Détails de l’initiative intégrée de conformité réglementaire pour CIS Microsoft Azure Foundations Benchmark 2.0.0

Article
11/04/2024

L’article suivant explique en détail comment la définition de l’initiative intégrée de conformité réglementaire pour Azure Policy est mappée à des domaines de conformité et des contrôles dans CIS Microsoft Azure Foundations Benchmark 2.0.0. Pour plus d’informations sur ce standard de conformité, consultez CIS Microsoft Azure Foundations Benchmark 2.0.0. Pour comprendre la Propriété, consultez le type de stratégie et la responsabilité partagée dans le cloud.

Les mappages suivants sont relatifs aux contrôles CIS Microsoft Azure Foundations Benchmark 2.0.0. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Recherchez et sélectionnez ensuite la définition de l’initiative intégrée de conformité réglementaire pour CIS Microsoft Azure Foundations Benchmark v2.0.0.

Important

Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.

1.1

Vérifiez que vous avez activé les paramètres de sécurité par défaut sur Azure Active Directory

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 1.1.1 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
S’authentifier auprès du module de chiffrement	CMA_0021 – S’authentifier auprès du module de chiffrement	Manuel, désactivé	1.1.0
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Formation sur la mobilité des documents	CMA_0191 – Formation sur la mobilité des documents	Manuel, désactivé	1.1.0
Documentation des instructions d’accès à distance	CMA_0196 – Documentation des instructions d’accès à distance	Manuel, désactivé	1.1.0
Identifier et authentifier les périphériques réseau	CMA_0296 – Identifier et authentifier les périphériques réseau	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
Répondre aux exigences de qualité des jetons	CMA_0487 – Répondre aux exigences de qualité des jetons	Manuel, désactivé	1.1.0

Assurez-vous que l’option « État d’authentification multifacteur » est définie sur « Activé » pour tous les utilisateurs privilégiés

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 1.1.2 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0

Assurez-vous que l’option « État d’authentification multifacteur » est définie sur « Activé » pour tous les utilisateurs non privilégiés

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 1.1.3 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur	MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources.	AuditIfNotExists, Désactivé	1.0.0
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0

Vérifier que « Permettre aux utilisateurs de mémoriser l’authentification multifacteur sur des appareils de confiance » est désactivé

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 1.1.4 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Identifier et authentifier les périphériques réseau	CMA_0296 – Identifier et authentifier les périphériques réseau	Manuel, désactivé	1.1.0
Répondre aux exigences de qualité des jetons	CMA_0487 – Répondre aux exigences de qualité des jetons	Manuel, désactivé	1.1.0

1

Assurez-vous que « Notifier tous les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe ? » est définie sur « Oui »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.10 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Automatiser la gestion des comptes	CMA_0026 – Automatiser la gestion des comptes	Manuel, désactivé	1.1.0
Implémenter une formation pour la protection des authentificateurs	CMA_0329 – Implémenter une formation pour la protection des authentificateurs	Manuel, désactivé	1.1.0
Gérer les comptes système et d’administration	CMA_0368 – Gérer les comptes système et d’administration	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Surveiller l’attribution de rôle privilégié	CMA_0378 – Surveiller l’attribution de rôle privilégié	Manuel, désactivé	1.1.0
Avertir lorsque le compte n’est pas nécessaire	CMA_0383 – Avertir lorsque le compte n’est pas nécessaire	Manuel, désactivé	1.1.0
Restreindre l’accès aux comptes privilégiés	CMA_0446 – Restreindre l’accès aux comptes privilégiés	Manuel, désactivé	1.1.0
Révoquer les rôles privilégiés selon les besoins	CMA_0483 – Révoquer les rôles privilégiés selon les besoins	Manuel, désactivé	1.1.0
Utiliser Privileged Identity Management	CMA_0533 – Utiliser la gestion des identités privilégiées	Manuel, désactivé	1.1.0

Vérifier que `User consent for applications` est défini sur `Do not allow user consent`

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.11 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0

Assurez-vous que l’option « Les utilisateurs peuvent ajouter des applications de galerie à Mes applications » est définie sur « Non »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.13 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0

Vérifiez que vous avez défini le paramètre « Les utilisateurs peuvent inscrire des applications » sur « Non »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.14 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0

Vérifier que « Restrictions d'accès des utilisateurs invités » est défini sur « L'accès des utilisateurs invités est limité aux propriétés et aux appartenances de leurs propres objets d'annuaire »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.15 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Concevoir un modèle de contrôle d’accès	CMA_0129 – Concevoir un modèle de contrôle d’accès	Manuel, désactivé	1.1.0
Utiliser l’accès aux privilèges minimum	CMA_0212 – Utiliser l’accès aux privilèges minimum	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0

Assurez-vous que l’option « Restrictions d’invitation d’invité » est définie sur « Seuls les utilisateurs affectés à des rôles d’administrateur spécifiques peuvent convier des utilisateurs invités »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.16 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Concevoir un modèle de contrôle d’accès	CMA_0129 – Concevoir un modèle de contrôle d’accès	Manuel, désactivé	1.1.0
Utiliser l’accès aux privilèges minimum	CMA_0212 – Utiliser l’accès aux privilèges minimum	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0

Vérifier que « Limiter l'accès au portail d'administration Azure AD » est défini sur « Oui »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.17 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0

Assurez-vous que l’option « Restreindre la capacité des utilisateurs à accéder aux fonctionnalités des groupes dans le volet d’accès » est définie sur « Oui »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.18 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0

Assurez-vous que l’option « Les utilisateurs peuvent créer des groupes de sécurité dans le portail Azure, l’API ou PowerShell » est définie sur « Non »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.19 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0

Vérifiez que vous avez défini « Les propriétaires peuvent gérer les demandes d'appartenance au groupe dans le panneau d'accès » sur « Non »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.20 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0

Assurez-vous que l’option « Les utilisateurs peuvent créer des groupes Microsoft 365 dans les portails Azure, l’API ou PowerShell » est définie sur « Non »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.21 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0

Assurez-vous que l’option « Exiger l’authentification multifacteur pour inscrire ou joindre des appareils avec Azure AD » est définie sur « Oui »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.22 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Adopter des mécanismes d’authentification biométrique	CMA_0005 – Adopter des mécanismes d’authentification biométrique	Manuel, désactivé	1.1.0
Autoriser l’accès à distance	CMA_0024 – Autoriser l’accès à distance	Manuel, désactivé	1.1.0
Formation sur la mobilité des documents	CMA_0191 – Formation sur la mobilité des documents	Manuel, désactivé	1.1.0
Documentation des instructions d’accès à distance	CMA_0196 – Documentation des instructions d’accès à distance	Manuel, désactivé	1.1.0
Identifier et authentifier les périphériques réseau	CMA_0296 – Identifier et authentifier les périphériques réseau	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser d’autres sites de travail	CMA_0315 – Implémenter des contrôles pour sécuriser d’autres sites de travail	Manuel, désactivé	1.1.0
Fournir une formation sur la confidentialité	CMA_0415 – Fournir une formation sur la confidentialité	Manuel, désactivé	1.1.0
Répondre aux exigences de qualité des jetons	CMA_0487 – Répondre aux exigences de qualité des jetons	Manuel, désactivé	1.1.0

Vérifier qu'aucun rôle d'administrateur d'abonnement personnalisé n'existe

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.23 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer l’utilisation des rôles RBAC personnalisés	Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces	Audit, Désactivé	1.0.1
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Concevoir un modèle de contrôle d’accès	CMA_0129 – Concevoir un modèle de contrôle d’accès	Manuel, désactivé	1.1.0
Utiliser l’accès aux privilèges minimum	CMA_0212 – Utiliser l’accès aux privilèges minimum	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0

Assurez-vous qu’un rôle personnalisé dispose d’autorisations pour l’administration des verrous de ressources

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 1.24 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0

Vérifier que les utilisateurs invités sont passés en revue régulièrement

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 1.5 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés	Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés	Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé.	AuditIfNotExists, Désactivé	1.0.0
Réaffecter ou supprimer des privilèges utilisateur selon les besoins	CMA_C1040 – Réaffecter ou supprimer des privilèges utilisateur selon les besoins	Manuel, désactivé	1.1.0
Examiner les journaux d’approvisionnement de compte	CMA_0460 – Examiner les journaux d’approvisionnement de compte	Manuel, désactivé	1.1.0
Réviser les comptes d’utilisateur	CMA_0480 – Passer en revue les comptes d’utilisateurs	Manuel, désactivé	1.1.0
Passer en revue les privilèges utilisateur	CMA_C1039 – Vérifier les privilèges utilisateur	Manuel, désactivé	1.1.0

Vérifiez que vous n’avez pas défini le paramètre « Nombre de jours avant que les utilisateurs ne soient invités à reconfirmer leurs informations d’authentification » sur « 0 ».

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.8 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Automatiser la gestion des comptes	CMA_0026 – Automatiser la gestion des comptes	Manuel, désactivé	1.1.0
Gérer les comptes système et d’administration	CMA_0368 – Gérer les comptes système et d’administration	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Avertir lorsque le compte n’est pas nécessaire	CMA_0383 – Avertir lorsque le compte n’est pas nécessaire	Manuel, désactivé	1.1.0

Vérifiez que vous avez défini le paramètre « Notifier les utilisateurs lors des réinitialisations de mot de passe ? » sur « Oui »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 1.9 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Automatiser la gestion des comptes	CMA_0026 – Automatiser la gestion des comptes	Manuel, désactivé	1.1.0
Implémenter une formation pour la protection des authentificateurs	CMA_0329 – Implémenter une formation pour la protection des authentificateurs	Manuel, désactivé	1.1.0
Gérer les comptes système et d’administration	CMA_0368 – Gérer les comptes système et d’administration	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Avertir lorsque le compte n’est pas nécessaire	CMA_0383 – Avertir lorsque le compte n’est pas nécessaire	Manuel, désactivé	1.1.0

10

Vérifier que des verrous de ressources sont définis pour les ressources Azure stratégiques

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 10.1 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Établir et documenter les processus de contrôle des modifications	CMA_0265 – Établir et documenter les processus de contrôle des modifications	Manuel, désactivé	1.1.0

2.1

Vérifier que Microsoft Defender pour serveurs est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.1 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Azure Defender pour les serveurs doit être activé	Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes.	AuditIfNotExists, Désactivé	1.0.3
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0

Vérifier que Microsoft Defender pour Key Vault est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.10 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Azure Defender pour Key Vault doit être activé	Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault.	AuditIfNotExists, Désactivé	1.0.3
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0

Vérifier que Microsoft Defender pour DNS est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.11 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
[Déconseillé] : Azure Defender pour DNS doit être activé	Cette définition de stratégie n’est plus la méthode recommandée pour atteindre son intention, car l’offre groupée DNS est déconseillée. Au lieu de continuer à utiliser cette stratégie, nous vous recommandons d’affecter cette stratégie de remplacement avec l’identifiant de stratégie 4da35fc9-c9e7-4960-aec9-797fe7d9051d. Pour en savoir plus sur la dépréciation de la définition de stratégie, consultez aka.ms/policydefdeprecation	AuditIfNotExists, Désactivé	1.1.0-deprecated

Vérifier que Microsoft Defender pour Resource Manager est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.12 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Azure Defender pour Resource Manager doit être activé	Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center.	AuditIfNotExists, Désactivé	1.0.0

Vérifier que la recommandation Microsoft Defender pour l’état de « Appliquer les mises à jour système » est « Terminé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.13 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes	Pour garantir que les évaluations périodiques des mises à jour système manquantes sont déclenchées automatiquement toutes les 24 heures, la propriété AssessmentMode doit être définie sur « AutomaticByPlatform ». Découvrez-en plus sur la propriété AssessmentMode pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode.	Audit, Refuser, Désactivé	3.7.0

Vérifier qu’aucun paramètre de stratégie par défaut ASC n’est défini sur « Désactivé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.14 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Configurer des actions pour les appareils non conformes	CMA_0062 – Configurer des actions pour les appareils non conformes	Manuel, désactivé	1.1.0
Développer et tenir à jour les configurations de base	CMA_0153 – Développer et tenir à jour les configurations de base	Manuel, désactivé	1.1.0
Appliquer les paramètres de configuration de sécurité	CMA_0249 – Appliquer les paramètres de configuration de sécurité	Manuel, désactivé	1.1.0
Établir un panneau de configuration	CMA_0254 – Établir un panneau de configuration	Manuel, désactivé	1.1.0
Établir et documenter un plan de gestion de la configuration	CMA_0264 – Établir et documenter un plan de gestion de la configuration	Manuel, désactivé	1.1.0
Implémenter un outil de gestion de la configuration automatisée	CMA_0311 – Implémenter un outil de gestion de la configuration automatisée	Manuel, désactivé	1.1.0

Vérifier que le provisionnement automatique de l’« Agent Log Analytics pour les machines virtuelles Azure » est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.15 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Documenter les opérations de sécurité	CMA_0202 – Documenter les opérations de sécurité	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0

Vérifier que le provisionnement automatique des « composants Microsoft Defender pour les conteneurs » est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.17 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0

Assurez-vous que l’option « Autres adresses e-mail » est configurée avec un e-mail de contact de sécurité

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.19 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center.	AuditIfNotExists, Désactivé	1.0.1

Vérifier que Microsoft Defender pour App Services est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.2 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Azure Defender pour App Service doit être activé	Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes.	AuditIfNotExists, Désactivé	1.0.3
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0

Assurez-vous que l’option « Envoyer une notification pour les alertes ayant la gravité suivante » est définie sur « Élevée »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.20 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
La notification par e-mail pour les alertes à gravité élevée doit être activée	Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center.	AuditIfNotExists, Désactivé	1.2.0

Vérifier que l’intégration de Microsoft Defender for Cloud Apps à Microsoft Defender pour le cloud est sélectionnée

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.21 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0

Vérifier que l’intégration de Microsoft Defender for Endpoint à Microsoft Defender pour le cloud est sélectionnée

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.22 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0

Vérifier que Microsoft Defender pour les bases de données est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.3 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Azure Defender pour les bases de données relationnelles open source doit être activé	Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center	AuditIfNotExists, Désactivé	1.0.0
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Microsoft Defender pour Azure Cosmos DB doit être activé	Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les intervenants malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’utilisateurs infiltrés malveillants.	AuditIfNotExists, Désactivé	1.0.0

Vérifier que Microsoft Defender pour les bases de données Azure SQL est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.4 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Azure Defender pour les serveurs Azure SQL Database doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0

Vérifier que Microsoft Defender pour les serveurs SQL sur des machines est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.5 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Azure Defender pour les serveurs SQL sur les machines doit être activé	Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles.	AuditIfNotExists, Désactivé	1.0.2
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0

Vérifier que Microsoft Defender pour les bases de données relationnelles open source est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.6 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Azure Defender pour les bases de données relationnelles open source doit être activé	Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center	AuditIfNotExists, Désactivé	1.0.0

Vérifier que Microsoft Defender pour le stockage est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.7 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Microsoft Defender pour le stockage doit être activé	Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts.	AuditIfNotExists, Désactivé	1.0.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0

Vérifier que Microsoft Defender pour les conteneurs est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.8 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Détecter les services réseau qui n’ont pas été autorisés ou approuvés	CMA_C1700 – Détecter les services réseau qui n’ont pas été autorisés ou approuvés	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Microsoft Defender pour les conteneurs doit être activé	Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds.	AuditIfNotExists, Désactivé	1.0.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0

Vérifier que Microsoft Defender pour Azure Cosmos DB est défini sur « Activé »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 2.1.9 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Microsoft Defender pour Azure Cosmos DB doit être activé	Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les intervenants malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’utilisateurs infiltrés malveillants.	AuditIfNotExists, Désactivé	1.0.0

3

Vérifier que l’option « Transfert sécurisé requis » est définie sur « Enabled »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.1 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
La sécurisation du transfert vers des comptes de stockage doit être activée	Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session)	Audit, Refuser, Désactivé	2.0.0

Vérifier que les points de terminaison privés sont utilisés pour accéder aux comptes de stockage

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.10 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les comptes de stockage doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Désactivé	2.0.0

Assurez-vous que le stockage des données critiques est chiffré avec des clés gérées par le client

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 3.12 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Établir une procédure de gestion des fuites de données	CMA_0255 – Établir une procédure de gestion des fuites de données	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger des informations spéciales	CMA_0409 – Protéger des informations spéciales	Manuel, désactivé	1.1.0
Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement	Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement.	Audit, Désactivé	1.0.3

Assurez-vous que vous avez activé la journalisation du stockage pour le service Blob des demandes de lecture, d’écriture et de suppression

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 3.13 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Configurer les fonctionnalités d’audit d’Azure	CMA_C1108 - Configurer les fonctionnalités d’audit d’Azure	Manuel, désactivé	1.1.1
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0

Assurez-vous que vous avez activé la journalisation du stockage pour le service Tableau des demandes de lecture, d’écriture et de suppression

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 3.14 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Configurer les fonctionnalités d’audit d’Azure	CMA_C1108 - Configurer les fonctionnalités d’audit d’Azure	Manuel, désactivé	1.1.1
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0

Vérifier que « Version TLS minimale » est défini sur « Version 1.2 » pour les comptes de stockage

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 3.15 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0
Les comptes de stockage doivent avoir la version TLS minimale spécifiée	Configurez une version TLS minimale pour sécuriser la communication entre l’application cliente et le compte de stockage. Pour réduire le risque de sécurité, la version minimale recommandée de TLS est la dernière version publiée, qui est actuellement TLS 1.2.	Audit, Refuser, Désactivé	1.0.0

Vérifier que « Activer le chiffrement d’infrastructure » est défini sur « activé » pour chaque compte de stockage dans Stockage Azure

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.2 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé	Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois.	Audit, Refuser, Désactivé	1.0.0

Vérifier que les clés d'accès du compte de stockage sont périodiquement regénérées

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.4 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Définir les exigences organisationnelles pour la gestion des clés de chiffrement	CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement	Manuel, désactivé	1.1.0
Déterminer les exigences d’assertion	CMA_0136 – Déterminer les exigences d’assertion	Manuel, désactivé	1.1.0
Émettre des certificats de clé publique	CMA_0347 – Émettre des certificats de clé publique	Manuel, désactivé	1.1.0
Gérer les clés de chiffrement symétriques	CMA_0367 – Gérer les clés de chiffrement symétriques	Manuel, désactivé	1.1.0
Restreindre l’accès aux clés privées	CMA_0445 – Restreindre l’accès aux clés privées	Manuel, désactivé	1.1.0

Assurez-vous que vous avez activé la journalisation du stockage pour le service de File d’attente des demandes de lecture, d’écriture et de suppression

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.5 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Configurer les fonctionnalités d’audit d’Azure	CMA_C1108 - Configurer les fonctionnalités d’audit d’Azure	Manuel, désactivé	1.1.1
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0

Assurez-vous que vous les jetons de signature d’accès partagé expirent dans un délai d’une heure

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.6 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Désactiver les authentificateurs lors de l’arrêt	CMA_0169 – Désactiver les authentificateurs lors de l’arrêt	Manuel, désactivé	1.1.0
Révoquer les rôles privilégiés selon les besoins	CMA_0483 – Révoquer les rôles privilégiés selon les besoins	Manuel, désactivé	1.1.0
Terminer automatiquement la session utilisateur	CMA_C1054 – Terminer automatiquement la session utilisateur	Manuel, désactivé	1.1.0

Vérifier que « Niveau d’accès public » est désactivé pour les comptes de stockage avec des conteneurs d’objets blob

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.7 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
[Préversion] : L’accès public au compte de stockage doit être interdit	L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige.	audit, Audit, refus, Refus, désactivé, Désactivé	3.1.0-preview
Autoriser l’accès aux fonctions et informations de sécurité	CMA_0022 – Autoriser l’accès aux fonctions et informations de sécurité	Manuel, désactivé	1.1.0
Autoriser et gérer l’accès	CMA_0023 – Autoriser et gérer l’accès	Manuel, désactivé	1.1.0
Appliquer l’accès logique	CMA_0245 – Appliquer l’accès logique	Manuel, désactivé	1.1.0
Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	CMA_0246 – Appliquer des stratégies de contrôle d’accès obligatoires et discrétionnaires	Manuel, désactivé	1.1.0
Exiger une approbation pour la création de compte	CMA_0431 – Exiger une approbation pour la création de compte	Manuel, désactivé	1.1.0
Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	CMA_0481 – Examiner les groupes d’utilisateurs et les applications ayant accès à des données sensibles	Manuel, désactivé	1.1.0

Assurez-vous que la règle d’accès réseau par défaut pour les comptes de stockage est définie sur Refuser

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.8 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les comptes de stockage doivent limiter l’accès réseau	L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques.	Audit, Refuser, Désactivé	1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau	Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage.	Audit, Refuser, Désactivé	1.0.1

Vérifier que « Autoriser les services Azure sur la liste des services approuvés à accéder à ce compte de stockage » est activé pour l’accès au compte de stockage

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 3.9 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés	Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage.	Audit, Refuser, Désactivé	1.0.0

4,1

Vérifier que l’option « Audit » est définie sur « On »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.1.1 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
L’audit sur SQL Server doit être activé	L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit.	AuditIfNotExists, Désactivé	2.0.0
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0

Vérifier qu'aucune base de données Azure SQL n'autorise l'entrée à partir de 0.0.0.0/0 (TOUTE IP)

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.1.2 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
L’accès au réseau public sur Azure SQL Database doit être désactivé	Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	1.1.0

Vérifier que le protecteur TDE (Transparent Data Encryption) de SQL Server est chiffré avec une clé gérée par le client

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.1.3 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Établir une procédure de gestion des fuites de données	CMA_0255 – Établir une procédure de gestion des fuites de données	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger des informations spéciales	CMA_0409 – Protéger des informations spéciales	Manuel, désactivé	1.1.0
Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos	L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée.	Audit, Refuser, Désactivé	2.0.0
Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos	L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée.	Audit, Refuser, Désactivé	2.0.1

Vérifier que l’administrateur Azure Active Directory est configuré pour les serveurs SQL

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 4.1.4 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL	Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft	AuditIfNotExists, Désactivé	1.0.0
Automatiser la gestion des comptes	CMA_0026 – Automatiser la gestion des comptes	Manuel, désactivé	1.1.0
Gérer les comptes système et d’administration	CMA_0368 – Gérer les comptes système et d’administration	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Avertir lorsque le compte n’est pas nécessaire	CMA_0383 – Avertir lorsque le compte n’est pas nécessaire	Manuel, désactivé	1.1.0

Vérifiez que l’option « Chiffrement des données » est définie sur « On » sur une base de données SQL

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 4.1.5 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Établir une procédure de gestion des fuites de données	CMA_0255 – Établir une procédure de gestion des fuites de données	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger des informations spéciales	CMA_0409 – Protéger des informations spéciales	Manuel, désactivé	1.1.0
Transparent Data Encryption sur les bases de données SQL doit être activé	Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises	AuditIfNotExists, Désactivé	2.0.0

Vérifier que la période de rétention d’audit est supérieure à 90 jours

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 4.1.6 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Régir et surveiller les activités de traitement d’audit	CMA_0289 – Régir et surveiller les activités de traitement d’audit	Manuel, désactivé	1.1.0
Conserver les stratégies et procédures de sécurité	CMA_0454 – Conserver les stratégies et procédures de sécurité	Manuel, désactivé	1.1.0
Conserver les données utilisateur terminées	CMA_0455 – Conserver les données utilisateur terminées	Manuel, désactivé	1.1.0
Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours	À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires.	AuditIfNotExists, Désactivé	3.0.0

4,2

Vérifier que Microsoft Defender pour SQL est défini sur « Activé » pour les serveurs SQL critiques

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.2.1 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés	Auditer les serveurs SQL sans Advanced Data Security	AuditIfNotExists, Désactivé	2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées	Auditez chaque instance managée SQL sans Advanced Data Security.	AuditIfNotExists, Désactivé	1.0.2
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0

Vérifier que la fonctionnalité Évaluation des vulnérabilités est activée sur un serveur SQL Server via la définition d’un compte de stockage

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.2.2 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance	Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier.	AuditIfNotExists, Désactivé	1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL	Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier.	AuditIfNotExists, Désactivé	3.0.0

Vérifier que le paramètre d'évaluation des vulnérabilités « Analyses récurrentes périodiques » est défini sur « Activé » pour chaque serveur SQL

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.2.3 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance	Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier.	AuditIfNotExists, Désactivé	1.0.1

Vérifier que le paramètre d'évaluation des vulnérabilités « Envoyer des rapports d'analyse » est configuré pour un serveur SQL

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.2.4 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Informations sur l’analyse de corrélation des vulnérabilités	CMA_C1558 - Informations sur l’analyse de corrélation des vulnérabilités	Manuel, désactivé	1.1.1
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL	Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier.	AuditIfNotExists, Désactivé	3.0.0

Vérifier que le paramètre d'évaluation des vulnérabilités « Envoyer également des notifications par e-mail aux administrateurs et aux propriétaires d'abonnement » est défini pour chaque serveur SQL

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.2.5 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Informations sur l’analyse de corrélation des vulnérabilités	CMA_C1558 - Informations sur l’analyse de corrélation des vulnérabilités	Manuel, désactivé	1.1.1
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus	Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données.	AuditIfNotExists, Désactivé	4.1.0
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL	Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier.	AuditIfNotExists, Désactivé	3.0.0

4.3

Vérifier que l’option « Appliquer une connexion SSL » est définie sur « ENABLED » pour le serveur de base de données PostgreSQL

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.1 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL	Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données.	Audit, Désactivé	1.0.1
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0

Assurez-vous que le paramètre de serveur « log_checkpoints » est défini sur « ON » pour le serveur de base de données PostgreSQL

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.2 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Les points de contrôle de journal doivent être activés pour les serveurs de bases de données PostgreSQL	Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_checkpoints.	AuditIfNotExists, Désactivé	1.0.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0

Vérifier que le paramètre de serveur « log_connections » est défini sur « ON » pour le serveur de base de données PostgreSQL

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.3 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Les connexions de journal doivent être activées pour les serveurs de bases de données PostgreSQL	Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_connections.	AuditIfNotExists, Désactivé	1.0.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0

Vérifier que le paramètre de serveur « log_disconnections » est défini sur « ON » pour le serveur de base de données PostgreSQL

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.4 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Les déconnexions doivent être journalisées pour les serveurs de bases de données PostgreSQL.	Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_disconnections.	AuditIfNotExists, Désactivé	1.0.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0

Vérifier que le paramètre de serveur « connection_throttling » est défini sur « ON » pour le serveur de base de données PostgreSQL

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.5 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
La limitation de connexion doit être activée pour les serveurs de base de données PostgreSQL	Cette stratégie aide à auditer toutes les bases de données PostgreSQL de votre environnement sans activer la limitation de connexion. Ce paramètre active la limitation de connexion temporaire par adresse IP à la suite d’un trop grand nombre de connexions infructueuses avec des mots de passe non valides.	AuditIfNotExists, Désactivé	1.0.0
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0

Vérifier que le paramètre de serveur « log_retention_days » est supérieur à 3 jours pour le serveur de base de données PostgreSQL

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.6 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Régir et surveiller les activités de traitement d’audit	CMA_0289 – Régir et surveiller les activités de traitement d’audit	Manuel, désactivé	1.1.0
Conserver les stratégies et procédures de sécurité	CMA_0454 – Conserver les stratégies et procédures de sécurité	Manuel, désactivé	1.1.0
Conserver les données utilisateur terminées	CMA_0455 – Conserver les données utilisateur terminées	Manuel, désactivé	1.1.0

Vérifiez que vous avez désactivé l’option « Autoriser l’accès aux services Azure » pour le serveur de base de données PostgreSQL Database Server

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.7 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Flux d’informations de contrôle	CMA_0079 – Flux d’informations de contrôle	Manuel, désactivé	1.1.0
Utiliser des mécanismes de contrôle de flux d’informations chiffrées	CMA_0211 – Utiliser des mécanismes de contrôle de flux d’informations chiffrées	Manuel, désactivé	1.1.0
Établir des normes de configuration de pare-feu et de routeur	CMA_0272 – Établir des normes de configuration de pare-feu et de routeur	Manuel, désactivé	1.1.0
Établir une segmentation réseau pour l’environnement de données du titulaire de carte	CMA_0273 – Établir une segmentation réseau pour l’environnement de données du titulaire de carte	Manuel, désactivé	1.1.0
Identifier et gérer les échanges d’informations en aval	CMA_0298 – Identifier et gérer les échanges d’informations en aval	Manuel, désactivé	1.1.0
L’accès au réseau public doit être désactivé pour les serveurs flexibles PostgreSQL	Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque vos serveurs flexibles Azure Database pour PostgreSQL ne sont accessibles qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès depuis n’importe quel espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur des adresses IP.	Audit, Refuser, Désactivé	3.1.0
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL	Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel.	Audit, Refuser, Désactivé	2.0.1

Assurez-vous que l’option « Chiffrement double d’infrastructure » pour le serveur de base de données PostgreSQL est « Activé »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 4.3.8 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Établir une procédure de gestion des fuites de données	CMA_0255 – Établir une procédure de gestion des fuites de données	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Le chiffrement d'infrastructure doit être activé sur les serveurs Azure Database pour PostgreSQL	Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour PostgreSQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2	Audit, Refuser, Désactivé	1.0.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger des informations spéciales	CMA_0409 – Protéger des informations spéciales	Manuel, désactivé	1.1.0

4.4

Assurez-vous que l’option « Appliquer la connexion SSL » est définie sur « Activé » pour le serveur de base de données MySQL Standard

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 4.4.1 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL	La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données.	Audit, Désactivé	1.0.1
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0

Assurez-vous que la valeur « Version TLS » est définie sur « TLSV1.2 » pour le serveur de base de données flexible MySQL

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 4.4.2 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0

4.5

Vérifier que « Pare-feux et réseaux » est limité à l’utilisation des réseaux sélectionnés au lieu de tous les réseaux

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 4.5.1 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu	Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes.	Audit, Refuser, Désactivé	2.1.0

Vérifier que des points de terminaison privés sont utilisés si possible

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 4.5.2 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les comptes CosmosDB doivent utiliser une liaison privée	Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, Désactivé	1.0.0

Utiliser l’authentification du client Azure Active Directory (AAD) et RBAC Azure si possible.

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 4.5.3 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les méthodes d’authentification locales doivent être désactivées pour les comptes Cosmos DB	La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les comptes de base de données Cosmos DB nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth.	Audit, Refuser, Désactivé	1.1.0

5,1

Vérifier qu'un « Paramètre de diagnostic » existe

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.1 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0

Vérifiez que le paramètre de diagnostic capture les catégories appropriées

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.2 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques	Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	1.0.0
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques	Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	3.0.0
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques	Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	1.0.0
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Configurer les fonctionnalités d’audit d’Azure	CMA_C1108 - Configurer les fonctionnalités d’audit d’Azure	Manuel, désactivé	1.1.1
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0

Vérifier que le conteneur de stockage qui stocke les journaux d’activité n’est pas accessible publiquement

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.3 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
[Préversion] : L’accès public au compte de stockage doit être interdit	L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige.	audit, Audit, refus, Refus, désactivé, Désactivé	3.1.0-preview
Activer l’autorisation double ou conjointe	CMA_0226 – Activer l’autorisation double ou conjointe	Manuel, désactivé	1.1.0
Protéger les informations d’audit	CMA_0401 – Protéger les informations d’audit	Manuel, désactivé	1.1.0

Vérifier que le compte de stockage comprenant le conteneur des journaux d’activité est chiffré avec une clé gérée par le client

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.4 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Activer l’autorisation double ou conjointe	CMA_0226 – Activer l’autorisation double ou conjointe	Manuel, désactivé	1.1.0
Maintenir l’intégrité du système d’audit	CMA_C1133 – Maintenir l’intégrité du système d’audit	Manuel, désactivé	1.1.0
Protéger les informations d’audit	CMA_0401 – Protéger les informations d’audit	Manuel, désactivé	1.1.0
Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK	Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok.	AuditIfNotExists, Désactivé	1.0.0

Vérifier que la journalisation d'Azure Key Vault est définie sur « Activé »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.5 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Les journaux de ressources dans Key Vault doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau	AuditIfNotExists, Désactivé	5.0.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0

Vérifier que les journaux de flux de groupe de sécurité réseau sont capturés et envoyés à Log Analytics

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.1.6 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Toutes les ressources du journal de flux doivent être en état activé	Auditez les ressources du journal de flux pour vérifier si l’état du journal de flux est activé. L’activation des journaux de flux permet de journaliser des informations sur la circulation du trafic IP. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc.	Audit, Désactivé	1.0.1
Auditer la configuration des journaux de flux pour chaque réseau virtuel	Auditez le réseau virtuel pour vérifier si les journaux de flux sont configurés. L’activation des journaux de flux permet de journaliser des informations sur le trafic IP transitant par le réseau virtuel. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc.	Audit, Désactivé	1.0.1
Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau	Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc.	Audit, Désactivé	1.1.0

5.2

Vérifier l’existence de l’alerte de journal d’activité pour la création d’attribution de stratégie

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.1 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Alerter le personnel d’un débordement d’informations	CMA_0007 – Alerter le personnel d’un débordement d’informations	Manuel, désactivé	1.1.0
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques	Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	3.0.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0

Vérifier l’existence de l’alerte de journal d’activité pour la suppression d’attribution de stratégie

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.2 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Alerter le personnel d’un débordement d’informations	CMA_0007 – Alerter le personnel d’un débordement d’informations	Manuel, désactivé	1.1.0
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques	Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	3.0.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0

Vérifier l’existence d’une alerte de journal d’activité pour la création ou la mise à jour d’un groupe de sécurité réseau

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.3 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Alerter le personnel d’un débordement d’informations	CMA_0007 – Alerter le personnel d’un débordement d’informations	Manuel, désactivé	1.1.0
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques	Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	1.0.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0

Vérifier l’existence d’une alerte de journal d’activité pour la suppression de groupe de sécurité réseau

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.4 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Alerter le personnel d’un débordement d’informations	CMA_0007 – Alerter le personnel d’un débordement d’informations	Manuel, désactivé	1.1.0
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques	Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	1.0.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0

Vérifier l’existence d’une alerte de journal d’activité pour la création ou la mise à jour d’une solution de sécurité

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.5 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Alerter le personnel d’un débordement d’informations	CMA_0007 – Alerter le personnel d’un débordement d’informations	Manuel, désactivé	1.1.0
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques	Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	1.0.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0

Vérifier l’existence d’une alerte de journal d’activité pour la suppression d’une solution de sécurité

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.6 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Alerter le personnel d’un débordement d’informations	CMA_0007 – Alerter le personnel d’un débordement d’informations	Manuel, désactivé	1.1.0
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques	Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	1.0.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0

Vérifier qu'une alerte de journal d'activité existe pour la création ou la mise à jour d'une règle de pare-feu SQL Server

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.7 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Alerter le personnel d’un débordement d’informations	CMA_0007 – Alerter le personnel d’un débordement d’informations	Manuel, désactivé	1.1.0
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques	Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	1.0.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0

S'assurer que l'alerte du journal d'activité existe pour supprimer la règle de pare-feu SQL Server

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 5.2.8 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Alerter le personnel d’un débordement d’informations	CMA_0007 – Alerter le personnel d’un débordement d’informations	Manuel, désactivé	1.1.0
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques	Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée.	AuditIfNotExists, Désactivé	1.0.0
Mettez sur pied un plan de réponse en cas d'incident	CMA_0145 – Développer un plan de réponse aux incidents	Manuel, désactivé	1.1.0
Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	CMA_0495 – Définir des notifications automatisées pour les applications cloud nouvelles et populaires dans votre organisation	Manuel, désactivé	1.1.0

5

Vérifier que la journalisation des ressources Azure Monitor est activée pour tous les services qui la prennent en charge

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 5.4 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Les applications App Service doivent avoir activé les journaux des ressources	Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	2.0.1
Auditer les fonctions privilégiées	CMA_0019 – Auditer les fonctions privilégiées	Manuel, désactivé	1.1.0
Auditer l’état du compte d’utilisateur	CMA_0020 – Auditer l’état du compte d’utilisateur	Manuel, désactivé	1.1.0
Configurer les fonctionnalités d’audit d’Azure	CMA_C1108 - Configurer les fonctionnalités d’audit d’Azure	Manuel, désactivé	1.1.1
Déterminer les événements auditables	CMA_0137 – Déterminer les événements auditables	Manuel, désactivé	1.1.0
Régir et surveiller les activités de traitement d’audit	CMA_0289 – Régir et surveiller les activités de traitement d’audit	Manuel, désactivé	1.1.0
Les journaux de ressources dans Azure Data Lake Store doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Azure Stream Analytics doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans les comptes Batch doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Data Lake Analytics doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Event Hub doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans IoT Hub doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	3.1.0
Les journaux de ressources dans Key Vault doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Logic Apps doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.1.0
Les journaux de ressources dans les services Search doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Les journaux de ressources dans Service Bus doivent être activés	Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau.	AuditIfNotExists, Désactivé	5.0.0
Conserver les stratégies et procédures de sécurité	CMA_0454 – Conserver les stratégies et procédures de sécurité	Manuel, désactivé	1.1.0
Conserver les données utilisateur terminées	CMA_0455 – Conserver les données utilisateur terminées	Manuel, désactivé	1.1.0
Vérifier les journaux d'audit	CMA_0466 – Examiner les données d’audit	Manuel, désactivé	1.1.0

6

Vérifier que l’accès RDP à partir d’Internet est évalué et limité

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 6.1 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les ports de gestion doivent être fermés sur vos machines virtuelles	Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur.	AuditIfNotExists, Désactivé	3.0.0

Vérifier que l’accès SSH à partir d’Internet est évalué et limité

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 6.2 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les ports de gestion doivent être fermés sur vos machines virtuelles	Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur.	AuditIfNotExists, Désactivé	3.0.0

Vérifiez que la période de rétention du journal de flux du groupe de sécurité réseau est « supérieure à 90 jours »

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 6.5 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Respecter les périodes de rétention définies	CMA_0004 – Respecter les périodes de rétention définies	Manuel, désactivé	1.1.0
Conserver les stratégies et procédures de sécurité	CMA_0454 – Conserver les stratégies et procédures de sécurité	Manuel, désactivé	1.1.0
Conserver les données utilisateur terminées	CMA_0455 – Conserver les données utilisateur terminées	Manuel, désactivé	1.1.0

Vérifier que Network Watcher est défini sur « Enabled »

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 6.6 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Network Watcher doit être activé	Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée.	AuditIfNotExists, Désactivé	3.0.0
Vérifier les fonctions de sécurité	CMA_C1708 – Vérifier les fonctions de sécurité	Manuel, désactivé	1.1.0

7

Vérifier que les machines virtuelles utilisent des disques managés

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.2 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Faire l’audit des machines virtuelles n’utilisant aucun disque managé	Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé	audit	1.0.0
Contrôler l’accès physique	CMA_0081 – Contrôler l’accès physique	Manuel, désactivé	1.1.0
Gérer l’entrée, la sortie, le traitement et le stockage des données	CMA_0369 – Gérer l’entrée, la sortie, le traitement et le stockage des données	Manuel, désactivé	1.1.0
Examiner l’activité et l’analytique de l’étiquette	CMA_0474 – Examiner l’activité et l’analytique de l’étiquette	Manuel, désactivé	1.1.0

Assurez-vous que les disques « OS et données » sont chiffrés avec une clé gérée par le client (CMK)

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.3 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Établir une procédure de gestion des fuites de données	CMA_0255 – Établir une procédure de gestion des fuites de données	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger des informations spéciales	CMA_0409 – Protéger des informations spéciales	Manuel, désactivé	1.1.0

Vérifier que les « disques non associés » sont chiffrés avec une « clé gérée par le client » (CMK)

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.4 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Établir une procédure de gestion des fuites de données	CMA_0255 – Établir une procédure de gestion des fuites de données	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client	Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-doubleEncryption.	Audit, Refuser, Désactivé	1.0.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger des informations spéciales	CMA_0409 – Protéger des informations spéciales	Manuel, désactivé	1.1.0

Assurez-vous que seules des extensions approuvées sont installées

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.5 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Seules les extensions de machine virtuelle approuvées doivent être installées	Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées.	Audit, Refuser, Désactivé	1.0.0

Vérifier qu'Endpoint Protection pour toutes les machines virtuelles est installé

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.6 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Bloque les processus non approuvés et non signés qui s’exécutent par USB	CMA_0050 – Bloquer les processus non signés et non approuvés qui s'exécutent à partir d'un lecteur USB	Manuel, désactivé	1.1.0
Documenter les opérations de sécurité	CMA_0202 – Documenter les opérations de sécurité	Manuel, désactivé	1.1.0
Gérer les passerelles	CMA_0363 – Gérer les passerelles	Manuel, désactivé	1.1.0
Effectuer une analyse des tendances sur les menaces	CMA_0389 – Effectuer une analyse des tendances sur les menaces	Manuel, désactivé	1.1.0
Effectuer des analyses de vulnérabilité	CMA_0393 – Effectuer des analyses de vulnérabilité	Manuel, désactivé	1.1.0
Examiner le rapport hebdomadaire sur les détections de programmes malveillants	CMA_0475 – Examiner le rapport hebdomadaire sur les détections de programmes malveillants	Manuel, désactivé	1.1.0
Passer en revue l’état de la protection contre les menaces chaque semaine	CMA_0479 – Passer en revue l’état de la protection contre les menaces chaque semaine	Manuel, désactivé	1.1.0
Activer les capteurs pour la solution de sécurité de point de terminaison	CMA_0514 – Activer les capteurs pour la solution de sécurité de point de terminaison	Manuel, désactivé	1.1.0
Mettre à jour les définitions de l’antivirus	CMA_0517 – Mettre à jour les définitions de l’antivirus	Manuel, désactivé	1.1.0
Vérifier l’intégrité des logiciels, des microprogrammes et des informations	CMA_0542 – Vérifier l’intégrité des logiciels, des microprogrammes et des informations	Manuel, désactivé	1.1.0

[Hérité] Vérifier que les VHD sont chiffrés

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 7.7 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Établir une procédure de gestion des fuites de données	CMA_0255 – Établir une procédure de gestion des fuites de données	Manuel, désactivé	1.1.0
Implémenter des contrôles pour sécuriser tous les supports	CMA_0314 – Implémenter des contrôles pour sécuriser tous les supports	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger des informations spéciales	CMA_0409 – Protéger des informations spéciales	Manuel, désactivé	1.1.0

8

Assurez-vous que la date d’expiration est définie pour toutes les clés dans les coffres de clés RBAC

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 8.1 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Définir les exigences organisationnelles pour la gestion des clés de chiffrement	CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement	Manuel, désactivé	1.1.0
Déterminer les exigences d’assertion	CMA_0136 – Déterminer les exigences d’assertion	Manuel, désactivé	1.1.0
Émettre des certificats de clé publique	CMA_0347 – Émettre des certificats de clé publique	Manuel, désactivé	1.1.0
Les clés Key Vault doivent avoir une date d’expiration	Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement.	Audit, Refuser, Désactivé	1.0.2
Gérer les clés de chiffrement symétriques	CMA_0367 – Gérer les clés de chiffrement symétriques	Manuel, désactivé	1.1.0
Restreindre l’accès aux clés privées	CMA_0445 – Restreindre l’accès aux clés privées	Manuel, désactivé	1.1.0

Assurez-vous que la date d’expiration est définie pour toutes les clés dans les coffres de clés non RBAC.

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 8.2 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Définir les exigences organisationnelles pour la gestion des clés de chiffrement	CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement	Manuel, désactivé	1.1.0
Déterminer les exigences d’assertion	CMA_0136 – Déterminer les exigences d’assertion	Manuel, désactivé	1.1.0
Émettre des certificats de clé publique	CMA_0347 – Émettre des certificats de clé publique	Manuel, désactivé	1.1.0
Les clés Key Vault doivent avoir une date d’expiration	Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement.	Audit, Refuser, Désactivé	1.0.2
Gérer les clés de chiffrement symétriques	CMA_0367 – Gérer les clés de chiffrement symétriques	Manuel, désactivé	1.1.0
Restreindre l’accès aux clés privées	CMA_0445 – Restreindre l’accès aux clés privées	Manuel, désactivé	1.1.0

Assurez-vous que la date d’expiration est définie pour tous les secrets dans les coffres de clés RBAC

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 8.3 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Définir les exigences organisationnelles pour la gestion des clés de chiffrement	CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement	Manuel, désactivé	1.1.0
Déterminer les exigences d’assertion	CMA_0136 – Déterminer les exigences d’assertion	Manuel, désactivé	1.1.0
Émettre des certificats de clé publique	CMA_0347 – Émettre des certificats de clé publique	Manuel, désactivé	1.1.0
Les secrets Key Vault doivent avoir une date d’expiration	Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets.	Audit, Refuser, Désactivé	1.0.2
Gérer les clés de chiffrement symétriques	CMA_0367 – Gérer les clés de chiffrement symétriques	Manuel, désactivé	1.1.0
Restreindre l’accès aux clés privées	CMA_0445 – Restreindre l’accès aux clés privées	Manuel, désactivé	1.1.0

Assurez-vous que la date d’expiration est définie pour tous les secrets dans les coffres de clés non RBAC

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 8.4 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Définir les exigences organisationnelles pour la gestion des clés de chiffrement	CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement	Manuel, désactivé	1.1.0
Déterminer les exigences d’assertion	CMA_0136 – Déterminer les exigences d’assertion	Manuel, désactivé	1.1.0
Émettre des certificats de clé publique	CMA_0347 – Émettre des certificats de clé publique	Manuel, désactivé	1.1.0
Les secrets Key Vault doivent avoir une date d’expiration	Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets.	Audit, Refuser, Désactivé	1.0.2
Gérer les clés de chiffrement symétriques	CMA_0367 – Gérer les clés de chiffrement symétriques	Manuel, désactivé	1.1.0
Restreindre l’accès aux clés privées	CMA_0445 – Restreindre l’accès aux clés privées	Manuel, désactivé	1.1.0

Vérifiez que le coffre de clés est récupérable

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 8.5 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
La protection contre la suppression doit être activée pour les coffres de clés	La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019.	Audit, Refuser, Désactivé	2.1.0
La suppression réversible doit être activée sur les coffres de clés	La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable.	Audit, Refuser, Désactivé	3.0.0

Activez le contrôle d'accès en fonction du rôle pour Azure Key Vault

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 8.6 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Azure Key Vault doit utiliser le modèle d’autorisation RBAC	Activez le modèle d’autorisation RBAC sur les coffres de clés. Plus d’informations sur : https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration	Audit, Refuser, Désactivé	1.0.1

Vérifiez que des points de terminaison privés sont utilisés pour Azure Key Vault

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 8.7 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les coffres de clés Azure doivent utiliser une liaison privée	Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1

Vérifier que la permutation automatique des clés est activée dans Azure Key Vault pour les services pris en charge

ID : recommandation du CIS Microsoft Azure Foundations Benchmark 8.8 Propriété : partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les clés doivent avoir une stratégie de rotation garantissant que leur rotation est planifiée pour le nombre de jours spécifié après leur création.	Gérez les exigences de conformité de votre organisation en spécifiant le nombre maximal de jours qui sépare la création de la clé de son pivotement.	Audit, Désactivé	1.0.0

9

Assurez-vous que l’authentification App Service est configurée pour les applications dans Azure App Service

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.1 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
L’authentification doit être activée pour les applications App Service	L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application web ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application web.	AuditIfNotExists, Désactivé	2.0.1
S’authentifier auprès du module de chiffrement	CMA_0021 – S’authentifier auprès du module de chiffrement	Manuel, désactivé	1.1.0
Appliquer l’unicité de l’utilisateur	CMA_0250 – Appliquer l’unicité de l’utilisateur	Manuel, désactivé	1.1.0
L’authentification doit être activée pour les applications de fonction	L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application de fonction ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application de fonction.	AuditIfNotExists, Désactivé	3.0.0
Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	CMA_0507 – Prendre en charge les informations d’identification de vérification personnelle émises par les autorités juridiques	Manuel, désactivé	1.1.0

Assurez-vous que les déploiements FTP sont désactivés

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.10 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les applications App Service doivent exiger FTPS uniquement	Activer la mise en œuvre de FTPS pour renforcer la sécurité.	AuditIfNotExists, Désactivé	3.0.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Les applications de fonction doivent exiger FTPS uniquement	Activer la mise en œuvre de FTPS pour renforcer la sécurité.	AuditIfNotExists, Désactivé	3.0.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0

Vérifier que des coffres de clés Azure sont utilisés pour stocker les secrets

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.11 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Définir un processus de gestion des clés physiques	CMA_0115 – Définir un processus de gestion des clés physiques	Manuel, désactivé	1.1.0
Définir l’utilisation du chiffrement	CMA_0120 – Définir l’utilisation du chiffrement	Manuel, désactivé	1.1.0
Définir les exigences organisationnelles pour la gestion des clés de chiffrement	CMA_0123 – Définir les exigences organisationnelles pour la gestion des clés de chiffrement	Manuel, désactivé	1.1.0
Déterminer les exigences d’assertion	CMA_0136 – Déterminer les exigences d’assertion	Manuel, désactivé	1.1.0
Vérifier que les mécanismes de chiffrement sont dans le cadre de la gestion de la configuration	CMA_C1199 – Vérifier que les mécanismes de chiffrement sont dans le cadre de la gestion de la configuration	Manuel, désactivé	1.1.0
Émettre des certificats de clé publique	CMA_0347 – Émettre des certificats de clé publique	Manuel, désactivé	1.1.0
Maintenir la disponibilité des informations	CMA_C1644 – Maintenir la disponibilité des informations	Manuel, désactivé	1.1.0
Gérer les clés de chiffrement symétriques	CMA_0367 – Gérer les clés de chiffrement symétriques	Manuel, désactivé	1.1.0
Restreindre l’accès aux clés privées	CMA_0445 – Restreindre l’accès aux clés privées	Manuel, désactivé	1.1.0

Assurez-vous que l’application web redirige tout le trafic HTTP vers HTTPS dans Azure App Service

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.2 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les applications App Service doivent être accessibles uniquement via HTTPS	L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau.	Audit, Désactivé, Refus	4.0.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0

Assurez-vous que l’application web utilise la dernière version du chiffrement TLS

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.3 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les applications App Service doivent utiliser la dernière version TLS	Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	2.1.0
Configurer des stations de travail pour rechercher des certificats numériques	CMA_0073 – Configurer des stations de travail pour rechercher des certificats numériques	Manuel, désactivé	1.1.0
Les applications de fonctions doivent utiliser la dernière version TLS	Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	2.1.0
Protéger les données en transit à l’aide du chiffrement	CMA_0403 – Protéger les données en transit à l’aide du chiffrement	Manuel, désactivé	1.1.0
Protéger les mots de passe avec le chiffrement	CMA_0408 – Protéger les mots de passe avec le chiffrement	Manuel, désactivé	1.1.0

Vérifier que « Certificats clients (certificats clients entrants) » est activé pour l’application web

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.4 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
[Déconseillé] : L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App Service	Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients.	Audit, Désactivé	3.1.0-deprecated
[Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction	Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients.	Audit, Désactivé	3.1.0-deprecated
S’authentifier auprès du module de chiffrement	CMA_0021 – S’authentifier auprès du module de chiffrement	Manuel, désactivé	1.1.0

Vérifier que l’inscription auprès d’Azure Active Directory est activée pour App Service

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.5 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les applications App Service doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Automatiser la gestion des comptes	CMA_0026 – Automatiser la gestion des comptes	Manuel, désactivé	1.1.0
Les applications de fonction doivent utiliser une identité managée	Utiliser une identité managée pour renforcer la sécurité de l’authentification	AuditIfNotExists, Désactivé	3.0.0
Gérer les comptes système et d’administration	CMA_0368 – Gérer les comptes système et d’administration	Manuel, désactivé	1.1.0
Surveiller l’accès au sein de l’organisation	CMA_0376 – Surveiller l’accès au sein de l’organisation	Manuel, désactivé	1.1.0
Avertir lorsque le compte n’est pas nécessaire	CMA_0383 – Avertir lorsque le compte n’est pas nécessaire	Manuel, désactivé	1.1.0

Assurez-vous que la « version PHP » est la plus récente si elle est utilisée pour exécuter l’application web

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.6 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les emplacement d’application App Service qui utilisent PHP doivent utiliser une 'version de PHP' spécifiée	Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version PHP qui répond à vos besoins.	AuditIfNotExists, Désactivé	1.0.0
Les applications App Service qui utilisent PHP doivent utiliser une « version de PHP » spécifiée	Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version PHP qui répond à vos besoins.	AuditIfNotExists, Désactivé	3.2.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0

Assurez-vous que la « version de Python » est la dernière version stable si elle est utilisée pour exécuter l’application web

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.7 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les emplacement d’application App Service qui utilisent Python doivent utiliser une 'version de Python' spécifiée	Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins.	AuditIfNotExists, Désactivé	1.0.0
Les applications App Service qui utilisent Python doivent utiliser une « version de Python » spécifiée	Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins.	AuditIfNotExists, Désactivé	4.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0

Assurez-vous que la « version de Java » est la plus récente si elle est utilisée pour exécuter l’application web

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.8 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les emplacement d’application de fonction qui utilisent Java doivent utiliser une 'version de Java' spécifiée	Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins.	AuditIfNotExists, Désactivé	1.0.0
Les applications de fonction qui utilisent Java doivent utiliser une « version de Java » spécifiée	Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins.	AuditIfNotExists, Désactivé	3.1.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0

Assurez-vous que la « version de HTTP » est la plus récente si elle est utilisée pour exécuter l’application web

ID : Recommandation du CIS Microsoft Azure Foundations Benchmark 9.9 Propriété : Partagée

Nom _{(Portail Azure)}	Description	Effet(s)	Version _(GitHub)
Les applications App Service doivent utiliser la dernière « version HTTP »	Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	4.0.0
Les applications de fonctions doivent utiliser la dernière « version HTTP »	Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités.	AuditIfNotExists, Désactivé	4.0.0
Corriger les défauts du système d’information	CMA_0427 – Corriger les défauts du système d’information	Manuel, désactivé	1.1.0

Étapes suivantes

Autres articles sur Azure Policy :

Présentation de la Conformité réglementaire.
Voir la structure de la définition d’initiative.
Passez en revue d’autres exemples de la page Exemples Azure Policy.
Consultez la page Compréhension des effets de Policy.
Découvrez comment corriger des ressources non conformes.

Partager via