Comment déterminer le benchmark ou la norme à utiliser ?
Le benchmark de sécurité du cloud Microsoft (MCSB) est l’ensemble canonique des recommandations de sécurité et des bonnes pratiques définies par Microsoft, alignées sur les frameworks de contrôle de conformité courants, notamment CIS Control Framework, NIST SP 800-53 et PCI-DSS. MCSB est un ensemble complet de principes de sécurité indépendants du cloud conçu pour recommander les directives techniques les plus à jour pour Azure, ainsi que d’autres clouds tels que AWS et GCP. Nous recommandons MCSB aux clients qui veulent maximiser leur posture de sécurité et aligner leur état de conformité sur les normes du secteur.
Le benchmark CIS est créé par une entité indépendante, le CIS (Center for Internet Security), et contient des recommandations sur une partie des principaux services Azure. Nous travaillons en collaboration avec le CIS pour garantir que leurs recommandations incluent les dernières améliorations d’Azure, mais il arrive qu’elles soient en retard et deviennent obsolètes. Néanmoins, certains clients aiment utiliser cette évaluation tierce objective du CIS comme première et principale base de référence de sécurité.
Depuis que nous avons publié le de benchmark de sécurité du cloud Microsoft, de nombreux clients ont choisi de l’utiliser en remplacement des benchmarks CIS.
Quelles sont les normes prises en charge dans le tableau de bord de conformité ?
Par défaut, le tableau de bord conformité réglementaire vous montre le benchmark de sécurité du cloud Microsoft. Le point de référence de sécurité du cloud Microsoft constitue les directives créées par Microsoft, qui contient les bonnes pratiques de sécurité et de conformité s’inscrivant dans les cadres de conformité courants. Apprenez-en davantage dans Introduction aux benchmarks de sécurité Microsoft Cloud.
Pour suivre votre conformité à d’autres normes, vous devez les ajouter explicitement à votre tableau de bord.
Pour obtenir la liste des normes réglementaires disponibles, consultez la section Quelles sont les normes de conformité réglementaire disponibles dans Defender pour le cloud.
AWS : lorsque les utilisateurs sont intégrés, les meilleures pratiques de sécurité de base AWS sont attribuées à chaque compte AWS. Il s’agit de l’ensemble des directives propres à AWS contenant les meilleures pratiques de sécurité et de conformité basées sur les infrastructures de conformité courantes.
Les utilisateurs qui ont un bundle Defender activé peuvent activer d’autres normes.
Pour ajouter des normes de conformité réglementaire sur les comptes AWS :
Accédez à Paramètres d’environnement.
Sélectionnez le compte approprié.
Sélectionnez Normes.
Sélectionnez Ajouter, puis Norme.
Choisissez une norme intégrée dans le menu déroulant.
Sélectionnez Enregistrer.
D’autres normes seront ajoutées au tableau de bord et incluses dans les informations fournies dans Personnaliser l’ensemble de normes du tableau de bord de conformité réglementaire.
Pourquoi certains contrôles sont-ils grisés ?
Pour chaque norme de conformité présente dans le tableau de bord, il existe une liste de contrôles. Pour les contrôles applicables, vous pouvez voir les détails des évaluations ayant réussi ou échoué.
Certains contrôles sont grisés. Ces contrôles ne sont associés à aucune évaluation Defender pour le cloud. Certains peuvent être liés à une procédure ou à un processus, ce qui explique qu’ils ne peuvent pas être vérifiés par Defender pour le cloud. Certaines stratégies ou évaluations automatisées n’ont pas encore été implémentées, mais le seront dans l’avenir. Certains contrôles peuvent relever de la responsabilité de la plateforme, comme expliqué dans l’article Responsabilité partagée dans le cloud.
Comment supprimer une norme intégrée, telle que PCI-DSS, ISO 27001 ou SOC2 TSP, du tableau de bord ?
Pour personnaliser le tableau de bord de conformité réglementaire et vous concentrer uniquement sur les normes qui vous sont applicables, vous pouvez supprimer les normes réglementaires affichées qui ne concernent pas votre organisation. Pour supprimer une norme, suivez les instructions dans Supprimer une norme de votre tableau de bord.
J’ai apporté les modifications suggérées par la recommandation, mais elles n’apparaissent pas encore dans le tableau de bord ?
Après avoir pris les mesures pour appliquer les recommandations, patientez 12 heures avant de voir les modifications apparaître dans vos données de conformité. Les évaluations sont exécutées toutes les 12 heures environ. L’effet sur vos données de conformité n’est donc visible qu’après leur exécution.
De quelles autorisations ai-je besoin pour accéder au tableau de bord de conformité ?
Pour accéder à toutes les données de conformité dans votre locataire, vous devez disposer au minimum d’un niveau d’autorisations Lecteur sur l’étendue applicable de votre locataire ou tous les abonnements appropriés.
L’ensemble minimal de rôles pour accéder au tableau de bord et gérer les normes est Contributeur de stratégie de ressource et Administrateur de sécurité.
Le tableau de bord de conformité réglementaire ne se charge pas pour moi
Pour utiliser le tableau de bord de conformité réglementaire, Defender pour le Cloud doit être activé au niveau de l’abonnement. Si le tableau de bord ne se charge pas correctement, essayez les étapes suivantes :
- Effacez le cache de votre navigateur.
- Essayez un autre navigateur.
- Essayez d’ouvrir le tableau de bord à partir d’un autre emplacement réseau.
Comment afficher un rapport sur les contrôles ayant réussi ou échoué par norme dans mon tableau de bord ?
Dans le tableau de bord principal, vous pouvez voir un rapport sur les contrôles ayant réussi ou échoué pour (1) les quatre premières normes ayant la conformité la plus faible dans le tableau de bord. Pour afficher l’état de tous les contrôles ayant réussi ou échoué, sélectionnez (2) Afficher les x (x représentant le nombre de normes que vous suivez). Un plan de contexte affiche l’état de conformité pour chacune des normes que vous suivez.
Comment télécharger un rapport avec des données de conformité dans un format autre que PDF ?
Quand vous sélectionnez Télécharger le rapport, sélectionnez la norme et le format (PDF ou CSV). Le rapport obtenu reflète l’ensemble actuel d’abonnements que vous avez sélectionnés dans le filtre du portail.
- Le rapport PDF affiche un résumé de l’état de la norme sélectionnée
- Le rapport CSV fournit des résultats détaillés par ressource, par rapport aux stratégies associées à chaque contrôle
Pour l’heure, il n’est pas possible de télécharger un rapport pour une stratégie personnalisée (seules les normes réglementaires fournies sont prises en charge).
Comment créer des exceptions pour certaines des stratégies présentes dans le tableau de bord de conformité réglementaire ?
Pour les recommandations MCSB qui sont incluses dans le score de sécurisation, vous pouvez créer des exemptions pour une ou plusieurs ressources directement dans le portail, comme expliqué dans Exempter des ressource et des recommandations de votre degré de sécurisation.
Pour les autres recommandations, vous pouvez créer une exemption directement dans la recommandation elle-même, en suivant les instructions fournies dans Structure d’exemption d’Azure Policy.
De quels plans ou licences Microsoft Defender pour le cloud ai-je besoin pour utiliser le tableau de bord de conformité réglementaire ?
Si vous avez activé l’un des plans Microsoft Defender (sauf Defender pour serveurs Plan 1) sur l’une de vos ressources Azure, vous pouvez accéder au tableau de bord de conformité réglementaire de Defender pour le cloud ainsi qu’à toutes ses données et fonctionnalités.
Remarque
Pour Defender pour serveurs, vous obtenez la conformité réglementaire uniquement pour le plan 2. Le plan 1 n’inclut pas la conformité aux normes.