Recommandations pour établir une base de référence en matière de sécurité
S’applique à cette recommandation de liste de contrôle Sécurité Power Platform Well-Architected :
| SE:01 | Établissez une base de référence en matière de sécurité alignée sur les exigences de conformité, les normes du secteur et les recommandations de la plateforme. Mesurez régulièrement l’architecture et les opérations de votre charge de travail par rapport à la base de référence pour maintenir ou améliorer votre posture de sécurité au fil du temps. |
|---|
Ce guide décrit les recommandations pour établir une base de référence de sécurité pour développer des charges de travail avec Microsoft Power Platform. Une base de référence en matière de sécurité est un ensemble de normes de sécurité minimales et de bonnes pratiques qu’une organisation applique à ses systèmes et services informatiques. Une base de référence en matière de sécurité aide à réduire le risque de cyberattaques, de violations de données et d’accès non autorisé. Une base de référence en matière de sécurité contribue également à garantir la cohérence, la responsabilité et l’auditabilité dans l’ensemble de l’organisation.
Une bonne base de référence en matière de sécurité vous aide à :
- Réduire le risque de cyberattaques, de violations de données et d’accès non autorisé.
- Assurer la cohérence, la responsabilité et l’auditabilité dans toute l’organisation.
- Maintenir vos données et systèmes sécurisés.
- Respecter les exigences réglementaires.
- Réduire le risque de surveillance.
Les bases de référence en matière de sécurité doivent être largement publiées dans toute votre organisation afin que toutes les parties prenantes soient conscientes des attentes.
Établir une base de référence en matière de sécurité pour Microsoft Power Platform implique plusieurs étapes et considérations, notamment :
Comprendre l’architecture et les composants de Power Platform, comme les environnements, les connecteurs, Dataverse, Power Apps et Power Automate.
Configurer les paramètres et rôles de sécurité pour Power Platform au niveau du client, de l’environnement et de la ressource, comme les stratégies de protection contre la perte de données, les autorisations de l’environnement et les groupes de sécurité.
Tirer parti de Microsoft Entra ID pour gérer les identités des utilisateurs, l’authentification et l’autorisation pour Power Platform et intégrer à d’autres fonctionnalités Entra ID telles que l’accès conditionnel et l’authentification multifacteur.
Appliquer les méthodes de protection et de chiffrement des données pour sécuriser les données stockées et traitées par Power Platform, telles que les étiquettes de confidentialité et les clés gérées par le client.
Surveiller et auditer les activités et l’utilisation de Power Platform, à l’aide d’outils tels que le centre d’administration Power Platform, les environnements gérés et Microsoft Purview.
Mettre en œuvre des stratégies et processus de gouvernance pour Power Platform, comme définir les rôles et les responsabilités des différentes parties prenantes, établir les flux de travail d’approbation et la gestion des changements et fournir des conseils et une formation aux utilisateurs et aux développeurs.
Ce guide vous aide à définir une base de référence en matière de sécurité qui prend en compte à la fois les facteurs internes et externes. Les facteurs internes incluent les besoins de votre entreprise, les facteurs de risque et l’évaluation des actifs. Les facteurs externes comprennent les points de référence du secteur et les normes réglementaires. En suivant ces étapes et considérations, une organisation peut établir une base de référence en matière de sécurité pour Power Platform qui s’aligne sur ses objectifs commerciaux, ses exigences de conformité et son goût du risque. Une base de référence en matière de sécurité peut aider une organisation à maximiser les avantages de Power Platform tout en réduisant les menaces et les défis potentiels.
Définitions
| Terme | Définition |
|---|---|
| Base de référence | Niveau minimum de fonctionnalités de sécurité d’une charge de travail pour éviter d’être exploitée. |
| Point de référence | Norme qui signifie la posture de sécurité à laquelle l’organisation aspire. Elle est évaluée, mesurée et améliorée au fil du temps. |
| Contrôles | Contrôles techniques ou opérationnels sur la charge de travail qui aident à prévenir les attaques et à augmenter les coûts des attaquants. |
| Exigences réglementaires | Ensemble d’exigences métier, basées sur les normes du secteur et imposées par les lois et les autorités. |
Stratégies de conception clés
Une base de référence en matière de sécurité est une directive qui décrit les exigences et les fonctionnalités de sécurité auxquelles la charge de travail doit répondre pour améliorer et maintenir la sécurité. Vous pouvez rendre une base de référence plus avancée en ajoutant des stratégies que vous utilisez pour définir des limites. La base de référence doit être la norme que vous utilisez pour mesurer votre niveau de sécurité. Essayez de toujours atteindre la base de référence complète tout en couvrant une large portée.
Créez la base de référence en obtenant un consensus entre les responsables commerciaux et techniques. La base de référence doit inclure des contrôles techniques, mais également des aspects opérationnels de la gestion et du maintien de la posture de sécurité.
Pour établir une base de référence en matière de sécurité pour Power Platform, tenez compte des stratégies de conception clés suivantes :
Utilisez le Benchmark sur la sécurité Microsoft Cloud (MCSB) comme cadre de référence. Le MCSB est un ensemble complet de bonnes pratiques de sécurité qui couvrent divers aspects de la sécurité cloud, comme la gestion des identités et des accès, la protection des données, la sécurité du réseau, la protection contre les menaces et la gouvernance. Vous pouvez utiliser le MCSB pour évaluer votre posture de sécurité actuelle et identifier les lacunes et les domaines d’amélioration.
Personnalisez le MCSB en fonction des besoins spécifiques de votre entreprise, de vos exigences de conformité et de votre goût du risque. Vous devrez peut-être ajouter, modifier ou supprimer certains contrôles MCSB en fonction de votre contexte et de vos objectifs organisationnels. Par exemple, vous devrez peut-être aligner votre base de sécurité sur les normes du secteur (telles que ISO 27001 ou NIST 800-53) ou les cadres réglementaires (tels que le RGPD, le Règlement général sur la protection des données ou HIPAA, la Health Insurance Portability and Accountability Act) qui sont pertinents pour votre domaine ou votre région.
Définissez la portée et l’applicabilité de votre base de référence en matière de sécurité pour Power Platform. Vous devez clairement spécifier quels composants, fonctionnalités et services Power Platform sont couverts par votre base de référence en matière de sécurité, et lesquels sont hors de portée ou nécessitent des considérations particulières. Par exemple, vous devrez peut-être définir différentes exigences de sécurité pour différents types d’environnements Power Platform (par exemple, production, développement ou bac à sable), de connecteurs (par exemple, standard, personnalisé ou premium) ou d’applications (par exemple, canevas, pilotée par modèle ou pages).
En suivant ces stratégies de conception, vous pouvez créer un document de référence de sécurité Power Platform qui reflète vos objectifs et normes en matière de sécurité et vous aide à protéger vos données et vos actifs dans le cloud.
À mesure que la charge de travail évolue et que l’environnement se développe, il est important de maintenir votre base de référence à jour avec les modifications pour vous assurer que les contrôles de base fonctionnent toujours. Voici quelques recommandations pour le processus de création d’une base de référence en matière de sécurité :
Inventaire des actifs. Identifiez les parties prenantes des actifs de la charge de travail et les objectifs de sécurité pour ces actifs. Dans l’inventaire des actifs, classez par exigence de sécurité et criticité. Pour plus d’informations sur les actifs de données, consultez Recommandations en matière de classification des données.
Définissez les niveaux de charges de travail. À mesure que vous définissez votre base de référence en matière de sécurité, il est important de considérer la manière dont vous catégorisez les solutions créées en fonction de la criticité afin que vous puissiez développer des processus qui garantissent que les applications critiques disposent de toutes les protections nécessaires pour les prendre en charge sans étouffer l’innovation des scénarios de productivité.
Évaluation des risques. Identifiez les risques potentiels associés à chaque actif et hiérarchisez-les.
Exigences de conformité. Évaluez toute exigence réglementaire ou de conformité pour ces actifs et appliquez les meilleures pratiques du secteur.
Normes de configuration. Définissez et documentez des configurations et paramètres de sécurité spécifiques pour chaque actif. Si possible, créez un modèle ou trouvez une manière automatisée et reproductible d’appliquer les paramètres de manière cohérente dans tout l’environnement. Considérez les configurations à tous les niveaux. Commencez par les configurations de sécurité au niveau du client liées à l’accès ou au réseau. Ensuite, considérez les configurations de sécurité spécifiques aux ressources Power Platform, telles que les configurations Power Pages spécifiques, ainsi que les configurations de sécurité spécifiques à la charge de travail, comme la manière dont la charge de travail est partagée.
Contrôle d’accès et authentification. Spécifiez les exigences en matière de contrôle d’accès en fonction du rôle (RBAC) et d’authentification multifacteur (MFA). Documentez ce que signifie l’accès suffisant au niveau des actifs. Commencez toujours par le principe du moindre privilège.
Documentation et communication. Documentez toutes les configurations, stratégies et procédures. Communiquez les détails aux parties prenantes pertinentes.
Application et responsabilité. Établissez des mécanismes d’application clairs et des conséquences en cas de non-respect de la base de référence en matière de sécurité. Tenez les personnes et les équipes responsables du maintien des normes de sécurité.
Surveillance continue. Évaluez l’efficacité de la base de référence en matière de sécurité via l’observabilité et apportez des améliorations au fil du temps.
Composition d’une base de référence
Voici quelques catégories courantes qui doivent faire partie d’une base de référence. La liste suivante n’est pas exhaustive. Elle donne un aperçu de la portée du document
Conformité réglementaire
Vos choix de conception peuvent être affectés par les exigences de conformité réglementaire pour des segments sectoriels spécifiques ou en raison de restrictions géographiques. Il est essentiel de comprendre les exigences de conformité réglementaire et de les inclure dans l’architecture de votre charge de travail.
La base de référence doit inclure une évaluation régulière de la charge de travail par rapport aux exigences réglementaires. Tirez parti des outils fournis par la plateforme, tels que Microsoft Power Advisor, qui peuvent identifier les domaines de non-conformité. Travaillez avec l’équipe de conformité de votre organisation pour garantir que toutes les exigences sont respectées et maintenues.
Exemple
Les organisations des sciences de la vie créent des solutions qui doivent répondre aux exigences des bonnes pratiques cliniques, de laboratoire et de fabrication (GxP). Vous pouvez tirer parti de l’efficacité du cloud tout en protégeant la sécurité des patients, la qualité des produits et l’intégrité des données. Pour plus d’informations, consultez Directives GxP Microsoft pour Dynamics 365 et Power Platform.
Bien qu’il n’existe pas de certification GxP spécifique pour les fournisseurs de services cloud, Microsoft Azure (qui héberge Power Platform) a été soumis à des audits tiers indépendants pour la gestion de la qualité et la sécurité de l’information, y compris les certifications ISO 9001 et ISO/IEC 27 001. Si vous déployez des applications sur Power Platform, considérez les étapes suivantes :
- Déterminez les exigences GxP applicables à votre système informatisé en fonction de son utilisation prévue.
- Suivez les procédures internes pour les processus de qualification et de validation afin de démontrer la conformité aux exigences GxP.
Composants de l’architecture
La base de référence nécessite des recommandations prescriptives pour les principaux composants de la charge de travail. Celles-ci incluent généralement des contrôles techniques pour le réseau, l’identité et les données. Reportez-vous à l’Exemple.
Processus de développement
La base de référence doit contenir des recommandations sur :
- Types de ressources Power Platform dont l’utilisation est approuvée.
- Surveillance des ressources.
- Implémentation de fonctionnalités de journalisation et d’audit.
- Partage de ressources.
- Application de stratégies pour utiliser ou configurer des ressources.
- Protection des données et sécurité du réseau.
L’équipe de développement doit avoir une compréhension claire de la portée des contrôles de sécurité, de la manière de concevoir et de développer des solutions Power Platform en tenant compte de la sécurité et de la manière d’effectuer des évaluations de sécurité régulières. Par exemple, l’application du principe du moindre privilège, la séparation des environnements de développement et de production, l’utilisation de connecteurs et de passerelles sécurisés et la validation des entrées et sorties des utilisateurs sont des exigences pour garantir la sécurité de la charge de travail. Expliquez comment les menaces potentielles peuvent être identifiées et soyez précis sur la manière d’effectuer des contrôles.
Pour plus d’informations, consultez Recommandations sur l’analyse des menaces.
Le processus de développement doit également établir des normes sur diverses méthodologies de test. Pour plus d’informations, consultez Recommendations sur les tests de sécurité.
Opérations
La base de référence doit inclure des normes sur la manière de détecter des menaces et de déclencher des alertes sur des activités anormales qui indiquent des incidents réels.
La base de référence doit inclure des recommandations pour la mise en place de processus de réponse aux incidents, y compris la communication et un plan de récupération, et indiquer lesquels de ces processus peuvent être automatisés pour accélérer la détection et l’analyse. Pour obtenir des exemples, consultez Benchmark sur la sécurité Microsoft Cloud : réponse aux incidents.
Utilisez les normes du secteur pour élaborer des plans en cas d’incident de sécurité et de violation de données, et assurez-vous que l’équipe des opérations dispose d’un plan complet à suivre lorsqu’une violation est découverte. Vérifiez auprès de votre organisation s’il existe une couverture via la cyberassurance.
Formation
La formation est essentielle. Gardez à l’esprit que, souvent, ceux qui développent les applications ne sont pas pleinement conscients des risques de sécurité. Si votre organisation propose une formation sur la façon de créer des charges de travail avec Power Platform, incorporez votre base de référence de sécurité à ces efforts. Par ailleurs, si votre organisation organise une formation sur la sécurité à l’échelle de l’organisation, incluez votre base de référence de sécurité Power Platform dans cette formation.
Votre formation doit inclure des informations sur les protections et les configurations à l’échelle du client qui peuvent avoir un impact sur les charges de travail en cours de création. Ils nécessitent également une formation sur les configurations que les créateurs doivent effectuer pour leurs charges de travail, telles que les rôles de sécurité et la manière de se connecter aux données. Déterminez le processus de collaboration avec eux pour toute demande qu’ils pourraient avoir.
Développez et maintenez un programme de formation en sécurité pour garantir que l’équipe de la charge de travail possède les compétences appropriées pour prendre en charge les objectifs et les exigences de sécurité. L’équipe a besoin d’une formation fondamentale sur la sécurité et d’une formation sur les concepts de sécurité dans Power Platform.
Utiliser la base de référence
Utilisez la base de référence pour piloter les initiatives et les décisions. Voici quelques façons d’utiliser la base de référence pour améliorer la sécurité de votre charge de travail :
Préparez les décisions de conception. Utilisez la base de référence de sécurité pour comprendre les exigences et les attentes en matière de sécurité pour vos charges de travail Power Platform. Assurez-vous que les membres de l’équipe sont informés des attentes avant de commencer la conception de l’architecture. Évitez les ajustements coûteux pendant la phase de mise en œuvre en vous assurant que les membres de l’équipe connaissent la base de référence de sécurité et son rôle dans le respect des exigences de sécurité. Utilisez la base de référence de sécurité comme exigence de la charge de travail et concevez votre charge de travail dans les limites et les contraintes définies par la base de référence.
Mesurez votre conception. Utilisez la base de référence de sécurité pour évaluer votre posture de sécurité actuelle et identifier les lacunes et les domaines d’amélioration. Documentez tous les écarts différés ou considérés comme acceptables à long terme et indiquez clairement toutes les décisions prises concernant les écarts.
Pilotez les améliorations. La base de référence de sécurité définit vos objectifs, mais vous ne pourrez peut-être pas tous les atteindre immédiatement. Documentez tous les écarts et hiérarchisez-les en fonction de leur importance. Précisez clairement quels écarts sont acceptables à court ou à long terme et justifiez ces décisions.
Suivez vos progrès par rapport à la base de référence. Surveillez vos mesures de sécurité par rapport à la base de référence de sécurité pour identifier les tendances et révéler les écarts par rapport à la base de référence. Utilisez l’automatisation lorsque cela est possible et utilisez les données recueillies lors du suivi de la progression pour identifier et résoudre les problèmes actuels et vous préparer aux menaces futures.
Définissez les protections. Utilisez votre base de référence de sécurité pour établir et gérer des protections et un cadre de gouvernance pour vos charges de travail Power Platform. Les protections appliquent les configurations, technologies et opérations de sécurité requises, en fonction de facteurs internes et externes. Les protections aident à réduire le risque de surveillance par inadvertance et d’amendes punitives en cas de non-conformité. Vous pouvez utiliser les fonctionnalités prêtes à l’emploi du centre d’administration Power Platform et des environnements gérés pour établir des protections, ou créer les vôtres en utilisant l’implémentation de référence du Starter kit CoE ou vos propres scripts/outils. Vous utiliserez probablement une combinaison d’outils prédéfinis et personnalisés pour configurer vos protections et votre cadre de gouvernance. Réfléchissez aux éléments de votre base de sécurité qui peuvent être appliqués de manière proactive et à ceux que vous surveillerez de manière réactive.
Explorez Microsoft Purview pour Power Platform, Power Advisor, les concepts intégrés dans le centre d’administration Power Platform tels que les stratégies de données et l’isolation du client, et les implémentations de référence telles que le Starter kit CoE pour mettre en œuvre et appliquer les configurations de sécurité et les exigences de conformité.
Évaluer régulièrement la base de référence
Améliorez continuellement les normes de sécurité pour atteindre l’état idéal afin de garantir une réduction continue des risques. Suivez les dernières mises à jour de sécurité dans Power Platform en consultant régulièrement la feuille de route et les annonces. Ensuite, identifiez les nouvelles fonctionnalités qui pourraient améliorer votre base de référence de sécurité et planifiez comment les mettre en œuvre. Toute modification de la base de référence doit être officiellement approuvée et passer par les processus de gestion des changements appropriés.
Mesurez le système par rapport à la nouvelle base de référence et hiérarchisez les mesures correctives en fonction de leur pertinence et de leur effet sur la charge de travail.
Assurez-vous que la posture de sécurité ne se dégrade pas avec le temps en mettant en place un audit et en surveillant la conformité aux normes organisationnelles.
Sécurité dans Microsoft Power Platform
Power Platform repose sur une solide base de sécurité. Il utilise la même pile de sécurité qui a positionné Azure comme conservateur approuvé des données les plus sensibles au monde, et s’intègre aux outils de conformité et de protection des informations les plus avancés de Microsoft 365. Power Platform offre une protection de bout en bout conçue autour des préoccupations les plus difficiles de nos clients.
Le service Power Platform est régi par les Conditions d’utilisation de Microsoft Online Services et la Déclaration de confidentialité de Microsoft Enterprise. Pour l’emplacement du traitement des données, consultez les modalités relatives à Microsoft Online Services et l’avenant sur la protection des données.
Le Centre de gestion de la confidentialité Microsoft est la ressource principale pour les informations de conformité Power Platform. Pour plus d’informations, consultez Offres de conformité Microsoft.
Le service Power Platform suit le cycle de vie du développement de la sécurité (SDL). Le SDL est un ensemble de pratiques strictes qui prennent en charge les exigences d’assurance de la sécurité et de conformité. Pour plus d’informations, consultez Pratiques du cycle de vie du développement de la sécurité Microsoft.
Facilitation de Power Platform
Le Benchmark sur la sécurité Microsoft Cloud (MCSB) est un cadre complet de bonnes pratiques en matière de sécurité que vous pouvez utiliser comme point de départ pour votre base de référence de sécurité. Utilisez-le avec d’autres ressources qui contribuent à votre base de référence. Pour plus d’informations, consultez Introduction au Benchmark sur la sécurité Microsoft Cloud.
Alignement organisationnel
Assurez-vous que la base de référence de sécurité que vous établissez pour Power Platform est bien alignée sur les bases de références de sécurité de votre organisation. Travaillez en étroite collaboration avec les équipes de sécurité informatique de votre organisation pour tirer parti de leur expertise.
- Présentation de la discipline de la base de référence de sécurité
- Modèle de discipline de la base de référence de sécurité
Voir aussi
- Conformité Microsoft
- Documentation sur la sécurité et la gouvernance de Microsoft Power Platform
- Présentation du Benchmark sur la sécurité Microsoft Cloud
- Qu’est-ce que la réponse aux incidents ? Plan et étapes
Liste de contrôle de sécurité
Référez-vous à l’ensemble complet des recommandations.
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour