Normes de conformité réglementaire dans Microsoft Defender pour le cloud
Microsoft Defender pour le cloud simplifie le processus de conformité réglementaire en vous aidant à identifier les problèmes qui vous empêchent de respecter une norme de conformité particulière ou d’obtenir une certification de conformité.
Les normes du secteur, les normes réglementaires et les points de références sont représentés dans Defender pour le cloud en tant que normes de sécurité et apparaissent dans le tableau de bord Conformité réglementaire.
Contrôles de conformité
Chaque norme de sécurité se compose de plusieurs contrôles de conformité, qui sont des groupes logiques de recommandations de sécurité associées.
Defender pour le cloud évalue continuellement l’étendue de l’environnement par rapport aux contrôles de conformité qui peuvent être évalués automatiquement. En fonction des évaluations, elle montre que les ressources sont conformes ou non conformes aux contrôles.
Remarque
Il est important de noter que si les normes ont des contrôles de conformité qui ne peuvent pas être évalués automatiquement, Defender pour le cloud ne peut pas décider si une ressource est conforme au contrôle. Dans ce cas, le contrôle apparaît grisé.
Affichage des normes de conformité
Le tableau de bord Conformité réglementaire fournit une vue d’ensemble interactive de l’état de conformité.
Dans le tableau de bord, vous pouvez :
- Obtenir un résumé des contrôles de normes qui ont été passés.
- Obtenir le résumé des normes qui ont le taux de réussite le plus bas pour les ressources.
- Passer en revue les normes appliquées dans l’étendue sélectionnée.
- Passer en revue les évaluations des contrôles de conformité au sein de chaque norme appliquée.
- Obtenir un rapport de synthèse pour une norme spécifique.
- Gérer les stratégies de conformité pour voir les normes affectées à une étendue spécifique.
- Exécuter une requête pour créer un rapport de conformité personnalisé
- Créez un « classeur de conformité au fil du temps » pour suivre l’évolution de la conformité au fil du temps.
- Téléchargez les rapports d’audit.
- Passez en revue les offres de conformité pour les audits Microsoft et tiers.
Détails de la norme de conformité
Pour chaque norme de conformité, vous pouvez afficher :
- L’étendue pour la norme.
- Chaque norme est divisée en groupes de contrôles et de sous-contrôles.
- Lorsque vous appliquez une norme à une étendue, vous pouvez voir un résumé de l’évaluation de conformité pour les ressources dans l’étendue, pour chaque contrôle de norme.
- L’état des évaluations reflète la conformité à la norme. Il existe trois états :
- Un cercle vert indique que les ressources dans l’étendue sont conformes au contrôle.
- Un cercle rouge indique que les ressources ne sont pas conformes au contrôle.
- Les contrôles indisponibles sont ceux qui ne peuvent pas être évalués automatiquement et, par conséquent, Defender pour le cloud n’est pas en mesure de déterminer si les ressources sont conformes.
Vous pouvez explorer au niveau du détail les contrôles pour obtenir des informations sur les ressources qui ont passé/échoué des évaluations et sur les étapes de correction.
Normes de conformité par défaut
Par défaut, lorsque vous activez Defender pour le cloud, les normes suivantes sont activées :
- Pour Azure: Benchmark de la sécurité Microsoft Cloud (MCSB).
- Pour AWS: Benchmark de la sécurité Microsoft Cloud (MCSB) et Norme fondamentale de meilleures pratiques de sécurité AWS.
- Pour GCP: Benchmark de la sécurité Microsoft Cloud (MCSB) et GCP Par défaut.
Normes de conformité disponibles
Les normes suivantes sont disponibles dans Microsoft Defender pour le cloud :
| Normes des abonnements Azure | Normes des comptes AWS | Normes des projets GCP |
|---|---|---|
| Australian Government ISM Protected | Meilleures pratiques de sécurité de base pour AWS | Loi générale brésilienne sur la protection des données (LGPD) |
| PBMM fédéral du Canada | AWS Well-Architected Framework | Loi CCPA (California Consumer Privacy Act) |
| Fondements Azure du CIS | Loi générale brésilienne sur la protection des données (LGPD) | Contrôles CIS |
| CMMC | Loi CCPA (California Consumer Privacy Act) | CIS GCP Foundations |
| FedRAMP « H » & « M » | CIS AWS Foundations | CIS Google Cloud Platform Foundation Benchmark |
| HIPAA/HITRUST | CRI Profile | CIS Google Kubernetes Engine (GKE) Benchmark |
| ISO/IEC 27001 | CSA Cloud Controls Matrix (CCM) | CRI Profile |
| New Zealand ISM Restricted | RGPD | CSA Cloud Controls Matrix (CCM) |
| Service NIS (Network Information Service) SP 800-171 | ISO/IEC 27001 | CMMC (Cybersecurity Maturity Model Certification) |
| NIST SP 800-53 | ISO/IEC 27002 | FFIEC Cybersecurity Assessment Tool (CAT) |
| PCI DSS | Infrastructure de cybersécurité NIST (CSF) | RGPD |
| RMIT Malaysia | NIST SP 800-172 | ISO/IEC 27001 |
| SOC 2 | PCI DSS | ISO/IEC 27002 |
| SWIFT CSP CSCF | ISO/IEC 27017 | |
| UK OFFICIAL et UK NHS | Infrastructure de cybersécurité NIST (CSF) | |
| NIST SP 800-53 | ||
| Service NIS (Network Information Service) SP 800-171 | ||
| NIST SP 800-172 | ||
| PCI DSS | ||
| Sarbanes Oxley Act (SOX) | ||
| SOC 2 |