de transfert ou de fin de contrat du personnel de tiers	CMA_C1532 - Exiger une notification de transfert ou de fin de contrat du personnel de tiers	Manuel, désactivé	1.1.0
Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel	CMA_C1530 - Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Reprendre toutes les fonctions des missions et des métiers	CMA_C1254 - Reprendre toutes les fonctions des missions et des métiers	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures de contrôle d’accès	CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de planification	CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	Manuel, désactivé	1.1.0
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	Manuel, désactivé	1.1.0
Passer en revue le plan d’urgence	CMA_C1247 - Passer en revue le plan d’urgence	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0
Mettre à jour le plan d’urgence	CMA_C1248 - Mettre à jour le plan d’urgence	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Répartition des tâches

ID : Propriété ISO 27001:2013 A.6.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement	Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis.	AuditIfNotExists, Désactivé	3.0.0
Définir des autorisations d’accès pour prendre en charge la séparation des tâches	CMA_0116 - Définir des autorisations d’accès pour prendre en charge la séparation des tâches	Manuel, désactivé	1.1.0
Documenter la séparation des tâches	CMA_0204 - Documenter la séparation des tâches	Manuel, désactivé	1.1.0
Séparer les tâches des personnes	CMA_0492 - Séparer les tâches des personnes	Manuel, désactivé	1.1.0
Plusieurs propriétaires doivent être attribués à votre abonnement	Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur.	AuditIfNotExists, Désactivé	3.0.0

Contact avec les autorités

ID : Propriété ISO 27001:2013 A.6.1.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Gérer les contacts pour les autorités et les groupes d’intérêt spéciaux	CMA_0359 - Gérer les contacts pour les autorités et les groupes d’intérêt spéciaux	Manuel, désactivé	1.1.0

Contact avec des groupes d’intérêts spéciaux

ID : Propriété ISO 27001:2013 A.6.1.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Diffuser les alertes de sécurité au personnel	CMA_C1705 - Diffuser les alertes de sécurité au personnel	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Établir un programme de renouvellement sur les menaces	CMA_0260 - Établir un programme de renseignement sur les menaces	Manuel, désactivé	1.1.0
Générer des alertes de sécurité internes	CMA_C1704 - Générer des alertes de sécurité internes	Manuel, désactivé	1.1.0
Implémenter des directives de sécurité	CMA_C1706 - Implémenter des directives de sécurité	Manuel, désactivé	1.1.0
Gérer les contacts pour les autorités et les groupes d’intérêt spéciaux	CMA_0359 - Gérer les contacts pour les autorités et les groupes d’intérêt spéciaux	Manuel, désactivé	1.1.0

Sécurité des informations dans la gestion de projet

ID : Propriété ISO 27001:2013 A.6.1.5 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Aligner les objectifs métier et les objectifs de l’informatique	CMA_0008 - Aligner les objectifs métier et les objectifs de l’informatique	Manuel, désactivé	1.1.0
Allouer des ressources pour déterminer les exigences du système d’information	CMA_C1561 - Allouer des ressources pour déterminer les exigences du système d’information	Manuel, désactivé	1.1.0
Définir et documenter la supervision du secteur public	CMA_C1587 - Définir et documenter la supervision du secteur public	Manuel, désactivé	1.1.0
Définir les rôles et les responsabilités de sécurité des informations	CMA_C1565 - Définir les rôles et les responsabilités de sécurité des informations	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0
Établir un élément de ligne discret dans la documentation du budget	CMA_C1563 - Établir un élément de ligne discret dans la documentation du budget	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Gouverner l’allocation des ressources	CMA_0293 - Gouverner l’allocation des ressources	Manuel, désactivé	1.1.0
Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité	CMA_C1566 - Identifier les utilisateurs dotés de rôles et de responsabilités en matière de sécurité	Manuel, désactivé	1.1.1
Intégrer le processus de gestion des risques au SDLC	CMA_C1567 - Intégrer le processus de gestion des risques au SDLC	Manuel, désactivé	1.1.0
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	Manuel, désactivé	1.1.0
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	Manuel, désactivé	1.1.0
Passer en revue le processus, les standards et les outils de développement	CMA_C1610 - Passer en revue le processus, les standards et les outils de développement	Manuel, désactivé	1.1.0
Sécuriser l’engagement de la part de la direction	CMA_0489 - Sécuriser l’engagement de la part de la direction	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0

Stratégie pour les appareils mobiles

ID : Propriété ISO 27001:2013 A.6.2.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Définir les exigences pour les appareils mobiles	CMA_0122 - Définir les exigences pour les appareils mobiles	Manuel, désactivé	1.1.0
Documenter et implémenter les instructions d’accès sans fil	CMA_0190 - Documenter et implémenter les instructions d’accès sans fil	Manuel, désactivé	1.1.0
Formation sur la mobilité des documents	CMA_0191 – Formation sur la mobilité des documents	Manuel, désactivé	1.1.0
Documentation des instructions d’accès à distance	CMA_0196 – Documentation des instructions d’accès à distance	Manuel, désactivé	1.1.0
Identifier et authentifier les périphériques réseau	CMA_0296 – Identifier et authentifier les périphériques réseau	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger l’accès sans fil	CMA_0411 - Protéger l’accès sans fil	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0

Télétravail

ID : Propriété ISO 27001:2013 A.6.2.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Formation sur la mobilité des documents	CMA_0191 – Formation sur la mobilité des documents	Manuel, désactivé	1.1.0
Documentation des instructions d’accès à distance	CMA_0196 – Documentation des instructions d’accès à distance	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Identifier et authentifier les périphériques réseau	CMA_0296 – Identifier et authentifier les périphériques réseau	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	CMA_0382 - Avertir les utilisateurs de l’ouverture de session ou de l’accès au système	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0

Sécurité des ressources humaines

Filtrage

ID : Propriété ISO 27001:2013 A.7.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Habiliter le personnel ayant accès aux informations classifiées	CMA_0054 - Habiliter le personnel ayant accès aux informations classifiées	Manuel, désactivé	1.1.0
Implémenter le filtrage du personnel	CMA_0322 - Implémenter le filtrage du personnel	Manuel, désactivé	1.1.0
Refiltrer les personnes à une fréquence définie	CMA_C1512 - Refiltrer les personnes à une fréquence définie	Manuel, désactivé	1.1.0

Conditions de travail

ID : Propriété ISO 27001:2013 A.7.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’utilisation acceptables	CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables	Manuel, désactivé	1.1.0
Développer des protections de sécurité	CMA_0161 - Développer des protections de sécurité	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les contrats d’accès de l’organisation	CMA_0192 - Documenter les contrats d’accès de l’organisation	Manuel, désactivé	1.1.0
Documenter l’acceptation des exigences de confidentialité par le personnel	CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0
Appliquer des règles de comportement et des contrats d’accès	CMA_0248 - Appliquer des règles de comportement et des contrats d’accès	Manuel, désactivé	1.1.0
Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu	CMA_C1528 - Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu	Manuel, désactivé	1.1.0
Vérifier que les informations du programme de confidentialité sont disponibles publiquement	CMA_C1867 - Vérifier que les informations du programme de confidentialité sont disponibles publiquement	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Implémenter des méthodes de remise de déclaration de confidentialité	CMA_0324 - Implémenter des méthodes de remise de déclaration de confidentialité	Manuel, désactivé	1.1.0
Obtenir le consentement avant la collecte ou le traitement des données personnelles	CMA_0385 - Obtenir le consentement avant la collecte ou le traitement des données personnelles	Manuel, désactivé	1.1.0
Fournir une déclaration de confidentialité	CMA_0414 - Fournir une déclaration de confidentialité	Manuel, désactivé	1.1.0
Exiger des utilisateurs qu’ils signent un contrat d’accès	CMA_0440 - Exiger des utilisateurs qu’ils signent un contrat d’accès	Manuel, désactivé	1.1.0
Mettre à jour les contrats d’accès de l’organisation	CMA_0520 - Mettre à jour les contrats d’accès de l’organisation	Manuel, désactivé	1.1.0

Responsabilités de la gestion

ID : Propriété ISO 27001:2013 A.7.2.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Définir et documenter la supervision du secteur public	CMA_C1587 - Définir et documenter la supervision du secteur public	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’utilisation acceptables	CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les contrats d’accès de l’organisation	CMA_0192 - Documenter les contrats d’accès de l’organisation	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0
Documenter les exigences de sécurité pour le personnel de tiers	CMA_C1531 - Documenter les exigences de sécurité pour le personnel de tiers	Manuel, désactivé	1.1.0
Appliquer des règles de comportement et des contrats d’accès	CMA_0248 - Appliquer des règles de comportement et des contrats d’accès	Manuel, désactivé	1.1.0
Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu	CMA_C1528 - Vérifier que les contrats d’accès sont signés ou dénoncés en temps voulu	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour le personnel de tiers	CMA_C1529 - Établir les exigences de sécurité pour le personnel de tiers	Manuel, désactivé	1.1.0
Surveiller la conformité des fournisseurs tiers	CMA_C1533 - Surveiller la conformité des fournisseurs tiers	Manuel, désactivé	1.1.0
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	Manuel, désactivé	1.1.0
Exiger une notification de transfert ou de fin de contrat du personnel de tiers	CMA_C1532 - Exiger une notification de transfert ou de fin de contrat du personnel de tiers	Manuel, désactivé	1.1.0
Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel	CMA_C1530 - Exiger des fournisseurs tiers qu’ils se conforment aux stratégies et aux procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Exiger des utilisateurs qu’ils signent un contrat d’accès	CMA_0440 - Exiger des utilisateurs qu’ils signent un contrat d’accès	Manuel, désactivé	1.1.0
Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	CMA_0469 - Passer en revue la conformité du fournisseur de services cloud avec les stratégies et les contrats	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0
Mettre à jour les contrats d’accès de l’organisation	CMA_0520 - Mettre à jour les contrats d’accès de l’organisation	Manuel, désactivé	1.1.0

Sensibilisation, éducation et formation en matière de sécurité des informations

ID : Propriété ISO 27001:2013 A.7.2.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Utiliser un environnement de formation automatisé	CMA_C1357 - Utiliser un environnement de formation automatisé	Manuel, désactivé	1.1.0
Établir un programme de développement et d’amélioration du personnel en matière de sécurité des informations	CMA_C1752 - Établir un programme de développement et d’amélioration du personnel en matière de sécurité des informations	Manuel, désactivé	1.1.0
Surveiller la réalisation des formations sur la sécurité et la confidentialité	CMA_0379 - Surveiller la réalisation des formations sur la sécurité et la confidentialité	Manuel, désactivé	1.1.0
Fournir une formation à l’urgence	CMA_0412 - Fournir une formation à l’urgence	Manuel, désactivé	1.1.0
Fournir une formation sur les fuites d’informations	CMA_0413 - Fournir une formation sur les fuites d’informations	Manuel, désactivé	1.1.0
Fournir une formation périodique sur la sécurité basée sur les rôles	CMA_C1095 - Fournir une formation périodique sur la sécurité basée sur les rôles	Manuel, désactivé	1.1.0
Fournir une formation périodique sur la sensibilisation à la sécurité	CMA_C1091 - Fournir une formation périodique sur la sensibilisation à la sécurité	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité basée sur les rôles	CMA_C1094 - Fournir une formation sur la sécurité basée sur les rôles	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité avant de fournir l’accès	CMA_0418 - Fournir une formation sur la sécurité avant de fournir l’accès	Manuel, désactivé	1.1.0
Fournir une formation sur la sécurité pour les nouveaux utilisateurs	CMA_0419 - Fournir une formation sur la sécurité pour les nouveaux utilisateurs	Manuel, désactivé	1.1.0
Fournir une formation de sensibilisation à la sécurité mise à jour	CMA_C1090 - Fournir une formation de sensibilisation à la sécurité mise à jour	Manuel, désactivé	1.1.0
Conserver les dossiers de formation	CMA_0456 - Conserver les dossiers de formation	Manuel, désactivé	1.1.0
Former le personnel à la divulgation d’informations non publiques	CMA_C1084 - Former le personnel à la divulgation d’informations non publiques	Manuel, désactivé	1.1.0

Procédure disciplinaire

ID : Propriété ISO 27001:2013 A.7.2.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter un processus formel de sanctions	CMA_0317 - Implémenter un processus formel de sanctions	Manuel, désactivé	1.1.0
Notifier le personnel en cas de sanctions	CMA_0380 - Notifier le personnel en cas de sanctions	Manuel, désactivé	1.1.0

Cessation ou modification des responsabilités professionnelles

ID : Propriété ISO 27001:2013 A.7.3.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Mener un entretien de sortie après la fin du contrat de travail	CMA_0058 - Mener un entretien de sortie après la fin du contrat de travail	Manuel, désactivé	1.1.0
Désactiver les authentificateurs lors de l’arrêt	CMA_0169 – Désactiver les authentificateurs lors de l’arrêt	Manuel, désactivé	1.1.0
Lancer des actions de transfert ou de réaffectation	CMA_0333 - Lancer des actions de transfert ou de réaffectation	Manuel, désactivé	1.1.0
Modifier les autorisations d’accès lors du transfert de personnel	CMA_0374 - Modifier les autorisations d’accès lors du transfert de personnel	Manuel, désactivé	1.1.0
Notifier après une fin de contrat ou un transfert	CMA_0381 - Notifier après une fin de contrat ou un transfert	Manuel, désactivé	1.1.0
Protéger contre et empêcher le vol de données par des employés sur le départ	CMA_0398 - Protéger contre et empêcher le vol de données par des employés sur le départ	Manuel, désactivé	1.1.0
Réévaluer l’accès lors du transfert de personnel	CMA_0424 - Réévaluer l’accès lors du transfert de personnel	Manuel, désactivé	1.1.0
Conserver les données utilisateur terminées	CMA_0455 – Conserver les données utilisateur terminées	Manuel, désactivé	1.1.0

Gestion des ressources

Inventaire des ressources

ID : Propriété ISO 27001:2013 A.8.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Créer un inventaire des données	CMA_0096 - Créer un inventaire des données	Manuel, désactivé	1.1.0
Conserver les enregistrements de traitement des données personnelles	CMA_0353 - Conserver les enregistrements de traitement des données personnelles	Manuel, désactivé	1.1.0

Propriété des ressources

ID : Propriété ISO 27001:2013 A.8.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Contrôler l’utilisation des périphériques de stockage portables	CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables	Manuel, désactivé	1.1.0
Créer un inventaire des données	CMA_0096 - Créer un inventaire des données	Manuel, désactivé	1.1.0
Établir et tenir à jour un inventaire des ressources	CMA_0266 - Établir et tenir à jour un inventaire des ressources	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Conserver les enregistrements de traitement des données personnelles	CMA_0353 - Conserver les enregistrements de traitement des données personnelles	Manuel, désactivé	1.1.0
Restreindre l’utilisation des médias	CMA_0450 - Restreindre l’utilisation des médias	Manuel, désactivé	1.1.0

Utilisation acceptable des ressources

ID : Propriété ISO 27001:2013 A.8.1.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures d’utilisation acceptables	CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables	Manuel, désactivé	1.1.0
Appliquer des règles de comportement et des contrats d’accès	CMA_0248 - Appliquer des règles de comportement et des contrats d’accès	Manuel, désactivé	1.1.0

Retour de ressources

ID : Propriété ISO 27001:2013 A.8.1.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Mener un entretien de sortie après la fin du contrat de travail	CMA_0058 - Mener un entretien de sortie après la fin du contrat de travail	Manuel, désactivé	1.1.0
Désactiver les authentificateurs lors de l’arrêt	CMA_0169 – Désactiver les authentificateurs lors de l’arrêt	Manuel, désactivé	1.1.0
Lancer des actions de transfert ou de réaffectation	CMA_0333 - Lancer des actions de transfert ou de réaffectation	Manuel, désactivé	1.1.0
Modifier les autorisations d’accès lors du transfert de personnel	CMA_0374 - Modifier les autorisations d’accès lors du transfert de personnel	Manuel, désactivé	1.1.0
Notifier après une fin de contrat ou un transfert	CMA_0381 - Notifier après une fin de contrat ou un transfert	Manuel, désactivé	1.1.0
Protéger contre et empêcher le vol de données par des employés sur le départ	CMA_0398 - Protéger contre et empêcher le vol de données par des employés sur le départ	Manuel, désactivé	1.1.0
Réévaluer l’accès lors du transfert de personnel	CMA_0424 - Réévaluer l’accès lors du transfert de personnel	Manuel, désactivé	1.1.0
Conserver les données utilisateur terminées	CMA_0455 – Conserver les données utilisateur terminées	Manuel, désactivé	1.1.0

Classification des informations

ID : Propriété ISO 27001:2013 A.8.2.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Catégoriser les informations	CMA_0052 - Catégoriser les informations	Manuel, désactivé	1.1.0
Développer des schémas de classification métier	CMA_0155 - Développer des schémas de classification métier	Manuel, désactivé	1.1.0
Vérifier que la catégorisation de sécurité est approuvée	CMA_C1540 - Vérifier que la catégorisation de sécurité est approuvée	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus	Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données.	AuditIfNotExists, Désactivé	4.1.0

Étiquetage des informations

ID : Propriété ISO 27001:2013 A.8.2.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0

Gestion des ressources

ID : Propriété ISO 27001:2013 A.8.2.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Contrôler l’utilisation des périphériques de stockage portables	CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables	Manuel, désactivé	1.1.0
Définir les exigences pour la gestion des ressources	CMA_0125 - Définir les exigences pour la gestion des ressources	Manuel, désactivé	1.1.0
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Établir une procédure de gestion des fuites de données	CMA_0255 – Établir une procédure de gestion des fuites de données	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Implémenter un service d’adresse/nom à tolérance de panne	CMA_0305 - Implémenter un service de nom/adresse à tolérance de panne	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	CMA_0323 - Implémenter la sécurité physique pour les bureaux, les zones de travail et les zones sécurisées	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0
Gérer le transport des ressources	CMA_0370 - Gérer le transport des ressources	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Produire, contrôler et distribuer des clés de chiffrement asymétriques	CMA_C1646 - Produire, contrôler et distribuer des clés de chiffrement asymétriques	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Protéger des informations spéciales	CMA_0409 – Protéger des informations spéciales	Manuel, désactivé	1.1.0
Fournir des services sécurisés de résolution de noms et d’adresses	CMA_0416 - Fournir des services sécurisés de résolution de noms et d’adresses	Manuel, désactivé	1.1.0
Restreindre l’utilisation des médias	CMA_0450 - Restreindre l’utilisation des médias	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0

Gestion des médias amovibles

ID : Propriété ISO 27001:2013 A.8.3.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Contrôler l’utilisation des périphériques de stockage portables	CMA_0083 - Contrôler l’utilisation des périphériques de stockage portables	Manuel, désactivé	1.1.0
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Gérer le transport des ressources	CMA_0370 - Gérer le transport des ressources	Manuel, désactivé	1.1.0
Restreindre l’utilisation des médias	CMA_0450 - Restreindre l’utilisation des médias	Manuel, désactivé	1.1.0

Élimination des médias

ID : Propriété ISO 27001:2013 A.8.3.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Utiliser un mécanisme de nettoyage des médias	CMA_0208 - Utiliser un mécanisme de nettoyage des médias	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0

Transfert de médias physiques

ID : Propriété ISO 27001:2013 A.8.3.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Gérer le transport des ressources	CMA_0370 - Gérer le transport des ressources	Manuel, désactivé	1.1.0

Contrôle d’accès

Stratégie de contrôle d’accès

ID : Propriété ISO 27001:2013 A.9.1.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures de contrôle d’accès	CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès	Manuel, désactivé	1.1.0

Accès aux réseaux et aux services réseau

ID : Propriété ISO 27001:2013 A.9.1.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe	AuditIfNotExists, Désactivé	3.1.0
Auditer les machines Linux qui ont des comptes sans mot de passe	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe	AuditIfNotExists, Désactivé	3.1.0
Faire l’audit des machines virtuelles n’utilisant aucun disque managé	Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé	audit	1.0.0
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Automatiser la gestion des comptes	CMA_0026 – Automatiser la gestion des comptes	Manuel, désactivé	1.1.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux	Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Concevoir un modèle de contrôle d’accès	CMA_0129 – Concevoir un modèle de contrôle d’accès	Manuel, désactivé	1.1.0
Utiliser l’accès aux privilèges minimum	CMA_0212 – Utiliser l’accès aux privilèges minimum	Manuel, désactivé	1.1.0
Activer la détection des périphériques réseau	CMA_0220 - Activer la détection des périphériques réseau	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Appliquer l’unicité de l’utilisateur	CMA_0250 – Appliquer l’unicité de l’utilisateur	Manuel, désactivé	1.1.0
Établir les exigences de signature électronique et de certificat	CMA_0271 - Établir les exigences de signature électronique et de certificat	Manuel, désactivé	1.1.0
Identifier les actions autorisées sans authentification	CMA_0295 - Identifier les actions autorisées sans authentification	Manuel, désactivé	1.1.0
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation	CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation	Manuel, désactivé	1.1.0
Gérer les comptes système et d’administration	CMA_0368 – Gérer les comptes système et d’administration	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Avertir lorsque le compte n’est pas nécessaire	CMA_0383 – Avertir lorsque le compte n’est pas nécessaire	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0
Router le trafic via des points d’accès réseau gérés	CMA_0484 - Router le trafic via des points d’accès réseau gérés	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0
Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager	Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc.	Audit, Refuser, Désactivé	1.0.0
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	Manuel, désactivé	1.1.0
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager	Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité.	Audit, Refuser, Désactivé	1.0.0

Inscription et désinscription des utilisateurs

ID : Propriété ISO 27001:2013 A.9.2.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Affecter des gestionnaires de comptes	CMA_0015 - Affecter des gestionnaires de comptes	Manuel, désactivé	1.1.0
Attribuer des identificateurs système	CMA_0018 - Attribuer des identificateurs système	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Définir des types de comptes de système d’information	CMA_0121 - Définir des types de comptes de système d’information	Manuel, désactivé	1.1.0
Documenter les privilèges d’accès	CMA_0186 - Documenter les privilèges d’accès	Manuel, désactivé	1.1.0
Activer la détection des périphériques réseau	CMA_0220 - Activer la détection des périphériques réseau	Manuel, désactivé	1.1.0
Appliquer l’unicité de l’utilisateur	CMA_0250 – Appliquer l’unicité de l’utilisateur	Manuel, désactivé	1.1.0
Établir des types et des processus d’authentificateur	CMA_0267 - Établir des types et des processus d’authentificateur	Manuel, désactivé	1.1.0
Établir des conditions pour l’appartenance à un rôle	CMA_0269 - Établir des conditions pour l’appartenance à un rôle	Manuel, désactivé	1.1.0
Établir des procédures pour la distribution initiale de l’authentificateur	CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur	Manuel, désactivé	1.1.0
Identifier les actions autorisées sans authentification	CMA_0295 - Identifier les actions autorisées sans authentification	Manuel, désactivé	1.1.0
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation	CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation	Manuel, désactivé	1.1.0
Implémenter une formation pour la protection des authentificateurs	CMA_0329 – Implémenter une formation pour la protection des authentificateurs	Manuel, désactivé	1.1.0
Gérer la durée de vie et la réutilisation de l’authentificateur	CMA_0355 - Gérer la durée de vie et la réutilisation de l’authentificateur	Manuel, désactivé	1.1.0
Gérer les authentificateurs	CMA_C1321 - Gérer les authentificateurs	Manuel, désactivé	1.1.0
Notifier les gestionnaires de compte des comptes contrôlés par le client	CMA_C1009 - Notifier les gestionnaires de compte des comptes contrôlés par le client	Manuel, désactivé	1.1.0
Empêcher la réutilisation de l’identificateur pour la période définie	CMA_C1314 - Empêcher la réutilisation de l’identificateur pour la période définie	Manuel, désactivé	1.1.0
Actualiser les authentificateurs	CMA_0425 - Actualiser les authentificateurs	Manuel, désactivé	1.1.0
Réémettre les authentificateurs pour les groupes et les comptes modifiés	CMA_0426 - Réémettre les authentificateurs pour les groupes et les comptes modifiés	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Passer en revue et réévaluer les privilèges	CMA_C1207 - Passer en revue et réévaluer les privilèges	Manuel, désactivé	1.1.0
Réviser les comptes d’utilisateur	CMA_0480 – Passer en revue les comptes d’utilisateurs	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	Manuel, désactivé	1.1.0
Vérifier l’identité avant de distribuer les authentificateurs	CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs	Manuel, désactivé	1.1.0

Provisionnement des accès utilisateur

ID : Propriété ISO 27001:2013 A.9.2.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Affecter des gestionnaires de comptes	CMA_0015 - Affecter des gestionnaires de comptes	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Automatiser la gestion des comptes	CMA_0026 – Automatiser la gestion des comptes	Manuel, désactivé	1.1.0
Définir des types de comptes de système d’information	CMA_0121 - Définir des types de comptes de système d’information	Manuel, désactivé	1.1.0
Documenter les privilèges d’accès	CMA_0186 - Documenter les privilèges d’accès	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir des conditions pour l’appartenance à un rôle	CMA_0269 - Établir des conditions pour l’appartenance à un rôle	Manuel, désactivé	1.1.0
Limiter les privilèges pour apporter des modifications dans l’environnement de production	CMA_C1206 - Limiter les privilèges pour apporter des modifications dans l’environnement de production	Manuel, désactivé	1.1.0
Gérer les comptes système et d’administration	CMA_0368 – Gérer les comptes système et d’administration	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Notifier les gestionnaires de compte des comptes contrôlés par le client	CMA_C1009 - Notifier les gestionnaires de compte des comptes contrôlés par le client	Manuel, désactivé	1.1.0
Avertir lorsque le compte n’est pas nécessaire	CMA_0383 – Avertir lorsque le compte n’est pas nécessaire	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Passer en revue et réévaluer les privilèges	CMA_C1207 - Passer en revue et réévaluer les privilèges	Manuel, désactivé	1.1.0
Réviser les comptes d’utilisateur	CMA_0480 – Passer en revue les comptes d’utilisateurs	Manuel, désactivé	1.1.0

Gestion des droits d’accès privilégié

ID : Propriété ISO 27001:2013 A.9.2.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL	Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft	AuditIfNotExists, Désactivé	1.0.0
Affecter des gestionnaires de comptes	CMA_0015 - Affecter des gestionnaires de comptes	Manuel, désactivé	1.1.0
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’utilisation des rôles RBAC personnalisés	Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces	Audit, Désactivé	1.0.1
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Automatiser la gestion des comptes	CMA_0026 – Automatiser la gestion des comptes	Manuel, désactivé	1.1.0
Définir des types de comptes de système d’information	CMA_0121 - Définir des types de comptes de système d’information	Manuel, désactivé	1.1.0
Concevoir un modèle de contrôle d’accès	CMA_0129 – Concevoir un modèle de contrôle d’accès	Manuel, désactivé	1.1.0
Documenter les privilèges d’accès	CMA_0186 - Documenter les privilèges d’accès	Manuel, désactivé	1.1.0
Utiliser l’accès aux privilèges minimum	CMA_0212 – Utiliser l’accès aux privilèges minimum	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des conditions pour l’appartenance à un rôle	CMA_0269 - Établir des conditions pour l’appartenance à un rôle	Manuel, désactivé	1.1.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Limiter les privilèges pour apporter des modifications dans l’environnement de production	CMA_C1206 - Limiter les privilèges pour apporter des modifications dans l’environnement de production	Manuel, désactivé	1.1.0
Gérer les comptes système et d’administration	CMA_0368 – Gérer les comptes système et d’administration	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Surveiller l’attribution de rôle privilégié	CMA_0378 – Surveiller l’attribution de rôle privilégié	Manuel, désactivé	1.1.0
Notifier les gestionnaires de compte des comptes contrôlés par le client	CMA_C1009 - Notifier les gestionnaires de compte des comptes contrôlés par le client	Manuel, désactivé	1.1.0
Avertir lorsque le compte n’est pas nécessaire	CMA_0383 – Avertir lorsque le compte n’est pas nécessaire	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Passer en revue et réévaluer les privilèges	CMA_C1207 - Passer en revue et réévaluer les privilèges	Manuel, désactivé	1.1.0
Réviser les comptes d’utilisateur	CMA_0480 – Passer en revue les comptes d’utilisateurs	Manuel, désactivé	1.1.0
Révoquer les rôles privilégiés selon les besoins	CMA_0483 – Révoquer les rôles privilégiés selon les besoins	Manuel, désactivé	1.1.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client	Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric	Audit, Refuser, Désactivé	1.1.0
Utiliser Privileged Identity Management	CMA_0533 – Utiliser la gestion des identités privilégiées	Manuel, désactivé	1.1.0

Gestion des informations d’authentification par secret des utilisateurs

ID : Propriété ISO 27001:2013 A.9.2.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644	AuditIfNotExists, Désactivé	3.1.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux	Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Désactiver les authentificateurs lors de l’arrêt	CMA_0169 – Désactiver les authentificateurs lors de l’arrêt	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Établir une stratégie de mot de passe	CMA_0256 - Établir une stratégie de mot de passe	Manuel, désactivé	1.1.0
Établir des types et des processus d’authentificateur	CMA_0267 - Établir des types et des processus d’authentificateur	Manuel, désactivé	1.1.0
Établir des procédures pour la distribution initiale de l’authentificateur	CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur	Manuel, désactivé	1.1.0
Implémenter des paramètres pour les vérificateurs de secrets mémorisés	CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés	Manuel, désactivé	1.1.0
Implémenter une formation pour la protection des authentificateurs	CMA_0329 – Implémenter une formation pour la protection des authentificateurs	Manuel, désactivé	1.1.0
Gérer la durée de vie et la réutilisation de l’authentificateur	CMA_0355 - Gérer la durée de vie et la réutilisation de l’authentificateur	Manuel, désactivé	1.1.0
Gérer les authentificateurs	CMA_C1321 - Gérer les authentificateurs	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Actualiser les authentificateurs	CMA_0425 - Actualiser les authentificateurs	Manuel, désactivé	1.1.0
Réémettre les authentificateurs pour les groupes et les comptes modifiés	CMA_0426 - Réémettre les authentificateurs pour les groupes et les comptes modifiés	Manuel, désactivé	1.1.0
Révoquer les rôles privilégiés selon les besoins	CMA_0483 – Révoquer les rôles privilégiés selon les besoins	Manuel, désactivé	1.1.0
Vérifier l’identité avant de distribuer les authentificateurs	CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs	Manuel, désactivé	1.1.0

Examen des droits d’accès utilisateur

ID : Propriété ISO 27001:2013 A.9.2.5 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Affecter des gestionnaires de comptes	CMA_0015 - Affecter des gestionnaires de comptes	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés	Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Définir des types de comptes de système d’information	CMA_0121 - Définir des types de comptes de système d’information	Manuel, désactivé	1.1.0
Documenter les privilèges d’accès	CMA_0186 - Documenter les privilèges d’accès	Manuel, désactivé	1.1.0
Établir des conditions pour l’appartenance à un rôle	CMA_0269 - Établir des conditions pour l’appartenance à un rôle	Manuel, désactivé	1.1.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Notifier les gestionnaires de compte des comptes contrôlés par le client	CMA_C1009 - Notifier les gestionnaires de compte des comptes contrôlés par le client	Manuel, désactivé	1.1.0
Réaffecter ou supprimer des privilèges utilisateur selon les besoins	CMA_C1040 – Réaffecter ou supprimer des privilèges utilisateur selon les besoins	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Passer en revue et réévaluer les privilèges	CMA_C1207 - Passer en revue et réévaluer les privilèges	Manuel, désactivé	1.1.0
Réviser les comptes d’utilisateur	CMA_0480 – Passer en revue les comptes d’utilisateurs	Manuel, désactivé	1.1.0
Passer en revue les privilèges utilisateur	CMA_C1039 – Vérifier les privilèges utilisateur	Manuel, désactivé	1.1.0

Suppression ou adaptation des droits d’accès

ID : Propriété ISO 27001:2013 A.9.2.6 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Affecter des gestionnaires de comptes	CMA_0015 - Affecter des gestionnaires de comptes	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés	Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter.	AuditIfNotExists, Désactivé	1.0.0
Définir des types de comptes de système d’information	CMA_0121 - Définir des types de comptes de système d’information	Manuel, désactivé	1.1.0
Documenter les privilèges d’accès	CMA_0186 - Documenter les privilèges d’accès	Manuel, désactivé	1.1.0
Établir des conditions pour l’appartenance à un rôle	CMA_0269 - Établir des conditions pour l’appartenance à un rôle	Manuel, désactivé	1.1.0
Lancer des actions de transfert ou de réaffectation	CMA_0333 - Lancer des actions de transfert ou de réaffectation	Manuel, désactivé	1.1.0
Modifier les autorisations d’accès lors du transfert de personnel	CMA_0374 - Modifier les autorisations d’accès lors du transfert de personnel	Manuel, désactivé	1.1.0
Notifier les gestionnaires de compte des comptes contrôlés par le client	CMA_C1009 - Notifier les gestionnaires de compte des comptes contrôlés par le client	Manuel, désactivé	1.1.0
Notifier après une fin de contrat ou un transfert	CMA_0381 - Notifier après une fin de contrat ou un transfert	Manuel, désactivé	1.1.0
Réévaluer l’accès lors du transfert de personnel	CMA_0424 - Réévaluer l’accès lors du transfert de personnel	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Passer en revue et réévaluer les privilèges	CMA_C1207 - Passer en revue et réévaluer les privilèges	Manuel, désactivé	1.1.0
Réviser les comptes d’utilisateur	CMA_0480 – Passer en revue les comptes d’utilisateurs	Manuel, désactivé	1.1.0

Utilisation des informations d’authentification secrètes

ID : Propriété ISO 27001:2013 A.9.3.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Désactiver les authentificateurs lors de l’arrêt	CMA_0169 – Désactiver les authentificateurs lors de l’arrêt	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Établir une stratégie de mot de passe	CMA_0256 - Établir une stratégie de mot de passe	Manuel, désactivé	1.1.0
Établir des types et des processus d’authentificateur	CMA_0267 - Établir des types et des processus d’authentificateur	Manuel, désactivé	1.1.0
Établir des procédures pour la distribution initiale de l’authentificateur	CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur	Manuel, désactivé	1.1.0
Implémenter des paramètres pour les vérificateurs de secrets mémorisés	CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés	Manuel, désactivé	1.1.0
Implémenter une formation pour la protection des authentificateurs	CMA_0329 – Implémenter une formation pour la protection des authentificateurs	Manuel, désactivé	1.1.0
Gérer la durée de vie et la réutilisation de l’authentificateur	CMA_0355 - Gérer la durée de vie et la réutilisation de l’authentificateur	Manuel, désactivé	1.1.0
Gérer les authentificateurs	CMA_C1321 - Gérer les authentificateurs	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Actualiser les authentificateurs	CMA_0425 - Actualiser les authentificateurs	Manuel, désactivé	1.1.0
Réémettre les authentificateurs pour les groupes et les comptes modifiés	CMA_0426 - Réémettre les authentificateurs pour les groupes et les comptes modifiés	Manuel, désactivé	1.1.0
Révoquer les rôles privilégiés selon les besoins	CMA_0483 – Révoquer les rôles privilégiés selon les besoins	Manuel, désactivé	1.1.0
Mettre fin aux informations d’identification de compte contrôlées par le client	CMA_C1022 - Mettre fin aux informations d’identification de compte contrôlées par le client	Manuel, désactivé	1.1.0
Vérifier l’identité avant de distribuer les authentificateurs	CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs	Manuel, désactivé	1.1.0

Restriction d’accès aux informations

ID : Propriété ISO 27001:2013 A.9.4.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Automatiser la gestion des comptes	CMA_0026 – Automatiser la gestion des comptes	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Limiter les privilèges pour apporter des modifications dans l’environnement de production	CMA_C1206 - Limiter les privilèges pour apporter des modifications dans l’environnement de production	Manuel, désactivé	1.1.0
Gérer les comptes système et d’administration	CMA_0368 – Gérer les comptes système et d’administration	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Avertir lorsque le compte n’est pas nécessaire	CMA_0383 – Avertir lorsque le compte n’est pas nécessaire	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0

Sécuriser les procédures de connexion

ID : Propriété ISO 27001:2013 A.9.4.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Activer la détection des périphériques réseau	CMA_0220 - Activer la détection des périphériques réseau	Manuel, désactivé	1.1.0
Appliquer une limite du nombre de tentatives de connexion consécutives ayant échoué	CMA_C1044 - Appliquer une limite du nombre de tentatives de connexion consécutives ayant échoué	Manuel, désactivé	1.1.0
Appliquer l’unicité de l’utilisateur	CMA_0250 – Appliquer l’unicité de l’utilisateur	Manuel, désactivé	1.1.0
Établir les exigences de signature électronique et de certificat	CMA_0271 - Établir les exigences de signature électronique et de certificat	Manuel, désactivé	1.1.0
Générer des messages d’erreur	CMA_C1724 - Générer des messages d’erreur	Manuel, désactivé	1.1.0
Identifier les actions autorisées sans authentification	CMA_0295 - Identifier les actions autorisées sans authentification	Manuel, désactivé	1.1.0
Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation	CMA_C1346 - Identifier et authentifier les utilisateurs qui ne font pas partie de l’organisation	Manuel, désactivé	1.1.0
Masquer les informations de feedback lors du processus d’authentification	CMA_C1344 - Masquer les informations de feedback lors du processus d’authentification	Manuel, désactivé	1.1.0
Afficher les messages d’erreur	CMA_C1725 - Afficher les messages d’erreur	Manuel, désactivé	1.1.0
Router le trafic via des points d’accès réseau gérés	CMA_0484 - Router le trafic via des points d’accès réseau gérés	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	Manuel, désactivé	1.1.0
Terminer automatiquement la session utilisateur	CMA_C1054 – Terminer automatiquement la session utilisateur	Manuel, désactivé	1.1.0

Système de gestion des mots de passe

ID : Propriété ISO 27001:2013 A.9.4.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur	Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	modify	4.1.0
Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les machines Windows autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24	AuditIfNotExists, Désactivé	2.1.0
Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie maximale de leur mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut de la durée de vie maximale du mot de passe est de 70 jours	AuditIfNotExists, Désactivé	2.1.0
Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut pour la durée de vie minimale du mot de passe est de 1 jour	AuditIfNotExists, Désactivé	2.1.0
Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé	AuditIfNotExists, Désactivé	2.0.0
Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié	Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères	AuditIfNotExists, Désactivé	2.1.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows	Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Désactiver les authentificateurs lors de l’arrêt	CMA_0169 – Désactiver les authentificateurs lors de l’arrêt	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Établir une stratégie de mot de passe	CMA_0256 - Établir une stratégie de mot de passe	Manuel, désactivé	1.1.0
Établir des types et des processus d’authentificateur	CMA_0267 - Établir des types et des processus d’authentificateur	Manuel, désactivé	1.1.0
Établir des procédures pour la distribution initiale de l’authentificateur	CMA_0276 - Établir des procédures pour la distribution initiale de l’authentificateur	Manuel, désactivé	1.1.0
Implémenter des paramètres pour les vérificateurs de secrets mémorisés	CMA_0321 - Implémenter des paramètres pour les vérificateurs de secrets mémorisés	Manuel, désactivé	1.1.0
Implémenter une formation pour la protection des authentificateurs	CMA_0329 – Implémenter une formation pour la protection des authentificateurs	Manuel, désactivé	1.1.0
Gérer la durée de vie et la réutilisation de l’authentificateur	CMA_0355 - Gérer la durée de vie et la réutilisation de l’authentificateur	Manuel, désactivé	1.1.0
Gérer les authentificateurs	CMA_C1321 - Gérer les authentificateurs	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Actualiser les authentificateurs	CMA_0425 - Actualiser les authentificateurs	Manuel, désactivé	1.1.0
Réémettre les authentificateurs pour les groupes et les comptes modifiés	CMA_0426 - Réémettre les authentificateurs pour les groupes et les comptes modifiés	Manuel, désactivé	1.1.0
Révoquer les rôles privilégiés selon les besoins	CMA_0483 – Révoquer les rôles privilégiés selon les besoins	Manuel, désactivé	1.1.0
Vérifier l’identité avant de distribuer les authentificateurs	CMA_0538 - Vérifier l’identité avant de distribuer les authentificateurs	Manuel, désactivé	1.1.0

Utilisation de programmes utilitaires privilégiés

ID : Propriété ISO 27001:2013 A.9.4.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Concevoir un modèle de contrôle d’accès	CMA_0129 – Concevoir un modèle de contrôle d’accès	Manuel, désactivé	1.1.0
Utiliser l’accès aux privilèges minimum	CMA_0212 – Utiliser l’accès aux privilèges minimum	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0

Contrôle d’accès au code source des programmes

ID : Propriété ISO 27001:2013 A.9.4.5 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Concevoir un modèle de contrôle d’accès	CMA_0129 – Concevoir un modèle de contrôle d’accès	Manuel, désactivé	1.1.0
Utiliser l’accès aux privilèges minimum	CMA_0212 – Utiliser l’accès aux privilèges minimum	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Limiter les privilèges pour apporter des modifications dans l’environnement de production	CMA_C1206 - Limiter les privilèges pour apporter des modifications dans l’environnement de production	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0

Amélioration

Non-conformité et action corrective

ID : Propriété ISO 27001:2013 C.10.1.d : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Non-conformité et action corrective

ID : Propriété ISO 27001:2013 C.10.1.e : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Non-conformité et action corrective

ID : Propriété ISO 27001:2013 C.10.1.f : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Non-conformité et action corrective

ID : Propriété ISO 27001:2013 C.10.1.g : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Contexte de l’organisation

Détermination de l’étendue du système de gestion de la sécurité des informations

ID : Propriété ISO 27001:2013 C.4.3.a : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer un SSP qui répond aux critères	CMA_C1492 - Développer un SSP qui répond aux critères	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0

Détermination de l’étendue du système de gestion de la sécurité des informations

ID : Propriété ISO 27001:2013 C.4.3.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer un SSP qui répond aux critères	CMA_C1492 - Développer un SSP qui répond aux critères	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0

Détermination de l’étendue du système de gestion de la sécurité des informations

ID : Propriété ISO 27001:2013 C.4.3.c : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Aligner les objectifs métier et les objectifs de l’informatique	CMA_0008 - Aligner les objectifs métier et les objectifs de l’informatique	Manuel, désactivé	1.1.0
Déterminer les obligations des contrats fournisseur	CMA_0140 - Déterminer les obligations des contrats fournisseur	Manuel, désactivé	1.1.0
Développer un SSP qui répond aux critères	CMA_C1492 - Développer un SSP qui répond aux critères	Manuel, désactivé	1.1.0
Documenter les critères d’acceptation des contrats d’acquisition	CMA_0187 - Documenter les critères d’acceptation des contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données personnelles dans les contrats d’acquisition	CMA_0194 - Documenter la protection des données personnelles dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des informations de sécurité dans les contrats d’acquisition	CMA_0195 - Documenter la protection des informations de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences pour l’utilisation des données partagées dans les contrats	CMA_0197 - Documenter les exigences pour l’utilisation des données partagées dans les contrats	Manuel, désactivé	1.1.0
Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	CMA_0199 - Documenter les exigences d’assurance de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	CMA_0200 - Documenter les exigences de documentation de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	CMA_0201 - Documenter les exigences fonctionnelles de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	CMA_0203 - Documenter les exigences de niveau de sécurité dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter l’environnement du système d’information dans les contrats d’acquisition	CMA_0205 - Documenter l’environnement du système d’information dans les contrats d’acquisition	Manuel, désactivé	1.1.0
Documenter la protection des données des détenteurs de carte dans les contrats de tiers	CMA_0207 - Documenter la protection des données des détenteurs de carte dans les contrats de tiers	Manuel, désactivé	1.1.0
Utiliser un cas métier pour enregistrer les ressources nécessaires	CMA_C1735 - Utiliser un cas métier pour enregistrer les ressources nécessaires	Manuel, désactivé	1.1.0
Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires	CMA_C1734 - Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires	Manuel, désactivé	1.1.0
Établir des exigences de confidentialité pour les sous-traitants et les fournisseurs de services	CMA_C1810 - Établir des exigences de confidentialité pour les sous-traitants et les fournisseurs de services	Manuel, désactivé	1.1.0
Gouverner l’allocation des ressources	CMA_0293 - Gouverner l’allocation des ressources	Manuel, désactivé	1.1.0
Sécuriser l’engagement de la part de la direction	CMA_0489 - Sécuriser l’engagement de la part de la direction	Manuel, désactivé	1.1.0

Système de gestion de la sécurité des informations

ID : Propriété ISO 27001:2013 C.4.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Leadership

Leadership et engagement

ID : Propriété ISO 27001:2013 C.5.1.a : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Nommer un responsable senior de la sécurité des informations	CMA_C1733 - Nommer un responsable senior de la sécurité des informations	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Leadership et engagement

ID : Propriété ISO 27001:2013 C.5.1.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Nommer un responsable senior de la sécurité des informations	CMA_C1733 - Nommer un responsable senior de la sécurité des informations	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’audit et de responsabilité	CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures de contrôle d’accès	CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de planification	CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Leadership et engagement

ID : Propriété ISO 27001:2013 C.5.1.c : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Aligner les objectifs métier et les objectifs de l’informatique	CMA_0008 - Aligner les objectifs métier et les objectifs de l’informatique	Manuel, désactivé	1.1.0
Allouer des ressources pour déterminer les exigences du système d’information	CMA_C1561 - Allouer des ressources pour déterminer les exigences du système d’information	Manuel, désactivé	1.1.0
Nommer un responsable senior de la sécurité des informations	CMA_C1733 - Nommer un responsable senior de la sécurité des informations	Manuel, désactivé	1.1.0
Utiliser un cas métier pour enregistrer les ressources nécessaires	CMA_C1735 - Utiliser un cas métier pour enregistrer les ressources nécessaires	Manuel, désactivé	1.1.0
Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires	CMA_C1734 - Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires	Manuel, désactivé	1.1.0
Vérifier que les informations du programme de confidentialité sont disponibles publiquement	CMA_C1867 - Vérifier que les informations du programme de confidentialité sont disponibles publiquement	Manuel, désactivé	1.1.0
Établir un élément de ligne discret dans la documentation du budget	CMA_C1563 - Établir un élément de ligne discret dans la documentation du budget	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Gouverner l’allocation des ressources	CMA_0293 - Gouverner l’allocation des ressources	Manuel, désactivé	1.1.0
Sécuriser l’engagement de la part de la direction	CMA_0489 - Sécuriser l’engagement de la part de la direction	Manuel, désactivé	1.1.0

Leadership et engagement

ID : Propriété ISO 27001:2013 C.5.1.d : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Nommer un responsable senior de la sécurité des informations	CMA_C1733 - Nommer un responsable senior de la sécurité des informations	Manuel, désactivé	1.1.0

Leadership et engagement

ID : Propriété ISO 27001:2013 C.5.1.e : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Nommer un responsable senior de la sécurité des informations	CMA_C1733 - Nommer un responsable senior de la sécurité des informations	Manuel, désactivé	1.1.0
Définir des métriques de performances	CMA_0124 - Définir des métriques de performances	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0

Leadership et engagement

ID : Propriété ISO 27001:2013 C.5.1.f : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Aligner les objectifs métier et les objectifs de l’informatique	CMA_0008 - Aligner les objectifs métier et les objectifs de l’informatique	Manuel, désactivé	1.1.0
Allouer des ressources pour déterminer les exigences du système d’information	CMA_C1561 - Allouer des ressources pour déterminer les exigences du système d’information	Manuel, désactivé	1.1.0
Nommer un responsable senior de la sécurité des informations	CMA_C1733 - Nommer un responsable senior de la sécurité des informations	Manuel, désactivé	1.1.0
Utiliser un cas métier pour enregistrer les ressources nécessaires	CMA_C1735 - Utiliser un cas métier pour enregistrer les ressources nécessaires	Manuel, désactivé	1.1.0
Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires	CMA_C1734 - Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires	Manuel, désactivé	1.1.0
Établir un élément de ligne discret dans la documentation du budget	CMA_C1563 - Établir un élément de ligne discret dans la documentation du budget	Manuel, désactivé	1.1.0
Établir un programme de confidentialité	CMA_0257 - Établir un programme de confidentialité	Manuel, désactivé	1.1.0
Gouverner l’allocation des ressources	CMA_0293 - Gouverner l’allocation des ressources	Manuel, désactivé	1.1.0
Sécuriser l’engagement de la part de la direction	CMA_0489 - Sécuriser l’engagement de la part de la direction	Manuel, désactivé	1.1.0

Leadership et engagement

ID : Propriété ISO 27001:2013 C.5.1.g : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Nommer un responsable senior de la sécurité des informations	CMA_C1733 - Nommer un responsable senior de la sécurité des informations	Manuel, désactivé	1.1.0
Définir des métriques de performances	CMA_0124 - Définir des métriques de performances	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0

Leadership et engagement

ID : Propriété ISO 27001:2013 C.5.1.h : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Nommer un responsable senior de la sécurité des informations	CMA_C1733 - Nommer un responsable senior de la sécurité des informations	Manuel, désactivé	1.1.0

Policy

ID : Propriété ISO 27001:2013 C.5.2.a : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Policy

ID : Propriété ISO 27001:2013 C.5.2.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Policy

ID : Propriété ISO 27001:2013 C.5.2.c : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’audit et de responsabilité	CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures de contrôle d’accès	CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de planification	CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Policy

ID : Propriété ISO 27001:2013 C.5.2.d : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’audit et de responsabilité	CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures de contrôle d’accès	CMA_0457 - Passer en revue les stratégies et les procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	CMA_C1175 - Passer en revue et mettre à jour les stratégies et les procédures de gestion des configurations	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	CMA_C1243 - Examiner et mettre à jour les stratégies et les procédures de planification d’urgence	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	CMA_C1299 - Passer en revue et mettre à jour les stratégies et les procédures d’identification et d’authentification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	CMA_C1352 - Passer en revue et mettre à jour les stratégies et les procédures de réponse aux incidents	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	CMA_C1667 - Passer en revue et mettre à jour les stratégies et les procédures d’intégrité des informations	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	CMA_C1427 - Passer en revue et mettre à jour les stratégies et les procédures de protection des médias	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	CMA_C1507 - Passer en revue et mettre à jour les stratégies et les procédures de sécurité du personnel	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures physiques et environnementales	CMA_C1446 - Examiner et mettre à jour les stratégies et procédures physiques et environnementales	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de planification	CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	Manuel, désactivé	1.1.0
Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	CMA_C1616 - Examiner et mettre à jour les stratégies et procédures de protection du système et des communications	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	CMA_C1560 - Passer en revue et mettre à jour les procédures et les stratégies d’acquisition de systèmes et de services	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	CMA_C1395 - Passer en revue et mettre à jour les stratégies et les procédures de maintenance des systèmes	Manuel, désactivé	1.1.0
Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	CMA_C1143 - Passer en revue les stratégies et les procédures d’évaluation de la sécurité et d’autorisation	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Policy

ID : Propriété ISO 27001:2013 C.5.2.e : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Policy

ID : Propriété ISO 27001:2013 C.5.2.f : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures de contrôle d’accès	CMA_0144 - Développer des stratégies et des procédures de contrôle d’accès	Manuel, désactivé	1.1.0
Documenter les activités de formation à la sécurité et à la confidentialité	CMA_0198 - Documenter les activités de formation à la sécurité et à la confidentialité	Manuel, désactivé	1.1.0
Gouverner les stratégies et les procédures	CMA_0292 - Gouverner les stratégies et les procédures	Manuel, désactivé	1.1.0
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Policy

ID : Propriété ISO 27001:2013 C.5.2.g : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Mettre à jour le plan, les stratégies et les procédures de confidentialité	CMA_C1807 - Mettre à jour le plan, les stratégies et les procédures de confidentialité	Manuel, désactivé	1.1.0

Rôles, responsabilités et autorités de l’organisation

ID : Propriété ISO 27001:2013 C.5.3.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Définir des métriques de performances	CMA_0124 - Définir des métriques de performances	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0

Planification

Général

ID : Propriété ISO 27001:2013 C.6.1.1.a : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0

Général

ID : Propriété ISO 27001:2013 C.6.1.1.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0

Général

ID : Propriété ISO 27001:2013 C.6.1.1.c : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0

Général

ID : Propriété ISO 27001:2013 C.6.1.1.d : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0

Général

ID : Propriété ISO 27001:2013 C.6.1.1.e.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0

Général

ID : Propriété ISO 27001:2013 C.6.1.1.e.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Évaluation des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.2.a.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0

Évaluation des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.2.a.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Établir une stratégie de gestion des risques	CMA_0258 - Établir une stratégie de gestion des risques	Manuel, désactivé	1.1.0
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0

Évaluation des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.2.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0

Évaluation des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.2.c.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0

Évaluation des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.2.c.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0

Évaluation des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.2.d.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0

Évaluation des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.2.d.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0

Évaluation des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.2.d.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0

Évaluation des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.2.e.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0

Évaluation des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.2.e.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Implémenter la stratégie de gestion des risques	CMA_C1744 - Implémenter la stratégie de gestion des risques	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0

Traitement des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.3.a : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0

Traitement des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.3.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0

Traitement des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.3.c : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0

Traitement des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.3.d : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer un SSP qui répond aux critères	CMA_C1492 - Développer un SSP qui répond aux critères	Manuel, désactivé	1.1.0

Traitement des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.3.e : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0

Traitement des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.6.1.3.f : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0

Objectifs de sécurité des informations et planification pour les atteindre

ID : Propriété ISO 27001:2013 C.6.2.e : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0

Support

Ressources

ID : Propriété ISO 27001:2013 C.7.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Aligner les objectifs métier et les objectifs de l’informatique	CMA_0008 - Aligner les objectifs métier et les objectifs de l’informatique	Manuel, désactivé	1.1.0
Allouer des ressources pour déterminer les exigences du système d’information	CMA_C1561 - Allouer des ressources pour déterminer les exigences du système d’information	Manuel, désactivé	1.1.0
Utiliser un cas métier pour enregistrer les ressources nécessaires	CMA_C1735 - Utiliser un cas métier pour enregistrer les ressources nécessaires	Manuel, désactivé	1.1.0
Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires	CMA_C1734 - Vérifier que les demandes de planification et d’investissement capitales incluent les ressources nécessaires	Manuel, désactivé	1.1.0
Établir un élément de ligne discret dans la documentation du budget	CMA_C1563 - Établir un élément de ligne discret dans la documentation du budget	Manuel, désactivé	1.1.0
Gouverner l’allocation des ressources	CMA_0293 - Gouverner l’allocation des ressources	Manuel, désactivé	1.1.0
Sécuriser l’engagement de la part de la direction	CMA_0489 - Sécuriser l’engagement de la part de la direction	Manuel, désactivé	1.1.0

Compétence

ID : Propriété ISO 27001:2013 C.7.2.a : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Documenter l’acceptation des exigences de confidentialité par le personnel	CMA_0193 - Documenter l’acceptation des exigences de confidentialité par le personnel	Manuel, désactivé	1.1.0
Surveiller la réalisation des formations sur la sécurité et la confidentialité	CMA_0379 - Surveiller la réalisation des formations sur la sécurité et la confidentialité	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0

Compétence

ID : Propriété ISO 27001:2013 C.7.2.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Surveiller la réalisation des formations sur la sécurité et la confidentialité	CMA_0379 - Surveiller la réalisation des formations sur la sécurité et la confidentialité	Manuel, désactivé	1.1.0

Compétence

ID : Propriété ISO 27001:2013 C.7.2.c : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Surveiller la réalisation des formations sur la sécurité et la confidentialité	CMA_0379 - Surveiller la réalisation des formations sur la sécurité et la confidentialité	Manuel, désactivé	1.1.0

Compétence

ID : Propriété ISO 27001:2013 C.7.2.d : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Conserver les dossiers de formation	CMA_0456 - Conserver les dossiers de formation	Manuel, désactivé	1.1.0

Sensibilisation

ID : Propriété ISO 27001:2013 C.7.3.a : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures d’utilisation acceptables	CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables	Manuel, désactivé	1.1.0
Appliquer des règles de comportement et des contrats d’accès	CMA_0248 - Appliquer des règles de comportement et des contrats d’accès	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0

Sensibilisation

ID : Propriété ISO 27001:2013 C.7.3.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures d’utilisation acceptables	CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables	Manuel, désactivé	1.1.0
Appliquer des règles de comportement et des contrats d’accès	CMA_0248 - Appliquer des règles de comportement et des contrats d’accès	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0

Sensibilisation

ID : Propriété ISO 27001:2013 C.7.3.c : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des stratégies et des procédures d’utilisation acceptables	CMA_0143 - Développer des stratégies et des procédures d’utilisation acceptables	Manuel, désactivé	1.1.0
Appliquer des règles de comportement et des contrats d’accès	CMA_0248 - Appliquer des règles de comportement et des contrats d’accès	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0

Communication

ID : Propriété ISO 27001:2013 C.7.4.a : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Désigner le personnel autorisé à publier des informations accessibles publiquement	CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0

Communication

ID : Propriété ISO 27001:2013 C.7.4.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Désigner le personnel autorisé à publier des informations accessibles publiquement	CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0

Communication

ID : Propriété ISO 27001:2013 C.7.4.c : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Désigner le personnel autorisé à publier des informations accessibles publiquement	CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0

Communication

ID : Propriété ISO 27001:2013 C.7.4.d : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Désigner le personnel autorisé à publier des informations accessibles publiquement	CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0

Communication

ID : Propriété ISO 27001:2013 C.7.4.e : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Désigner le personnel autorisé à publier des informations accessibles publiquement	CMA_C1083 - Désigner le personnel autorisé à publier des informations accessibles publiquement	Manuel, désactivé	1.1.0
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0

Création et mise à jour

ID : Propriété ISO 27001:2013 C.7.5.2.c : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer un SSP qui répond aux critères	CMA_C1492 - Développer un SSP qui répond aux critères	Manuel, désactivé	1.1.0

Contrôle des informations documentées

ID : Propriété ISO 27001:2013 C.7.5.3.a : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Passer en revue et mettre à jour les stratégies et les procédures de planification	CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification	Manuel, désactivé	1.1.0

Contrôle des informations documentées

ID : Propriété ISO 27001:2013 C.7.5.3.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0

Contrôle des informations documentées

ID : Propriété ISO 27001:2013 C.7.5.3.c : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Passer en revue et mettre à jour les stratégies et les procédures de planification	CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification	Manuel, désactivé	1.1.0

Contrôle des informations documentées

ID : Propriété ISO 27001:2013 C.7.5.3.d : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0

Contrôle des informations documentées

ID : Propriété ISO 27001:2013 C.7.5.3.e : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0

Contrôle des informations documentées

ID : Propriété ISO 27001:2013 C.7.5.3.f : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer et établir un plan de sécurité des systèmes	CMA_0151 - Développer et établir un plan de sécurité des systèmes	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Établir les exigences de sécurité pour la fabrication d’appareils connectés	CMA_0279 - Établir les exigences de sécurité pour la fabrication d’appareils connectés	Manuel, désactivé	1.1.0
Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	CMA_0325 - Implémenter les principes d’ingénierie de la sécurité des systèmes d’information	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures de planification	CMA_C1491 - Passer en revue et mettre à jour les stratégies et les procédures de planification	Manuel, désactivé	1.1.0

Opération

Planification et contrôle opérationnels

ID : Propriété ISO 27001:2013 C.8.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Automatiser la demande d’approbation pour les modifications proposées	CMA_C1192 - Automatiser la demande d’approbation pour les modifications proposées	Manuel, désactivé	1.1.0
Automatiser l’implémentation des notifications de modification approuvées	CMA_C1196 - Automatiser l’implémentation des notifications de modification approuvées	Manuel, désactivé	1.1.0
Automatiser le processus de documentation des modifications implémentées	CMA_C1195 - Automatiser le processus de documentation des modifications implémentées	Manuel, désactivé	1.1.0
Automatiser le processus de mise en évidence des propositions de modification non révisées	CMA_C1193 - Automatiser le processus de mise en évidence des propositions de modification non révisées	Manuel, désactivé	1.1.0
Automatiser le processus d’interdiction de l’implémentation de modifications non approuvées	CMA_C1194 - Automatiser le processus d’interdiction d’implémentation de modifications non approuvées	Manuel, désactivé	1.1.0
Automatiser les modifications documentées proposées	CMA_C1191 - Automatiser les modifications documentées proposées	Manuel, désactivé	1.1.0
Effectuer une analyse d’impact sur la sécurité	CMA_0057 - Effectuer une analyse d’impact sur la sécurité	Manuel, désactivé	1.1.0
Développer et gérer un standard de gestion des vulnérabilités	CMA_0152 - Développer et gérer un standard de gestion des vulnérabilités	Manuel, désactivé	1.1.0
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0
Appliquer les paramètres de configuration de sécurité	CMA_0249 – Appliquer les paramètres de configuration de sécurité	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0
Établir des exigences de gestion de configuration pour les développeurs	CMA_0270 - Établir des exigences de gestion de configuration pour les développeurs	Manuel, désactivé	1.1.0
Effectuer une évaluation de l’impact sur la confidentialité	CMA_0387 - Effectuer une évaluation de l’impact sur la confidentialité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Effectuer un audit pour le contrôle des modifications de configuration	CMA_0390 - Effectuer un audit pour le contrôle des modifications de configuration	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel	CMA_C1597 - Exiger des développeurs qu’ils documentent les modifications approuvées et l’impact potentiel	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils implémentent seulement les modifications approuvées	CMA_C1596 - Exiger des développeurs qu’ils implémentent seulement les modifications approuvées	Manuel, désactivé	1.1.0
Exiger des développeurs qu’ils gèrent l’intégrité des modifications	CMA_C1595 - Exiger des développeurs qu’ils gèrent l’intégrité des modifications	Manuel, désactivé	1.1.0
Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	CMA_C1586 - Exiger la conformité aux exigences de sécurité de la part des fournisseurs de services externes	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Évaluation des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.8.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Effectuer l’évaluation des risques et documenter ses résultats	CMA_C1542 - Effectuer l’évaluation des risques et documenter ses résultats	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_0388 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	CMA_C1537 - Passer en revue et mettre à jour les stratégies et les procédures d’évaluation des risques	Manuel, désactivé	1.1.0

Traitement des risques liés à la sécurité des informations

ID : Propriété ISO 27001:2013 C.8.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0
Implémenter la protection des limites des systèmes	CMA_0328 - Implémenter la protection des limites des systèmes	Manuel, désactivé	1.1.0
Sécuriser l’interface pour les systèmes externes	CMA_0491 - Sécuriser l’interface pour les systèmes externes	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Évaluation des performances

Supervision, mesure, analyse et évaluation

ID : Propriété ISO 27001:2013 C.9.1.a : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Configurer la liste verte des détections	CMA_0068 - Configurer la liste verte des détections	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0

Supervision, mesure, analyse et évaluation

ID : Propriété ISO 27001:2013 C.9.1.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Configurer la liste verte des détections	CMA_0068 - Configurer la liste verte des détections	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0

Supervision, mesure, analyse et évaluation

ID : Propriété ISO 27001:2013 C.9.1.c : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Configurer la liste verte des détections	CMA_0068 - Configurer la liste verte des détections	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0

Supervision, mesure, analyse et évaluation

ID : Propriété ISO 27001:2013 C.9.1.d : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Configurer la liste verte des détections	CMA_0068 - Configurer la liste verte des détections	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0

Supervision, mesure, analyse et évaluation

ID : Propriété ISO 27001:2013 C.9.1.e : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Configurer la liste verte des détections	CMA_0068 - Configurer la liste verte des détections	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0

Supervision, mesure, analyse et évaluation

ID : Propriété ISO 27001:2013 C.9.1.f : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Configurer la liste verte des détections	CMA_0068 - Configurer la liste verte des détections	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0
Faire l’objet d’une révision de sécurité indépendante	CMA_0515 - Faire l’objet d’une révision de sécurité indépendante	Manuel, désactivé	1.1.0

Audit interne

ID : Propriété ISO 27001:2013 C.9.2.a.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer un plan d’évaluation de la sécurité	CMA_C1144 - Développer un plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0

Audit interne

ID : Propriété ISO 27001:2013 C.9.2.a.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer un plan d’évaluation de la sécurité	CMA_C1144 - Développer un plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0

Audit interne

ID : Propriété ISO 27001:2013 C.9.2.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer un plan d’évaluation de la sécurité	CMA_C1144 - Développer un plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0

Audit interne

ID : Propriété ISO 27001:2013 C.9.2.c : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Développer un plan d’évaluation de la sécurité	CMA_C1144 - Développer un plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0

Audit interne

ID : Propriété ISO 27001:2013 C.9.2.d : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Développer un plan d’évaluation de la sécurité	CMA_C1144 - Développer un plan d’évaluation de la sécurité	Manuel, désactivé	1.1.0

Audit interne

ID : Propriété ISO 27001:2013 C.9.2.e : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Ajuster le niveau d’évaluation, d’analyse et de production de rapports d’audit	CMA_C1123 - Ajuster le niveau d’évaluation, d’analyse et de production de rapports d’audit	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures d’audit et de responsabilité	CMA_0154 - Développer des stratégies et des procédures d’audit et de responsabilité	Manuel, désactivé	1.1.0
Développer des stratégies et des procédures de sécurité des informations	CMA_0158 -Développer des stratégies et des procédures de sécurité des informations	Manuel, désactivé	1.1.0
Utiliser des évaluateurs indépendants pour effectuer des évaluations des contrôles de sécurité	CMA_C1148 - Utiliser des évaluateurs indépendants pour effectuer des évaluations des contrôles de sécurité	Manuel, désactivé	1.1.0
Mettre à jour les stratégies de sécurité des informations	CMA_0518 - Mettre à jour les stratégies de sécurité des informations	Manuel, désactivé	1.1.0

Audit interne

ID : Propriété ISO 27001:2013 C.9.2.f : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Fournir les résultats de l’évaluation de la sécurité	CMA_C1147 - Fournir les résultats de l’évaluation de la sécurité	Manuel, désactivé	1.1.0

Audit interne

ID : Propriété ISO 27001:2013 C.9.2.g : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Conserver les stratégies et procédures de sécurité	CMA_0454 – Conserver les stratégies et procédures de sécurité	Manuel, désactivé	1.1.0
Conserver les données utilisateur terminées	CMA_0455 – Conserver les données utilisateur terminées	Manuel, désactivé	1.1.0

Passage en revue de la gestion

ID : Propriété ISO 27001:2013 C.9.3.a : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_C1543 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0
Implémenter des plans d’action et des jalons pour le processus du programme de sécurité	CMA_C1737 - Implémenter des plans d’action et des jalons pour le processus du programme de sécurité	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Passage en revue de la gestion

ID : Propriété ISO 27001:2013 C.9.3.b : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_C1543 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Passage en revue de la gestion

ID : Propriété ISO 27001:2013 C.9.3.c.1 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_C1543 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Définir des métriques de performances	CMA_0124 - Définir des métriques de performances	Manuel, désactivé	1.1.0
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0
Établir un programme de sécurité des informations	CMA_0263 - Établir un programme de sécurité des informations	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Passage en revue de la gestion

ID : Propriété ISO 27001:2013 C.9.3.c.2 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_C1543 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Développer des POA&M	CMA_C1156 – Développer POA&M	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Passage en revue de la gestion

ID : Propriété ISO 27001:2013 C.9.3.c.3 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_C1543 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Définir des métriques de performances	CMA_0124 - Définir des métriques de performances	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Passage en revue de la gestion

ID : Propriété ISO 27001:2013 C.9.3.c.4 : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_C1543 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Définir des métriques de performances	CMA_0124 - Définir des métriques de performances	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Passage en revue de la gestion

ID : Propriété ISO 27001:2013 C.9.3.d : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_C1543 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Passage en revue de la gestion

ID : Propriété ISO 27001:2013 C.9.3.e : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_C1543 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Passage en revue de la gestion

ID : Propriété ISO 27001:2013 C.9.3.f : Partagée

Nom (Portail Azure)	Description	Effet(s)	Version (GitHub)
Évaluer les contrôles de sécurité	CMA_C1145 - Évaluer les contrôles de sécurité	Manuel, désactivé	1.1.0
Effectuer une évaluation des risques	CMA_C1543 - Effectuer une évaluation des risques	Manuel, désactivé	1.1.0
Mettre à jour les éléments POA&M	CMA_C1157 – Mettre à jour des éléments POA&M	Manuel, désactivé	1.1.0

Étapes suivantes

Autres articles sur Azure Policy :

• Présentation de la Conformité réglementaire.
• Voir la structure de la définition d’initiative.
• Passez en revue d’autres exemples de la page Exemples Azure Policy.
• Consultez la page Compréhension des effets de Policy.
• Découvrez comment corriger des ressources non conformes.